網(wǎng)絡(luò)工程實驗7 網(wǎng)絡(luò)協(xié)議分析實例.ppt

Ethereal協(xié)議分析實例 ARP協(xié)議分析 ARP協(xié)議ARP協(xié)議是 AddressResolutionProtocol 的縮寫 在局域網(wǎng)中 網(wǎng)絡(luò)中實際傳輸?shù)氖菐?幀里面是有目標(biāo)主機的MAC地址的 在以太網(wǎng)中 一個主機要和另一個主機進行直接通信 必須要知道目標(biāo)主機的MAC地址 所謂 地址解析 就是主機在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程 ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址 查詢目標(biāo)設(shè)備的MAC地址 以保證通信的順利進行 影響試驗的因素 ARP緩存在每臺安裝有TCP IP協(xié)議的電腦里都有一個ARP緩存表 表里的IP地址與MAC地址一一對應(yīng) 查看arp緩存 arp a清除arp緩存 arp d 試驗過程定義過濾器清除arp緩存開始抓包利用ping命令 迫使主機發(fā)出arp請求 停止抓包 進行數(shù)據(jù)分析 IP協(xié)議分析 IP是TCP IP協(xié)議集的核心之一 它提供了無連接的數(shù)據(jù)包傳輸和互聯(lián)網(wǎng)的路由服務(wù) IP的基本任務(wù)是通過互聯(lián)網(wǎng)傳輸數(shù)據(jù)包 每個IP數(shù)據(jù)包是獨立傳輸?shù)?主機上的IP層基于數(shù)據(jù)鏈路層向傳輸層提供傳輸服務(wù) IP從源傳輸層實體獲得數(shù)據(jù) 再通過物理網(wǎng)絡(luò)傳送到目的機器的IP層 試驗過程定義過濾器開始抓包停止抓包 數(shù)據(jù)分析 ICMP協(xié)議分析 ICMP是 InternetControlMessageProtocol Internet控制消息協(xié)議 的縮寫 它是TCP IP協(xié)議族的一個子協(xié)議 用于在IP主機 路由器之間傳遞控制消息 控制消息是指網(wǎng)絡(luò)通不通 主機是否可達 路由是否可用等網(wǎng)絡(luò)本身的消息 這些控制消息雖然并不傳輸用戶數(shù)據(jù) 但是對于用戶數(shù)據(jù)的傳遞起著重要的作用 ICMP協(xié)議是IP協(xié)議的一部分 ICMP報文必須要包含在IP協(xié)議數(shù)據(jù)包中發(fā)送出去 比如我們經(jīng)常使用的用于檢查網(wǎng)絡(luò)通不通的Ping命令 這個 Ping 的過程實際上就是ICMP協(xié)議工作的過程 還有其他的網(wǎng)絡(luò)命令如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的 ICMP協(xié)議 Ping命令分析 Ping原理PING是最常用的網(wǎng)絡(luò)命令 用來判斷目標(biāo)是否活動 實際上Ping是向目標(biāo)發(fā)送一個要求回顯 ICMPECHO Type 8 的ICMP數(shù)據(jù)報 當(dāng)主機得到請求后 再返回一個回顯 ICMP ECHOReply Type 0 的ICMP報文 如果 ICMPtype0 數(shù)據(jù)包被發(fā)送方接受到 說明主機是存活狀態(tài) 試驗過程定義過濾器開始抓包使用Ping命令停止抓包 進行數(shù)據(jù)分析 在命令行中輸入如下命令 ping192 9 200 254 該命令會從主機192 9 200 62向192 9 200 254發(fā)送四個ICMP的請求回顯類型的報文 效果如下 思考題 查找Tracert命令的實現(xiàn)原理 并設(shè)計相關(guān)實驗進行驗證 TCP協(xié)議分析 TCP協(xié)議是傳輸控制協(xié)議 TransportControlProtocol 的簡稱 是一種端對端 面向連接的 可靠的傳輸層協(xié)議 位于OSI參考模型的第四層 傳輸層 該協(xié)議在IP層之上 提供可靠的虛電路服務(wù)和面向數(shù)據(jù)包的傳輸服務(wù) 用戶數(shù)據(jù)可以被有序而可靠的傳輸 在IP分組發(fā)生丟失 破壞 重復(fù) 延遲或者失序的情況下 TCP服務(wù)通過一種可靠的進程間通信機制能夠自動糾正各種錯誤 三次握手機制 TCP端口TCP提供一種叫做 端口 的用戶接口 通過TCP端口和IP地址的配合使用 可以提供到達終端的通訊手段 實際上 在任一時刻的互聯(lián)網(wǎng)絡(luò)連接可以由4個數(shù)字進行描述 來源IP地址和來源端口 目的IP地址和目的端口 位于不同系統(tǒng)平臺 用來提供服務(wù)的一端通過標(biāo)準(zhǔn)的端口提供相應(yīng)服務(wù) 舉例來說 標(biāo)準(zhǔn)的TELNET守護進程 telnetdaemon 通過監(jiān)聽TCP23端口 準(zhǔn)備接收用戶端的連接請求 TCP標(biāo)志 1 SYN 同步標(biāo)志同步序列編號 SynchronizeSequenceNumbers 欄有效 該標(biāo)志僅在三次握手建立TCP連接時有效 它提示TCP連接的服務(wù)端檢查序列編號 該序列編號為TCP連接初始端 一般是客戶端 的初始序列編號 ACK 確認(rèn)標(biāo)志確認(rèn)編號 AcknowledgementNumber 欄有效 大多數(shù)情況下該標(biāo)志位是置位的 TCP報頭內(nèi)的確認(rèn)編號欄內(nèi)包含的確認(rèn)編號 w 1 Figure 1 為下一個預(yù)期的序列編號 同時提示遠端系統(tǒng)已經(jīng)成功接收所有數(shù)據(jù) RST 復(fù)位標(biāo)志復(fù)位標(biāo)志有效 用于復(fù)位相應(yīng)的TCP連接 TCP標(biāo)志 2 URG 緊急標(biāo)志緊急 Theurgentpointer 標(biāo)志有效 PSH 推標(biāo)志該標(biāo)志置位時 接收端不將該數(shù)據(jù)進行隊列處理 而是盡可能快將數(shù)據(jù)轉(zhuǎn)由應(yīng)用處理 在處理telnet或rlogin等交互模式的連接時 該標(biāo)志總是置位的 FIN 結(jié)束標(biāo)志帶有該標(biāo)志置位的數(shù)據(jù)包用來結(jié)束一個TCP回話 但對應(yīng)端口仍處于開放狀態(tài) 準(zhǔn)備接收后續(xù)數(shù)據(jù) 試驗過程定義過濾器開始抓包產(chǎn)生TCP數(shù)據(jù)流 使用HTTP服務(wù) 事先需要安裝好HTTP服務(wù)器 停止抓包 進行數(shù)據(jù)分析 應(yīng)用層協(xié)議分析 HTTP協(xié)議事先需要安裝好HTTP服務(wù)器 HTTP協(xié)議分析 HTTP是一個屬于應(yīng)用層的面向?qū)ο蟮膮f(xié)議 由于其簡捷 快速的方式 適用于分布式超媒體信息系統(tǒng) 它于1990年提出 經(jīng)過幾年的使用與發(fā)展 得到不斷地