(网络空间安全技术实践)8.2tcp和udp协议分析实验

资源描述

《(网络空间安全技术实践)8.2tcp和udp协议分析实验》由会员分享，可在线阅读，更多相关《(网络空间安全技术实践)8.2tcp和udp协议分析实验（32页珍藏版）》请在金锄头文库上搜索。

1、网络空间安全技术实践教程,吕秋云，王小军，胡耿然，汪云路，王秋华西安电子科技大学出版社,第三篇网络安全理论与技术实验篇,第八章网络协议基础实验 8.2 TCP和UDP协议分析实验,网络空间安全技术实践教程,2,8.2 TCP和UDP协议分析实验,实验目的：本次实验主要利用Wireshark ，Charles， Fiddler等抓包软件，抓取TCP和UDP协议数据包，截取抓包结果，分析TCP协议包结构，TCP协议机制，如：TCP协议中“三次握手”，“四次挥手”流程；分析UDP协议包结构，从而进一步理解UDP协议运行流程。,网络空间安全技术实践教程,3,8.2 TCP和UDP协议分析实验,

2、实验原理：在简化的OSI模型中，TCP协议和UDP协议完成第四层传输层所指定的功能，但是它们功能与结构都不相同：TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议；UDP 是一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。我们通过实验抓包，分析TCP协议与UDP协议的具体流程与不同点。,网络空间安全技术实践教程,4,8.2 TCP和UDP协议分析实验,实验要点说明：（实验难点说明）抓取TCP协议数据包并分析抓取UDP协议数据包并分析,网络空间安全技术实践教程,5,8.2 TCP和UDP协议分析实验,实验准备：（实验环境，实验先有知识技术说明）操作系统win

3、dows XP及以上 Wireshark、Charles和Fiddler等抓包工具,网络空间安全技术实践教程,6,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（1）抓取TCP协议数据包我们使用wireshark抓包软件抓取数据包，具体操作步骤如下：首先，打开浏览器，输入即将浏览的网页（如图8-2-1所示），同时打开wireshark抓包软件，点击“ ”，启动抓包，进行数据捕获（如图8-2-2所示）。,网络空间安全技术实践教程,7,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（1）抓取TCP协议数据包接着，在图8-2-

4、1中点击回车（enter），浏览网页，我们可以得到wireshark捕获的数据如图8-2-3所示。,网络空间安全技术实践教程,8,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（1）抓取TCP协议数据包我们双击第6个和第7个数据包，可以看到TCP协议的具体包结构（如图8-2-4和图8-2-5所示）。,网络空间安全技术实践教程,9,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（2）分析TCP数据包信息及包结构我们抓取的TCP数据包，通过分析，我们可以看到TCP包有以下结构： 1Source Port（源端口号）：53805

5、源端口号标识了发送主机的进程。 2Destination Port（目的端口号）：80 目标端口号标识接受方主机的进程。 3Sequence number（序列号）：2c3ccaeb（16进制表示）序列号用来标识从 TCP源端向 TCP目的端发送的数据字节流，它表示在这个报文段中的第一个数据包的顺序号。如果将字节流看作在两个应用程序间的单向流动，则 TCP用顺序号对每个数据包进行计数。,网络空间安全技术实践教程,10,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（2）分析TCP数据包信息及包结构 4Acknowledge number（确认号）：2c3c

6、caec（16进制表示）确认号包含发送确认的一端所期望收到的下一个数据包顺序号。因此，确认序号应当是上次已成功收到数据包顺序号加 1（此处2c3ccaeb+1=2c3ccaec）。只有 ACK标志为 1时确认序号字段才有效。 5Header Length（头长度）：44bytes 头长度是TCP首部的长度，最大为15 * 4 = 60字节。,网络空间安全技术实践教程,11,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（2）分析TCP数据包信息及包结构 6Flags（标志）：0x002（SYN）在TCP首部中有6个标志比特。他们中的多个可同时被置为1 。

7、URG：紧急指针(urgent pointer)有效 ACK：确认序号有效 PSH：指示接收方应该尽快将这个报文段交给应用层而不用等待缓冲区装满 RST：一般表示断开一个连接 SYN：同步序号用来发起一个连接 FIN：发送端完成发送任务(即断开连接),网络空间安全技术实践教程,12,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（2）分析TCP数据包信息及包结构 7Window（窗口）：65535 窗口的大小，表示源端主机一次最多能接受的字节数。 8Checksum（校验和）：0x6a2a 校验和覆盖了整个的TCP报文段:TCP首部和TCP数据。这是一个强制性

8、的字段，一定是由发送端计算和存储，并由收端进行验证。 9Urgent pointer（紧急指针）：0 只有当URG标志置为1时紧急指针才有效。紧急指针是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧急方式是发送端向另一端发送紧急数据的一种方式。,网络空间安全技术实践教程,13,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（2）分析TCP数据包信息及包结构 10Options（选项）：24bytes 选项主要有以下内容： Maximum segment size（最大报文段长度）:用于在连接开始时确定MSS的大小。 Window

9、 scale（窗口扩大因子）: 当通信双方认为首部的窗口值还不够大的时候，在连接开始时用这个来定义更大的窗口。仅在连接开始时有效。一经定义，通信过程中无法更改。无操作字段（NOP, 0x01），占1B，也用于填充，放在选项的开头,网络空间安全技术实践教程,14,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（2）分析TCP数据包信息及包结构 10Options（选项）：24bytes 选项结束字段（EOL，0x00），占1B，一个报文段仅用一次。放在末尾用于填充，用途是说明首部已经没有更多的消息，应用数据在下一个32位字开始处。 Timestamps（时间戳

10、）：应用测试RTT和防止序号绕回。允许SACK选项：提供了在 RFC 2018 中描述的支持功能，以便解决与拥挤和多信息包丢失有关的问题。假如是一个没有带 SACK 的 TCP，那么接收 TCP 应用程序只能确认按顺序接收数据包，而丢弃最后一个未确认包之后的其他数据包，这可能导致大量的数据包重传；但是一个带SACK的TCP，则可以只重传丢失的数据包，以保证更好的传输效率。,网络空间安全技术实践教程,15,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（3）分析TCP协议“三次握手”过程 TCP协议通过“三次握手”过程来确认连接，我们抓取了三次握手的数据包（如

11、图8-2-6），分别点击第6个、第7个和第8个数据包，分析“三次握手”具体流程：,网络空间安全技术实践教程,16,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（3）分析TCP协议“三次握手”过程 1第一次握手（如图8-2-7）：客户端发送一个TCP，标志位为SYN，序列号Seq（Sequence number）相对值为0，Flags中Syn为1。代表用户请求建立连接。,网络空间安全技术实践教程,17,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（3）分析TCP协议“三次握手”过程 2第二次握手（如图8-2-8）：服务器发回

12、确认包，标志位为SYN、ACK，将确认序号ACK（Acknowledge number）设为Seq+1（即为1），Flags中Acknowledgement为1，Syn为1。,网络空间安全技术实践教程,18,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（3）分析TCP协议“三次握手”过程 3第三次握手（如图8-2-9）：客户端再次发送确认包（ACK），序列号（Sequence number）、确认序号（Acknowledgement number）均为1，Flags中Acknowledgement为1，Syn为0。通过三次握手，TCP建立成功，然后双方可以

13、进行通信。,网络空间安全技术实践教程,19,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（4）分析TCP协议“四次挥手”过程 TCP协议通过“四次挥手”过程来断开连接，我们抓取了四次挥手的数据包（如图8-2-10），分别点击第639个、第640个、第641个和第642个数据包，分析“四次挥手”具体流程：,网络空间安全技术实践教程,20,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（4）分析TCP协议“四次挥手”过程 1第一次挥手（如图8-2-11）：客户端发送一个标志位为FIN ACK的数据包，序列号（Sequence n

14、umber）为1340，Flags中Acknowledgement为1，Fin为1。请求关闭客户端到服务器的数据传送。,网络空间安全技术实践教程,21,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（4）分析TCP协议“四次挥手”过程 2第二次挥手（如图8-2-12）：服务器收到客户端的Fin，它发回一个ACK，确认序号为收到的序号+1，即ACK=Seq+1=1341。Flags中Acknowledgement为1。,网络空间安全技术实践教程,22,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（4）分析TCP协议“四次挥手”

15、过程 3第三次挥手（如图8-2-13）：客户端收到服务器发送的Fin=1，用来关闭服务器到客户端的数据传送。Flags中Acknowledgement为1，Fin为1。,网络空间安全技术实践教程,23,8.2 TCP和UDP协议分析实验,实验步骤： 1）抓取TCP协议数据包并分析（4）分析TCP协议“四次挥手”过程 4第四次挥手（如图8-2-14）：客户端收到Fin后，发送一个ACK给服务器，确认序号（Acknowledgement number）为收到的序列号（Sequence number）+1，即ACK=Seq+1=4998，Flags中Acknowledgement为1。服务器关闭

16、，四次挥手完成。,网络空间安全技术实践教程,24,8.2 TCP和UDP协议分析实验,实验步骤： 2）抓取UDP协议数据包并分析（1）抓取UDP协议数据包我们仿照“1）抓取TCP协议数据包并分析中的（1）抓取TCP协议数据包”的流程，可以抓取到DNS数据包（如图8-2-15），因为DNS属于应用层协议，其传输层是UDP协议，故我们可以分析UDP数据包如下。,网络空间安全技术实践教程,25,8.2 TCP和UDP协议分析实验,实验步骤： 2）抓取UDP协议数据包并分析（1）抓取UDP协议数据包我们双击第18个数据包，可以看到UDP协议的数据包结构（如图8-2-16）：,网络空间安全技术实践教程,26,8.2 TCP和UDP协议分析实验,实验步骤： 2）抓取UDP协议数据包并分析（2）分析UDP数据包信息及包结构我们抓取的UDP数据包，通过分析，我们可以看到UDP包有以下结构： 1Source Port（源端口号）：64677 源端口号标识了发送主机的进程。 2Destination Port（目的端口号）：53 目标端口号标识接受方主机的进程。 3 Lengt

展开阅读全文