項目二 分析網(wǎng)絡(luò)數(shù)據(jù)報

項目二分析網(wǎng)絡(luò)數(shù)據(jù)報目錄2.2【任務(wù)2】分析基礎(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)2.1【任務(wù)1】安裝Wireshark2.3【任務(wù)3】分析ARP和IP2.4【任務(wù)4】分析TCP2.5【任務(wù)5】分析HTTP案例分析3在學習網(wǎng)絡(luò)過程中，小張想使用Wireshark分析網(wǎng)絡(luò)數(shù)據(jù)，使用Wireshark的前提是安裝該軟件。本任務(wù)是下載安裝Wireshark。需求描述案例分析4打開Wireshark官網(wǎng)，找到需要下載的軟件版本進行下載。安裝Wireshark軟件并驗證是否成功安裝。設(shè)計思路任務(wù)一安裝Wireshark5案例展示實現(xiàn)步驟61、下載Wireshark軟件2、根據(jù)配置需求完成安裝知識點講解7010203計算機網(wǎng)絡(luò)的功能計算機網(wǎng)絡(luò)的概念及發(fā)展歷史計算機網(wǎng)絡(luò)分類計算機網(wǎng)絡(luò)概念及發(fā)展歷史計算機網(wǎng)絡(luò)的概念計算機網(wǎng)絡(luò)是將分布在不同地點、具有獨立自主能力的多個計算機系統(tǒng)通過通信線路進行連接，共同遵循某個網(wǎng)絡(luò)協(xié)議，從而實現(xiàn)信息互通和資源共享的系統(tǒng)。8計算機網(wǎng)絡(luò)概念及發(fā)展歷史計算機發(fā)展歷史由于計算技術(shù)、通信技術(shù)、光電技術(shù)等迅速的發(fā)展，形成了計算機網(wǎng)絡(luò)。計算機網(wǎng)絡(luò)經(jīng)過40多年的發(fā)展，已經(jīng)成為現(xiàn)代社會不可或缺的重要技術(shù)，計算機網(wǎng)絡(luò)的發(fā)展經(jīng)歷了4代。分別是:第一代計算機網(wǎng)絡(luò)（面向終端的計算機通信網(wǎng)）第二代計算機網(wǎng)絡(luò)（自主功能的主機互聯(lián)的計算機網(wǎng)絡(luò)）第三代計算機網(wǎng)絡(luò)（遵循國際標準化協(xié)議的計算機網(wǎng)絡(luò)）第四代計算機網(wǎng)絡(luò)（互聯(lián)、高速和智能化的網(wǎng)絡(luò)）9計算機網(wǎng)絡(luò)的功能計算機網(wǎng)絡(luò)的功能計算機網(wǎng)絡(luò)給人們的生活帶來了豐富多彩的體驗，通過網(wǎng)絡(luò)，可以進行文字、語音、視頻和語音聊天等，同時還可以上網(wǎng)查詢資料，在線學習等。計算機網(wǎng)絡(luò)的基本功能分為資源共享、數(shù)據(jù)通信、分布式處理、網(wǎng)絡(luò)綜合服務(wù)等4個方面。10計算機網(wǎng)絡(luò)分類按照網(wǎng)絡(luò)的覆蓋范圍分類按照網(wǎng)絡(luò)的覆蓋范圍可以分為四種類型分別是局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)，是目前網(wǎng)絡(luò)分類中最為常用的一種分類方式。按照網(wǎng)絡(luò)的拓撲結(jié)構(gòu)分類計算機網(wǎng)絡(luò)的拓撲結(jié)構(gòu)就是用網(wǎng)絡(luò)的站點與連接線的幾何關(guān)系來表示網(wǎng)絡(luò)的結(jié)構(gòu)，主要分為總線型、星型、樹型、環(huán)型和網(wǎng)狀型。11計算機網(wǎng)絡(luò)分類按照傳輸技術(shù)分類計算機網(wǎng)絡(luò)根據(jù)傳輸任務(wù)不同分為廣播式網(wǎng)絡(luò)和點對點網(wǎng)絡(luò)。按照交換方式分類計算機網(wǎng)絡(luò)按照交換方式分類可以分為分組交換網(wǎng)、報文交換網(wǎng)、電路交換網(wǎng)和混合交換網(wǎng)4種。12目錄2.2【任務(wù)2】分析基礎(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)2.1【任務(wù)1】安裝Wireshark2.3【任務(wù)3】分析ARP和IP2.4【任務(wù)4】分析TCP2.5【任務(wù)5】分析HTTP案例分析14安裝Wireshark后，需要使用Wireshark進行數(shù)據(jù)的抓取和分析，本任務(wù)是使用Wireshark實現(xiàn)對網(wǎng)站數(shù)據(jù)的抓取。需求描述案例分析15打開Wireshark軟件。配置捕獲接口。打開CMD，ping。抓取ping網(wǎng)站的數(shù)據(jù)。分析ping網(wǎng)站的數(shù)據(jù)有哪幾個網(wǎng)絡(luò)協(xié)議。設(shè)計思路任務(wù)二分析基礎(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)16案例展示實現(xiàn)步驟171、打開Wireshark3.2.22、配置“WLAN”網(wǎng)卡3、啟動抓包4、ping知識點講解18010203OSI模型網(wǎng)絡(luò)協(xié)議概念TCP/IP網(wǎng)絡(luò)協(xié)議概念網(wǎng)絡(luò)協(xié)議概念在計算機網(wǎng)絡(luò)中，需要為了交換數(shù)據(jù)和控制信息能夠有條不紊的進行，每個節(jié)點之間都要遵守一些事先約定好的規(guī)則，這些為網(wǎng)絡(luò)數(shù)據(jù)交換而制定的規(guī)則、約定與標準被稱為網(wǎng)絡(luò)協(xié)議（protocol）。網(wǎng)絡(luò)協(xié)議主要由語法、語義和時序3個元素組成。19OSI模型OSI模型20OSI參考模型共劃分為7層，從下到上依次為：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層。如圖2-21所示，圖中虛線連接表示同層之間的協(xié)議，實線表示數(shù)據(jù)流。在發(fā)送方數(shù)據(jù)由應(yīng)用層逐層傳遞到物理層，在接收端數(shù)據(jù)由物理層傳遞到應(yīng)用層。TCP/IPTCP/IP21TCP/IP是一個協(xié)議系列，或稱為協(xié)議簇，里面包含IP協(xié)議，IMCP協(xié)議，TCP協(xié)議，以及我們更加熟悉的HTTP、FTP、POP3協(xié)議等等。對應(yīng)OSI模型的層次結(jié)構(gòu)，并且為了實現(xiàn)的簡單性，TCP/IP將OSI部分層次的功能合并，合并后共有4層：網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。目錄2.2【任務(wù)2】分析基礎(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)2.1【任務(wù)1】安裝Wireshark2.3【任務(wù)3】分析ARP和IP2.4【任務(wù)4】分析TCP2.5【任務(wù)5】分析HTTP案例分析23本任務(wù)是通過對ARP和IP相關(guān)知識的學習，實現(xiàn)Wireshark分析ARP和IP。需求描述案例分析24準備兩臺物理機，兩臺物理機之間能夠互相通信。使用Wireshark抓取兩臺物理機通信過程中產(chǎn)生的ARP數(shù)據(jù)。對數(shù)據(jù)包進行IP協(xié)議過濾。對抓取的IP數(shù)據(jù)包進行分析。設(shè)計思路任務(wù)三分析ARP和IP25案例展示知識點講解260102IPARPARP什么是ARPARP（AddressResolutionProtocol，地址解析協(xié)議）可以通過IP地址獲取對應(yīng)主機的物理地址，是網(wǎng)絡(luò)層協(xié)議。IP地址在OSI模型的第三層，MAC地址在第二層，彼此不直接通信。在通過以太網(wǎng)發(fā)送IP數(shù)據(jù)報時，為了正確地向目的主機傳送報文，必須把目的主機的32位IP地址轉(zhuǎn)換成為目的主機48位以太網(wǎng)的地址（MAC地址），這就需要在互聯(lián)層有一個服務(wù)或功能將IP地址轉(zhuǎn)換為相應(yīng)的物理地址（MAC地址），這個服務(wù)或者功能就是ARP協(xié)議。27ARPARP報文格式在對ARP協(xié)議抓包之后，需要了解ARP報文格式以便清楚分析ARP報文28ARPARP報文格式29硬件類型：表明ARP實現(xiàn)在哪種類型的網(wǎng)絡(luò)上協(xié)議類型：表示解析協(xié)議（上層協(xié)議）的地址類。這里一般是0x0800，即代表IP地址。硬件地址長度：即MAC地址長度的值，此處的值代表地址長度為6字節(jié)協(xié)議地址長度：即IP地址長度，此處的值代表地址長度為4字節(jié)操作類型：表示ARP的報文數(shù)據(jù)類型。1表示ARP請求數(shù)據(jù)報，2表示ARP應(yīng)答數(shù)據(jù)報源MAC地址：發(fā)送端MAC地址源IP地址：發(fā)送端IP地址目標MAC地址：接收端MAC地址目標IP地址：接收端IP地址IP什么是IPIP協(xié)議為互聯(lián)網(wǎng)協(xié)議，是InternetProtocol的縮寫，中文縮寫為“網(wǎng)協(xié)”。IP協(xié)議是位于OSI摸型中第三層的協(xié)議，其主要功能是在一個個IP模塊間傳送數(shù)據(jù)報。網(wǎng)絡(luò)中每個計算機和網(wǎng)關(guān)上都有IP模塊。30IPIP地址IP地址由32位二進制數(shù)值組成（4字節(jié)），但為了方便用戶的理解和記憶，通常采用點分十進制標記法，即將4字節(jié)的二進制數(shù)值轉(zhuǎn)換成4個十進制數(shù)值，每個數(shù)值小于等于255，數(shù)值中間用“.”隔開，表示成w.x.y.z的形式。31IPIP地址的分類按照IP規(guī)定，Internet上的地址共有A、B、C、D、E共5類32IPIP地址的分類33A類IP地址A類IP地址網(wǎng)絡(luò)占據(jù)8位，主機占據(jù)24位，A類網(wǎng)絡(luò)個數(shù)為126，每個網(wǎng)絡(luò)可容納的主機數(shù)目是16777214（224-2），其首字節(jié)數(shù)值的范圍為1～126。B類IP地址B類IP地址網(wǎng)絡(luò)占據(jù)16位，主機占據(jù)16位。B類網(wǎng)絡(luò)個數(shù)為16384（214），每個網(wǎng)絡(luò)可容納的主機數(shù)目是65534（216-2），其首字節(jié)數(shù)值的范圍為128～191。C類IP地址C類IP地址網(wǎng)絡(luò)占據(jù)24位，主機占據(jù)8位。C類網(wǎng)絡(luò)個數(shù)為2097152（221），每個網(wǎng)絡(luò)可容納的主機數(shù)目是254（28-2），其首字節(jié)數(shù)值的范圍為192～223。D類IP地址D類IP地址用于組播，其首字節(jié)數(shù)值的范圍為224～239。E類IP地址E類IP地址用作試驗，其首字節(jié)數(shù)值的范圍為240～247。IP數(shù)據(jù)報IP數(shù)據(jù)報34TCP/IP協(xié)議定義了一個在因特網(wǎng)上傳輸?shù)陌?，成為IP數(shù)據(jù)報。IP數(shù)據(jù)報是一個與硬件無關(guān)的虛擬包，由首部（header）和數(shù)據(jù)兩部分組成，首部部分主要包括版本、長度和IP地址等信息。數(shù)據(jù)部分一般用來傳送其他的協(xié)議，如TCP、UDP和ICMP等。目錄2.2【任務(wù)2】分析基礎(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)2.1【任務(wù)1】安裝Wireshark2.3【任務(wù)3】分析ARP和IP2.4【任務(wù)4】分析TCP2.5【任務(wù)5】分析HTTP案例分析36本任務(wù)是通過對ARP和TCP相關(guān)知識的學習，實現(xiàn)Wireshark分析TCP。需求描述案例分析37在Wireshark找到TCP協(xié)議相關(guān)數(shù)據(jù)。分析TCP數(shù)據(jù)報設(shè)計思路任務(wù)四分析TCP38案例展示知識點講解390102UDPTCPTCPTCP簡介40TCP（TransmissionControlProtocol，傳輸控制協(xié)議）是一種基于IP的傳輸層、面向連接的、可靠的協(xié)議，其主要作用是為應(yīng)用層提供一個可靠的（保證傳輸?shù)臄?shù)據(jù)不重復、不丟失）、面向連接的、全雙工的數(shù)據(jù)流傳輸服務(wù)。TCP的工作過程如圖所示，使用IP傳遞信息。每一個TCP信息被封裝在一個IP數(shù)據(jù)報中并通過互聯(lián)網(wǎng)傳送。當數(shù)據(jù)報到達目的主機時，IP將先前封裝的TCP信息再送交給TCP。TCPTCP建立連接41在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務(wù)，通過使用三次握手建立一個連接。所有基于TCP的通信都需要以兩臺主機的握手開始。TCPTCP三次握手42TCP流程如圖所示，在圖中SEQ表示請求序列號，ACK表示確認序列號。TCPTCP三次握手43第一次握手建立連接時，客戶端向服務(wù)器發(fā)送SYN報文（SEQ=x，SYN=1），并進入SYNSENT狀態(tài)，等待服務(wù)器確認第二次握手實際上是分兩部分來完成的，即SYN+ACK（請求和確認）報文。（1）服務(wù)器收到了客戶端的請求，向客戶端回復一個確認信息（ACK=x+1）。（2）服務(wù)器再向客戶端發(fā)送一個SYN包（SEQ=y）建立連接的請求，此時服務(wù)器進入SYN_RECV狀態(tài)。第三次握手客戶端收到服務(wù)器的回復（SYN+ACK報文）。此時，客戶端也要向服務(wù)器發(fā)送確認包（ACK）。此包發(fā)送完畢，客戶端和服務(wù)器進入ESTABLISHED狀態(tài)，完成三次握手。TCPTCP數(shù)據(jù)報44在對捕獲的TCP信息進行過濾時，需要了解TCP的數(shù)據(jù)報首部格式，TCP首部格式如圖所示。TCPTCP數(shù)據(jù)報451)源端口和目的端口：分別與源IP地址和目的IP地址一起標識TCP連接的兩個端點。2)序號：TCP段中第一個字節(jié)的序號。3)確認序號：準備接收的下一個字節(jié)序號。4)頭長：包括固定頭和選項頭。5)保留：保留為今后使用，目前設(shè)置為0。6)標識：包括緊急比特URG和確認比特ACK等一組位標識，用于識別當前信息傳遞的狀態(tài)。7)窗口大小：TCP使用可變長度的滑動窗口進行流量控制，窗口大小表明發(fā)送方可以發(fā)送的字節(jié)數(shù)（從確認序號開始）。8)校驗和：對TCP頭、數(shù)據(jù)及偽頭結(jié)構(gòu)進行校驗。9)緊急指針：指出緊急數(shù)據(jù)的位置（距當前序號的偏移值）。10)選項：選項可用來提供一些額外的功能。UDPUDP簡介46UDP是UserDatagramProtocol（用戶數(shù)據(jù)報協(xié)議）的簡稱。它是OSI七層模型中一種無連接的傳輸層協(xié)議，處于IP協(xié)議的上一層協(xié)議。使用UDP傳輸與IP傳輸非常類似，可將UDP協(xié)議看作是IP協(xié)議暴露在傳輸層的一個接口。UDP協(xié)議的主要作用就是將網(wǎng)絡(luò)數(shù)據(jù)流量壓縮成數(shù)據(jù)報的形式。一個典型的數(shù)據(jù)報就是一個二進制數(shù)據(jù)的傳輸單位。每一個數(shù)據(jù)報的前8字節(jié)用來包含包頭信息，剩余字節(jié)則用來包含具體的傳輸數(shù)據(jù)。UDPUDP首部格式47UDP的數(shù)據(jù)報同樣分為頭部（header）和數(shù)據(jù)（payload）兩部分。因UDP是傳輸層（transportlayer）協(xié)議，所以UDP的數(shù)據(jù)報需要經(jīng)過IP協(xié)議的封裝（encapsulation），然后通過IP協(xié)議傳輸?shù)侥康碾娔X，隨后UDP包在目的電腦拆封，并將信息送到相應(yīng)端口的緩存中。用戶數(shù)據(jù)報協(xié)議偏移位0~1516~310源端口目標端口32數(shù)據(jù)報長度校驗和64+數(shù)據(jù)（如果有）UDPUDP首部格式481)源端口：用來傳輸數(shù)據(jù)報的端口。2)目標端口：數(shù)據(jù)報將要被傳輸?shù)降亩丝凇?)數(shù)據(jù)報長度：數(shù)據(jù)報的字節(jié)長度。4)校驗和：用來確保UDP首部和數(shù)據(jù)到達時的完整性。5)數(shù)據(jù)：被UDP封裝進去的數(shù)據(jù)，包含應(yīng)用層協(xié)議頭部和用戶發(fā)出的數(shù)據(jù)。目錄2.2【任務(wù)2】分析基礎(chǔ)的網(wǎng)絡(luò)數(shù)據(jù)2.1【任務(wù)1】安裝Wireshark2.3【任務(wù)3】分析ARP和IP2.4【任務(wù)4】分析TCP2.5【任務(wù)5】分析HTTP案例分析50本任務(wù)是通過對ARP和TCP相關(guān)知識的學習，實現(xiàn)使用Wireshark分析HTTP。需求描述案例分析51設(shè)置HTTP過濾條件。獲取HTTP數(shù)據(jù)包。分析HTTP數(shù)據(jù)包。設(shè)計思路任務(wù)五分析HTTP52案例展示知識點講解53010203HTTP請求報文HTTP工作原理HTTP響應(yīng)報文HTTP工作原理HTTP工作原理54

HTTP是一個標準的B/S（瀏覽器服務(wù)