實驗12網(wǎng)絡(luò)嗅探與協(xié)議分析

實驗12網(wǎng)絡(luò)嗅探與協(xié)議分析第一頁，共83頁。12.1實驗?zāi)康?2.1.1通過網(wǎng)絡(luò)嗅探了解網(wǎng)絡(luò)數(shù)據(jù)類型，了解網(wǎng)絡(luò)工作原理；12.1.2通過實驗理解并掌握網(wǎng)絡(luò)嗅探工具Wireshark的使用；12.1.3

通過實驗理解并掌握TCP/IP體系結(jié)構(gòu)及其協(xié)議分析方法；12.1.4通過實驗理解并掌握FTP協(xié)議的工作原理；12.1.5通過實驗理解并掌握Telnet協(xié)議的工作原理；2023/4/182第二頁，共83頁。12.1實驗?zāi)康模ɡm(xù)）12.1.6通過實驗理解并掌握HTTP協(xié)議的工作原理；12.1.7通過實驗理解并掌握DNS協(xié)議的工作原理；12.1.8通過實驗理解并掌握ARP協(xié)議的工作原理；12.1.9通過實驗理解并掌握QQ協(xié)議的工作原理12.1.10通過實驗理解并掌握迅雷下載協(xié)議的工作原理；12.1.11通過實驗加深對協(xié)議格式、協(xié)議層次及協(xié)議交互過程的理解。2023/4/183第三頁，共83頁。12.2實驗要求12.2.1預(yù)習實驗原理；12.2.2熟悉實驗設(shè)備；12.2.3熟悉實驗環(huán)境；12.2.4……2023/4/184第四頁，共83頁。12.3實驗原理12.3.1網(wǎng)絡(luò)嗅探基礎(chǔ)概述網(wǎng)絡(luò)嗅探：利用計算機的網(wǎng)絡(luò)接口截獲目的地為其它計算機的數(shù)據(jù)報文；網(wǎng)絡(luò)嗅探器：一種監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)的工具，又稱Sniffer

抓包，它工作在網(wǎng)絡(luò)底層，通過對局域網(wǎng)上傳輸?shù)母鞣N關(guān)鍵信息進行竊聽，從而獲取重要信息；一個信息包嗅探器向我們展示出正在網(wǎng)絡(luò)上進行的活動；2023/4/185第五頁，共83頁。12.3實驗原理（續(xù)）嗅探借助于網(wǎng)絡(luò)接口，在正常的情況下，一個網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)：目的MAC地址為本機硬件地址的數(shù)據(jù)幀、向所有設(shè)備發(fā)送的廣播數(shù)據(jù)幀；網(wǎng)絡(luò)接口使用網(wǎng)卡的接收模式廣播方式：網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息；組播方式：網(wǎng)卡能夠接收組播數(shù)據(jù)；直接方式：只有目的網(wǎng)卡才能接收該數(shù)據(jù)；混雜模式：網(wǎng)卡能夠接收一切通過它的數(shù)據(jù)，而不管該數(shù)據(jù)是否是傳給它的。2023/4/186第六頁，共83頁。12.3實驗原理（續(xù)）嗅探的基本原理：如果在編程時將網(wǎng)卡的工作模式設(shè)置為“混雜模式”，那么網(wǎng)卡將接受所有傳遞給它的數(shù)據(jù)包。2023/4/187第七頁，共83頁。12.3實驗原理（續(xù)）12.3.2協(xié)議分析基礎(chǔ)概述協(xié)議分析：通過程序分析網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議頭和尾，從而了解信息和相關(guān)的數(shù)據(jù)包在產(chǎn)生和傳輸過程中的行為；在典型的網(wǎng)絡(luò)結(jié)構(gòu)中，網(wǎng)絡(luò)協(xié)議和通信采用的是分層式設(shè)計方案，在OSI網(wǎng)絡(luò)結(jié)構(gòu)參考模型中，同層協(xié)議之間能相互進行通信；協(xié)議分析器的主要功能：分析各層協(xié)議頭部和尾部，通過多層協(xié)議頭尾和其相關(guān)信息來識別網(wǎng)絡(luò)通信過程中可能出現(xiàn)的問題的方法，稱之為專家分析。2023/4/188第八頁，共83頁。12.3實驗原理（續(xù)）網(wǎng)絡(luò)體系結(jié)構(gòu)應(yīng)用層傳輸層網(wǎng)際層網(wǎng)絡(luò)接口層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTPTCPIPEthernetTelnetHTTPUDPX.25PPPTCP/IP協(xié)議族TCP/IP模型OSI

參考模型2023/4/189第九頁，共83頁。12.3實驗原理（續(xù)）TCP/IP的主要協(xié)議協(xié)議簇TCP/IP主要協(xié)議主要功能應(yīng)用層Http、Telnet、FTP、E-mail

等負責把數(shù)據(jù)傳輸?shù)絺鬏攲踊蛘呓邮諒膫鬏攲臃祷氐臄?shù)據(jù)；傳輸層TCP、UDPTCP為兩臺主機上的應(yīng)用程序提供高可靠的端到端的數(shù)據(jù)通信，包括把應(yīng)用程序交給它的數(shù)據(jù)分成數(shù)據(jù)塊交給網(wǎng)絡(luò)層、確認接收到的分組等；UDP則為應(yīng)用層提供不可靠的數(shù)據(jù)通信，它只是把數(shù)據(jù)包的分組從一臺主機發(fā)送到另一臺主機，不保證數(shù)據(jù)能到達另一端；網(wǎng)絡(luò)層ICMP、IP、IGMP主要為數(shù)據(jù)包選擇路由，其中IP是TCP/IP協(xié)議族中最為核心的協(xié)議，所有的TCP、UDP、ICMP、IGMP數(shù)據(jù)都以IP數(shù)據(jù)包格式傳輸；鏈路層ARP、RARP和設(shè)備驅(qū)動程序及接口發(fā)送時將IP包作為幀發(fā)送，接收時把收到的位組裝成幀，同時提供鏈路管理、錯誤檢側(cè)等。2023/4/1810第十頁，共83頁。12.3實驗原理（續(xù)）數(shù)據(jù)封裝一臺計算機要發(fā)送數(shù)據(jù)到另一臺計算機，數(shù)據(jù)首先必須打包，打包的過程稱為封裝；封裝就是在數(shù)據(jù)前面加上特定的協(xié)議頭部；數(shù)據(jù)協(xié)議頭數(shù)據(jù)2023/4/1811第十一頁，共83頁。12.3實驗原理（續(xù)）TCP/IP

協(xié)議的封裝TCP頭應(yīng)用層數(shù)據(jù)應(yīng)用層數(shù)據(jù)TCP頭應(yīng)用層數(shù)據(jù)IP頭幀頭TCP頭應(yīng)用層數(shù)據(jù)IP頭幀尾應(yīng)用層傳輸層網(wǎng)際層數(shù)鏈層網(wǎng)卡地址IP地址應(yīng)用地址（80）2023/4/1812第十二頁，共83頁。12.3實驗原理（續(xù)）12.3.3常見協(xié)議原理IP協(xié)議TCP/IP

協(xié)議棧中重要的網(wǎng)際層協(xié)議；向高層提供無連接的服務(wù)；網(wǎng)際層傳輸?shù)臄?shù)據(jù)單元是分組，一般稱為IP數(shù)據(jù)報；主要功能：從源端經(jīng)互連網(wǎng)到目的端盡最大努力傳輸數(shù)據(jù)報。2023/4/1813第十三頁，共83頁。12.3實驗原理（續(xù)）固定部分可變部分04816192431版本標志生存時間協(xié)議標識區(qū)分服務(wù)總長度片偏移填充首部檢驗和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分數(shù)據(jù)部分首部IP數(shù)據(jù)報首部發(fā)送在前IP

數(shù)據(jù)報格式2023/4/1814第十四頁，共83頁。12.3實驗原理（續(xù)）ICMP協(xié)議：InternetControlMessageProtocolIP協(xié)議本身提供無連接的服務(wù)，不包括流量控制與差錯控制功能；檢測網(wǎng)絡(luò)狀態(tài)（路由、擁塞、服務(wù)質(zhì)量等問題）；提供多種形式的報文，每個ICMP消息報文都被封裝于IP分組中；PING是一個典型的基于ICMP協(xié)議的實用程序。2023/4/1815第十五頁，共83頁。12.3實驗原理（續(xù)）ICMP報文格式類型代碼校驗和數(shù)據(jù)區(qū)12 3

4CHECKSUM：整個ICMP報文的校驗和算法與IP分組頭的校驗和算法相同CODE：提供報文類型的詳細信息類型ICMP報文類型ICMP報文0ECHO應(yīng)答11分組超時3目的不可達12分組參數(shù)錯4源抑制13時間戳請求5路由重定向14時間戳應(yīng)答8回應(yīng)請求17地址掩碼請求18地址掩碼應(yīng)答2023/4/1816第十六頁，共83頁。12.3實驗原理（續(xù)）ICMP報文類型差錯報告（網(wǎng)關(guān)→主機信息傳輸）信宿（網(wǎng)絡(luò)、主機、協(xié)議、端口）不可達報告超時報告（TTL=0）參數(shù)差錯報告IP校驗和錯誤重組失敗控制報文（網(wǎng)關(guān)→主機）源抑制報文重定向報文請求|應(yīng)答報文(主機→主機信息傳輸)ECHO請求|應(yīng)答時間戳請求|應(yīng)答地址掩碼請求|應(yīng)答類型碼ICMP報文0ECHO應(yīng)答3目的不可達4源抑制5路由重定向8ECHO請求9路由廣播10路由請求11分組超時12分組參數(shù)錯13時間戳請求14時間戳應(yīng)答15信息請求消息16信息響應(yīng)消息17地址掩碼請求18地址掩碼應(yīng)答2023/4/1817第十七頁，共83頁。12.3實驗原理（續(xù)）ICMP回聲請求|應(yīng)答ABB可以到達嗎？ICMP回聲請求

可以，我在這里。ICMP回聲應(yīng)答用PING命令產(chǎn)生的回聲及其應(yīng)答示意圖2023/4/1818第十八頁，共83頁。12.3實驗原理（續(xù)）ARP協(xié)議地址解析協(xié)議；把IP地址轉(zhuǎn)換成MAC地址。2023/4/1819第十九頁，共83頁。12.3實驗原理（續(xù)）ARP工作過程每個主機都有一個ARP緩存，一旦收到ARP應(yīng)答，

主機就將獲得的IP地址和物理地址存入緩存，發(fā)送報文時，首先到緩存中查找相應(yīng)項，若找不到，再利用ARP進行地址解析；在ARP請求中填上自己的IP地址和硬件地址，以避免其它主機過后再發(fā)ARP請求；2023/4/1820第二十頁，共83頁。12.3實驗原理（續(xù)）當廣播ARP請求時，網(wǎng)上所有的計算機都能收到該報文，此時各站應(yīng)更新A的IP地址到物理地址之間的映射；當網(wǎng)上出現(xiàn)一個新的計算機時，該新的計算機盡可能主動廣播它的IP地址和物理地址，以避免其它站都運行ARP。2023/4/1821第二十一頁，共83頁。12.3實驗原理（續(xù)）ARP

數(shù)據(jù)報格式硬件類型協(xié)議類型硬件地址長度協(xié)議長度操作源站MAC地址（前4字節(jié)）源站MAC地址（后2字節(jié)）源站IP地址（前2字節(jié)）源站IP地址（后2字節(jié)）目的站MAC地址（前2字節(jié)）目的站MAC地址（后4字節(jié)）目的站IP地址2023/4/1822第二十二頁，共83頁。12.3實驗原理（續(xù)）TCP協(xié)議：傳輸控制協(xié)議面向連接；可靠；在源端將上層的數(shù)據(jù)流劃分成段的形式，在目的端將段重新整合成數(shù)據(jù)流；重傳機制；流控制。2023/4/1823第二十三頁，共83頁。12.3實驗原理（續(xù)）TCP首部20字節(jié)的固定首部目的端口數(shù)據(jù)偏移檢驗和選項（長度可變）源端口序號緊急指針窗口確認號保留FIN32位SYNRSTPSHACKURG位08162431填充TCP數(shù)據(jù)部分TCP首部TCP報文段IP首部發(fā)送在前IP數(shù)據(jù)部分TCP數(shù)據(jù)報格式2023/4/1824第二十四頁，共83頁。12.3實驗原理（續(xù)）TCP選項域kind=81Blen=101Btimestampvalue4Btimestampechoreply4Bkind=31Blen=31Bshiftcount1Bkind=21Blen=41BMSS2Bkind=11Bkind=01BendofoptionsNOPnooperationMaximumSegmentSizeWindowScaleFactorTimeStamp2023/4/1825第二十五頁，共83頁。12.3實驗原理（續(xù)）建立TCP連接：通過三次握手建立一個TCP連接，協(xié)商一些參數(shù)（雙方的初始序列號、分段大小等）；客戶機（發(fā)起者）服務(wù)器（提供者）SYN，SeqNum=xSYNandACK，SeqNum=yandAck=x+1ACK，Ack=y+12023/4/1826第二十六頁，共83頁。12.3實驗原理（續(xù)）釋放TCP連接：通過四次握手釋放一個TCP連接?？蛻魴C（發(fā)起者）服務(wù)器（提供者）FINFIN-ACKFINFIN-ACK發(fā)送數(shù)據(jù)Dataack2023/4/1827第二十七頁，共83頁。12.3實驗原理（續(xù)）UDP協(xié)議：用戶數(shù)據(jù)報協(xié)議無連接；不可靠；以用戶數(shù)據(jù)報形式傳送信息，在目標端不需要重組數(shù)據(jù)；不提供確認與流量控制。2023/4/1828第二十八頁，共83頁。12.3實驗原理（續(xù)）UDP數(shù)據(jù)報格式偽首部源端口目的端口長度檢驗和數(shù)據(jù)首部UDP長度源IP地址目的IP地址017IP數(shù)據(jù)報字節(jié)44112122222字節(jié)發(fā)送在前數(shù)據(jù)首部UDP用戶數(shù)據(jù)報2023/4/1829第二十九頁，共83頁。12.3實驗原理（續(xù)）DNS協(xié)議：域名解析協(xié)議，提供域名到主機IP地址的映射；域名服務(wù)的三大要素域（Domain）和域名（Domainname）：域指由地理位置或業(yè)務(wù)類型而聯(lián)系在一起的一組計算機構(gòu)成；主機：由域名來標識，域名是由字符和（或）數(shù)字組成的名稱，用于替代主機的數(shù)字化地址（IP地址）；域名服務(wù)器：提供域名解析服務(wù)的主機，通常由其IP地址標識。2023/4/1830第三十頁，共83頁。12.3實驗原理（續(xù)）域名解析過程2023/4/1831第三十一頁，共83頁。12.3實驗原理（續(xù)）DNS報文格式報文首部標識：16bit#用于查詢，應(yīng)答報文使用同樣的#標志查詢或應(yīng)答；希望遞歸；可以遞歸；授權(quán)應(yīng)答。標識標志問題數(shù)資源記錄數(shù)授權(quán)資源記錄數(shù)額外資源記錄數(shù)查詢問題回答（資源數(shù)可變）授權(quán)（資源數(shù)可變）額外信息（資源數(shù)可變）2023/4/1832第三十二頁，共83頁。12.3實驗原理（續(xù)）DNS消息格式頭部（Header）：包含關(guān)于消息性質(zhì)方面的信息；查詢問題（Question）：包含目的服務(wù)器請求訪問的信息；回答（Answer）：包含用于提供Question部分所要求的信息的資源記錄；授權(quán)（Authority）：包含指向Question部分所要求信息的權(quán)威服務(wù)器資源記錄；額外信息（Additional）：包含用于回答Question部分的其他信息。2023/4/1833第三十三頁，共83頁。12.3實驗原理（續(xù)）頭部選項功能TransactionID它包含將查詢與應(yīng)答關(guān)聯(lián)起來時使用的標識符值QR用于設(shè)定消息是個查詢消息還是應(yīng)答消息OPCODE用于設(shè)定生成的消息查詢類型AA應(yīng)答消息由作為請求訪問查詢名字所在域權(quán)威服務(wù)器應(yīng)答TC用于表示消息已經(jīng)被截尾RD在查詢中，表示目的服務(wù)器應(yīng)該將該消息視為遞歸查詢。如果沒有該標志，則表示該查詢是個迭代查詢。RA用于設(shè)定服務(wù)器是否被配置成能夠處理遞歸查詢Z未用RCODE用于設(shè)定應(yīng)答消息性質(zhì)，表示何時出現(xiàn)了錯誤和錯誤的類型QDCOUNT用于設(shè)定消息的Question部分中的項目的數(shù)量ANCOUNT用于設(shè)定消息的Answer部分中的項目的數(shù)量NSCOUNT用于設(shè)定消息的Authority部分中的項目的數(shù)量ARCOUNT用于設(shè)定消息的Additional部分中的項目的數(shù)量2023/4/1834第三十四頁，共83頁。12.3實驗原理（續(xù)）說明：每個DNS消息都有一個Header部分，只有當DNS消息包含數(shù)據(jù)時，DNS消息才包含其他4個部分。2023/4/1835第三十五頁，共83頁。12.3實驗原理（續(xù)）查詢問題部分選項功能QNAME它包含請求訪問的信息所涉及的DNS名字、域名或區(qū)域名字QTYPE用于設(shè)定要求訪問的資源記錄的類型QCLASS用于設(shè)定要求訪問的資源記錄的種類DNS

消息的Question部分包含首標的QDCOUNT字段中設(shè)定的項目的數(shù)量；大多數(shù)情況下，該部分中只有一個選項。2023/4/1836第三十六頁，共83頁。12.3實驗原理（續(xù)）回答授權(quán)部分選項功能NAME包含提供的信息所涉及的DNS名字、域名或區(qū)域的名字TYPE包含一個代碼，用于設(shè)定項目包含的資源記錄的類型CLASS包含一個代碼，用于設(shè)定資源記錄的種類TTL用于設(shè)定提供的資源記錄應(yīng)該在服務(wù)器緩存中存放的時間RDLENGTH用于設(shè)定RDATA字段的長RDATA用于設(shè)定資源記錄的數(shù)據(jù)，數(shù)據(jù)的性質(zhì)取決于TYPE和CLASS字段值2023/4/1837第三十七頁，共83頁。12.3實驗原理（續(xù)）HTTP協(xié)議：基于客戶|服務(wù)器模式；客戶機的操作GET：檢索URL(用得最多)；HEAD：只檢索響應(yīng)頭；POST：向服務(wù)器發(fā)送數(shù)據(jù)；PUT：putspageonserver（在服務(wù)器上放頁面）；DELETE：從服務(wù)器上刪除頁面。HTTP消息請求；響應(yīng)。2023/4/1838第三十八頁，共83頁。12.3實驗原理（續(xù)）方法(大寫)說明GET請求獲取Request-URI所標識的資源；它是目前網(wǎng)上最常用的方法。POST在Request-URI所標識的資源后附加新的數(shù)據(jù)；POST請求可以導致新資源的產(chǎn)生和已有資源的更新。HEAD請求獲取由Request-URI所標識的資源的響應(yīng)消息報頭；要求響應(yīng)與相應(yīng)的GET請求的響應(yīng)一樣，但是沒有響應(yīng)體（responsebody）。這用來獲得響應(yīng)頭（responseheader）中的元數(shù)據(jù)信息（meta-information）有幫助，因為它不需要傳輸所有的內(nèi)容。PUT請求服務(wù)器存儲一個資源，并用Request-URI作為其標識。DELETE請求服務(wù)器刪除Request-URI所標識的資源。TRACE請求服務(wù)器回送收到的請求信息，主要用于測試或診斷；客戶端可以（通過此方法）察看在請求過程中中間服務(wù)器添加或者改變哪些內(nèi)容。CONNECT將請求的連接轉(zhuǎn)換成透明的TCP/IP通道，通常用來簡化通過非加密的HTTP代理的SSL-加密通訊（HTTPS）。OPTIONS請求查詢服務(wù)器的性能，或者查詢與資源相關(guān)的選項和需求。2023/4/1839第三十九頁，共83頁。12.3實驗原理（續(xù)）HTTP操作客戶機發(fā)送請求GETHTTP/1.0服務(wù)器發(fā)送響應(yīng)HTTP-Version:HTTP/1.0200OKContent-Length:3012Content-Type:text/html<body>2023/4/1840第四十頁，共83頁。12.3實驗原理（續(xù)）HTTP請求報文格式方法SPRequest-URISP短語首部字段名值……首部字段名值請求正文crlfcrlf消息報頭請求行HTTP請求報文結(jié)構(gòu)Crlf：cr表示回車，lf表示換行2023/4/1841第四十一頁，共83頁。12.3實驗原理（續(xù)）HTTP響應(yīng)報文格式方法SP狀態(tài)碼SP版本首部字段名值……首部字段名值響應(yīng)正文crlfcrlf消息報頭請求行HTTP響應(yīng)報文結(jié)構(gòu)Crlf：cr表示回車，lf表示換行2023/4/1842第四十二頁，共83頁。12.3實驗原理（續(xù)）HTTP請求消息格式Http請求報文：ASCII（可讀格式）GET/somedir/page.htmlHTTP/1.0User-agent:Mozilla/4.0Accept:text/html，image/gif，image/jpegAccept-language:fr（extracarriagereturn，linefeed）requestline（GET，POST，HEADcommands）headerlines回車，換行表示報文的結(jié)束2023/4/1843第四十三頁，共83頁。12.3實驗原理（續(xù)）HTTP響應(yīng)消息格式HTTP/1.0200OKDate:Thu，06Aug199812:00:15GMTServer:Apache/1.3.0（Unix）Last-Modified:Mon，22Jun1998…...Content-Length:6821Content-Type:text/html

datadatadatadatadata...狀態(tài)行（協(xié)議狀態(tài)碼，狀態(tài)短語）頭部行數(shù)據(jù)，例如，請求的html文件2023/4/1844第四十四頁，共83頁。12.3實驗原理（續(xù)）FTP協(xié)議：基于客戶|服務(wù)器模式Internet文件傳送的基礎(chǔ)；FTP完成兩臺計算機之間的拷貝，從遠程計算機拷貝文件至本地計算機上，稱之為“下載（download）”文件，若將文件從本地計算機中拷貝至遠程計算機上，則稱之為“上載（upload）”文件；在TCP/IP協(xié)議中，F(xiàn)TP標準命令TCP端口號為21，Port方式數(shù)據(jù)端口為20?？刂七B接在整個會話期間一直保持連接狀態(tài)。數(shù)據(jù)連接則是臨時建立的，在文件傳送結(jié)束后即被關(guān)閉。2023/4/1845第四十五頁，共83頁。12.3實驗原理（續(xù)）FTP結(jié)構(gòu)圖2023/4/1846第四十六頁，共83頁。12.3實驗原理（續(xù)）FTP支持的模式：區(qū)別在于數(shù)據(jù)連接是由誰發(fā)起；Standard模式（PORT方式，主動方式），

FTP的客戶端發(fā)送PORT命令到FTP服務(wù)器；Passive模式（

PASV，被動方式），F(xiàn)TP的客戶端發(fā)送PASV命令到FTP服務(wù)器；2023/4/1847第四十七頁，共83頁。12.3實驗原理（續(xù)）Port模式FTP客戶端首先和FTP服務(wù)器的TCP21端口建立連接，通過這個通道發(fā)送命令；客戶端需要接收數(shù)據(jù)的時候在這個通道上發(fā)送PORT命令，PORT命令包含了客戶端用什么端口接收數(shù)據(jù)；在傳送數(shù)據(jù)的時候，服務(wù)器端通過自己的TCP20端口連接至客戶端的指定端口發(fā)送數(shù)據(jù)；

FTP服務(wù)器必須和客戶端建立一個新的連接用來傳送數(shù)據(jù)；2023/4/1848第四十八頁，共83頁。12.3實驗原理（續(xù)）Passive模式在建立控制通道的時候和Standard模式類似，但建立連接后發(fā)送的不是Port命令，而是Pasv命令；FTP服務(wù)器收到Pasv命令后，隨機打開一個高端端口（端口號大于1024。主要原因是1024以前的端口都已經(jīng)預(yù)先被定義，由一些典型的服務(wù)使用或保留給以后會用到這些端口的資源服務(wù)）并且通知客戶端在這個端口上傳送數(shù)據(jù)的請求；客戶端連接FTP服務(wù)器端口，然后FTP服務(wù)器將通過這個端口進行數(shù)據(jù)的傳送，這個時候FTP服務(wù)器不再需要建立一個新的和客戶端之間的連接。2023/4/1849第四十九頁，共83頁。12.3實驗原理（續(xù)）Windows有自帶的FTP命令和IE瀏覽器來作為FTP的客戶端。后者在IE的地址欄上輸入

服務(wù)器地址來訪問，前者可以在命令窗口下通過ftp命令來使用；使用FTP命令登錄成功遠程FTP服務(wù)器后即進入FTP子環(huán)境，在這個子環(huán)境下，用戶可以使用FTP的內(nèi)部命令完成相應(yīng)的文件傳輸操作；2023/4/1850第五十頁，共83頁。12.3實驗原理（續(xù)）FTP的命令格式ftp[-v][-d][-i][-n][-g][-w:windowsize][主機名/IP地址]；參數(shù)-v：不顯示遠程服務(wù)器的所有響應(yīng)信息；-n：限制ftp的自動登錄；-i：在多個文件傳輸期間關(guān)閉交互提示；-d：允許調(diào)試、顯示客戶機和服務(wù)器之間傳遞的全部ftp命令；-g：不允許使用文件名通配符；-w：windowsize忽略默認的4096傳輸緩沖區(qū)。2023/4/1851第五十一頁，共83頁。12.3實驗原理（續(xù)）TELNET協(xié)議：基于客戶|服務(wù)器模式Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠程登陸服務(wù)的標準協(xié)議；應(yīng)用Telnet協(xié)議能夠把本地用戶所使用的計算機變成遠程主機系統(tǒng)的一個終端。2023/4/1852第五十二頁，共83頁。12.3實驗原理（續(xù)）TELNET協(xié)議的基本服務(wù)Telnet定義一個網(wǎng)絡(luò)虛擬終端為遠端系統(tǒng)提供一個標準接口，客戶機程序不必詳細了解遠端系統(tǒng)，只需構(gòu)造使用標準接口的程序；Telnet包括一個允許客戶機和服務(wù)器協(xié)商選項的機制，而且它還提供一組標準選項；Telnet對稱處理連接的兩端，即Telnet不強迫客戶機從鍵盤輸入，也不強迫客戶機在屏幕上顯示輸出。2023/4/1853第五十三頁，共83頁。12.3實驗原理（續(xù)）TELNET協(xié)議的應(yīng)用Windows

XP自帶了Telnet客戶機和服務(wù)器程序，分別是Telnet.exe（客戶機程序）和tlntsvr.exe（服務(wù)器程序）；TELNET客戶程序為用戶提供命令接口?？赏ㄟ^：控制面板-管理工具-服務(wù)-啟動TELNET服務(wù)器程序；一旦連接到TELNET服務(wù)器，用戶即可使用任何遠程計算機上基于字符的應(yīng)用程序，查看TELNET服務(wù)器的信息，和TELNET服務(wù)器進行數(shù)據(jù)傳輸。2023/4/1854第五十四頁，共83頁。12.3實驗原理（續(xù)）常見TELNET的命令open：使用“open主機名/IP地址”可以建立到主機的Telnet連接；close：關(guān)閉現(xiàn)有的Telnet連接；display：查看Telnet客戶的當前設(shè)置；quit：退出Telnet客戶程序。2023/4/1855第五十五頁，共83頁。12.3實驗原理（續(xù)）QQ協(xié)議：基于客戶|服務(wù)器模式QQ好友間消息傳送原理基于UDP協(xié)議來實現(xiàn)的，UDP數(shù)據(jù)具有固定端口8000，這些數(shù)據(jù)都通過加密的形式在網(wǎng)絡(luò)中轉(zhuǎn)輸；QQ選擇UDP協(xié)議的主要原因：UDP的速度比TCP要快，由于TCP協(xié)議中植入了各種安全保障功能，在實際執(zhí)行的過程中會占用大量的系統(tǒng)開銷，無疑使速度受到影響，而UDP由于排除了信息可靠傳遞機制，將安全和排序等功能移交給上層應(yīng)用來完成，降低了執(zhí)行時間，使速度得到了保證；2023/4/1856第五十六頁，共83頁。12.3實驗原理（續(xù)）QQ的文件傳輸建立在TCP連接之上的，其格式是包頭為0x04包尾為0x03?；赨DP可以用端口再根據(jù)協(xié)議特征方式識別；而基于TCP的HTTP方式可以根據(jù)數(shù)據(jù)包的特征識別QQ數(shù)據(jù)；QQ除了使用UDP通信，還與TCPF服務(wù)器通信，而且與TCPF服務(wù)器的通信量遠遠大于UDP通信量。2023/4/1857第五十七頁，共83頁。12.3實驗原理（續(xù)）TCPF文本聊天協(xié)議簇TCPF（TextChattingProtocolFamily）文本聊天協(xié)議族，主要支持與其它QQ端進行文字聊天；TCPF是建立在UDP協(xié)議上的協(xié)議簇；TCPF是以請求－響應(yīng)模式工作的，也就是說，客戶端發(fā)出一個請求，服務(wù)器端會給出一個相應(yīng)的響應(yīng)；服務(wù)器向客戶端發(fā)送信息，客戶端也會給服務(wù)器相應(yīng)的響應(yīng)。請求和響應(yīng)通過相同的序列號來進行配對（請求代碼也應(yīng)該相同）。而且每種請求的發(fā)起方都是相同的。2023/4/1858第五十八頁，共83頁。12.3實驗原理（續(xù)）TCPF格式：包頭+數(shù)據(jù)+包尾包頭：QQ協(xié)議有多種包頭，分別代表一類用途的包，所有的TCPF包的前七個字節(jié)是包頭，從包頭可以識別包的內(nèi)容；第0個字節(jié)：TCPF

包標示：0x02；第1-2個字節(jié)：發(fā)送者標識，如果是0x010x00，表明是由服務(wù)器發(fā)送，客戶端的標識與所使用的QQ版本有關(guān)；第3-4個字節(jié)：命令編號；第5-6個字節(jié)：命令序列號；包尾：所有的TCPF包都以0x03作為包尾；2023/4/1859第五十九頁，共83頁。12.3實驗原理（續(xù)）TCPF數(shù)據(jù)登錄請求包LIP（LogInPacket）：由客戶端向服務(wù)器發(fā)出登錄請求的數(shù)據(jù)包；登錄應(yīng)答包LRP（LoginReplyPacket）：由服務(wù)器響應(yīng)客戶端登錄請求的數(shù)據(jù)包；注銷請求包LOP（LogOutPacket）：由客戶端向服務(wù)器發(fā)出注銷登錄請求的數(shù)據(jù)包，服務(wù)器對此包不作應(yīng)答；客戶端其它包CSP（ClientSentPacket）：客戶端向服務(wù)器發(fā)送的其它包；服務(wù)器其它包SSP（ServerSentPacket）：由服務(wù)器向客戶端發(fā)送的其它包。2023/4/1860第六十頁，共83頁。12.3實驗原理（續(xù)）迅雷下載協(xié)議：基于P2SP技術(shù)的下載軟件S指的是SERVER，就是在P2P的基礎(chǔ)上增加了對SERVER的資源下載，也就是說P2SP是一種能同時從多個服務(wù)器和多個節(jié)點進行下載的技術(shù)；迅雷的下載速度會比只從服務(wù)器下載（P2S）或只從節(jié)點下載（P2P）的軟件速度要更快；P2SP下載是一種多資源多協(xié)議下載方式，全稱是PeertoServer＆Peer，即用戶對服務(wù)器和用戶；2023/4/1861第六十一頁，共83頁。12.3實驗原理（續(xù)）P2SP有效地把原本孤立的服務(wù)器和其鏡像資源以及P2P資源整合到了一起；P2P的下載概念，就是下載不再象傳統(tǒng)方式那樣只能依賴服務(wù)器，內(nèi)容的傳遞可以在網(wǎng)絡(luò)上的各個終端機器中進行；在傳統(tǒng)的傳輸技術(shù)中用戶一次只能連接一個服務(wù)器進行下載，而P2SP技術(shù)能搜索某一內(nèi)容在其他服務(wù)器上鏡像并將其存儲于數(shù)據(jù)庫中，用戶能同時從多個服務(wù)器上下載內(nèi)容；在P2SP中通過引入服務(wù)器作為資源數(shù)據(jù)來源的方法，避免了P2P中資源提供不穩(wěn)定的問題。2023/4/1862第六十二頁，共83頁。12.3實驗原理（續(xù)）迅雷的核心技術(shù)：智能資源選擇用戶使用迅雷下載某個文件的同時，迅雷會自動收集用戶的下載地址，并以MD5值判斷是否為同一個文件，從而形成一個龐大的下載鏈接庫，這樣就在迅雷服務(wù)器端進行了資源的整合；當后面的用戶下載同一個文件時，迅雷就會根據(jù)用戶具體的網(wǎng)速而去一個速度最快的服務(wù)器上面下載同一個文件；由于選擇通常是最優(yōu)化的結(jié)果，因此用戶感覺下載速度的確非常快。2023/4/1863第六十三頁，共83頁。12.4實驗內(nèi)容12.4.1安裝Winpcap和WireShark應(yīng)用軟件12.4.2運行WireShark，捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包12.4.3分析ARP、ICMP、TCP、IP、DNS、TELNET、HTTP、FTP等協(xié)議工作過程12.4.4分析QQ協(xié)議、迅雷下載協(xié)議2023/4/1864第六十四頁，共83頁。12.5實驗環(huán)境12.5.1網(wǎng)絡(luò)嗅探背景描述：某公司LAN的主機連接交換機，并由路由器接入Internet，因業(yè)務(wù)擴展，公司決定進行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析以公司網(wǎng)關(guān)為嗅探對象；截獲網(wǎng)絡(luò)數(shù)據(jù)并分析。2023/4/1865第六十五頁，共83頁。12.5實驗環(huán)境（續(xù)）12.5.2TCP/IP協(xié)議分析背景描述：某公司LAN的主機連接交換機，并由路由器接入Internet，因業(yè)務(wù)擴展，公司決定進行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析以公司網(wǎng)關(guān)為嗅探對象；截獲網(wǎng)絡(luò)IP、UDP和TCP數(shù)據(jù)包并分析相關(guān)協(xié)議。2023/4/1866第六十六頁，共83頁。12.5實驗環(huán)境（續(xù)）12.5.3HTTP協(xié)議分析背景描述：某公司LAN的主機連接交換機，并由路由器接入Internet，因業(yè)務(wù)擴展，公司決定進行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析設(shè)置過濾條件：notbroadcastandnotmulticast，過濾無關(guān)信息；以

為嗅探對象，截獲網(wǎng)絡(luò)HTTP數(shù)據(jù)包并分析HTTP協(xié)議。2023/4/1867第六十七頁，共83頁。12.5實驗環(huán)境（續(xù)）12.5.4FTP協(xié)議分析背景描述：某公司LAN的主機連接交換機，并由路由器接入Internet，因業(yè)務(wù)擴展，公司決定進行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析設(shè)置過濾條件，過濾無關(guān)信息；在客戶端命令行窗口登錄FTP服務(wù)器，截獲網(wǎng)絡(luò)FTP數(shù)據(jù)包并分析FTP協(xié)議。2023/4/1868第六十八頁，共83頁。12.5實驗環(huán)境（續(xù)）12.5.5TELNET協(xié)議分析背景描述：某公司LAN的主機連接交換機，并由路由器接入Internet，因業(yè)務(wù)擴展，公司決定進行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析設(shè)置過濾條件，過濾無關(guān)信息；在客戶端命令行窗口登錄TELNET服務(wù)器，截獲網(wǎng)絡(luò)TELNET數(shù)據(jù)包并分析TELNET協(xié)議。2023/4/1869第六十九頁，共83頁。12.5實驗環(huán)境（續(xù)）12.5.6DNS協(xié)議分析背景描述：某公司LAN的主機連接交換機，并由路由器接入Internet，因業(yè)務(wù)擴展，公司決定進行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析選擇偵聽網(wǎng)卡，開始抓包；在cmd窗口輸入相關(guān)命令，利用WireShark截獲網(wǎng)絡(luò)DNS數(shù)據(jù)包并分析DNS協(xié)議。2023/4/1870第七十頁，共83頁。12.5實驗環(huán)境（續(xù)）12.5.7ARP協(xié)議分析背景描述：某公司LAN的主機連接交換機，并由路由器接入Internet，因業(yè)務(wù)擴展，公司決定進行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析選擇偵聽網(wǎng)卡，開始抓包；在cmd窗口輸入相關(guān)命令，利用WireShark截獲網(wǎng)絡(luò)ARP數(shù)據(jù)包并分析ARP協(xié)議。2023/4/1871第七十一頁，共83頁。12.5實驗環(huán)境（續(xù)）12.5.8QQ協(xié)議分析背景描述：某公司LAN的主機連接交換機，并由路由器接入Internet，因業(yè)務(wù)擴展，公司決定進行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析選擇偵聽網(wǎng)卡，開始抓包；利用WireShark截獲網(wǎng)絡(luò)