第章I數(shù)據(jù)報結(jié)構(gòu)

第2章IP數(shù)據(jù)報結(jié)構(gòu)

第2章IP數(shù)據(jù)報結(jié)構(gòu)教學(xué)提示：本章主要介紹網(wǎng)絡(luò)層和傳輸層各協(xié)議的報頭結(jié)構(gòu)，SnifferPro的安裝和使用方法。教學(xué)要求：了解流量監(jiān)控和數(shù)據(jù)分析的概念，掌握網(wǎng)絡(luò)層協(xié)議和傳輸層協(xié)議的報頭結(jié)構(gòu)，熟悉SnifferPro的安裝和基本操作方法，熟練掌握使用SnifferPro進行抓包并分析的步驟。2.1流量監(jiān)控與數(shù)據(jù)分析以太網(wǎng)的通信是基于廣播方式的，這意味著在同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問到物理媒體上傳輸?shù)臄?shù)據(jù)，而每一個網(wǎng)絡(luò)接口都有一個惟一的硬件地址，即MAC地址，長度為48字節(jié)，一般來說每一塊網(wǎng)卡上的MAC地址都是不同的。在MAC地址和IP地址間使用ARP和RARP協(xié)議進行相互轉(zhuǎn)換。2.1.1局域網(wǎng)數(shù)據(jù)流量的監(jiān)控以太網(wǎng)的工作機制是把要發(fā)送的數(shù)據(jù)包發(fā)往連接在同一網(wǎng)段中的所有主機，在包頭中包括有目標主機的正確地址，只有與數(shù)據(jù)包中目標地址相同的主機才能接收到信息包，但是當(dāng)主機工作在監(jiān)聽模式下時，不管數(shù)據(jù)包中的目標物理地址是什么，主機都可以接收到。許多局域網(wǎng)內(nèi)有十幾臺甚至上百臺主機是通過一個集線器連接在一起的，在協(xié)議的高層或者用戶來看，當(dāng)同一網(wǎng)絡(luò)中的兩臺主機通信的時候，源主機將寫有目的主機地址的數(shù)據(jù)包直接發(fā)往目的主機，或者當(dāng)網(wǎng)絡(luò)中的一臺主機同外界的主機通信時，源主機將寫有目的主機IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去，要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口，即數(shù)據(jù)鏈路層。網(wǎng)絡(luò)接口不會識別IP地址，它在IP數(shù)據(jù)包的基礎(chǔ)上又增加了一部分以太幀的幀頭信息。在幀頭中，有兩個域分別為只有網(wǎng)絡(luò)接口才能識別的源主機和目的主機的物理地址，這個48位的地址是與IP地址相對應(yīng)的。對于作為網(wǎng)關(guān)的主機，由于它連接了多個網(wǎng)絡(luò)，它也就同時具備有很多個IP地址，在每個網(wǎng)絡(luò)中它都有一個。局域網(wǎng)數(shù)據(jù)流量的監(jiān)控1．檢測網(wǎng)絡(luò)監(jiān)聽(1)對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址ping，運行監(jiān)聽程序的機器會有響應(yīng)。這是因為正常的機器不接收錯誤的物理地址，但處于監(jiān)聽狀態(tài)的機器能接收，如果它不反向檢查地址的話，就會響應(yīng)。(2)向網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序分析和處理大量的數(shù)據(jù)包時要占用很多的CPU資源，這將導(dǎo)致性能下降。這種方法的難度比較大。(3)使用反監(jiān)聽工具進行檢測。局域網(wǎng)數(shù)據(jù)流量的監(jiān)控2．網(wǎng)絡(luò)監(jiān)聽的防范措施1)對網(wǎng)絡(luò)進行邏輯分段或物理分段網(wǎng)絡(luò)分段是一種有效抑制網(wǎng)絡(luò)廣播風(fēng)暴的基本手段，從安全角度講也是一項具體的安全措施。其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。2)使用交換式集線器盡管對局域網(wǎng)的中心交換機進行了網(wǎng)絡(luò)分段，但是局域網(wǎng)監(jiān)聽的威脅依然存在。因為網(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機，而分支集線器通常使用共享式集線器。當(dāng)用戶與主機進行數(shù)據(jù)通信時，同一臺集線器上的其他用戶可以監(jiān)聽到兩臺機器之間傳送的數(shù)據(jù)包。由此必須以交換式集線器取代共享式集線器，從而防止被非法監(jiān)聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包和多播包。但廣播包和多播包內(nèi)的關(guān)鍵信息要遠遠少于單播包。3)使用加密技術(shù)數(shù)據(jù)經(jīng)過加密后，即使通過監(jiān)聽得到傳送的信息，但顯示的卻可能是毫無意義的亂碼。使用加密技術(shù)會影響數(shù)據(jù)傳輸速度，如果使用一個弱加密術(shù)還比較容易被攻破。這樣管理員和用戶必須在速度和安全上進行權(quán)衡。局域網(wǎng)數(shù)據(jù)流量的監(jiān)控4)劃分VLANVLAN(虛擬局域網(wǎng))技術(shù)可以有效縮小沖突域，通過劃分VLAN能防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。2.1.2Sniffer工具介紹

計算機網(wǎng)絡(luò)是共享通信通道的，這意味著計算機能夠接收到發(fā)送給其他計算機的信息。捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱為sniffing(竊聽)。以太網(wǎng)是現(xiàn)在應(yīng)用最廣泛的計算機連網(wǎng)方式。以太網(wǎng)協(xié)議的特點是在同一網(wǎng)絡(luò)向所有主機發(fā)送數(shù)據(jù)包信息。數(shù)據(jù)包頭包含有目標主機的地址。一般情況下只有具有該地址的主機會接收這個數(shù)據(jù)包。如果一臺主機能夠接收所有數(shù)據(jù)包，而不理會數(shù)據(jù)包頭內(nèi)容，這種方式通常稱為“混雜”模式。Sniffer軟件是NAI公司推出的功能強大的協(xié)議分析軟件。Sniffer支持的協(xié)議豐富，解碼分析速度快。其中SnifferPro版可以運行在各種Windows平臺上。2.1.3深入了解SnifferSniffer是一種常用的收集有用數(shù)據(jù)的方法，這些數(shù)據(jù)可以是用戶的賬號和密碼，還可以是一些商用機密數(shù)據(jù)等。隨著Internet及電子商務(wù)的日益普及，Internet的安全也越來越受到重視。Sniffer在Internet安全隱患中顯示了很重要的作用。Sniffer通常運行在路由器或有路由器功能的主機上，這樣就能對大量的數(shù)據(jù)進行監(jiān)控。Sniffer幾乎能得到任何以太網(wǎng)上傳送的數(shù)據(jù)包。在以太網(wǎng)中Sniffer將系統(tǒng)的網(wǎng)絡(luò)接口設(shè)定為混雜模式。這樣，它就可以監(jiān)聽到所有流經(jīng)同一以太網(wǎng)網(wǎng)段的數(shù)據(jù)包，而不管它的接受者或發(fā)送者是不是運行Sniffer的主機。2.2網(wǎng)絡(luò)層協(xié)議報頭結(jié)構(gòu)網(wǎng)絡(luò)層協(xié)議將數(shù)據(jù)包封裝成IP數(shù)據(jù)報，并運行必要的路由算法，它有4個互聯(lián)協(xié)議。(1)網(wǎng)際協(xié)議(IP)：在主機和網(wǎng)絡(luò)之間進行數(shù)據(jù)包的路由轉(zhuǎn)發(fā)。(2)地址解析協(xié)議(ARP)：獲得同一物理網(wǎng)絡(luò)中的硬件主機地址。(3)網(wǎng)際控制報文協(xié)議(ICMP)：發(fā)送消息，并報告有關(guān)數(shù)據(jù)包的傳送錯誤。(4)互聯(lián)組管理協(xié)議(IGMP)：IP主機向本地多路廣播路由器報告主機組成員。2.2.1IPIP協(xié)議面向無連接，主要負責(zé)在主機間尋址并為數(shù)據(jù)包設(shè)定路由，在交換數(shù)據(jù)前它并不建立會話。因為它不保證正確傳遞；另一方面，數(shù)據(jù)在被收到時，IP不需要收到確認，所以它是不可靠的。IP數(shù)據(jù)報格式

2.2.2ARPARP(地址解析協(xié)議)用于獲得在同一物理網(wǎng)絡(luò)中的主機的硬件地址。要在網(wǎng)絡(luò)上通信必需知道對方主機的硬件地址，地址解析就是將主機IP地址映射為硬件地址的過程。ARP包結(jié)構(gòu)

2.2.3ICMP

ICMP(Internet控制報文協(xié)議)用于報告錯誤并對消息進行控制。ICMP是IP層的一個組成部分，它負責(zé)傳遞差錯報文及其他需要注意的信息。ICMP報文通常被IP層或更高層協(xié)議(TCP或UDP)使用，一些ICMP報文把差錯報文返回給用戶進程。ICMP報文是在IP數(shù)據(jù)報內(nèi)部傳輸。2.岡2.茅4偷I邊GM稅PIG灑MP叫(互聯(lián)毀組管程理協(xié)劫議)把信笨息傳麥給別撫的路師由器王，以棕使每恰個支凝持多滅路廣懇播的詞路由關(guān)器獲藝知哪雀個主的機組班處于酒哪個稈網(wǎng)絡(luò)左中。正如IC就MP一樣德，IG水MP也被慰當(dāng)作IP層的旁一部明分。IG融MP報文掌通過IP數(shù)據(jù)贈報進益行傳吵輸，范有固蜻定的挪報文場長度謊，沒尤有可吳選數(shù)支據(jù)項頌。2.款3傳輸角層協(xié)吃議報笑頭結(jié)險構(gòu)傳輸漸協(xié)議紋在計貧算機蜻之間志提供每通信睛會話拔。傳遷輸協(xié)壤議的神選擇物根據(jù)夜數(shù)據(jù)角傳輸蹦方式顧而定污。常辦用的垃兩個避傳輸劈燕協(xié)議豈如下憲。(1較)傳輸澆控制啄協(xié)議(T走CP勺)：提號供了丹面向夜連接堅的通違信，羊為應(yīng)有用程腸序提黎供可肢靠的單通信紗連接賺。適倦合于角一次燭傳輸匙大批矩數(shù)據(jù)榆的情她況，都并適駐用于詞要求耕得到氧響應(yīng)木的應(yīng)汗用程抖序。(2菌)用戶臂數(shù)據(jù)駕報協(xié)捐議(U絡(luò)DP朋)：提宴供了表無連持接通籠信，拔且不欺對傳偽送包腳進行顧可靠剩的保皮證，柳適合效于一俱次傳是輸小堪量數(shù)張據(jù)的愁情況洋，可羅靠性接由應(yīng)烤用層挪負責(zé)媽。2.還3.榆1頸T候CPTC匠P提供周一種攝面向限連接派的、獎可靠學(xué)的字玻節(jié)流滾服務(wù)竟。面鋤向連慘接意鐮味著書兩個笛使用TC芒P的應(yīng)而用在浩彼此厭交換穗數(shù)據(jù)扎之前荒必須士先建咬立一食個TC壁P連接著。TC嘩P數(shù)據(jù)塘報結(jié)剪構(gòu)2.正3.嚷2拿U請DPUD勸P是一扒個簡故單的船面向具數(shù)據(jù)錦報的勻運輸倡層協(xié)鬧議，踢進程再的每泡個輸咳出操污作都裙正好仔產(chǎn)生繞一個UD臂P數(shù)據(jù)優(yōu)報，鈔并組扛裝成疼一份額待發(fā)截送的IP數(shù)據(jù)嚴報。胳這與困面向鏟流字摸符的子協(xié)議旁不同(如TC振P)，應(yīng)飾用程每序產(chǎn)以生的浸全體伸數(shù)據(jù)糕與真帽正發(fā)他送的免單個IP數(shù)據(jù)榜報可得能沒等有什著么聯(lián)踏系。UD窄P檢驗辨和計蛾算過集程中標使用多的各墾個字擠段2.網(wǎng)4貢T京CP會話弓安全TC憲P協(xié)議并面向蹤蝶連接伸，收責(zé)發(fā)雙盒方在啟發(fā)送涌數(shù)據(jù)另之前怨必須錫建立少一條雹連接弓。TC茫P連接梅包括醫(yī)：連泰接建予立、概數(shù)據(jù)罩傳輸遵和連殿接終渣止。TC鴉P用3次握睜手建傻立一回個連石接。1．連杜接建昏立(三次徑握手)一對尸終端組同時疼初始塘化一涌個它嬸們之燭間的麻連接詞，但禾通常免是由逆一端欲打開噴一個劇套接神字，技然后煩監(jiān)聽逼來自培另一活方的策連接乖，這擊就是箱通常疊所指但的被銜動打檔開。望被動騰打開床的一樸端就菊是服待務(wù)器卵端。船而客刷戶端清通過倘向服配務(wù)器普端發(fā)斷送一農(nóng)個SY攀N來建踩立一絞個主化動打脆開，孝作為奪三次爐握手諒的一喊部分戚。服朽務(wù)器籌端為勸一個宋合法型的SY慚N回送貫一個SY室N/細AC布K。最盟后，秒客戶倘端再嶺發(fā)送難一個AC植K。這味樣就獅完成大了三聰次握挖手，噴并進橫入了搞連接魄建立曾狀態(tài)航。2．?dāng)?shù)呼據(jù)傳領(lǐng)輸很多容重要求的機盟制在TC屬P的數(shù)震據(jù)傳既送狀仍態(tài)保嶄證了TC權(quán)P的可典靠性弦和強浩壯性揮。它倦們包撈括：脖使用示序號陜對收霜到的TC及P報文杠段進甜行排厚序以洪及檢意測重頓復(fù)的儀數(shù)據(jù)倍；使誕用校料驗和炕來檢御測報積文段停的錯辰誤；鐵使用就確認口和計干時器拴來檢飾測和漿糾正遺丟包株或延喝時。在三秘次握舒手過雖程中裳，兩爹個主花機的TC攔P層間毒要交推換初棍始序因號。筍這些吹序號城用于楚標識臥字節(jié)什流中控的數(shù)雜據(jù)，斧并且鬼還是掉對應(yīng)宵用層釘?shù)臄?shù)柔據(jù)字禽節(jié)進希行記責(zé)數(shù)的睡整數(shù)月。通膊常在在每個TC耗P報文禁段中陷都有環(huán)一對斃序號爺和確族認號已。TC攀P報文老發(fā)送裳者認雞為自核己的霉字節(jié)狗編號意為序且號，癢而認佩為接野收者刷的字袍節(jié)編砌號為繭確認溪號。TC槳P報文擁的接矩收者脂為了第確保竊可靠臉性，籠在接巨收到超一定道數(shù)量摔的連揀續(xù)字問節(jié)流爽后才旁發(fā)送豆確認松。這閃是對TC熔P的一臂種擴令展，約通常師稱為炊選擇圖確認(S抵AC保K)。選坊擇確臨認使治得TC冰P接收輕者可正以對孩亂序甲到達私的數(shù)輕據(jù)塊搖進行峽確認蜓。3．連勺接終章止連接賄終止妙使用絞了四稠次握哀手，縱每個桑終端淺的連蛋接在楚此過塵程中拌都能匹獨立會地被就終止持。因庭此，虎一個隨典型爸的拆神接過裂程需批要每陵個終膽端都倆提供大一對FI王N和AC打K。2.系5數(shù)據(jù)姐流捕拳捉與釘分析捕獲茂過程劇報文狀統(tǒng)計捕獲監(jiān)報文裁查看設(shè)置貍捕獲消條件AR蓄P報文駐解碼IP報文呆解碼2.究6本險章靠實等訓(xùn)使用Sn款if鴨fe飾r工具古進行系抓捕征獲分峰析2.虎7本章定習(xí)題峰填脈空題(