應(yīng)用及傳輸層協(xié)議報(bào)文承載信息分析

1、實(shí)驗(yàn)三 應(yīng)用層、傳輸層協(xié)議報(bào)文承載信息分析【實(shí)驗(yàn)?zāi)康摹渴煜f(xié)議分析工具軟件使用，分析應(yīng)用層及傳輸層報(bào)文承載的信息【實(shí)驗(yàn)要求】1、協(xié)議分析工具軟件的使用，比如WireShark；2、對(duì)SNMP及HTTP數(shù)據(jù)包進(jìn)行分析，并驗(yàn)證兩個(gè)高層協(xié)議的編碼方法；3、對(duì)基于HTTP協(xié)議的登錄驗(yàn)證報(bào)文進(jìn)行截取分析，提取并識(shí)別用戶名密碼；在分析利用瀏覽器進(jìn)行登錄驗(yàn)證的基礎(chǔ)上，手動(dòng)模擬基于HTTP協(xié)議的Web程序驗(yàn)證登陸過程；4、截取基于UDP包，分析UDP協(xié)議信息（可如截獲即時(shí)通訊QQ的數(shù)據(jù)報(bào)）；5、對(duì)依賴Telnet應(yīng)用程序建立的TCP連接中的TCP報(bào)文數(shù)據(jù)特點(diǎn)進(jìn)行分析；（選作）6、對(duì)大量的數(shù)據(jù)上傳（比如基于HT

2、TP或FTP的較大文件的上傳）,通過協(xié)議分析觀察是否有擁塞控制的表征。（選作）【實(shí)驗(yàn)報(bào)告要求】1. 實(shí)驗(yàn)報(bào)告須按實(shí)驗(yàn)成果提交2. 實(shí)驗(yàn)名稱按本指導(dǎo)書給出的實(shí)驗(yàn)名稱填寫3. 實(shí)驗(yàn)報(bào)告寫明實(shí)驗(yàn)日期、班級(jí)、姓名、學(xué)號(hào)4對(duì)SNMP及HTTP數(shù)據(jù)包進(jìn)行分析，陳述兩個(gè)高層協(xié)議的編碼方法的不同，并把截圖寫入報(bào)告。5對(duì)截獲即時(shí)通訊QQ的數(shù)據(jù)報(bào)依據(jù)UDP報(bào)頭進(jìn)行分析，并把截圖寫入報(bào)告?！緦?shí)驗(yàn)原理】Ethereal協(xié)議分析系統(tǒng)介紹   Ethereal是一個(gè)開放源碼的網(wǎng)絡(luò)分析系統(tǒng)，也是是目前最好的開放源碼的網(wǎng)絡(luò)協(xié)議分析器，支持Linux和windows平臺(tái)。Ethereal起初由Ge

3、rald Combs開發(fā)，隨后由一個(gè)松散的Etheral團(tuán)隊(duì)組織進(jìn)行維護(hù)開發(fā)。它目前所提供的強(qiáng)大的協(xié)議分析功能完全可以媲美商業(yè)的網(wǎng)絡(luò)分析系統(tǒng)，自從1998年發(fā)布最早的0.2版本至今，大量的志愿者為Ethereal添加新的協(xié)議解析器，如今Ethereal已經(jīng)支持五百多種協(xié)議解析。很難想象如此多的人開發(fā)的代碼可以很好的融入系統(tǒng)中；并且在系統(tǒng)中加入一個(gè)新的協(xié)議解析器很簡(jiǎn)單，一個(gè)不了解系統(tǒng)的結(jié)構(gòu)的新手也可以根據(jù)留出的接口進(jìn)行自己的協(xié)議開發(fā)。這都?xì)w功于Ehereal良好的設(shè)計(jì)結(jié)構(gòu)。事實(shí)上由于網(wǎng)絡(luò)上各種協(xié)議種類繁多，各種新的協(xié)議層出不窮。一個(gè)好的協(xié)議分析器必需有很好的可擴(kuò)展性和結(jié)構(gòu)。這樣才能適應(yīng)網(wǎng)絡(luò)發(fā)展的

4、需要不斷加入新的協(xié)議解析器。1 Ethereal的捕包平臺(tái)網(wǎng)絡(luò)分析系統(tǒng)首先依賴于一套捕捉網(wǎng)絡(luò)數(shù)據(jù)包的函數(shù)庫(kù)。這套函數(shù)庫(kù)工作在在網(wǎng)絡(luò)分析系統(tǒng)模塊的最底層。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過濾規(guī)則取出數(shù)據(jù)包的子集，再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說，這套函數(shù)庫(kù)將一個(gè)數(shù)據(jù)包從鏈路層接收，至少將其還原至傳輸層以上，以供上層分析。在Linux系統(tǒng)中， 1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包過濾器的一種的實(shí)現(xiàn)，BPF（BSD Packet Filter）。Libpcap是一個(gè)基于BPF的開放源碼的捕包函數(shù)庫(kù)。現(xiàn)有的大部分Linux捕

5、包系統(tǒng)都是基于這套函數(shù)庫(kù)或者是在它基礎(chǔ)上做一些針對(duì)性的改進(jìn)在window系統(tǒng)中，意大利人Fulvio Risso和Loris Degioanni提出并實(shí)現(xiàn)了Winpcap函數(shù)庫(kù)，作者稱之為NPF。由于NPF的主要思想就是來源于BPF，它的設(shè)計(jì)目標(biāo)就是為windows系統(tǒng)提供一個(gè)功能強(qiáng)大的開發(fā)式數(shù)據(jù)包捕獲平臺(tái)，希望在Linux系統(tǒng)中的網(wǎng)絡(luò)分析工具經(jīng)過簡(jiǎn)單編譯以后也可以移植到windows中，因此這兩種捕包架構(gòu)是非?，F(xiàn)實(shí)的。就實(shí)現(xiàn)來說提供的函數(shù)調(diào)用接口也是一致的。Ethereal網(wǎng)絡(luò)分析系統(tǒng)也需要一個(gè)底層的抓包平臺(tái)，在Linux中是采用Libpcap函數(shù)庫(kù)抓包，在windows系統(tǒng)中采用winpc

6、ap函數(shù)庫(kù)抓包2層次化的數(shù)據(jù)包協(xié)議分析方法取得捕包函數(shù)捕回的數(shù)據(jù)包后就需要進(jìn)行協(xié)議分析和協(xié)議還原工作了。由于OSI的7層協(xié)議模型，協(xié)議數(shù)據(jù)是從上到下封裝后發(fā)送的。對(duì)于協(xié)議分析需要從下至上進(jìn)行。首先對(duì)網(wǎng)絡(luò)層的協(xié)議識(shí)別后進(jìn)行組包還原然后脫去網(wǎng)絡(luò)層協(xié)議頭。將里面的數(shù)據(jù)交給傳輸層分析，這樣一直進(jìn)行下去直到應(yīng)用層    Ip    |   Tcp udp  |   HTTP   TFTP由于網(wǎng)絡(luò)協(xié)議種類很多，就Ethereal所識(shí)別的500多種協(xié)議來說，為了使協(xié)議和協(xié)議間層次關(guān)系明顯。從而對(duì)數(shù)據(jù)流里的各個(gè)層次的協(xié)議能夠逐層處

7、理。Ethereal系統(tǒng)采用了協(xié)議樹的方式。上圖就是一個(gè)簡(jiǎn)單的協(xié)議樹。如果協(xié)議A的所有數(shù)據(jù)都是封裝在協(xié)議B里的，那么這個(gè)協(xié)議A就是協(xié)議B是另外一個(gè)協(xié)議的兒子節(jié)點(diǎn)。我們將最低層的無結(jié)構(gòu)數(shù)據(jù)流作為根接點(diǎn)。那么具有相同父節(jié)點(diǎn)的協(xié)議成為兄弟節(jié)點(diǎn)。那么這些擁有同樣父協(xié)議兄弟節(jié)點(diǎn)協(xié)議如何互相區(qū)分了？Ethereal系統(tǒng)采用協(xié)議的特征字來識(shí)別。每個(gè)協(xié)議會(huì)注冊(cè)自己的特征字。這些特征字給自己的子節(jié)點(diǎn)協(xié)議提供可以互相區(qū)分開來的標(biāo)識(shí)。比如tcp協(xié)議的port字段注冊(cè)后。 Tcp.port=21就可以認(rèn)為是ftp協(xié)議， 特征字可以是協(xié)議規(guī)范定義的任何一個(gè)字段。比如ip協(xié)議就可以定義proto字段為一個(gè)特征字。在Eth

8、ereal中注冊(cè)一個(gè)協(xié)議解析器首先要指出它的父協(xié)議是什么。另外還要指出自己區(qū)別于父節(jié)點(diǎn)下的兄弟接點(diǎn)協(xié)議的特征。比如ftp協(xié)議。在Ethereal中他的父接點(diǎn)是tcp協(xié)議，它的特征就是tcp協(xié)議的port字段為21。這樣當(dāng)一個(gè)端口為21的tcp數(shù)據(jù)流來到時(shí)。首先由tcp協(xié)議注冊(cè)的解析模塊處理，處理完之后通過查找協(xié)議樹找到自己協(xié)議下面的子協(xié)議，判斷應(yīng)該由那個(gè)子協(xié)議來執(zhí)行，找到正確的子協(xié)議后，就轉(zhuǎn)交給ftp注冊(cè)的解析模塊處理。這樣由根節(jié)點(diǎn)開始一層層解析下去。由于采用了協(xié)議樹加特征字的設(shè)計(jì)，這個(gè)系統(tǒng)在協(xié)議解析上由了很強(qiáng)的擴(kuò)展性，增加一個(gè)協(xié)議解析器只需要將解析函數(shù)掛到協(xié)議樹的相應(yīng)節(jié)點(diǎn)上即可。 

9、 3 基于插件技術(shù)的協(xié)議分析器 所謂插件技術(shù)，就是在程序的設(shè)計(jì)開發(fā)過程中，把整個(gè)應(yīng)用程序分成宿主程序和插件兩個(gè)部分，宿主程序與插件能夠相互通信，并且，在宿主程序不變的情況下，可以通過增減插件或修改插件來調(diào)整應(yīng)用程序的功能。運(yùn)用插件技術(shù)可以開發(fā)出伸縮性良好、便于維護(hù)的應(yīng)用程序。它著名的應(yīng)用實(shí)例有：媒體播放器winamp、微軟的網(wǎng)絡(luò)瀏覽器ie等。由于現(xiàn)在網(wǎng)絡(luò)協(xié)議種類繁多，為了可以隨時(shí)增加新的協(xié)議分析器，一般的協(xié)議分析器都采用插件技術(shù)，這樣如果需要對(duì)一個(gè)新的協(xié)議分析只需要開發(fā)編寫這個(gè)協(xié)議分析器并調(diào)用注冊(cè)函數(shù)在系統(tǒng)注冊(cè)就可以使用了。通過增加插件使程序有很強(qiáng)的可擴(kuò)展性，各個(gè)功能模塊內(nèi)聚。在協(xié)議

10、分析器中新增加一個(gè)協(xié)議插件一般需要插件安裝或者注冊(cè)，插件初始化，插件處理3個(gè)步驟，下面以Ethereal為例進(jìn)行分析如何利用插件技術(shù)新增加一個(gè)協(xié)議分析模塊。Ethereal由于采用插件技術(shù)，一個(gè)新加入開發(fā)的程序員開發(fā)一種新的協(xié)議分析模塊的時(shí)候不需要了解所有的代碼，他只需要寫好這個(gè)協(xié)議模塊的函數(shù)后，寫一個(gè)格式為proto_reg_handoff_XXX的函數(shù)，在函數(shù)內(nèi)調(diào)用注冊(cè)函數(shù)告訴系統(tǒng)在什么時(shí)候需要調(diào)用這個(gè)協(xié)議模塊。比如你事先寫好了一個(gè)名為dissect_myprot的協(xié)議解析模塊，它是用來解析tcp協(xié)議端口為250的數(shù)據(jù)?？梢岳眠@些語(yǔ)句來將這個(gè)解析器注冊(cè)到系統(tǒng)中proto_reg_hand

11、off_myprot(void)    dissector_handle_t myprot_handle;    myprot_handle = create_dissector_handle(dissect_myprot,      proto_myprot);    dissector_add("tcp.port", 250, myprot_handle);這段代碼告訴系統(tǒng)當(dāng)tcp協(xié)議數(shù)據(jù)流端口為250的時(shí)候要調(diào)用dissect_myprot這個(gè)函數(shù)模塊。在Ethereal中有一個(gè)

12、角本專門來發(fā)現(xiàn)開發(fā)者定義的類式proto_reg_handoff_xxx這樣的注冊(cè)函數(shù)名，然后自動(dòng)生成調(diào)用這些注冊(cè)函數(shù)的代碼。這樣開發(fā)者不需要知道自己的注冊(cè)函數(shù)如何被調(diào)用的。這樣一個(gè)新的協(xié)議分析模塊就加入到系統(tǒng)中了。由于采用了插件方式，Ethereal良好的結(jié)構(gòu)設(shè)計(jì)讓開發(fā)者只需要關(guān)系自己開發(fā)的協(xié)議模塊，不需要關(guān)心整個(gè)系統(tǒng)結(jié)構(gòu)，需要將模塊整合進(jìn)系統(tǒng)只需要寫一個(gè)注冊(cè)函數(shù)即可，連初始化時(shí)調(diào)用這個(gè)注冊(cè)函數(shù)都由腳本自動(dòng)完成了。正是因?yàn)橛泻芎玫捏w系結(jié)構(gòu)，這個(gè)系統(tǒng)才能夠開發(fā)出如此多的協(xié)議解析器盡管Ethereal是目前最好的開放源碼的網(wǎng)絡(luò)分析系統(tǒng)，但Ethereal仍然有一些可以改進(jìn)的地方，一個(gè)優(yōu)秀的網(wǎng)絡(luò)分

13、析器，盡可能的正確分析出數(shù)據(jù)協(xié)議和高效的處理數(shù)據(jù)是兩個(gè)重要的指標(biāo)。在協(xié)議識(shí)別方面Ethereal大多采用端口識(shí)別，有少量協(xié)議采用內(nèi)容識(shí)別。這就讓一些非標(biāo)準(zhǔn)端口的協(xié)議數(shù)據(jù)沒有正確解析出來。比如ftp協(xié)議如果不是21端口的話，Ethereal就無法識(shí)別出來，只能作為tcp數(shù)據(jù)處理。另外對(duì)于內(nèi)容識(shí)別式。Ethereal是將所以內(nèi)容識(shí)別的函數(shù)組成一張入口表。每次協(xié)議數(shù)據(jù)需要內(nèi)容識(shí)別時(shí)，按字母順序逐個(gè)調(diào)用表里的每個(gè)識(shí)別函數(shù)。比如對(duì)于識(shí)別yahoo massanger協(xié)議。主要是看數(shù)據(jù)前幾個(gè)字節(jié)是不是ymsg.由于協(xié)議名為y開頭。所以當(dāng)識(shí)別出協(xié)議時(shí)已經(jīng)把所有內(nèi)容識(shí)別函數(shù)調(diào)用了一遍。這些都是由于Ethere

14、al沒有實(shí)現(xiàn)tcp協(xié)議棧，無法做到流級(jí)別的識(shí)別。導(dǎo)致在協(xié)議識(shí)別方面有點(diǎn)缺陷。Ethereal使用入門ethereal 可以用來從網(wǎng)絡(luò)上抓包，并能對(duì)包進(jìn)行分析。下面介紹windows 下面ethereal 的使用方法安裝1）安裝winpcap，下載地址http:/netgroup-serv.polito.it/winpcap/install/Default.htm 2）安裝ethereal ，下載地址 使用windows 程序，使用很簡(jiǎn)單。啟動(dòng)ethereal 以后，選擇菜單Capature->Start ，就OK 了。當(dāng)你不想抓的時(shí)候，按一下stop， 抓的包就會(huì)顯示在面板中，并且已經(jīng)分

15、析好了。下面是一個(gè)截圖：ethereal使用capture選項(xiàng)nterface: 指定在哪個(gè)接口（網(wǎng)卡）上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以了Limit each packet: 限制每個(gè)包的大小，缺省情況不限制Capture packets in promiscuous mode: 是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。Filter：過濾器。只抓取滿足過濾規(guī)則的包（可暫時(shí)略過） File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。use ring buffer： 是否使用循環(huán)緩沖。缺省情況下不使用，

16、即一直抓包。注意，循環(huán)緩沖只有在寫文件的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時(shí)回卷其他的項(xiàng)選擇缺省的就可以了 ethereal的抓包過濾器 抓包過濾器用來抓取感興趣的包，用在抓包過程中。 抓包過濾器使用的是libcap 過濾器語(yǔ)言，在tcpdump 的手冊(cè)中有詳細(xì)的解釋，基本結(jié)構(gòu)是： not primitive and|or not primitive .個(gè)人觀點(diǎn)，如果你想抓取某些特定的數(shù)據(jù)包時(shí)，可以有以下兩種方法，你可以任選一種， 個(gè)人比較偏好第二種方式： 1、在抓包的時(shí)候，就先定義好抓包過濾器，這樣結(jié)果就是只抓到你設(shè)定好的那些類型的數(shù) 據(jù)包； 2、先不管三七二十一

17、，把本機(jī)收到或者發(fā)出的包一股腦的抓下來，然后使用下節(jié)介紹的顯 示過濾器，只讓Ethereal 顯示那些你想要的那些類型的數(shù)據(jù)包； etheral的顯示過濾器（重點(diǎn)內(nèi)容） 在抓包完成以后，顯示過濾器可以用來找到你感興趣的包，可以根據(jù)1)協(xié)議2)是否存在某個(gè)域3)域值4)域值之間的比較來查找你感興趣的包。舉個(gè)例子，如果你只想查看使用tcp 協(xié)議的包，在ethereal 窗口的左下角的Filter 中輸入tcp， 然后回車，ethereal 就會(huì)只顯示tcp 協(xié)議的包。如下圖所示：值比較表達(dá)式可以使用下面的操作符來構(gòu)造顯示過濾器自然語(yǔ)言類c 表示舉例eq = ip.addr=0 n

18、e != ip.addr!=0 gt > frame.pkt_len>10 lt < frame.pkt_len<10 ge >= frame.pkt_len>=10 le <= frame.pkt_len<=10 表達(dá)式組合可以使用下面的邏輯操作符將表達(dá)式組合起來自然語(yǔ)言類c 表示舉例and && 邏輯與，比如ip.addr=0&&tcp.flag.fin or | 邏輯或，比如ip.addr=0|ip.addr=1 xor 異或，如tr.d

19、st0:3 = 0.6.29 xor tr.src0:3 = not ! 邏輯非，如 !llc 例如：我想抓取IP 地址是0 的主機(jī)，它所接收收或發(fā)送的所有的HTTP 報(bào)文，那么合適的顯示Filter （過濾器）就是：在ethereal 使用協(xié)議插件 ethereal 能夠支持許多協(xié)議，但有些協(xié)議需要安裝插件以后才能解，比如H.323，以H.323 協(xié)議為例，首先下載ethereal 的H.323 插件，下載地址/ 下載完了以后將文件(h323.dll) 解壓到ethereal 安裝目錄的plugin0.9.x 目錄下面，

20、比如我的是0.9.11 ，然后，需要進(jìn)行一下設(shè)置1)啟動(dòng)ethereal 2)菜單Edit->Preference 3)單擊Protocols 前面的"+"號(hào)，展開Protocols 4)找到Q931 ，并單擊5)確保"Desegment. TCP segments" 是選中的（即方框被按下去）6)單擊TCP 7)確保"Allow.TCP streams" 是選中的8)確保沒有選中"Check.TCP checksum" 和"Use.sequence numbers" 9)單擊TPKT 1

21、0)確保"Desegment.TCP segments" 是選中的11)點(diǎn)擊Save，然后點(diǎn)擊Apply ，然后點(diǎn)擊OK 你也完全可以不斷地重新安裝新版本winpcap 和ethreal， 這樣就可以不需在舊的ethreal 的版本中安裝新的插件來支持新的協(xié)議插件。這也是懶人的一種做法Ethereal 抓包、封包內(nèi)容分析、查看明碼我們開始來抓封包了，點(diǎn)選Capture->Options在Interface選項(xiàng)裡，選擇你要抓封包的網(wǎng)卡，我這張圖裡有5張網(wǎng)卡，但我上網(wǎng)的是RTL8139，我就選擇RTL8139選好再按START這是在抓封包的過程，可以觀察得到各協(xié)定所抓到的

22、封包數(shù)量(同時(shí)也可以看看協(xié)定比例對(duì)不對(duì))，你覺得抓得到你想要的封包時(shí)，就可以按STOP了，不過我先不按，因?yàn)檫@一次的教學(xué)我要找出FTP的連線密碼，當(dāng)然要先作ftp連線結(jié)束才再來按stop我打開我的ftp 用戶端，要連線的主機(jī)，帳號(hào)，密碼都打上了，按下我的connect連線YA！連線成功認(rèn)證成功，伺服器回應(yīng)的訊息這就是一般的ftp連線登入認(rèn)證時(shí)所有過程，那到底ftp軟體做了些什麼事情呢??？我們一來看看封包的內(nèi)容吧我們回到這個(gè)畫面，按下stop來停止封包抓取的動(dòng)作按stop后的畫面，這畫面有分三大部份1.最上面的是似照封包的接收順序來排序的，就是左邊的.5.6.7.每一行就是一個(gè)封包2.中間是每單一個(gè)封包的內(nèi)容，大致上有四行，這四行是TCP/IP協(xié)定內(nèi)所定意的四層，最上面是第一層-實(shí)體層和網(wǎng)路介面層(frame)第二層-網(wǎng)路層(包括來源ip和目的地ip，有時(shí)候也有mac address)第三層-協(xié)定的種類(如http,ftp,telnet,pop,smtp.)第四層-應(yīng)用層(包括所傳送的內(nèi)容，帳號(hào)，密碼，或msn的通話內(nèi)容.這一層也是單一封包內(nèi)容最多的)參考圖片：3.最下面的畫面是封包真正的內(nèi)容，也就是01010101010.的，不過是以16進(jìn)位法表示的(看得懂的才有鬼呢.)因?yàn)槲覀兯サ姆獍侵灰薪?jīng)過我們網(wǎng)卡上的封包都會(huì)被抓下來，包括是