计算机网络安全技术第3章 网络数据包结构与安全.pptVIP

13 时间戳请求 14 时间戳应答 15 信息请求（*已作废） 16 信息应答（*已作废） 17 地址掩码请求 18 地址掩码应答 此例中代码08，响应请求。 地址22H：1字节。代码。据前一字节设定不同类型下此字节含义不同。详细解释请查阅ICMP协议手册。此例中为0。 地址23H-24H：2字节校验和。用于校验数据包的正确性 地址25H-26H：标识 地址27H-28H：2字节。发送二进制位序列号 地址29H-结束：发送探测包内容。使用Windows系统的Ping命令时内容为英文小写字母a-w循环发送，直到达到命令要求的字节数为止。默认字节数为32 3.3.4 传输层协议报头结构 传输层协议主要有： 传输控制协议（TCP） 用户数据报协议（UDP） 捕获过滤 点击Sniffer Portable捕获工具栏上的“定义过滤器”按钮，可以打开“定义过滤器”对话框 在对话框中可以设置按制定的地址及在制定地址上数据传输方向进行过滤 3.3 数据的分析 3.3.1 TCP/IP协议 3.3.2 利用Sniffer Portable分析网络协议 3.3.3 网络层协议报头结构 3.3.4 传输层协议报头结构 3.3.1 TCP/IP协议 应用层 运输层 网络层 链路层 第一层链路层，也被称为网络接口层。定义了数据传输设备和传输媒体或网络间的接口。这一层涉及到对于传输媒介的特性、信号的特性、数据传输率和相关内容的确定。本层主要网络有DLC帧协议（数据链路控制）。 第二层网络层，也被称作互连网层，处理分组在网络中的活动，例如分组的路由选择。在TCP/IP协议组件中，网络层协议包括IP协议（网际协议），ICMP协议（Internet互连网控制报文协议），以及IGMP协议（Internet组管理协议）。 第三层运输层，主要为两台主机上的应用程序提供端到端的通信。在TCP/IP协议中，有两个互不相同的传输协议：即面向连接的TCP协议和非连接的UDP协议。 第四层应用层，由不同的应用程序实现特定的应用目的。如： Telnet 远程登录协议 FTP 文件传输协议 SMTP 简单邮件传输协议 SNMP 简单网络管理协议 … … 3.3.2 利用Sniffer Portable分析网络协议 窗口工作区被分成三个窗格 上面的窗格显示数据包列表。每一行代表一个数据包。可以看到每一个数据包在这批数据中的编号、此数据包的来源与目标地址，数据包内容摘要等 下面窗格显示当前选中的数据包中的具体内容。用十六进制和ASCII码显示 中间窗格显示出当前选中的数据包中包含哪些网络协议，及各协议报头在数据包中的位置。用鼠标选中窗格中的一个协议后，在下面窗格中就会用灰色底纹将此与协议相关的内容突出显示出来 DLC帧 1.前导码：8个字节，用于同步和起始标志。在Sniffer Portable中不显示 2.目的地址：6个字节，目的主机MAC地址 3.源地址：6个字节，源主机MAC地址 4.类型域：2个字节，标识了在以太网上运行的客户端协议。即表明上层（网络层）的协议。如IP、IPX等网络层协议 5.数据：46～1500字节，这里是真正要传输的数据。如果长度不够46字节则由DLC协议自动补齐为46字节 6.帧校验序列：4个字节，利用的是CRC循环冗余校验法，在Sniffer Portable中不显示。 其中2～4称为帧头，6称为帧尾。 DLC帧实例 在DLC头部：共显示6行信息，其中第3-5行显示内容是DLC真实内容，其它行是Sniffer Portable添加的状态信息 第一行：Sniffer Portable添加的DLC起始标志 第二行：Sniffer Portable添加的帧序号、捕获日期、时间、帧的长度等信息。以上2行内容在数据包中是没有的 第三行：DLC真实内容。目标主机的MAC地址。占6个字节，帧内地址00-05H 第四行：DLC真实内容。源主机的MAC地址。占6个字节，帧内地址06-0BH 第五行：DLC真实内容。数据包的类型（即上层协议的类型）。占2个字节，帧内地址0C-0DH。上层协议的类型主要有0800为IP协议，0806为ARP协议等 第六行：Sniffer Portable添加的DLC结束标志 DLC结束标志之后是此帧的所要传输信息的真实内容。此帧内容包括IP和TCP协议2部分。其中IP协议内容长度为20字节，TCP协议内容长度为20字节。内容总长度40字节 帧的最后一行是DLC填充段。因为此数据帧内容长度不足46字节，DLC自动添加了6个字节的“00”将其补足为46字节 3.3.3 网络层协议报头结构 网