網(wǎng)絡(luò)協(xié)議安全分析 課件 項目5、6 網(wǎng)絡(luò)層協(xié)議ICMP、傳輸層協(xié)議TCP

單擊此處編輯母版標(biāo)題樣式

ICMP數(shù)據(jù)包結(jié)構(gòu)分析學(xué)習(xí)內(nèi)容ICMP應(yīng)用場景0102ICMP數(shù)據(jù)包結(jié)構(gòu)分析03總結(jié)

ICMP應(yīng)用場景1ICMP（InternetControlMessageProtocol，Internet控制消息協(xié)議）是網(wǎng)絡(luò)層的一個重要協(xié)議。ICMP協(xié)議用來在網(wǎng)絡(luò)設(shè)備間傳遞各種差錯和控制信息，對于收集各種網(wǎng)絡(luò)信息、診斷和排除各種網(wǎng)絡(luò)故障起著至關(guān)重要的作用。RFC792：/rfc/rfc792.txt

ICMP應(yīng)用場景1MessageReturnMessage主機AICMP用來傳遞差錯、控制、查詢等信息。

ICMP應(yīng)用場景1ICMP差錯檢測：ICMPEchoRequest和ICMPEchoReply分別用來查詢和響應(yīng)某些信息，進行差錯檢測。ICMPEchoRequestICMPEchoReply主機A服務(wù)器B

ICMP應(yīng)用場景1ICMP錯誤報告：當(dāng)網(wǎng)絡(luò)設(shè)備無法訪問目標(biāo)網(wǎng)絡(luò)時，會自動發(fā)送ICMP目的不可達(dá)報文到發(fā)送端設(shè)備。/24.1/24數(shù)據(jù)包ICMP目的不可達(dá)主機A服務(wù)器A.2.1.2RTARTB

ICMP應(yīng)用場景1ICMP重定向：支持路由功能，選擇更優(yōu)的RTA將數(shù)據(jù)發(fā)送給服務(wù)器A。/24/2400/2400/24IP地址:/24默認(rèn)網(wǎng)關(guān):00/24ICMP重定向①③②主機A服務(wù)器ARTARTB

ICMP數(shù)據(jù)包結(jié)構(gòu)分析2071531IPHeaderICMPTypeCodeChecksumICMP的報文內(nèi)容（不同類型和代碼標(biāo)識不同的內(nèi)容）FCSEthernet_IIHeaderType：表示ICMP消息類型Code：表示同一消息類型中的不同信息。

ICMP數(shù)據(jù)包結(jié)構(gòu)分析2ICMP消息類型和代碼TypeCode描述00EchoReply30網(wǎng)絡(luò)不可達(dá)31主機不可達(dá)32協(xié)議不可達(dá)33端口不可達(dá)50重定向80EchoRequest

ICMP數(shù)據(jù)包結(jié)構(gòu)分析2Checksum校驗和計算方法：（1）首先將檢驗和部分設(shè)為零；（2）然后將ICMP整個報文劃分成四位為一組的十六進制數(shù)，將這些數(shù)逐個相加；（3）再將高位加到低位；（4）最后將得到的結(jié)果進行取反，得到檢驗和。

IP數(shù)據(jù)包結(jié)構(gòu)分析2總結(jié)3ping命令利用ICMPEcho

Request消息（Type值為8）來檢測網(wǎng)絡(luò)的可達(dá)性。目的端收到ICMPEchoRequest消息后，根據(jù)IP報文頭中的源地址向源端發(fā)送ICMPEcho

Reply消息（Type值為0）。

謝謝單擊此處編輯母版標(biāo)題樣式

Tracert路由追蹤分析學(xué)習(xí)內(nèi)容Tracert路由追蹤場景0102Tracert路由追蹤數(shù)據(jù)包分析03總結(jié)

Tracert路由追蹤場景1/24RTARTC主機A主機B/24/24RTB<RTA>tracertTracertto(),maxhops:30,packetlength:40,pressCTRL_Ctobreak

1130ms50ms40ms

280ms60ms80ms380ms60ms70ms

Tracert路由追蹤數(shù)據(jù)包分析1Tracert基于報文頭中的TTL值來逐跳跟蹤報文的轉(zhuǎn)發(fā)路徑。為了追蹤到達(dá)某特定目的地址的路徑，源端首先將報文的TTL值設(shè)置為1。該報文到達(dá)第一個節(jié)點后，TTL超時，于是該節(jié)點向源端發(fā)送TTL超時消息，消息中攜帶時間戳。然后源端將報文的TTL值設(shè)置為2，報文到達(dá)第二個節(jié)點后超時，該節(jié)點同樣返回TTL超時消息，以此類推，直到報文到達(dá)目的地。這樣，源端根據(jù)返回的報文中的信息可以跟蹤到報文經(jīng)過的每一個節(jié)點，并根據(jù)時間戳信息計算往返時間。Tracert是檢測網(wǎng)絡(luò)丟包及時延的有效手段，同時可以幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)中的路由環(huán)路。

Tracert路由追蹤數(shù)據(jù)包分析1<RTA>tracert?STRING<1-255>IPaddressorhostnameofaremotesystem-aSetsourceIPaddress,thedefaultistheIPaddressoftheoutputinterface-fFirsttimetolive,thedefaultis1-mMaxtimetolive,thedefaultis30-nameDisplaythehostnameoftherouteroneachhop-pDestinationUDPportnumber,thedefaultis33434-qNumberofprobepacket,thedefaultis3-sSpecifythelengthofthepacketstobesent.Thedefaultlengthis12bytes……/24RTARTC主機A主機B/24/24RTB

Tracert路由追蹤數(shù)據(jù)包分析1Tracert常用的配置參數(shù)說明如下：-asource-ip-address：指定tracert報文的源地址。-ffirst-ttl：指定初始TTL。缺省值是1。-mmax-ttl：指定最大TTL。缺省值是30。-name：使能顯示每一跳的主機名。-p

port：指定目的主機的UDP端口號。

Tracert路由追蹤數(shù)據(jù)包分析1源端（RTA）向目的端（主機B）發(fā)送一個UDP報文，TTL值為1，目的UDP端口號是大于30000的一個數(shù)，因為在大多數(shù)情況下，大于30000的UDP端口號是任何一個應(yīng)用程序都不可能使用的端口號。/24RTARTC主機A主機B/24/24RTB

Tracert路由追蹤數(shù)據(jù)包分析1第一跳（RTB）收到源端發(fā)出的UDP報文后，判斷出報文的目的IP地址不是本機IP地址，將TTL值減1后，判斷出TTL值等于0，則丟棄報文并向源端發(fā)送一個ICMP超時（TimeExceeded）報文（該報文中含有第一跳的IP地址），這樣源端就得到了RTB的地址。源端收到RTB的ICMP超時報文后，再次向目的端發(fā)送一個UDP報文，TTL值為2。/24RTARTC主機A主機B/24/24RTB

Tracert路由追蹤數(shù)據(jù)包分析1第二跳（RTC）收到源端發(fā)出的UDP報文后，回應(yīng)一個ICMP超時報文，這樣源端就得到了RTC的地址（）。以上過程不斷進行，直到目的端收到源端發(fā)送的UDP報文后，判斷出目的IP地址是本機IP地址，則處理此報文。根據(jù)報文中的目的UDP端口號尋找占用此端口號的上層協(xié)議，因目的端沒有應(yīng)用程序使用該UDP端口號，則向源端返回一個ICMP端口不可達(dá)（DestinationUnreachable）報文。/24RTARTC主機A主機B/24/24RTB

Tracert路由追蹤數(shù)據(jù)包分析1源端收到ICMP端口不可達(dá)報文后，判斷出UDP報文已經(jīng)到達(dá)目的端，則停止Tracert程序，從而得到數(shù)據(jù)報文從源端到目的端所經(jīng)歷的路徑（；；）。/24RTARTC主機A主機B/24/24RTB

Tracert路由追蹤數(shù)據(jù)包分析1

Tracert路由追蹤數(shù)據(jù)包分析1

Tracert路由追蹤數(shù)據(jù)包分析1總結(jié)3如果IP數(shù)據(jù)包在到達(dá)目的地之前TTL值已經(jīng)減為0，則收到IP數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備會丟棄該數(shù)據(jù)包，并向源端發(fā)送ICMP消息通知源端TTL超時。

謝謝單擊此處編輯母版標(biāo)題樣式

TCP工作流程學(xué)習(xí)內(nèi)容TCP應(yīng)用場景0102TCP工作流程03總結(jié)

TCP應(yīng)用場景1TCP（TransmissionControlProtocol，傳輸控制協(xié)議）是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議。RFC793：/rfc/rfc793.txt

TCP應(yīng)用場景1TCP是一種面向連接的傳輸層協(xié)議，可提供可靠的傳輸服務(wù)。主機A主機B請求響應(yīng)TCP連接

TCP應(yīng)用場景1協(xié)議端口號FTP21、20HTTP80Telnet23SMTP25主機AHTTP服務(wù)器DataS:1027D:80DataS:80D:1027

TCP工作流程-建立連接2TCP通過三次握手建立可靠連接。SendSYN

SendSYN,ACKSendACK主機A服務(wù)器B(seq=a,SYN)(seq=b,ack=a+1,SYN,ACK)(seq=a+1,ack=b+1,ACK)

TCP工作流程-建立連接2定時器t主機A服務(wù)器B×

TCP工作流程-建立連接2定時器t主機A服務(wù)器B

TCP工作流程-建立連接2定時器t主機A服務(wù)器B

TCP工作流程-關(guān)閉連接2主機A服務(wù)器B關(guān)閉關(guān)閉FIN,ACK(seq=a,ack=b)ACK(seq=b,ack=a+1)FIN,ACK(seq=b,ack=a+1）ACK(seq=a+1,ack=b+1)主機在關(guān)閉連接之前，要確認(rèn)收到來自對方的ACK。

TCP工作流程-傳輸過程2數(shù)據(jù)段N確認(rèn)號M+1500確認(rèn)號M+1500數(shù)據(jù)段N+1數(shù)據(jù)段N+2數(shù)據(jù)段N+3數(shù)據(jù)段N+4數(shù)據(jù)段N+5數(shù)據(jù)段N+3數(shù)據(jù)段N+4數(shù)據(jù)段N+5Seq:M-M+499Seq:M+500-M+999Seq:M+1000-M+1499Seq:M+1500-M+1999Seq:M+2000-M+2499Seq:M+2500-M+2999Seq:M+1500-M+1999Seq:M+2000-M+2499Seq:M+2500-M+2999主機A服務(wù)器B

TCP工作流程-流量控制2ack3073window3072ack6145window3072length1024window4096length1024window3072主機A服務(wù)器Blength1024window3072服務(wù)器A收到第3個數(shù)據(jù)段后，緩存區(qū)滿，第4個數(shù)據(jù)段被丟棄。length1024window4096length1024window4096length1024window4096length1024window3072length1024window3072length1024window3072length1024window3072

TCP工作流程2主機AIP：00Port：11162主機BIP：12Port：3300

TCP工作流程2

TCP工作流程2

TCP工作流程2總結(jié)3TCP報文頭中的ACK標(biāo)志位用于目的端對已收到數(shù)據(jù)的確認(rèn)。目的端成功收到序列號為x的字節(jié)及之前的所有字節(jié)后，會以序列號x+1進行確認(rèn)。在TCP的三次握手過程中，要使用SYN和ACK標(biāo)志位來請求建立連接和確認(rèn)建立連接。

謝謝單擊此處編輯母版標(biāo)題樣式

TCP數(shù)據(jù)段格式分析學(xué)習(xí)內(nèi)容MSS0102TCP數(shù)據(jù)段格式分析03總結(jié)

MSS1當(dāng)應(yīng)用層向TCP層發(fā)送用于網(wǎng)間傳輸?shù)摹⒂?位字節(jié)表示的數(shù)據(jù)流，TCP則把數(shù)據(jù)流分割成適當(dāng)長度的報文段，MSS（MaximumSegmentSize，最大報文段長度）通常受該計算機連接的數(shù)據(jù)鏈路層的最大傳送單元（MTU）限制。TCP把數(shù)據(jù)段傳給IP層，由它來通過網(wǎng)絡(luò)傳送給接收端的TCP層。

TCP數(shù)據(jù)段格式分析220字節(jié)TCPHeaderDataIPHeaderSYNFINRSTURG01531DestinationPortSequenceNumberWindowChecksumOptionsSourcePortAcknowledgeNumberHeaderlengthResv.ACKPSHUrgentPointerPadding

TCP數(shù)據(jù)段格式分析2源端口（16比特）：報文段發(fā)送者端口號目的端口（16比特）：報文段接收者端口號順序號（32比特）：TCP為每個要傳送的字節(jié)分配一個正整數(shù)，稱為順序號。確認(rèn)號（32比特）：當(dāng)控制位ACK置位時，此域包含的順序號為接收端希望接收的下一個字節(jié)的順序號。DestinationPortSequenceNumberSourcePortAcknowledgeNumber

TCP數(shù)據(jù)段格式分析2首部長度（4比特）：以32比特（4個字節(jié)）為單位的報文段首部的長度，即指出數(shù)據(jù)區(qū)在報文段中的位置。保留位（6比特）：保留未用，全置為0。SYNFINRSTURGWindowHeaderlengthResv.ACKPSH

TCP數(shù)據(jù)段格式分析2控制位（6比特）URG：置位時表示緊急指針字段有效。ACK：置位時表示確認(rèn)號字段有效。PSH：置位時表示本報文段要求PUSH操作，此時TCP會立即發(fā)送緩沖區(qū)中的數(shù)據(jù)，而不必等待緩沖區(qū)填滿；在接收端，TCP立即把接收到的數(shù)據(jù)送給應(yīng)用程序。SYNFINRSTURGWindowHeaderlengthResv.ACKPSH

TCP數(shù)據(jù)段格式分析2控制位（6比特）RST：置位時表示連接復(fù)位，用于在連接發(fā)生異常時復(fù)位連接。SYN：置位時表示與對方同步順序號。FIN：置位時表示發(fā)送方?jīng)]有數(shù)據(jù)發(fā)送了，用于關(guān)閉連接。SYNFINRSTURGWindowHeaderlengthResv.ACKPSH

TCP數(shù)據(jù)段格式分析2窗口（16比特）：表示接收緩沖區(qū)的空閑空間，用來告訴TCP連接對端自己能夠接收的最大數(shù)據(jù)長度。SYNFINRSTURGWindowHeaderlengthResv.ACKPSH

TCP數(shù)據(jù)段格式分析2校驗和（16比特）：檢驗和覆蓋了整個的TCP報文段，這是一個強制性的字段，