《周常用网络协议》由会员分享,可在线阅读,更多相关《周常用网络协议(47页珍藏版)》请在金锄头文库上搜索。
1、网络安全技术04网络协议分析 (补充)复习n什么是分组交换有什么特点?n网络协议如何分层?n什么是数据包?n网卡有哪些工作模式?n如何监测网络流量?n各层网络协议有哪些?n各层协议结构如何?2本节教学目标n利用sniffer pro软件,能够读懂数据包的内容 。3本课要点n掌握网络嗅探软件sniffer的使用方法n掌握对数据包内容的过滤与分析方法45数据流捕获工具软件sniffernSniffer软件是NAI公司推出的功能强大的协议 分析软件。其主要功能:n捕获网络流量进行详细分析n利用专家分析系统诊断问题n实时监控网络活动n收集网络利用率和错误等6基本设置和流量检测n指定监听网络接口( 通常
2、是本机网卡)7报文捕获解析n报文捕获功能可以在报文捕获面板中进行完 成8捕获报文查看nSniffer软件提 供了强大的分 析能力和解码 功能。对于捕 获的报文提供 了一个Expert 专家分析系统 进行分析,还 有解码选项及 图形和表格的 统计信息。9专家分析n专家分分析系 统提供了一个 只能的分析平 台,对网络上 的流量进行了 一些分析对于 分析出的诊断 结果可以查看 在线帮助获得 。TCP/IP协议n网络中传输的信息都是按照一定协议格式而组合的。为了 读懂数据包的内容,就要熟悉各种网络协议的格式规定。n这种格式规定就是协议。现在使用最广泛的网络协议是 TCP/IP族,它由一百多个协议组成。
3、nTCP/IP通常被认为是一个四层协议体系,每一层负责不同 的功能:n应用层n运输层n网络层n链路层10TCP/IP协议内容n第一层链路层,也被称为网络接口层。定义了数据 传输设备和传输媒体或网络间的接口。这一层涉及 到对于传输媒介的特性、信号的特性、数据传输率 和相关内容的确定。本层主要网络有DLC帧协议( 数据链路控制)。n第二层网络层,也被称作互连网层,处理分组在网 络中的活动,例如分组的路由选择。在TCP/IP协议 组件中,网络层协议包括IP协议(网际协议), ICMP协议(Internet互连网控制报文协议)。11TCP/IP协议内容n第三层运输层,主要为两台主机上的应用程序提供 端
4、到端的通信。在TCP/IP协议中,有两个互不相同 的传输协议:即面向连接的TCP协议和非连接的 UDP协议。n第四层应用层,由不同的应用程序实现特定的应用 目的。如:nTelnet 远程登录协议nFTP 文件传输协议nSMTP 简单邮件传输协议nSNMP 简单网络管理协议 等12利用Sniffer Portable分析网络协议n利用Sniffer Portable捕获网络通信的数据包后, Sniffer Portable可以对捕获的数据按照不同的网 络协议层 次进行分 析与解释, 极大地方 便了我们 对捕获到 的数据进 行分析和 理解。13窗口工作区的三个窗格n上面的窗格显示数据包列表。每一行
5、代表一个数据 包。可以看到每一个数据包在这批数据中的编号、 此数据包的来源与目标地址,数据包内容摘要等。n下面窗格显示当前选中的数据包中的具体内容。用 十六进制和ASCII码显示。n中间窗格显示出当前选中数据包中包含哪些网络协 议,及各协议报头在数据包中的位置。用鼠标选中 窗格中的一个协议后,在下面窗格中灰色底纹将此 与协议相关的内容突出显示出来。14链路层协议DLCn在链路层,数据是以帧为单位发送的。以太网帧包含6个域:n1.前导码:8个字节,用于同步和起始标志。在Sniffer Portable中 不显示。n2.目的地址:6个字节,目的主机MAC地址。n3.源地址:6个字节,源主机MAC地
6、址。n4.类型域:2个字节,标识了在以太网上运行的客户端协议。即表 明上层(网络层)的协议。如IP、IPX等网络层协议。n5.数据:461500字节,这里是真正要传输的数据。如果长度不 够46字节则由DLC协议自动补齐为46字节。n6.帧校验序列:4个字节,利用的是CRC循环冗余校验法,在 Sniffer Portable中不显示。15实例分析n从图中可以看到,此帧以DLC Header开头,帧内容包含IP 和TCP协议内容。n在DLC头部:共显示6行信息,第3-5行显示内容是DLC真实 内容,其它行是Sniffer Portable添加的状态信息。16实例分析n第一行:Sniffer Por
7、table添加的DLC起始标志。n第二行:Sniffer Portable添加的帧序号、捕获日期、时间、帧 的长度等信息。以上2行内容在数据包中没有。n第三行:DLC真实内容。目标主机的MAC地址。占6个字节, 帧内地址00-05H。n第四行:DLC真实内容。源主机的MAC地址。占6个字节,帧 内地址06-0BH。n第五行:DLC真实内容。数据包的类型(即上层协议的类型) 。占2个字节,帧内地址0C-0DH。上层协议的类型主要有0800 为IP协议,0806为ARP协议等。n第六行:Sniffer Portable添加的DLC结束标志。17实例分析nDLC结束标志之后是此帧的所要传输信息的真
8、实内容。此帧内容包括IP和TCP协议2部分。其 中IP协议内容长度为20字节,TCP协议内容长 度为20字节。内容总长度40字节。n帧的最后一行是DLC填充段。因为此数据帧内 容长度不足46字节,DLC自动添加了6个字节 的“00”将其补足为46字节。18网络层协议报头结构n网络层协议主要有:n网际协议(IP)n地址解析协议(ARP)n网际控制报文协议(ICMP)19IP协议nIP协议是TCP/IP协议族中最核心的协议,所有的TCP、 UDP、ICMP都以IP数据报格式传输。nIP协议用来为数据包寻找目标地址。nIP协议定义了一种高效、不可靠和无连接的传输方式。n由于传输没有得到确认,所以是不
9、可靠的。一个包在传 输过程中可能丢失了或是传输顺序错了,但是传输设备 并不检测这些情况,也不知道通信双方有无连接。20IP协议nIP协议定义了通过TCP/IP网络传输的数据的格 式,定义了数据进行传递的路由功能。即:在 一个数据包前面加上IP包头后,这个数据包就 如同放飞的信鸽一样自动寻找目的主机,其过 程不需要发送方再干预。n由此可知,IP数据包的头部必需包含使数据包 自动找到目标所需的全部信息。21IP数据包的格式22IP数据包的格式nIP报头从Sniffer Portable数据包中第0EH字节开始( 00-0DH是DLC帧头)。n地址0E:1字节。高4位是IP协议版本号,低4位是本 包
10、IP首部长度。此例中0EH地址内容为45H。4代表 IP协议版本号为4,即IPv4,此包所经过的各个路由 器等网络设备均按IPv4格式对数据包进行解读与处 理。5为此数据包IP首部长度代码。实际首部长度为 此代码乘以4,本例中首部长度为5420字节。首 部最大长度为0FH415460(字节)。23IP数据包的格式n地址0F:1字节。服务类型:定义IP协议包的处理方法,它 包含如下子字段:n过程字段:3位,设置了数据包的重要性,取值越大数据越 重要,取值范围为:0(正常) 7(网络控制)。n延迟字段:1位,取值:0(正常)、1(低延迟)n流量字段:1位,取值:0(正常)、1(高流量)n可靠性字段
11、:1位,取值:0(正常)、1(高可靠性)n成本字段:1位,取值:0(正常)、1(最小成本)n未使用:1位24IP数据包的格式n地址10H-11H:2字节。IP包总长度。此例中IP包总长度 为0052H,即82字节。从0EH到5FH,包含了IP包头及数 据长度。n地址12H-13H:2字节。IP报文标识字段,每一个IP数据 包都有一个与分组过程相关的唯一标识,做为到达目标 后恢复数据时组合的依据。此例中标识为78FAH。n地址14H的高3位:有关数据分段的标识。n地址14H的低5位-15H:段偏移。当数据分组时,它和更 多段位进行连接,帮助目的主机将分段的包组合。25IP数据包的格式n地址16H
12、:1字节。IP包生存时间TTL。n由于IP包发出后就不再对它进行管理,任其自由寻找目标主机。如果网 络或目标主机出现故障造成IP包无法到达目的主机,此数据包就会不断 在网上游逛,形成网络数据包孤儿。网络孤儿大量存在就会占用网络资 源,严重影响正常的网络通信。因此,如果IP包经过一定时间还无法找 到目标主机就应该让它自动消亡。这个时间就是TTL。当某一网络设备发 出IP包的同时要给IP包设定一个生存时间常数,每经过一个路由器此时 间常数自动减一,当TTL值减为0还无法找到目标主机就自动消亡。n不同的操作系统或设备预定的时间常数不同,但都为二进制整数。如32 、64、128、256等。n例:捕获到
13、的数据包TTL值为33H(51),表明它从发出到被捕获已经过 64-5113个路由器了。26IP数据包的格式n地址17H:1字节。协议代码。表示此IP包携带的是何种协 议报文。n常见的有:n1 :ICMPn6 :TCPn17:UDPn此例中协议代码值为6,表示报文是TCP协议。n地址18H-19H:2字节。首部校验和。用于校验和纠错。n地址1AH-1DH:4字节。源IP地址。27IP数据包的格式n地址1EH-21H:4字节。目标IP地址。此例为 C0H、A8H、01H、64H。用点分十进制表示即 为192.168.1.100n随后是选项,此例中没有选项。n选项之后是此IP数据包的载荷。通常为T
14、CP协 议传输的数据。28地址解析协议(ARP)nARP是一种将IP转化成以IP对应的网卡的物理地址的 一种协议,或者说ARP协议是一种将IP地址转化成 MAC地址的一种协议,它靠在内存中保存的一张表 来使IP得以在网络上被目标机器应答。n在源主机在发送一个IP包之前,它要到该转换表中 寻找与目标主机IP包相对应的MAC地址,如果没有 找到,该源主机就发送一个ARP广播包,即目的MAC 为FF-FF-FF-FF-FF-FF,目的IP为目标主机,再带上自 己的源IP,和源 MAC。29n源主机所在网段上的所有主机都会接收到来自源主机的 ARP请 求,由于每台计算机都有自己唯一的MAC和IP,那么
15、它会分析 目的IP即是不是自己的IP?如果不是,网卡自动丢弃数据包。 如果目标主机经过分析,发现目的IP是自己的,于是更新自己 的ARP缓存,记录下源主机的IP和MAC。然后回应源主机一个 ARP应答,把源主机的源IP,源MAC变成现在目的IP和目的 MAC,再带上自己的源IP,源MAC,发送给源主机。n当源主机机接收到ARP应答后,更新自己的ARP缓存,即把 ARP应答中的目标主机的源IP、源MAC的映射关系记录在缓存 中。现在源主机中有目标主机MAC和IP,目标主机中也有源主 机的MAC和IP。ARP请求和应答过程结束,两台主机之间可以 进行正常通信了。30ARP数据包结构31ARP数据包
16、实例32ARP数据包实例n这是一台IP地址为192.168.1.100的主机向IP地址为 192.168.1.101的主机发出ARP请求的数据包。n数据包前14个字节为DLC包头,ARP协议包从偏移地址0DH 开始到29H结束。n地址0D-0EH:2字节。硬件类型,以太网为“0001H”。n地址10-11H:2字节。上层协议类型,0800H为IP协议。n地址12H:硬件地址长度。MAC地址长度恒为6字节。n地址13H:协议地址长度。IP地址恒为4字节。33ARP数据包实例n地址14-15H:操作。请求包恒为1,应答包恒为2。此例是请 求包,值为1。n地址16-1BH:源主机的MAC地址。此例为:00-0D-60-8A-F0- 3Fn地址1C-1FH:源主机协议地址。此例为192.168.1.100。(十 六进制表示为C0H、A8H、01H、64H)。n地址20-25H:目标主机MAC地址。此例为ARP请求包,地址为 0.n地址26-29H:目标主机协议地址。此例为192.168.1.101。( 十六进制表示为C0H、A8H、01H、65H)。n地址2A-3BH:
