網(wǎng)絡(luò)工程實(shí)驗(yàn)7 網(wǎng)絡(luò)協(xié)議分析實(shí)例.ppt

Ethereal協(xié)議分析實(shí)例 ARP協(xié)議分析 ARP協(xié)議ARP協(xié)議是 AddressResolutionProtocol 的縮寫 在局域網(wǎng)中 網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖菐?幀里面是有目標(biāo)主機(jī)的MAC地址的 在以太網(wǎng)中 一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信 必須要知道目標(biāo)主機(jī)的MAC地址 所謂 地址解析 就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程 ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址 查詢目標(biāo)設(shè)備的MAC地址 以保證通信的順利進(jìn)行 影響試驗(yàn)的因素 ARP緩存在每臺(tái)安裝有TCP IP協(xié)議的電腦里都有一個(gè)ARP緩存表 表里的IP地址與MAC地址一一對(duì)應(yīng) 查看arp緩存 arp a清除arp緩存 arp d 試驗(yàn)過(guò)程定義過(guò)濾器清除arp緩存開始抓包利用ping命令 迫使主機(jī)發(fā)出arp請(qǐng)求 停止抓包 進(jìn)行數(shù)據(jù)分析 IP協(xié)議分析 IP是TCP IP協(xié)議集的核心之一 它提供了無(wú)連接的數(shù)據(jù)包傳輸和互聯(lián)網(wǎng)的路由服務(wù) IP的基本任務(wù)是通過(guò)互聯(lián)網(wǎng)傳輸數(shù)據(jù)包 每個(gè)IP數(shù)據(jù)包是獨(dú)立傳輸?shù)?主機(jī)上的IP層基于數(shù)據(jù)鏈路層向傳輸層提供傳輸服務(wù) IP從源傳輸層實(shí)體獲得數(shù)據(jù) 再通過(guò)物理網(wǎng)絡(luò)傳送到目的機(jī)器的IP層 試驗(yàn)過(guò)程定義過(guò)濾器開始抓包停止抓包 數(shù)據(jù)分析 ICMP協(xié)議分析 ICMP是 InternetControlMessageProtocol Internet控制消息協(xié)議 的縮寫 它是TCP IP協(xié)議族的一個(gè)子協(xié)議 用于在IP主機(jī) 路由器之間傳遞控制消息 控制消息是指網(wǎng)絡(luò)通不通 主機(jī)是否可達(dá) 路由是否可用等網(wǎng)絡(luò)本身的消息 這些控制消息雖然并不傳輸用戶數(shù)據(jù) 但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用 ICMP協(xié)議是IP協(xié)議的一部分 ICMP報(bào)文必須要包含在IP協(xié)議數(shù)據(jù)包中發(fā)送出去 比如我們經(jīng)常使用的用于檢查網(wǎng)絡(luò)通不通的Ping命令 這個(gè) Ping 的過(guò)程實(shí)際上就是ICMP協(xié)議工作的過(guò)程 還有其他的網(wǎng)絡(luò)命令如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的 ICMP協(xié)議 Ping命令分析 Ping原理PING是最常用的網(wǎng)絡(luò)命令 用來(lái)判斷目標(biāo)是否活動(dòng) 實(shí)際上Ping是向目標(biāo)發(fā)送一個(gè)要求回顯 ICMPECHO Type 8 的ICMP數(shù)據(jù)報(bào) 當(dāng)主機(jī)得到請(qǐng)求后 再返回一個(gè)回顯 ICMP ECHOReply Type 0 的ICMP報(bào)文 如果 ICMPtype0 數(shù)據(jù)包被發(fā)送方接受到 說(shuō)明主機(jī)是存活狀態(tài) 試驗(yàn)過(guò)程定義過(guò)濾器開始抓包使用Ping命令停止抓包 進(jìn)行數(shù)據(jù)分析 在命令行中輸入如下命令 ping192 9 200 254 該命令會(huì)從主機(jī)192 9 200 62向192 9 200 254發(fā)送四個(gè)ICMP的請(qǐng)求回顯類型的報(bào)文 效果如下 思考題 查找Tracert命令的實(shí)現(xiàn)原理 并設(shè)計(jì)相關(guān)實(shí)驗(yàn)進(jìn)行驗(yàn)證 TCP協(xié)議分析 TCP協(xié)議是傳輸控制協(xié)議 TransportControlProtocol 的簡(jiǎn)稱 是一種端對(duì)端 面向連接的 可靠的傳輸層協(xié)議 位于OSI參考模型的第四層 傳輸層 該協(xié)議在IP層之上 提供可靠的虛電路服務(wù)和面向數(shù)據(jù)包的傳輸服務(wù) 用戶數(shù)據(jù)可以被有序而可靠的傳輸 在IP分組發(fā)生丟失 破壞 重復(fù) 延遲或者失序的情況下 TCP服務(wù)通過(guò)一種可靠的進(jìn)程間通信機(jī)制能夠自動(dòng)糾正各種錯(cuò)誤 三次握手機(jī)制 TCP端口TCP提供一種叫做 端口 的用戶接口 通過(guò)TCP端口和IP地址的配合使用 可以提供到達(dá)終端的通訊手段 實(shí)際上 在任一時(shí)刻的互聯(lián)網(wǎng)絡(luò)連接可以由4個(gè)數(shù)字進(jìn)行描述 來(lái)源IP地址和來(lái)源端口 目的IP地址和目的端口 位于不同系統(tǒng)平臺(tái) 用來(lái)提供服務(wù)的一端通過(guò)標(biāo)準(zhǔn)的端口提供相應(yīng)服務(wù) 舉例來(lái)說(shuō) 標(biāo)準(zhǔn)的TELNET守護(hù)進(jìn)程 telnetdaemon 通過(guò)監(jiān)聽TCP23端口 準(zhǔn)備接收用戶端的連接請(qǐng)求 TCP標(biāo)志 1 SYN 同步標(biāo)志同步序列編號(hào) SynchronizeSequenceNumbers 欄有效 該標(biāo)志僅在三次握手建立TCP連接時(shí)有效 它提示TCP連接的服務(wù)端檢查序列編號(hào) 該序列編號(hào)為TCP連接初始端 一般是客戶端 的初始序列編號(hào) ACK 確認(rèn)標(biāo)志確認(rèn)編號(hào) AcknowledgementNumber 欄有效 大多數(shù)情況下該標(biāo)志位是置位的 TCP報(bào)頭內(nèi)的確認(rèn)編號(hào)欄內(nèi)包含的確認(rèn)編號(hào) w 1 Figure 1 為下一個(gè)預(yù)期的序列編號(hào) 同時(shí)提示遠(yuǎn)端系統(tǒng)已經(jīng)成功接收所有數(shù)據(jù) RST 復(fù)位標(biāo)志復(fù)位標(biāo)志有效 用于復(fù)位相應(yīng)的TCP連接 TCP標(biāo)志 2 URG 緊急標(biāo)志緊急 Theurgentpointer 標(biāo)志有效 PSH 推標(biāo)志該標(biāo)志置位時(shí) 接收端不將該數(shù)據(jù)進(jìn)行隊(duì)列處理 而是盡可能快將數(shù)據(jù)轉(zhuǎn)由應(yīng)用處理 在處理telnet或rlogin等交互模式的連接時(shí) 該標(biāo)志總是置位的 FIN 結(jié)束標(biāo)志帶有該標(biāo)志置位的數(shù)據(jù)包用來(lái)結(jié)束一個(gè)TCP回話 但對(duì)應(yīng)端口仍處于開放狀態(tài) 準(zhǔn)備接收后續(xù)數(shù)據(jù) 試驗(yàn)過(guò)程定義過(guò)濾器開始抓包產(chǎn)生TCP數(shù)據(jù)流 使用HTTP服務(wù) 事先需要安裝好HTTP服務(wù)器 停止抓包 進(jìn)行數(shù)據(jù)分析 應(yīng)用層協(xié)議分析 HTTP協(xié)議事先需要安裝好HTTP服務(wù)器 HTTP協(xié)議分析 HTTP是一個(gè)屬于應(yīng)用層的面向?qū)ο蟮膮f(xié)議 由于其簡(jiǎn)捷 快速的方式 適用于分布式超媒體信息系統(tǒng) 它于1990年提出 經(jīng)過(guò)幾年的使用與發(fā)展 得到不斷地