實(shí)驗(yàn)6分析IP數(shù)據(jù)報(bào)格式分析

1、實(shí)驗(yàn) 6 分析 IP 數(shù)據(jù)報(bào)格式6.1 實(shí)驗(yàn)?zāi)康?. 了解 IP 數(shù)據(jù)報(bào)的格式；2. 理解 IP 各個(gè)數(shù)據(jù)項(xiàng)的涵義；3. 理解 TCP、UDP 協(xié)議的工作原理；4. 了解TCP報(bào)文段、UDP數(shù)據(jù)報(bào)各個(gè)字段的作用。6.2 相關(guān)背景知識(shí)1. Winpcap 基本介紹數(shù)據(jù)報(bào)捕獲的原理：為了進(jìn)行數(shù)據(jù)報(bào) ,網(wǎng)卡必須被設(shè)置為混雜模式。在現(xiàn)實(shí) 的網(wǎng)絡(luò)環(huán)境中 ,存在著許多共享式的以太網(wǎng)絡(luò)。這些以太網(wǎng)是通過Hub 連接起來的總線網(wǎng)絡(luò)。在這種拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)中 ,任何兩臺(tái)計(jì)算機(jī)進(jìn)行通信的時(shí)候 ,它們之 間交換的報(bào)文全部會(huì)通過Hub進(jìn)行轉(zhuǎn)發(fā)，而Hub以廣播的方式進(jìn)行轉(zhuǎn)發(fā)，網(wǎng)絡(luò)中所 有的計(jì)算機(jī)都會(huì)收到這個(gè)報(bào)文 ,不過只

2、有目的機(jī)器會(huì)進(jìn)行后續(xù)處理 ,而其它機(jī)器簡 單的將報(bào)文丟棄。目的機(jī)器是指自身 MAC 地址與消息中指定的目的 MAC 地址 相匹配的計(jì)算機(jī)。網(wǎng)絡(luò)監(jiān)聽的主要原理就是利用這些原本要被丟棄的報(bào)文 ,對(duì)它 們進(jìn)行全面的分析 ,這樣就可以得到整個(gè)網(wǎng)絡(luò)中信息的現(xiàn)狀。Tcpdump的簡單介紹：Tcpdump是Unix平臺(tái)下的捕獲數(shù)據(jù)報(bào)的一個(gè)架構(gòu)。 Tcpdump最初有美國加利福尼亞大學(xué)的伯克利分校洛侖茲實(shí)驗(yàn)室的Craig Leres、Van Jcaobso和Steve McCa nne共同開發(fā)完成，它可以收集網(wǎng)上的IP數(shù)據(jù)報(bào)文，并 用來分析網(wǎng)絡(luò)可能存在的問題?，F(xiàn)在，Tcpdump已被移植到幾乎所有的UNIX系

3、統(tǒng)上，如：HP-UX、SCO UNIX、SGI Irix、SunOS Mach、Linux和FreeBSD等 等。更為重要的是Tcpdump是一個(gè)公開源代碼和輸出文件格式的軟件，我們可以 在Tcpdu np的基礎(chǔ)上進(jìn)行改進(jìn)，加入輔助分析的功能，增強(qiáng)其網(wǎng)絡(luò)分析能力。(詳 細(xì)信息可以參看相關(guān)的資料)。Winpcap的簡單介紹：Winpcap是由意大利 Fulvio Risso和Loris Degioanni等人 提出并實(shí)現(xiàn)的應(yīng)用于Win32平臺(tái)的數(shù)據(jù)報(bào)捕獲與分析的一種軟件包，包括內(nèi)核級(jí) 的數(shù)據(jù)報(bào)監(jiān)聽設(shè)備驅(qū)動(dòng)程序、低級(jí)動(dòng)態(tài)鏈接庫 (Packet.dll) 和高級(jí)系統(tǒng)無關(guān)庫 (Winpcap.dll)

4、。Win pcap 由 3 個(gè)模塊組成：(1)NPF( NetgroupPacket Filter)，是一個(gè)虛擬 設(shè)備驅(qū)動(dòng)程序文件。 它的功能是過濾數(shù)據(jù)報(bào)， 并把這些數(shù)據(jù)報(bào)原封不動(dòng)地傳給用戶態(tài)模塊。（2） Packet.dll為Win32平臺(tái)提供了一個(gè)公共的接口。不同版本的Win dows系統(tǒng)都有自己的內(nèi)核模塊和用戶層模塊。Packet.d l直接映射了內(nèi)核的調(diào) 用，運(yùn)行在用戶層，把應(yīng)用程序和數(shù)據(jù)報(bào)監(jiān)聽設(shè)備驅(qū)動(dòng)程序隔離開，使應(yīng)用程序可以不加修改地在不同的Windows系統(tǒng)上運(yùn)行。通過Packet.dl提供的能用來直接 訪問BPF驅(qū)動(dòng)程序的包驅(qū)動(dòng)API利用raw模式發(fā)送和接收包。（3）Wpcap

5、.dlI是不 依賴于操作系統(tǒng)的。Wpcap.dll和應(yīng)用程序鏈接在一起，使用低級(jí)動(dòng)態(tài)鏈接庫提 供的服務(wù)，向應(yīng)用程序提供完善的監(jiān)聽接口和更加友好、功能更加強(qiáng)大的函數(shù)調(diào)用。Winpcap（ Windows packet capture 是 Windows 平臺(tái)下一個(gè)免費(fèi)、公共的網(wǎng) 絡(luò)訪問系統(tǒng)。開發(fā)winpcap這個(gè)項(xiàng)目的目的在于為 win32應(yīng)用程序提供訪問網(wǎng)絡(luò) 底層的能力。它提供了以下的各項(xiàng)功能：（1） 捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送/接收的以及相互之間 交換的數(shù)據(jù)報(bào)；（2）在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào) 過濾掉；（3）在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào)；（4）收

6、集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息。（詳細(xì)信息可以參看相關(guān)的資料）2. IP數(shù)據(jù)報(bào)的格式IP數(shù)據(jù)報(bào)的由首部和數(shù)據(jù)兩部分組成。首部的前一部分是固定長度，共20個(gè)字節(jié)，是所有IP數(shù)據(jù)報(bào)必須具有的。在首部的固定部分的后面是一些可選字 段，其長度是可變的。下圖是IP數(shù)據(jù)報(bào)的格式：04816192431版本首部長度服務(wù)類型總長度標(biāo)識(shí)標(biāo)志片偏移生存時(shí)間協(xié)議首部校驗(yàn)和源地址目的地址可選字段（長度可變）填充數(shù)據(jù)部分圖5-1 IP數(shù)據(jù)報(bào)的格式3. TCP報(bào)文段的格式一個(gè)TCP報(bào)文段分為首部和數(shù)據(jù)兩部分，TCP的全部功能都體現(xiàn)在首部中 各個(gè)字段的作用?；谶@一點(diǎn)，能清楚了TCP首部各個(gè)字段的作用也就掌握了TCP的工作原理

7、。TCP報(bào)文首部的前20個(gè)字節(jié)是固定的，后面有4N字節(jié)是根 據(jù)需要而增加的選項(xiàng)（N必須是整數(shù)），因此TCP首部的最小長度是20字節(jié) 圖5-2是TCP數(shù)據(jù)報(bào)文首部的格式。08162431源端口目的端口序號(hào)確認(rèn)號(hào)數(shù)據(jù)偏保留UAPRSF窗口移RCSSNICKHTYN校驗(yàn)和緊急指針選項(xiàng)（長度可變）填充圖5-2 TCP數(shù)據(jù)報(bào)文的首部格式TCP是TCP/IP體系中面向連接的運(yùn)輸層協(xié)議，它提供全雙工的和可靠交付 的服務(wù)。TCP則提供面向連接的服務(wù)，在傳送數(shù)據(jù)之前必須先建立連接，數(shù)據(jù)傳 送結(jié)束后要釋放連接。由于 TCP要提供可靠的、面向連接的運(yùn)輸服務(wù)，因此， 不可避免地增加了許多開銷，如確認(rèn)、流量控制、計(jì)時(shí)器

8、以及連接管理等，這就 使協(xié)議數(shù)據(jù)單元的首部增加很多。4. UDP數(shù)據(jù)報(bào)的格式UDP在傳送數(shù)據(jù)之前不需要先建立連接，遠(yuǎn)地主機(jī)的運(yùn)輸層在收到 UDP數(shù) 據(jù)報(bào)文后，不需要給出任何確認(rèn)。因此 UDP數(shù)據(jù)報(bào)的首比較簡單。UDP數(shù)據(jù)報(bào) 首部由4個(gè)字段組成，每個(gè)字段都是2個(gè)字節(jié)。UDP首部格式及含義見表5-1.表5-1 UDP首部格式及含義源端口目的端口長度校驗(yàn)和源端口號(hào)目的端口號(hào)UDP數(shù)據(jù)報(bào)的長度防止傳輸過程中出錯(cuò)5.偽首部無論是TCP報(bào)文段，還是UDP數(shù)據(jù)報(bào)，在計(jì)算校驗(yàn)和時(shí)，都需要增加 12 個(gè)字節(jié)的偽首部。所謂偽首部是因?yàn)檫@種首部并不是 TCP報(bào)文段或UDP數(shù)據(jù)報(bào) 的真正首部，只是在計(jì)算校驗(yàn)和時(shí)，臨時(shí)

9、和 TCP報(bào)文段或UDP數(shù)據(jù)報(bào)連接在一 起，得到一個(gè)過渡的TCP報(bào)文段或UDP數(shù)據(jù)報(bào)。校驗(yàn)和就是按照這個(gè)過渡的 TCP報(bào)文段或UDP數(shù)據(jù)報(bào)計(jì)算的。偽首部不向下傳送也不向上傳遞，而僅僅是 為了計(jì)算校驗(yàn)和。偽首部各字段內(nèi)容及長度如圖5-3所示。字節(jié)44112源IP地址目的IP地址06/17TCP/UDP 長度圖5-3 求檢驗(yàn)和時(shí)增加的偽首部6.3實(shí)驗(yàn)內(nèi)容1. 查看捕獲到的數(shù)據(jù)報(bào)的首部；2. 根據(jù)所捕獲到的IP數(shù)據(jù)報(bào)中協(xié)議字段值，每一種協(xié)議選擇一條記錄分別 填入表5-2中；表5-2 IP數(shù)據(jù)報(bào)格式表版本：首部長度：服務(wù)類型：總長度：標(biāo)識(shí)：標(biāo)志：片偏移：生存時(shí)間：協(xié)議：首部校驗(yàn)和：源地址：目的地址：可

10、選字段（長度可變）：填充：數(shù)據(jù)部分：3. 分析實(shí)驗(yàn)結(jié)果，加深對(duì)數(shù)據(jù)報(bào)首部個(gè)字段的理解;4. 整理實(shí)驗(yàn)結(jié)果，書寫實(shí)驗(yàn)報(bào)告。6.4 實(shí)驗(yàn)步驟1.運(yùn)行程序 Wiresharkr軟件，將顯示如圖5-4所示運(yùn)行界面:牛E 冊(cè)月 疽H凹 運(yùn)應(yīng)血|SlftAi 時(shí)5JZAU MSSltli 什中沖嘟harfc忖 即0&屯何觀0斯?fàn)t切口即配圖5-4運(yùn)行界面2. 然后捕獲數(shù)據(jù)包，如圖5-5捕獲數(shù)據(jù)包后的界面，所示 Broicam NvlMramc -G flbil Elharml ivcr - W rnhirk立那巴 ij現(xiàn)0衛(wèi)尿宦曲 應(yīng)Q 窘僑使I 右:也 氐Id Lll *fr2fGi Ci i Tirn*

11、.DpirtirticnPralccsl I hit44Q Z 舫上匸I：32 I nt- LOl.1759 :安 53 漪TL91：?6 譏；獷：7:ACK：0635-222- Il-i-ISZWLr-i-.4z044】ILSimTB;SQ2,】Ld】.SHTaa. 昨良呂BTI：F刃 56)書1辭亍丁2二 1(航耳昭=7227芳Mk=：Z2B!jr【n=LS2S4Len=B4JD專船0驅(qū)為 為，鉄監(jiān)韶卸亂196, W1, 207丁F訊呻丁粘：二；左、：匸 屈22宜k-b&5垢13訂MBO LbQ雖二*I LIB2笨-輛.山.油；站.2応；LJliTCP91鴻：譏阿斑丄狀.1矢孑二化勺壯I:

12、芒!：5 X曠詁2期LmFt汕454 2. 936794312. 30. 154.90 20Za 156.101. 3S7 HJP Siurte jert; 20432 UetliiatR Jftr?; arrctrHiHJJltJiTrniflliElca Conirl Froxgcol. Sarc Fqtte 軋3審 I9l3-$) Det Frx ； riprs-fsl 仃卻l剳 5eq：:軀期，A曲255. Lee! 1440 尙 Uata l.liJA bytesiData; 5dL3c3Oed941beflM96dd(M7fl 0 w 一h in 勺二tu 0 出占 a o Qi

13、2 & h-爼 ? 5 3 6 i 2 3 1 f t- ftA tf 5 4 o r -y b 4 o &- 9 H.k 6 d 9 3 3 3 b 15r c 4 6a日& u214,-w 15 5f69bG 3- c i o 3 3 3 - - 5 2 1 d A Ofl CA03 f530 es31 9si潔5c 4s 44:a的32朋17 4：n-3o-? l:y m 二 QqA p r I - 5 G- G- f - s 6 & R 勢(shì)劉ssflos也觸福凸岀聯(lián) 4- f 07 T _M- Ku- 3 丈 rn 0 匕呂 b&9c a X- Tw 電1 -=o un吧唱H- & &

14、 & l* -H-亡 r -I & 45 = fa -29-3 豈.1f 一 r * -I- a -1- 匚 -e=J34-.r-. fl-. r Oi ta Hi 1 n tB S 5b=.? C.迅 11 b i iOi 扎,h.hr. *Iltu . ja V. .B. .a.V. Dtfiu-. Z-fi. My. . sd. n_ h,K.,., 2 -1 ?-* ”5 =圖5-5捕獲數(shù)據(jù)包后的界面3. 在數(shù)據(jù)包列表中，選中一條數(shù)據(jù)報(bào)記錄，運(yùn)行界面如圖 所示：5-6數(shù)據(jù)包列表,i- Z65SZS芷=2盟益& 1- E*69K29 ： FE：61. 5E-15. 92Ep 丁 mrou

15、 1 io rm eiMl. !藥石&1 101c32 L 284404LIS LTE 31Z34 L Z8E433LIS 17E 19F 91S41 1 322353 LIE 241 46. 122243 1 a 35763236. 32.133. 123Bg 民o o.IEC農(nóng)。De；l_J7Ci：C4；i29 tJ：L De H：二為民上 IS：SoLEFce peri： CijxiM-vMi DcBTinatisa port； atkSsiire* psri- GjTiM-vrL*T De&ifnaiisa por:； ArMeTrhEotLrte purl： 31746 DesTiM

16、Tica sort- iCK-ticrTtps 13331 10493 :ACK： Seq-66 Ak*lS721 1*46537 L田()二舒：前5號(hào)；X駛：疋19f 91Z5Z 1- 36236語生血:L 189255 L.3C&312LlS.tL76- L9&.125817393425：96. 195B6： 1- 3B450 二與.176. 19fi. 9125 - -iSfi r&S 115. Si. 150. 53泗 L_ 491206 LIS. 176.196.51cz：t4;59 h5;61:-3Q Dell_f7 :ar：2f czi:s:s9-t5:61:CI0 Dell_f

17、7:a：:2f已：w;d5:b5;61:fl0 Dell_f7 ;nJ :2fc:cs:d9:t5:6irJ0 Dell.f? :a_:2f ci:ca:c9rbo:61:00 Dell_f7:a:2f ci7ca:d&:b5:61:fil0 Dell_f7:a:2f ci:cfi：d3:b5:61:00 Dell_f7:a7:2fOrOrEire? nr re?SqutC Jiri:iQ3-,n.-tJiri: arKtzitWfhSplit芒益j匸口：已口1:蘭：!?11:1匚ySour匚toptina-voet DEmtinatiim part:11131 :：- 1053? :ACK；

18、 Se-57 Ack-li5 T-145 Lsn-0 5Li Source psrt: ujitinarnut 亡stinatpart: axEKntuFh* ritt iCKH6 AGi： S-u-57 Acx-20679 Win-荊53； Lw 51: Source port: cgt ici5-vn.et Desti nat ian mt* :電“S 九話站站 -5S.2 912AO： 5en=22i 址 K諾甜注 ffirt=lT2Sl Len=56i-i6 2. 9&1310112. &D. 154. M20? 19ft. 101. 207Saurce jjnrx:3H&2Ilest

19、iDstian. port: firD：entcrhtjs釗7 S 9C413-I甸乙 196.101. 30TllX.aO.154.3OUDPSouxte wrl;arBCEiitcrtiltps BcllDalion wrt; 2?9124K： e-q=2L Ack=95 肥牛打2汕 Lw=0 viprrTJHAK1 Swrlifi旳5 Ack-2flL lLn-L62BS Len-34404S1 2.91431SZ0Z. 196, LQ1, MT5fl,345-53-90.KF3136 vlptraraslMR 5ra=7a055 lUkBL Th=L62SQ Len=341O；52 2

20、-5：63fli21. X(L 204. 5132fl2_ 1K, 101. S3?TC?SeqzMS 壯：c=90詰野 Ris=12T&S Len=0込 2.92166202.196. L01. 30722L-1Q- 2G5. 2 32TCP&929 8339?aceFSe(rW5的屁05OS Iin-=L6322 Len-4l0|圖5-6數(shù)據(jù)包列表在圖5-6中，鼠標(biāo)單擊某個(gè)數(shù)據(jù)包反藍(lán)顯示。與此同時(shí)，在“數(shù)據(jù)包詳細(xì)信息”窗口、 “解析器窗口”中會(huì)分別顯示這個(gè)數(shù)據(jù)包的所有信息以及16進(jìn)制數(shù)據(jù)信息，如圖5-7數(shù)據(jù)包詳細(xì)信息，所示。謝 Fiaiae 255 S9- byteon wire J712 bitsS 89 bytes capture (12 bitsB Destination: Dell.f 7 :a； :2f 00: lc :23:f7 a7 r2f.1Hthernet II. Src : c4:ca:d9:b5:61:00 (c4:ca:d9:b5:61: 00) Dt: Dell_f7:a7:2f (0Q: 1c