课件第2章 ip数据报结构.pptVIP

第2章 IP数据报结构 * 第2章 IP数据报结构 教学提示：本章主要介绍网络层和传输层各协议的报头结构，Sniffer Pro的安装和使用方法。 教学要求：了解流量监控和数据分析的概念，掌握网络层协议和传输层协议的报头结构，熟悉Sniffer Pro的安装和基本操作方法，熟练掌握使用Sniffer Pro进行抓包并分析的步骤。 * 2.1 流量监控与数据分析 以太网的通信是基于广播方式的，这意味着在同一个网段的所有网络接口都可以访问到物理媒体上传输的数据，而每一个网络接口都有一个惟一的硬件地址，即MAC地址，长度为48字节，一般来说每一块网卡上的MAC地址都是不同的。在MAC地址和IP地址间使用ARP和RARP协议进行相互转换。 * 2.1.1 局域网数据流量的监控 以太网的工作机制是把要发送的数据包发往连接在同一网段中的所有主机，在包头中包括有目标主机的正确地址，只有与数据包中目标地址相同的主机才能接收到信息包，但是当主机工作在监听模式下时，不管数据包中的目标物理地址是什么，主机都可以接收到。许多局域网内有十几台甚至上百台主机是通过一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的主机地址的数据包直接发往目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，即数据链路层。网络接口不会识别IP地址，它在IP数据包的基础上又增加了一部分以太帧的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址，这个48位的地址是与IP地址相对应的。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。 * 局域网数据流量的监控 1．检测网络监听 (1) 对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，但处于监听状态的机器能接收，如果它不反向检查地址的话，就会响应。 (2) 向网上发大量不存在的物理地址的包，由于监听程序分析和处理大量的数据包时要占用很多的CPU资源，这将导致性能下降。这种方法的难度比较大。 (3) 使用反监听工具进行检测。 * 局域网数据流量的监控 2．网络监听的防范措施 1) 对网络进行逻辑分段或物理分段 网络分段是一种有效抑制网络广播风暴的基本手段，从安全角度讲也是一项具体的安全措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。 2) 使用交换式集线器 尽管对局域网的中心交换机进行了网络分段，但是局域网监听的威胁依然存在。因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而分支集线器通常使用共享式集线器。当用户与主机进行数据通信时，同一台集线器上的其他用户可以监听到两台机器之间传送的数据包。 由此必须以交换式集线器取代共享式集线器，从而防止被非法监听。当然，交换式集线器只能控制单播包而无法控制广播包和多播包。但广播包和多播包内的关键信息要远远少于单播包。 3) 使用加密技术 数据经过加密后，即使通过监听得到传送的信息，但显示的却可能是毫无意义的乱码。使用加密技术会影响数据传输速度，如果使用一个弱加密术还比较容易被攻破。这样管理员和用户必须在速度和安全上进行权衡。 * 局域网数据流量的监控 4) 划分VLAN VLAN(虚拟局域网)技术可以有效缩小冲突域，通过划分VLAN能防止大部分基于网络监听的入侵。 * 2.1.2 Sniffer工具介绍 计算机网络是共享通信通道的，这意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为sniffing(窃听)。 以太网是现在应用最广泛的计算机连网方式。以太网协议的特点是在同一网络向所有主机发送数据包信息。数据包头包含有目标主机的地址。一般情况下只有具有该地址的主机会接收这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”模式。 Sniffer软件是NAI公司推出的功能强大的协议分析软件。Sniffer支持的协议丰富，解码分析速度快。其中Sniffer Pro版可以运行在各种Windows平台上。 * 2.1.3 深入了解Sniffer Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的账号和密码，还可以是一些商用机密数据等。随着Internet及电子商务的日益普及，Internet的安全也越来越受到重视。Sniffer在Internet安全隐患中显示了很重要的作用。 Sniffer通常运行在路