網(wǎng)絡(luò)數(shù)據(jù)捕獲及分析實(shí)驗(yàn)報(bào)告

1、精選優(yōu)質(zhì)文檔-傾情為你奉上廣西民族大學(xué)網(wǎng)絡(luò)數(shù)據(jù)捕獲及分析實(shí)驗(yàn)報(bào)告學(xué)院：信息科學(xué)與工程學(xué)院班級(jí) 10網(wǎng)絡(luò) 姓名 郭璇 學(xué)號(hào) 9 實(shí)驗(yàn)日期 2012年10月19日 指導(dǎo)老師 周衛(wèi) 實(shí)驗(yàn)名稱 網(wǎng)絡(luò)數(shù)據(jù)捕獲及分析實(shí)驗(yàn)報(bào)告 一、實(shí)驗(yàn)?zāi)康?、通過捕獲網(wǎng)絡(luò)通信數(shù)據(jù)，使學(xué)生能夠真實(shí)地觀察到傳輸層（TCP）和應(yīng)用層（HTTP）協(xié)議的數(shù)據(jù)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸有感性的認(rèn)識(shí)。 2、通過對(duì)捕獲的數(shù)據(jù)的分析，鞏固學(xué)生對(duì)這些協(xié)議制定的規(guī)則以及工作的機(jī)制理解，從而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸有初步的認(rèn)識(shí)，以便為之后通信協(xié)議設(shè)計(jì)以及通信軟件設(shè)計(jì)打下良好的基礎(chǔ)。二、協(xié)議理論TCP：1、Transmission Control Prot

2、ocol 傳輸控制協(xié)議TCP是一種面向連接（連接導(dǎo)向）的、可靠的、基于字節(jié)流的運(yùn)輸層（Transport layer）通信協(xié)議，由IETF的RFC 793說明（specified）。在簡(jiǎn)化的計(jì)算機(jī)網(wǎng)絡(luò)OSI模型中，它完成第四層傳輸層所指定的功能，UDP是同一層內(nèi)另一個(gè)重要的傳輸協(xié)議。2、TCP所提供服務(wù)的主要特點(diǎn)：（1）面向連接的傳輸；（2）端到端的通信；（3）高可靠性，確保傳輸數(shù)據(jù)的正確性，不出現(xiàn)丟失或亂序；（4）全雙工方式傳輸；（5）采用字節(jié)流方式，即以字節(jié)為單位傳輸字節(jié)序列；（6）緊急數(shù)據(jù)傳送功能。3、TCP連接的建立與終止TCP連接的建立：TCP協(xié)議通過三個(gè)報(bào)文段完成連接的建

3、立，這個(gè)過程稱為三次握手（three-way handshake），過程如下圖所示。 TCP連接的終止：建立一個(gè)連接需要三次握手，而終止一個(gè)連接要經(jīng)過四次握手，這是由TCP的半關(guān)閉（half-close）造成的。具體過程如下圖所示。4、服務(wù)流程TCP協(xié)議提供的是可靠的、面向連接的傳輸控制協(xié)議，即在傳輸數(shù)據(jù)前要先建立邏輯連接，然后再傳輸數(shù)據(jù)，最后釋放連接3個(gè)過程。TCP提供端到端、全雙工通信；采用字節(jié)流方式，如果字節(jié)流太長(zhǎng)，將其分段；提供緊急數(shù)據(jù)傳送功能。盡管TCP和UDP都使用相同的網(wǎng)絡(luò)層（IP），TCP卻向應(yīng)用層提供與UDP完全不同的服務(wù)。TCP提供一種面向連接的、可靠的字節(jié)流服務(wù)。面向連接

4、意味著兩個(gè)使用TCP的應(yīng)用（通常是一個(gè)客戶和一個(gè)服務(wù)器）在彼此交換數(shù)據(jù)之前必須先建立一個(gè)TCP連接。這一過程與打電話很相似，先撥號(hào)振鈴，等待對(duì)方摘機(jī)說“喂”，然后才說明是誰。在一個(gè)TCP連接中，僅有兩方進(jìn)行彼此通信。廣播和多播不能用于TCP。TCP通過下列方式來提供可靠性：（1）應(yīng)用數(shù)據(jù)被分割成TCP認(rèn)為最適合發(fā)送的數(shù)據(jù)塊。這和UDP完全不同，應(yīng)用程序產(chǎn)生的數(shù)據(jù)報(bào)長(zhǎng)度將保持不變。由TCP傳遞給IP的信息單位稱為報(bào)文段或段（segment）TCP如何確定報(bào)文段的長(zhǎng)度。（2）當(dāng)TCP發(fā)出一個(gè)段后，它啟動(dòng)一個(gè)定時(shí)器，等待目的端確認(rèn)收到這個(gè)報(bào)文段。如果不能及時(shí)收到一個(gè)確認(rèn)，將重發(fā)這個(gè)報(bào)文段。當(dāng)TCP收

5、到發(fā)自TCP連接另一端的數(shù)據(jù)，它將發(fā)送一個(gè)確認(rèn)。這個(gè)確認(rèn)不是立即發(fā)送，通常將推遲幾分之一秒。（3）TCP將保持它首部和數(shù)據(jù)的檢驗(yàn)和。這是一個(gè)端到端的檢驗(yàn)和，目的是檢測(cè)數(shù)據(jù)在傳輸過程中的任何變化。如果收到段的檢驗(yàn)和有差錯(cuò)，TCP將丟棄這個(gè)報(bào)文段和不確認(rèn)收到此報(bào)文段（希望發(fā)端超時(shí)并重發(fā)）。（4）既然TCP報(bào)文段作為IP數(shù)據(jù)報(bào)來傳輸，而IP數(shù)據(jù)報(bào)的到達(dá)可能會(huì)失序，因此TCP報(bào)文段的到達(dá)也可能會(huì)失序。如果必要，TCP將對(duì)收到的數(shù)據(jù)進(jìn)行重新排序，將收到的數(shù)據(jù)以正確的順序交給應(yīng)用層。（5）既然IP數(shù)據(jù)報(bào)會(huì)發(fā)生重復(fù)，TCP的接收端必須丟棄重復(fù)的數(shù)據(jù)。（6）TCP還能提供流量控制。TCP連接的每一方都有固定大

6、小的緩沖空間。TCP的接收端只允許另一端發(fā)送接收端緩沖區(qū)所能接納的數(shù)據(jù)。這將防止較快主機(jī)致使較慢主機(jī)的緩沖區(qū)溢出。兩個(gè)應(yīng)用程序通過TCP連接交換8bit字節(jié)構(gòu)成的字節(jié)流。TCP不在字節(jié)流中插入記錄標(biāo)識(shí)符。我們將這稱為字節(jié)流服務(wù)（bytestreamservice）。如果一方的應(yīng)用程序先傳10字節(jié)，又傳20字節(jié)，再傳50字節(jié)，連接的另一方將無法了解發(fā)方每次發(fā)送了多少字節(jié)。收方可以分4次接收這80個(gè)字節(jié)，每次接收20字節(jié)。一端將字節(jié)流放到TCP連接上，同樣的字節(jié)流將出現(xiàn)在TCP連接的另一端。另外，TCP對(duì)字節(jié)流的內(nèi)容不作任何解釋。TCP不知道傳輸?shù)臄?shù)據(jù)字節(jié)流是二進(jìn)制數(shù)據(jù)，還是ASC字符、EBCDI

7、C字符或者其他類型數(shù)據(jù)。對(duì)字節(jié)流的解釋由TCP連接雙方的應(yīng)用層解釋。這種對(duì)字節(jié)流的處理方式與Unix操作系統(tǒng)對(duì)文件的處理方式很相似。Unix的內(nèi)核對(duì)一個(gè)應(yīng)用讀或?qū)懙膬?nèi)容不作任何解釋，而是交給應(yīng)用程序處理。對(duì)Unix的內(nèi)核來說，它無法區(qū)分一個(gè)二進(jìn)制文件與一個(gè)文本文件。TCP是因特網(wǎng)中的傳輸層協(xié)議，使用三次握手協(xié)議建立連接。當(dāng)主動(dòng)方發(fā)出SYN連接請(qǐng)求后，等待對(duì)方回答SYN，ACK。這種建立連接的方法可以防止產(chǎn)生錯(cuò)誤的連接，TCP使用的流量控制協(xié)議是可變大小的滑動(dòng)窗口協(xié)議。第一次握手：建立連接時(shí)，客戶端發(fā)送SYN包（SEQ=x）到服務(wù)器，并進(jìn)入SYN_SEND狀態(tài)，等待服務(wù)器確認(rèn)。第二次握手：服務(wù)器

8、收到SYN包，必須確認(rèn)客戶的SYN(ACK=x+1），同時(shí)自己也送一個(gè)SYN包（SEQ=y），即SYN+ACK包，此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài)。第三次握手：客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK(ACK=y+1），此包發(fā)送完畢，客戶端和服務(wù)器進(jìn)入Established狀態(tài)，完成三次握手。HTTP：1、超文本傳送協(xié)議 (HTTP-Hypertext transfer protocol) 是分布式，協(xié)作式，超媒體系統(tǒng)應(yīng)用之間的通信協(xié)議。是萬維網(wǎng)（world wide web）交換信息的基礎(chǔ)。它允許將超文本標(biāo)記語言 (HTML) 文檔從 Web 服務(wù)器傳送到 W

9、eb 瀏覽器。HTML 是一種用于創(chuàng)建文檔的標(biāo)記語言，這些文檔包含到相關(guān)信息的鏈接。您可以單擊一個(gè)鏈接來訪問其它文檔、圖像或多媒體對(duì)象，并獲得關(guān)于鏈接項(xiàng)的附加信息。HTTP工作在TCP/IP協(xié)議體系中的TCP協(xié)議上。2、HTTP協(xié)議的主要特點(diǎn)：（1）支持客戶/服務(wù)器模式；（2）簡(jiǎn)單快速：客戶向服務(wù)器請(qǐng)求服務(wù)時(shí)，只需傳送請(qǐng)求方法和路徑。請(qǐng)求方法常用的有GET、HEAD、POST。每種方法規(guī)定了客戶與服務(wù)器聯(lián)系的類型不同。由于HTTP協(xié)議簡(jiǎn)單，使得HTTP服務(wù)器的程序規(guī)模小，因而通信速度很快；（3）靈活：HTTP允許傳輸任意類型的數(shù)據(jù)對(duì)象。正在傳輸?shù)念愋陀蒀ontent-Type加以標(biāo)記

10、；（4）無連接：無連接的含義是限制每次連接只處理一個(gè)請(qǐng)求。服務(wù)器處理完客戶的請(qǐng)求，并收到客戶的應(yīng)答后，即斷開連接。采用這種方式可以節(jié)省傳輸時(shí)間；（5）無狀態(tài)：HTTP協(xié)議是無狀態(tài)協(xié)議。無狀態(tài)是指協(xié)議對(duì)于事務(wù)處理沒有記憶能力。缺少狀態(tài)意味著如果后續(xù)處理需要前面的信息，則它必須重傳，這樣可能導(dǎo)致每次連接傳送的數(shù)據(jù)量增大。3、請(qǐng)求信息發(fā)出的請(qǐng)求信息包括以下幾個(gè)： （1）請(qǐng)求行，例如GET /images/logo.gif HTTP/1.1，表示從/images目錄下請(qǐng)求logo.gif這個(gè)文件。（2）（請(qǐng)求）頭，例如Accept-Language: en（3）空行（4）可選的消息體請(qǐng)求行和標(biāo)題必須以

11、<CR><LF>作為結(jié)尾（也就是，回車然后換行）?？招袃?nèi)必須只有<CR><LF>而無其他空格。在HTTP/1.1協(xié)議中，所有的請(qǐng)求頭，除post外，都是可選的。3、請(qǐng)求方法HTTP/1.1協(xié)議中共定義了八種方法（有時(shí)也叫“動(dòng)作”）來表明Request-URI指定的資源的不同操作方式：OPTIONS 返回服務(wù)器針對(duì)特定資源所支持的HTTP請(qǐng)求方法。也可以利用向Web服務(wù)器發(fā)送'*'的請(qǐng)求來測(cè)試服務(wù)器的功能性。HEAD 向服務(wù)器索要與GET請(qǐng)求相一致的響應(yīng)，只不過響應(yīng)體將不會(huì)被返回。這一方法可以在不必傳輸整個(gè)響應(yīng)內(nèi)

12、容的情況下，就可以獲取包含在響應(yīng)消息頭中的元信息。GET 向特定的資源發(fā)出請(qǐng)求。注意：GET方法不應(yīng)當(dāng)被用于產(chǎn)生“副作用”的操作中，例如在web app.中。其中一個(gè)原因是GET可能會(huì)被網(wǎng)絡(luò)蜘蛛等隨意訪問。POST 向指定資源提交數(shù)據(jù)進(jìn)行處理請(qǐng)求（例如提交表單或者上傳文件）。數(shù)據(jù)被包含在請(qǐng)求體中。POST請(qǐng)求可能會(huì)導(dǎo)致新的資源的建立和/或已有資源的修改。PUT 向指定資源位置上傳其最新內(nèi)容。DELETE 請(qǐng)求服務(wù)器刪除Request-URI所標(biāo)識(shí)的資源。TRACE 回顯服務(wù)器收到的請(qǐng)求，主要用于測(cè)試或診斷。CONNECT HTTP/1

13、.1協(xié)議中預(yù)留給能夠?qū)⑦B接改為管道方式的代理服務(wù)器。方法名稱是區(qū)分大小寫的。當(dāng)某個(gè)請(qǐng)求所針對(duì)的資源不支持對(duì)應(yīng)的請(qǐng)求方法的時(shí)候，服務(wù)器應(yīng)當(dāng)返回狀態(tài)碼405（Method Not Allowed）；當(dāng)服務(wù)器不認(rèn)識(shí)或者不支持對(duì)應(yīng)的請(qǐng)求方法的時(shí)候，應(yīng)當(dāng)返回狀態(tài)碼501（Not Implemented）。HTTP服務(wù)器至少應(yīng)該實(shí)現(xiàn)GET和HEAD方法，其他方法都是可選的。當(dāng)然，所有的方法支持的實(shí)現(xiàn)都應(yīng)當(dāng)符合下述的方法各自的語義定義。此外，除了上述方法，特定的HTTP服務(wù)器還能夠擴(kuò)展自定義的方法。三、實(shí)驗(yàn)步驟1、捕獲數(shù)據(jù)包前的準(zhǔn)備工作：在默認(rèn)情況下，sniffer將捕獲其接入碰撞域中流經(jīng)的所有數(shù)據(jù)包，但在

14、某些場(chǎng)景下，有些數(shù)據(jù)包可能不是我們所需要的，為了快速定位網(wǎng)絡(luò)問題所在，有必要對(duì)所要捕獲的數(shù)據(jù)包作過濾。Sniffer提供了捕獲數(shù)據(jù)包前的過濾規(guī)則的定義，過濾規(guī)則包括2、3層地址的定義和幾百種協(xié)議的定義。定義過濾規(guī)則的做法一般如下：（1）在主界面選擇CaptureDefine filter選項(xiàng)。 （2）Define filterAddress，這是最常用的定義。其中包括MAC地址、IP地址和IPX地址的定義。（3）Define filterAdvanced，定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包。比如，想捕獲DNS、HTTP的數(shù)據(jù)包，那么說首先打開TCP選項(xiàng)卡，再進(jìn)一步選協(xié)議；還要明確DNS的數(shù)據(jù)包有些

15、是屬于UDP協(xié)議，故需在UDP選項(xiàng)卡做類似TCP選項(xiàng)卡的工作，否則捕獲的數(shù)據(jù)包將不全。 如果不選任何協(xié)議，則捕獲所有協(xié)議的數(shù)據(jù)包。（4）AdvancedProfilesNew，新建一個(gè)Capture。（4）最后，需將定義的過濾規(guī)則應(yīng)用于捕獲中，點(diǎn)選CaptureSelect Filter中選取定義的捕獲規(guī)則。2、網(wǎng)絡(luò)操作和捕獲數(shù)據(jù)包：（1）打開瀏覽器，清除記錄。在地址欄中輸入要訪問網(wǎng)站的地址，但未訪問。（2）選擇CaptureStart,啟動(dòng)捕獲引擎。 sniffer可以實(shí)時(shí)監(jiān)控主機(jī)、協(xié)議、應(yīng)用程序、不同包類型等的分布情況。（3）訪問網(wǎng)站。（4）停止sniffer捕獲包，點(diǎn)選CaptureSt

16、op或者CaptureStop and Display,前者停止捕獲包，后者停止捕獲包并把捕獲的數(shù)據(jù)包進(jìn)行解碼和顯示。3、使用Display filter過濾數(shù)據(jù)：（1） 打開瀏覽器，清除記錄。在地址欄中輸入要訪問網(wǎng)站的地址，但未訪問。（2） 選擇CaptureStart,啟動(dòng)捕獲引擎。 sniffer可以實(shí)時(shí)監(jiān)控主機(jī)、協(xié)議、應(yīng)用程序、不同包類型等的分布情況。（3）訪問網(wǎng)站。（4）停止sniffer捕獲包，點(diǎn)選CaptureStop或者CaptureStop and Display,前者停止捕獲包，后者停止捕獲包并把捕獲的數(shù)據(jù)包進(jìn)行解碼和顯示。（5）在主界面選擇DisplayDefine fi

17、lter選項(xiàng)。 （6）Define filterAddress，這是最常用的定義。其中包括MAC地址、IP地址和IPX地址的定義。（7）Define filterAdvanced，定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包。比如，想捕獲DNS、HTTP的數(shù)據(jù)包，那么說首先打開TCP選項(xiàng)卡，再進(jìn)一步選協(xié)議；還要明確DNS的數(shù)據(jù)包有些是屬于UDP協(xié)議，故需在UDP選項(xiàng)卡做類似TCP選項(xiàng)卡的工作，否則捕獲的數(shù)據(jù)包將不全。 如果不選任何協(xié)議，則捕獲所有協(xié)議的數(shù)據(jù)包。（8）AdvancedProfilesNew，新建一個(gè)Capture。（9）最后，需將定義的過濾規(guī)則應(yīng)用于捕獲中，點(diǎn)選DisplaySelect Fi

18、lter中選取定義的捕獲規(guī)則。四、實(shí)驗(yàn)數(shù)據(jù)與分析1、TCP連接三次握手建立在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務(wù)，采用三次握手建立一個(gè)連接。位碼即TCP標(biāo)志位,有6種標(biāo)示:SYN(synchronous建立聯(lián)機(jī)) ACK(acknowledgement 確認(rèn)) PSH(push傳送) FIN(finish結(jié)束) RST(reset重置) URG(urgent緊急) Sequence number(順序號(hào)碼) Acknowledge number(確認(rèn)號(hào)碼)第一次握手：客戶端8發(fā)送位碼為SYN1,隨機(jī)產(chǎn)生SEQ=的數(shù)據(jù)包到服務(wù)器5，服

19、務(wù)器由SYN=1知道，客戶端要求建立聯(lián)機(jī)；第二次握手：服務(wù)器5收到請(qǐng)求后要確認(rèn)聯(lián)機(jī)信息，向8發(fā)送ACK=SEQ+1=，隨機(jī)產(chǎn)生SEQ=的包； 第三次握手：客戶端8收到后檢查ACK是否正確，客戶端8會(huì)再發(fā)送ACK=(服務(wù)器5的SEQ+1)，服務(wù)器5收到后確認(rèn)SEQ值連接建立成功。完成三次握手，客戶端與服務(wù)器開始傳送數(shù)據(jù)。2、HTTP請(qǐng)求報(bào)文：客戶端8向服務(wù)器5發(fā)出的HTTP請(qǐng)求報(bào)文。HTTP報(bào)文的長(zhǎng)

20、度為L(zhǎng)EN=397字節(jié)。GET / HTTP/1.1： 客戶端使用HTTP/1.1的版本，請(qǐng)求方法是GET，獲取的資源URL是相對(duì)路徑下的默認(rèn)文檔。Accept: 指定客戶端接收所有類型的消息，此報(bào)文接受了若干圖片、flash等消息。Accept-Language: zh-cn，表示客戶端所使用的瀏覽器支持的語言簡(jiǎn)體中文。Accept-Encoding: gzip.deflate, 表示瀏覽器支持的壓縮編碼是 gzip 和 deflate。User-Agent: Mozilla/4.0，表示客戶端使用的用戶代理是 Mozilla/4.0。 Host: ，表示請(qǐng)求服務(wù)器的域名。Connection: Keep-Alive ，表示客戶端與服務(wù)連接類型是持久連接。3、確認(rèn)HTTP請(qǐng)求報(bào)文服務(wù)器5對(duì)客戶端8的HTTP請(qǐng)求報(bào)文的ACK確認(rèn)。服務(wù)器響應(yīng)客戶端的HTTP請(qǐng)求報(bào)文之后，便向客戶端發(fā)一個(gè)TCP報(bào)文段。其中ACK=+397。表示服務(wù)器已正確接收到客戶端的請(qǐng)求報(bào)文。4、服務(wù)器5給客戶端192.16