(网络空间安全技术实践)8.1ip协议分析实验

《(网络空间安全技术实践)8.1ip协议分析实验》由会员分享，可在线阅读，更多相关《(网络空间安全技术实践)8.1ip协议分析实验（27页珍藏版）》请在金锄头文库上搜索。

1、网络空间安全技术实践教程,吕秋云，王小军，胡耿然，汪云路，王秋华 西安电子科技大学出版社,第三篇 网络安全理论与技术实验篇,第八章 网络协议基础实验 8.1 IP协议分析实验,网络空间安全技术实践教程,2,8.1 IP协议分析实验,实验目的： 本次实验主要利用Wireshark ，Charles， Fiddler等抓包软件，抓取一个Ping命令和其他网络服务的IP包，截取抓包结果，读取其IP包信息，分析IP数据包结构，进而深刻理解IP协议。,网络空间安全技术实践教程,3,8.1 IP协议分析实验,实验原理： IP协议是TCP/IP协议簇中的核心协议，提供数据传输的最基本服务。所有的TCP，UD

2、P，ICMP及IGMP数据都以IP数据报格式传输，是实现网络互连的基本协议 。,网络空间安全技术实践教程,4,8.1 IP协议分析实验,实验要点说明：（实验难点说明） 使用Ping指令抓取IP协议数据包并分析 访问www服务抓取IP协议数据报并分析,网络空间安全技术实践教程,5,8.1 IP协议分析实验,实验准备： （实验环境，实验先有知识技术说明） 操作系统windows XP及以上 Wireshark、Charles和Fiddler等抓包工具,网络空间安全技术实践教程,6,8.1 IP协议分析实验,实验步骤： 1）使用Ping指令抓取IP协议数据包并分析 （1）抓取IP协议数据包 我们使用

3、wireshark抓包软件抓取数据包，具体操作步骤如下： 首先，打开电脑终端，输入ping命令（如图8-1-1所示）,同时打开wireshark抓包软件，点击“ ”，启动抓包，进行数据捕获（如图8-1-2所示）。,网络空间安全技术实践教程,7,8.1 IP协议分析实验,实验步骤： 1）使用Ping指令抓取IP协议数据包并分析 （1）抓取IP协议数据包 接着，在图8-1-1命令行中，回车（enter），执行ping命令（如图8-1-3），我们在wireshark捕获的数据（如图8-1-4）。,网络空间安全技术实践教程,8,8.1 IP协议分析实验,实验步骤： 1）使用Ping指令抓取IP协议数据

4、包并分析 （2）分析IP数据包信息及包结构 在这里，我们随机选取一个数据包（如图8-1-5），我们选取ICMP协议的第一个Echo request包，进入IP协议数据报的分析。 通过分析我们可以看到，在ping命令发送request前，有域名解析的过程（DNS）。当我们双击第3个包，在下方我们可以得到IP数据包的详细信息，具体分析如下：,网络空间安全技术实践教程,9,8.1 IP协议分析实验,实验步骤： 1）使用Ping指令抓取IP协议数据包并分析 （2）分析IP数据包信息及包结构 1version(版本)：4 版本一般占4位，指IP协议的版本。通信双方使用的IP协议版本必须一致。目前广泛使用

5、的IP协议版本号为4（即IPv4），版本号还可以为6（即IPv6）。 2Header Length(首部长度):20 bytes IP分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。因此数据部分永远在4字节的整数倍开始，这样在实现IP协议时较为方便。最常用的首部长度就是20字节（即首部长度为0101），这时不使用任何选项。,网络空间安全技术实践教程,10,8.1 IP协议分析实验,实验步骤： 1）使用Ping指令抓取IP协议数据包并分析 （2）分析IP数据包信息及包结构 3Differentiated Services（区分服务）：0x00 区分服务占8位，用来获得更好的服

6、务。这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。只有在使用区分服务时，这个字段才起作用。 4Total Length（总长度）：84 总长度指首部和数据之和的长度，单位为字节。总长度字段为16位，因此数据报的最大长度为216-1=65535字节。,网络空间安全技术实践教程,11,8.1 IP协议分析实验,实验步骤： 1）使用Ping指令抓取IP协议数据包并分析 （2）分析IP数据包信息及包结构 5Identification（标识）：0x8e38 标识(identification)

7、 占16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。 6Flags（标志）：0x00 Flags占3位，但目前只有2位有意义。 标志字段中的最低位记为MF(More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。 标志字段中间的一位记为DF(Dont Fragment)，意思是“不能分片”只有当DF=0时才允许分片。,网络空间安全技术实践教程,12,8.1 IP协议分析实验,实验步骤： 1）使用Ping指令抓取IP

8、协议数据包并分析 （2）分析IP数据包信息及包结构 7Fragment offset（片位移）：0 片偏移占13位。片偏移指出：较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对用户数据字段的起点，该片从何处开始。片偏移以8个字节为偏移单位。这就是说，每个分片的长度一定是8字节（64位）的整数倍。 8Time to live（生存时间）：64 生存时间占8位，生存时间字段常用的的英文缩写TTL(Time To Live)，表明是数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防止无法交付的数据报无限制地在因特网中兜圈子，因而白白消耗网络资源。,网络空间安全技术实践教程,

9、13,8.1 IP协议分析实验,实验步骤： 1）使用Ping指令抓取IP协议数据包并分析 （2）分析IP数据包信息及包结构 9Protocol（协议）：ICMP 协议占8位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。 10Header checksum（首部校验和）：0xd463 首部校验和占16位。这个字段只检验数据报的首部，但不包括数据部分。这是因为数据报每经过一个路由器，路由器都要重新计算一下首部校验和（一些字段，如生存时间、标志、片偏移等都可能发生变化）。不检验数据部分可减少计算的工作量。 11Source（源地址）：192

10、.168.1.100 12Destination（目的地址）：218.75.123.181,网络空间安全技术实践教程,14,8.1 IP协议分析实验,实验步骤： 2）访问www服务抓取IP协议数据报并分析 （1）抓取IP数据包 首先，打开浏览器，输入即将浏览的网页（如图8-1-6所示），同时打开wireshark抓包软件，点击“ ”，启动抓包，进行数据捕获（如图8-1-7所示）。,网络空间安全技术实践教程,15,8.1 IP协议分析实验,实验步骤： 2）访问www服务抓取IP协议数据报并分析 （1）抓取IP数据包 接着，在图8-1-6中点击回车（enter），浏览网页，我们可以得到wiresh

11、ark捕获的数据如图8-1-8所示。,网络空间安全技术实践教程,16,8.1 IP协议分析实验,实验步骤： 2）访问www服务抓取IP协议数据报并分析 （2）分析IP数据包信息及包结构 1TCP控制协议的IP数据包 我们抓取了TCP控制协议的数据包，可以看到TCP协议中确认连接的标志性过程“三次握手”,我们双击第55个数据包，可以得到下方IP协议的详细信息（如图8-1-9）。,网络空间安全技术实践教程,17,8.1 IP协议分析实验,实验步骤： 2）访问www服务抓取IP协议数据报并分析 （2）分析IP数据包信息及包结构 2传输文本的IP数据包 我们抓取了传输文本的HTTP数据包，可以看到in

12、fo一列显示（text/html）表示传输文本,我们双击第191个数据包，可以得到下方IP协议的详细信息（如图8-1-10）。,网络空间安全技术实践教程,18,8.1 IP协议分析实验,实验步骤： 2）访问www服务抓取IP协议数据报并分析 （2）分析IP数据包信息及包结构 3传输图片的IP数据包 我们抓取了传输图片的HTTP数据包，可以看到info一列显示(.png HTTP)，表示传输图片,我们双击第196个数据包，可以得到下方IP协议的详细信息（如图8-10-11所示)。,网络空间安全技术实践教程,19,8.1 IP协议分析实验,实验步骤： 2）访问www服务抓取IP协议数据报并分析 （

13、3）不同IP数据包的对比分析 我们通过一个表格，对以上抓取的三个不同类型的数据包进行比较，对比相同包结构下不同的包内容并进行解释说明（在这里仅列出不同的包内容）。 通过对比我们可以发现，我们举例的三个数据包有以上6处不同，我们将进行逐一的分析：,网络空间安全技术实践教程,20,8.1 IP协议分析实验,实验步骤： 2）访问www服务抓取IP协议数据报并分析 （3）不同IP数据包的对比分析 1Total Length（总长度）：这是首部与数据长度之和，在IP数据包中，总长度的不同主要是由于数据长度的不同。 2Identification（标识）：IP软件在存储器中的计数器，在数据传输中，每产生一

14、个数据报，计数器就会+1，但是由于IP是无连接服务，所以Identification并不代表序号，我们会发现它是无序的。 3Time to live（生存时间）：这代表了数据报在网络中的存活时间，当生存时间为0时，该数据报就会被丢弃。,网络空间安全技术实践教程,21,8.1 IP协议分析实验,实验步骤： 2）访问www服务抓取IP协议数据报并分析 （3）不同IP数据包的对比分析 4Header checksum（首部校验和）：该字段检验数据报的首部且为了减少计算量，不包括数据部分，不同的数据报经过不同的路由器，首部校验和都可能产生变化。 5Source（源地址）：发出网络请求的主机地址，并接收

15、数据。 6Destination（目的地址）：接受网络请求的主机地址，并处理数据。 说明：由于在网络传输中，数据大小有可能超出网络带宽限制，出现分片现象。此时Flags（标志）将不再是相同的“010”，而是会有其他情况出现，随之Fragment offset（片位移）也会产生变化。,网络空间安全技术实践教程,22,8.1 IP协议分析实验,实验步骤： 2）访问www服务抓取IP协议数据报并分析 （4）分析与思考 IPv6协议是IPV4版本的升级，请利用已有知识或通过查询相关资料，说明IPv6相比于IPv4做了哪些改进，有什么优点以及使用的场合等，并试着画出IPV6的数据包结构。,网络空间安全技

16、术实践教程,23,8.1 IP协议分析实验,实验结果要求 本次实验主要利用Wireshark ，Charles， Fiddler等抓包软件，抓取Ping命令和其他网络服务（含www服务，ftp服务，即时聊天，音视频服务）的IP包，截取抓包结果，读取其包信息，分析包结构，并且以表格的形式给出IP包各字段内容。,网络空间安全技术实践教程,24,8.1 IP协议分析实验,实验报告要求 实验报告要求有封面，实验目的，实验环境，实验结果及分析；其中实验结果主要分析抓取的IP包结构及其内容。,网络空间安全技术实践教程,25,8.1 IP协议分析实验,实验扩展要求 选择本节实验教程中 “（4）分析与思考”部分的问题来回答，并作为实验报告的一部分上交。,网络空间安全技术实践教程,26,8.1 IP协议分析实验,实验视频：,网络空间安全技术实践教程,27,