網(wǎng)絡(luò)數(shù)據(jù)捕獲及分析實驗報告

1、精選優(yōu)質(zhì)文檔-傾情為你奉上廣西民族大學網(wǎng)絡(luò)數(shù)據(jù)捕獲及分析實驗報告學院：信息科學與工程學院班級 10網(wǎng)絡(luò) 姓名 郭璇 學號 9 實驗日期 2012年10月19日 指導老師 周衛(wèi) 實驗名稱 網(wǎng)絡(luò)數(shù)據(jù)捕獲及分析實驗報告 一、實驗?zāi)康?、通過捕獲網(wǎng)絡(luò)通信數(shù)據(jù)，使學生能夠真實地觀察到傳輸層（TCP）和應(yīng)用層（HTTP）協(xié)議的數(shù)據(jù)，對計算機網(wǎng)絡(luò)數(shù)據(jù)傳輸有感性的認識。 2、通過對捕獲的數(shù)據(jù)的分析，鞏固學生對這些協(xié)議制定的規(guī)則以及工作的機制理解，從而對計算機網(wǎng)絡(luò)數(shù)據(jù)傳輸有初步的認識，以便為之后通信協(xié)議設(shè)計以及通信軟件設(shè)計打下良好的基礎(chǔ)。二、協(xié)議理論TCP：1、Transmission Control Prot

2、ocol 傳輸控制協(xié)議TCP是一種面向連接（連接導向）的、可靠的、基于字節(jié)流的運輸層（Transport layer）通信協(xié)議，由IETF的RFC 793說明（specified）。在簡化的計算機網(wǎng)絡(luò)OSI模型中，它完成第四層傳輸層所指定的功能，UDP是同一層內(nèi)另一個重要的傳輸協(xié)議。2、TCP所提供服務(wù)的主要特點：（1）面向連接的傳輸；（2）端到端的通信；（3）高可靠性，確保傳輸數(shù)據(jù)的正確性，不出現(xiàn)丟失或亂序；（4）全雙工方式傳輸；（5）采用字節(jié)流方式，即以字節(jié)為單位傳輸字節(jié)序列；（6）緊急數(shù)據(jù)傳送功能。3、TCP連接的建立與終止TCP連接的建立：TCP協(xié)議通過三個報文段完成連接的建

3、立，這個過程稱為三次握手（three-way handshake），過程如下圖所示。 TCP連接的終止：建立一個連接需要三次握手，而終止一個連接要經(jīng)過四次握手，這是由TCP的半關(guān)閉（half-close）造成的。具體過程如下圖所示。4、服務(wù)流程TCP協(xié)議提供的是可靠的、面向連接的傳輸控制協(xié)議，即在傳輸數(shù)據(jù)前要先建立邏輯連接，然后再傳輸數(shù)據(jù)，最后釋放連接3個過程。TCP提供端到端、全雙工通信；采用字節(jié)流方式，如果字節(jié)流太長，將其分段；提供緊急數(shù)據(jù)傳送功能。盡管TCP和UDP都使用相同的網(wǎng)絡(luò)層（IP），TCP卻向應(yīng)用層提供與UDP完全不同的服務(wù)。TCP提供一種面向連接的、可靠的字節(jié)流服務(wù)。面向連接

4、意味著兩個使用TCP的應(yīng)用（通常是一個客戶和一個服務(wù)器）在彼此交換數(shù)據(jù)之前必須先建立一個TCP連接。這一過程與打電話很相似，先撥號振鈴，等待對方摘機說“喂”，然后才說明是誰。在一個TCP連接中，僅有兩方進行彼此通信。廣播和多播不能用于TCP。TCP通過下列方式來提供可靠性：（1）應(yīng)用數(shù)據(jù)被分割成TCP認為最適合發(fā)送的數(shù)據(jù)塊。這和UDP完全不同，應(yīng)用程序產(chǎn)生的數(shù)據(jù)報長度將保持不變。由TCP傳遞給IP的信息單位稱為報文段或段（segment）TCP如何確定報文段的長度。（2）當TCP發(fā)出一個段后，它啟動一個定時器，等待目的端確認收到這個報文段。如果不能及時收到一個確認，將重發(fā)這個報文段。當TCP收

5、到發(fā)自TCP連接另一端的數(shù)據(jù)，它將發(fā)送一個確認。這個確認不是立即發(fā)送，通常將推遲幾分之一秒。（3）TCP將保持它首部和數(shù)據(jù)的檢驗和。這是一個端到端的檢驗和，目的是檢測數(shù)據(jù)在傳輸過程中的任何變化。如果收到段的檢驗和有差錯，TCP將丟棄這個報文段和不確認收到此報文段（希望發(fā)端超時并重發(fā)）。（4）既然TCP報文段作為IP數(shù)據(jù)報來傳輸，而IP數(shù)據(jù)報的到達可能會失序，因此TCP報文段的到達也可能會失序。如果必要，TCP將對收到的數(shù)據(jù)進行重新排序，將收到的數(shù)據(jù)以正確的順序交給應(yīng)用層。（5）既然IP數(shù)據(jù)報會發(fā)生重復，TCP的接收端必須丟棄重復的數(shù)據(jù)。（6）TCP還能提供流量控制。TCP連接的每一方都有固定大

6、小的緩沖空間。TCP的接收端只允許另一端發(fā)送接收端緩沖區(qū)所能接納的數(shù)據(jù)。這將防止較快主機致使較慢主機的緩沖區(qū)溢出。兩個應(yīng)用程序通過TCP連接交換8bit字節(jié)構(gòu)成的字節(jié)流。TCP不在字節(jié)流中插入記錄標識符。我們將這稱為字節(jié)流服務(wù)（bytestreamservice）。如果一方的應(yīng)用程序先傳10字節(jié)，又傳20字節(jié)，再傳50字節(jié)，連接的另一方將無法了解發(fā)方每次發(fā)送了多少字節(jié)。收方可以分4次接收這80個字節(jié)，每次接收20字節(jié)。一端將字節(jié)流放到TCP連接上，同樣的字節(jié)流將出現(xiàn)在TCP連接的另一端。另外，TCP對字節(jié)流的內(nèi)容不作任何解釋。TCP不知道傳輸?shù)臄?shù)據(jù)字節(jié)流是二進制數(shù)據(jù)，還是ASC字符、EBCDI

7、C字符或者其他類型數(shù)據(jù)。對字節(jié)流的解釋由TCP連接雙方的應(yīng)用層解釋。這種對字節(jié)流的處理方式與Unix操作系統(tǒng)對文件的處理方式很相似。Unix的內(nèi)核對一個應(yīng)用讀或?qū)懙膬?nèi)容不作任何解釋，而是交給應(yīng)用程序處理。對Unix的內(nèi)核來說，它無法區(qū)分一個二進制文件與一個文本文件。TCP是因特網(wǎng)中的傳輸層協(xié)議，使用三次握手協(xié)議建立連接。當主動方發(fā)出SYN連接請求后，等待對方回答SYN，ACK。這種建立連接的方法可以防止產(chǎn)生錯誤的連接，TCP使用的流量控制協(xié)議是可變大小的滑動窗口協(xié)議。第一次握手：建立連接時，客戶端發(fā)送SYN包（SEQ=x）到服務(wù)器，并進入SYN_SEND狀態(tài)，等待服務(wù)器確認。第二次握手：服務(wù)器

8、收到SYN包，必須確認客戶的SYN(ACK=x+1），同時自己也送一個SYN包（SEQ=y），即SYN+ACK包，此時服務(wù)器進入SYN_RECV狀態(tài)。第三次握手：客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認包ACK(ACK=y+1），此包發(fā)送完畢，客戶端和服務(wù)器進入Established狀態(tài)，完成三次握手。HTTP：1、超文本傳送協(xié)議 (HTTP-Hypertext transfer protocol) 是分布式，協(xié)作式，超媒體系統(tǒng)應(yīng)用之間的通信協(xié)議。是萬維網(wǎng)（world wide web）交換信息的基礎(chǔ)。它允許將超文本標記語言 (HTML) 文檔從 Web 服務(wù)器傳送到 W

9、eb 瀏覽器。HTML 是一種用于創(chuàng)建文檔的標記語言，這些文檔包含到相關(guān)信息的鏈接。您可以單擊一個鏈接來訪問其它文檔、圖像或多媒體對象，并獲得關(guān)于鏈接項的附加信息。HTTP工作在TCP/IP協(xié)議體系中的TCP協(xié)議上。2、HTTP協(xié)議的主要特點：（1）支持客戶/服務(wù)器模式；（2）簡單快速：客戶向服務(wù)器請求服務(wù)時，只需傳送請求方法和路徑。請求方法常用的有GET、HEAD、POST。每種方法規(guī)定了客戶與服務(wù)器聯(lián)系的類型不同。由于HTTP協(xié)議簡單，使得HTTP服務(wù)器的程序規(guī)模小，因而通信速度很快；（3）靈活：HTTP允許傳輸任意類型的數(shù)據(jù)對象。正在傳輸?shù)念愋陀蒀ontent-Type加以標記

10、；（4）無連接：無連接的含義是限制每次連接只處理一個請求。服務(wù)器處理完客戶的請求，并收到客戶的應(yīng)答后，即斷開連接。采用這種方式可以節(jié)省傳輸時間；（5）無狀態(tài)：HTTP協(xié)議是無狀態(tài)協(xié)議。無狀態(tài)是指協(xié)議對于事務(wù)處理沒有記憶能力。缺少狀態(tài)意味著如果后續(xù)處理需要前面的信息，則它必須重傳，這樣可能導致每次連接傳送的數(shù)據(jù)量增大。3、請求信息發(fā)出的請求信息包括以下幾個： （1）請求行，例如GET /images/logo.gif HTTP/1.1，表示從/images目錄下請求logo.gif這個文件。（2）（請求）頭，例如Accept-Language: en（3）空行（4）可選的消息體請求行和標題必須以

11、<CR><LF>作為結(jié)尾（也就是，回車然后換行）?？招袃?nèi)必須只有<CR><LF>而無其他空格。在HTTP/1.1協(xié)議中，所有的請求頭，除post外，都是可選的。3、請求方法HTTP/1.1協(xié)議中共定義了八種方法（有時也叫“動作”）來表明Request-URI指定的資源的不同操作方式：OPTIONS 返回服務(wù)器針對特定資源所支持的HTTP請求方法。也可以利用向Web服務(wù)器發(fā)送'*'的請求來測試服務(wù)器的功能性。HEAD 向服務(wù)器索要與GET請求相一致的響應(yīng)，只不過響應(yīng)體將不會被返回。這一方法可以在不必傳輸整個響應(yīng)內(nèi)

12、容的情況下，就可以獲取包含在響應(yīng)消息頭中的元信息。GET 向特定的資源發(fā)出請求。注意：GET方法不應(yīng)當被用于產(chǎn)生“副作用”的操作中，例如在web app.中。其中一個原因是GET可能會被網(wǎng)絡(luò)蜘蛛等隨意訪問。POST 向指定資源提交數(shù)據(jù)進行處理請求（例如提交表單或者上傳文件）。數(shù)據(jù)被包含在請求體中。POST請求可能會導致新的資源的建立和/或已有資源的修改。PUT 向指定資源位置上傳其最新內(nèi)容。DELETE 請求服務(wù)器刪除Request-URI所標識的資源。TRACE 回顯服務(wù)器收到的請求，主要用于測試或診斷。CONNECT HTTP/1

13、.1協(xié)議中預留給能夠?qū)⑦B接改為管道方式的代理服務(wù)器。方法名稱是區(qū)分大小寫的。當某個請求所針對的資源不支持對應(yīng)的請求方法的時候，服務(wù)器應(yīng)當返回狀態(tài)碼405（Method Not Allowed）；當服務(wù)器不認識或者不支持對應(yīng)的請求方法的時候，應(yīng)當返回狀態(tài)碼501（Not Implemented）。HTTP服務(wù)器至少應(yīng)該實現(xiàn)GET和HEAD方法，其他方法都是可選的。當然，所有的方法支持的實現(xiàn)都應(yīng)當符合下述的方法各自的語義定義。此外，除了上述方法，特定的HTTP服務(wù)器還能夠擴展自定義的方法。三、實驗步驟1、捕獲數(shù)據(jù)包前的準備工作：在默認情況下，sniffer將捕獲其接入碰撞域中流經(jīng)的所有數(shù)據(jù)包，但在

14、某些場景下，有些數(shù)據(jù)包可能不是我們所需要的，為了快速定位網(wǎng)絡(luò)問題所在，有必要對所要捕獲的數(shù)據(jù)包作過濾。Sniffer提供了捕獲數(shù)據(jù)包前的過濾規(guī)則的定義，過濾規(guī)則包括2、3層地址的定義和幾百種協(xié)議的定義。定義過濾規(guī)則的做法一般如下：（1）在主界面選擇CaptureDefine filter選項。 （2）Define filterAddress，這是最常用的定義。其中包括MAC地址、IP地址和IPX地址的定義。（3）Define filterAdvanced，定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包。比如，想捕獲DNS、HTTP的數(shù)據(jù)包，那么說首先打開TCP選項卡，再進一步選協(xié)議；還要明確DNS的數(shù)據(jù)包有些

15、是屬于UDP協(xié)議，故需在UDP選項卡做類似TCP選項卡的工作，否則捕獲的數(shù)據(jù)包將不全。 如果不選任何協(xié)議，則捕獲所有協(xié)議的數(shù)據(jù)包。（4）AdvancedProfilesNew，新建一個Capture。（4）最后，需將定義的過濾規(guī)則應(yīng)用于捕獲中，點選CaptureSelect Filter中選取定義的捕獲規(guī)則。2、網(wǎng)絡(luò)操作和捕獲數(shù)據(jù)包：（1）打開瀏覽器，清除記錄。在地址欄中輸入要訪問網(wǎng)站的地址，但未訪問。（2）選擇CaptureStart,啟動捕獲引擎。 sniffer可以實時監(jiān)控主機、協(xié)議、應(yīng)用程序、不同包類型等的分布情況。（3）訪問網(wǎng)站。（4）停止sniffer捕獲包，點選CaptureSt

16、op或者CaptureStop and Display,前者停止捕獲包，后者停止捕獲包并把捕獲的數(shù)據(jù)包進行解碼和顯示。3、使用Display filter過濾數(shù)據(jù)：（1） 打開瀏覽器，清除記錄。在地址欄中輸入要訪問網(wǎng)站的地址，但未訪問。（2） 選擇CaptureStart,啟動捕獲引擎。 sniffer可以實時監(jiān)控主機、協(xié)議、應(yīng)用程序、不同包類型等的分布情況。（3）訪問網(wǎng)站。（4）停止sniffer捕獲包，點選CaptureStop或者CaptureStop and Display,前者停止捕獲包，后者停止捕獲包并把捕獲的數(shù)據(jù)包進行解碼和顯示。（5）在主界面選擇DisplayDefine fi

17、lter選項。 （6）Define filterAddress，這是最常用的定義。其中包括MAC地址、IP地址和IPX地址的定義。（7）Define filterAdvanced，定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包。比如，想捕獲DNS、HTTP的數(shù)據(jù)包，那么說首先打開TCP選項卡，再進一步選協(xié)議；還要明確DNS的數(shù)據(jù)包有些是屬于UDP協(xié)議，故需在UDP選項卡做類似TCP選項卡的工作，否則捕獲的數(shù)據(jù)包將不全。 如果不選任何協(xié)議，則捕獲所有協(xié)議的數(shù)據(jù)包。（8）AdvancedProfilesNew，新建一個Capture。（9）最后，需將定義的過濾規(guī)則應(yīng)用于捕獲中，點選DisplaySelect Fi

18、lter中選取定義的捕獲規(guī)則。四、實驗數(shù)據(jù)與分析1、TCP連接三次握手建立在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務(wù)，采用三次握手建立一個連接。位碼即TCP標志位,有6種標示:SYN(synchronous建立聯(lián)機) ACK(acknowledgement 確認) PSH(push傳送) FIN(finish結(jié)束) RST(reset重置) URG(urgent緊急) Sequence number(順序號碼) Acknowledge number(確認號碼)第一次握手：客戶端8發(fā)送位碼為SYN1,隨機產(chǎn)生SEQ=的數(shù)據(jù)包到服務(wù)器5，服

19、務(wù)器由SYN=1知道，客戶端要求建立聯(lián)機；第二次握手：服務(wù)器5收到請求后要確認聯(lián)機信息，向8發(fā)送ACK=SEQ+1=，隨機產(chǎn)生SEQ=的包； 第三次握手：客戶端8收到后檢查ACK是否正確，客戶端8會再發(fā)送ACK=(服務(wù)器5的SEQ+1)，服務(wù)器5收到后確認SEQ值連接建立成功。完成三次握手，客戶端與服務(wù)器開始傳送數(shù)據(jù)。2、HTTP請求報文：客戶端8向服務(wù)器5發(fā)出的HTTP請求報文。HTTP報文的長

20、度為LEN=397字節(jié)。GET / HTTP/1.1： 客戶端使用HTTP/1.1的版本，請求方法是GET，獲取的資源URL是相對路徑下的默認文檔。Accept: 指定客戶端接收所有類型的消息，此報文接受了若干圖片、flash等消息。Accept-Language: zh-cn，表示客戶端所使用的瀏覽器支持的語言簡體中文。Accept-Encoding: gzip.deflate, 表示瀏覽器支持的壓縮編碼是 gzip 和 deflate。User-Agent: Mozilla/4.0，表示客戶端使用的用戶代理是 Mozilla/4.0。 Host: ，表示請求服務(wù)器的域名。Connection: Keep-Alive ，表示客戶端與服務(wù)連接類型是持久連接。3、確認HTTP請求報文服務(wù)器5對客戶端8的HTTP請求報文的ACK確認。服務(wù)器響應(yīng)客戶端的HTTP請求報文之后，便向客戶端發(fā)一個TCP報文段。其中ACK=+397。表示服務(wù)器已正確接收到客戶端的請求報文。4、服務(wù)器5給客戶端192.16