网络数据包分析.pptVIP

UDP和TCP的区别 UDP提供的是非连接的数据报服务，意味着UDP无法保证任何数据报的传递和验证。 UDP的结构如图所示。 UDP和TCP传递数据的差异 UDP和TCP传递数据的差异类似于电话和明信片之间的差异。 TCP就像电话，必须先验证目标是否可以访问后才开始通讯。 UDP就像明信片，信息量很小而且每次传递成功的可能性很高，但是不能完全保证传递成功。 UDP通常由每次传输少量数据或有实时需要的程序使用。 在这些情况下，UDP 的低开销比TCP 更适合。UDP 与TCP 提供的服务和功能直接对比 UDP和TCP传递数据的比较 UDP协议 TCP协议 无连接的服务；在主机之间不建立会话。 面向连接的服务；在主机之间建立会话。 UDP不能确保或承认数据传递或序列化数据。 TCP 通过确认和按顺序传递数据来确保数据的传递。 使用 UDP 的程序负责提供传输数据所需的可靠性。 使用 TCP 的程序能确保可靠的数据传输。 UDP快速，具有低开销要求，并支持点对点和一点对多点的通讯。 TCP 比较慢，有更高的开销要求，而且只支持点对点通讯。 UDP 和 TCP 都使用端口标识每个 TCP/IP 程序的通讯。 UDP协议的头结构 UDP的头结构比较简单，如表所示。 源端口（2字节） 目的端口（2字节） 封报长度（2字节） 校验和（2字节） 数据 UDP的头结构 （1）源端口（Source Port）：16位的源端口域包含初始化通信的端口号。源端口和IP地址的作用是标识报文的返回地址。 （2）目的端口（Destination Port）：6位的目的端口域定义传输的目的。这个端口指明报文接收计算机上的应用程序地址接口。 （3）封包长度（Length）：UDP头和数据的总长度。 （4）校验和（Check Sum）：和TCP和校验和一样，不仅对头数据进行校验，还对包的内容进行校验。 UDP数据报分析 常用的网络服务中，DNS使用UDP协议。DNS是域名系统 (Domain Name System)的缩写 当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与此名称相关的IP地址。 设置DNS解析 需要在主机上设置DNS解析的主机，将主机的DNS的解析指向虚拟机，如图所示。 设置DNS解析 虽然虚拟机并没有设置DNS解析，但是只要访问DNS都可以抓到UDP数据报。设置完毕后，在主机的DOS界面中输入命令nslookup，如图所示。 UDP报头 查看Sniffer抓取的数据报，可以看到UDP报头，如图所示。 UDP报头的分析 对UDP报头的分析如图所示。 互联网控制消息协议ICMP 通过ICMP协议，主机和路由器可以报告错误并交换相关的状态信息。在下列情况中，通常自动发送ICMP消息： IP数据报无法访问目标。 IP路由器（网关）无法按当前的传输速率转发数据报。 IP路由器将发送主机重定向为使用更好的到达目标的路。 ICMP协议的结构如图所示。 ICMP协议的结构 ICMP协议的头结构 ICMP头结构比较简单，如表所示。 类型（8位） 代码（8位） 校验和（8位） 类型或者代码 ICMP数据报分析 使用Ping命令发送ICMP回应请求消息，使用Ping命令，可以检测网络或主机通讯故障并解决常见的TCP/IP连接问题。分析Ping指令的数据报，如图所示。 网络数据包分析 ①抓取IP数据报并分析 启动sniffer pro抓取数据包（capture-start）； 主机中Ping 虚拟机IP地址； Stop and display，decode对抓取的数据包进行分析； 结合IP数据报首部字段内容对抓取的数据包进行分析； 网络协议IP IP协议已经成为世界上最重要的网际协议。 IP的功能定义在由IP头结构的数据中。IP是网络层上的主要协议，同时被TCP协议和UDP协议使用。 TCP/IP的整个数据报在数据链路层的结构如表所示。 表 TCP/IP数据报的结构 以太网数据包头 IP头 TCP/UDP/ICMP/IGMP头 数据 IP头的结构 可以看出一条完整数据报由四部分组成 第三部分是该数据报采用的协议 第四部分是数据报传递的数据内容 其中IP头的结构如表所示。 版本（4位） 头长度（4位） 服务类型（8位） 封包总长度（16位） 封包标识（16位） 标志（3位） 片断偏移地址（13位） 存活时间（8位） 协议（8位） 校验和（16位） 来源IP地址（32位） 目的IP地址（32位） 选项（可选） 填充（可选） 数据 IP头的结构 IP头结构在所有协议中都是固定的，对表说明如下： （1）字节和数字的存储顺序是从右到左，依次是从低位到高位，而网络存储顺序是从左到右，依次从低位到高位。 （2）版本：占第一个字