实验 12网络嗅探与协议分析

1、 http:/BB2022-7-51实验 12 网络嗅探与协议分析12.1.1 通过网络嗅探了解网络数据类型，了解网络工通过网络嗅探了解网络数据类型，了解网络工作原理；作原理；12.1.2 通过实验通过实验理理解并掌握网络嗅探工具解并掌握网络嗅探工具 Wireshark 的使用；的使用；12.1.3 通过实验通过实验理解并掌握理解并掌握 TCP/IP 体系结构及其协体系结构及其协议分析方法；议分析方法；12.1.4 通过实验通过实验理解并掌握理解并掌握 FTP 协议的工作原理；协议的工作原理；12.1.5 通过实验通过实验理解并掌握理解并掌握 Telnet 协议的工作原理；协议的工作原理；20

2、22-7-52实验 12 网络嗅探与协议分析12.1.6 通过实验通过实验理解并掌握理解并掌握 HTTP 协议的工作原理协议的工作原理；12.1.7 通过实验通过实验理解并掌握理解并掌握 DNS 协议的工作原理；协议的工作原理；12.1.8 通过实验通过实验理解并掌握理解并掌握 ARP 协议的工作原理；协议的工作原理；12.1.9 通过实验通过实验理解并掌握理解并掌握 QQ 协议的工作原理协议的工作原理12.1.10 通过实验通过实验理解并掌握迅雷下载协议的工作原理解并掌握迅雷下载协议的工作原理；理；12.1.11 通过实验加深对协议格式、协议层次及协议通过实验加深对协议格式、协议层次及协议交

3、互过程的理解。交互过程的理解。2022-7-53实验 12 网络嗅探与协议分析12.2.1 预习实验原理；预习实验原理；12.2.2 熟悉实验设备；熟悉实验设备；12.2.3 熟悉实验环境；熟悉实验环境；12.2.4 2022-7-54实验 12 网络嗅探与协议分析12.3.1 网络嗅探基础网络嗅探基础概述概述F网络嗅探网络嗅探：利用计算机的网络接口截获目的地为其：利用计算机的网络接口截获目的地为其它计算机的数据报文；它计算机的数据报文；F网络嗅探器网络嗅探器：一种监控网络数据的工具，又称：一种监控网络数据的工具，又称 Sniffer 抓包，它工作在网络底层，通过对局域网抓包，它工作在网络底层

4、，通过对局域网上传输的各种关键信息进行窃听，从而获取重要信上传输的各种关键信息进行窃听，从而获取重要信息；息；F一个信息包嗅探器向我们展示出正在网络上进行的一个信息包嗅探器向我们展示出正在网络上进行的活动；活动；2022-7-55实验 12 网络嗅探与协议分析嗅探借助于网络接口，在正常的情况下，一个网络嗅探借助于网络接口，在正常的情况下，一个网络接口应该只响应：目的接口应该只响应：目的 MAC 地址为本机硬件地址地址为本机硬件地址的数据帧、向所有设备发送的广播数据帧；的数据帧、向所有设备发送的广播数据帧；网络接口使用网卡的接收模式网络接口使用网卡的接收模式F广播方式广播方式：网卡能够接收网络中

5、的广播信息；：网卡能够接收网络中的广播信息；F组播方式组播方式：网卡能够接收组播数据；：网卡能够接收组播数据；F直接方式直接方式：只有目的网卡才能接收该数据；：只有目的网卡才能接收该数据；F混杂模式混杂模式：网卡能够接收一切通过它的数据，而不：网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。管该数据是否是传给它的。2022-7-56实验 12 网络嗅探与协议分析嗅嗅探探的基本原的基本原理理：如果在编程时将网卡的工作模式如果在编程时将网卡的工作模式设置为设置为“混杂模式混杂模式”，那么网卡将接受所有传递给，那么网卡将接受所有传递给它的数据它的数据包。包。2022-7-57实验 12 网

6、络嗅探与协议分析12.3.2 协议分析基础协议分析基础概述概述F协议分析协议分析：通过程序分析网络数据包的协议头和尾：通过程序分析网络数据包的协议头和尾，从而了解信息和相关的数据包在产生和传输过程，从而了解信息和相关的数据包在产生和传输过程中的行为；中的行为；F在典型的网络结构中，网络协议和通信采用的是分在典型的网络结构中，网络协议和通信采用的是分层式设计方案，在层式设计方案，在 OSI 网络结构参考模型中，同网络结构参考模型中，同层协议之间能相互进行通信；层协议之间能相互进行通信；F协议分析器的主要功能协议分析器的主要功能：分析各层协议头部和尾部：分析各层协议头部和尾部，通过多层协议头尾和其

7、相关信息来识别网络通信，通过多层协议头尾和其相关信息来识别网络通信过程中可能出现的问题的方法，称之为过程中可能出现的问题的方法，称之为专家分析专家分析。2022-7-58实验 12 网络嗅探与协议分析网络体系结构网络体系结构2022-7-59实验 12 网络嗅探与协议分析应用层应用层传输层传输层网际层网际层网络网络接口层接口层应用层应用层表示层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层FTPTCP IP EthernetTelnet HTTPUDPX.25 PPPTCP/IP 协议族协议族 TCP/IP 模型模型OSI 参考模型参考模型TCP/IP 的主要协议的

8、主要协议-协议簇协议簇2022-7-510实验 12 网络嗅探与协议分析TCP/IP主要协议主要协议主要功能主要功能应用层应用层Http、Telnet、FTP、E-mail 等等负责把数据传输到传输层或者接收从传输层返回的负责把数据传输到传输层或者接收从传输层返回的数据；数据；传输层传输层TCP、UDPTCP 为两台主机上的应用程序提供高可靠的端到为两台主机上的应用程序提供高可靠的端到端的数据通信，包括把应用程序交给它的数据分成端的数据通信，包括把应用程序交给它的数据分成数据块交给网络层、确认接收到的分组等；数据块交给网络层、确认接收到的分组等；UDP 则为应用层提供不可靠的数据通信，它只是把

9、数据则为应用层提供不可靠的数据通信，它只是把数据包的分组从一台主机发送到另一台主机，不保证数包的分组从一台主机发送到另一台主机，不保证数据能到达另一端；据能到达另一端；网络层网络层ICMP、IP、IGMP主要为数据包选择路由，其中主要为数据包选择路由，其中 IP 是是 TCP/IP 协议协议族中最为核心的协议，所有的族中最为核心的协议，所有的 TCP、UDP、ICMP、IGMP 数据都以数据都以 IP 数据包格式传输；数据包格式传输；链路层链路层ARP、RARP 和设和设备驱动程序及接口备驱动程序及接口发送时将发送时将 IP 包作为帧发送，接收时把收到的位组包作为帧发送，接收时把收到的位组装成

10、帧装成帧，同时提供链路管理、错误检侧等。同时提供链路管理、错误检侧等。数据封装数据封装F一台计算机要发送数据到另一台计算机，数据首先一台计算机要发送数据到另一台计算机，数据首先必须打包，打包的过程称为封装；必须打包，打包的过程称为封装；F封装就是在数据前面加上特定的协议头部；封装就是在数据前面加上特定的协议头部；2022-7-511实验 12 网络嗅探与协议分析数数 据据协议头协议头数数 据据TCP/IP 协议的封装协议的封装2022-7-512实验 12 网络嗅探与协议分析 TCP头头应用层数据应用层数据应用层数据应用层数据 TCP头头应用层数据应用层数据IP头头帧头帧头 TCP头头应用层数

11、据应用层数据IP头头帧尾帧尾应用层应用层 传输层传输层 网际层网际层 数链层数链层 网卡地址网卡地址IP地址地址应用地址应用地址（80）12.3.3 常见协议原理常见协议原理IP 协议协议FTCP/IP 协议栈中重要的网际层协议；协议栈中重要的网际层协议；F向高层提供无连接的服务；向高层提供无连接的服务；F网际层传输的数据单元是分组，一般称为网际层传输的数据单元是分组，一般称为 IP 数据数据报；报；F主要功能主要功能：从源端经互连网到目的端尽最大努力传：从源端经互连网到目的端尽最大努力传输数据报。输数据报。2022-7-513实验 12 网络嗅探与协议分析2022-7-514实验 12 网络

12、嗅探与协议分析固固定定部部分分可变可变部分部分04816192431版版 本本标志标志生生 存存 时时 间间协协 议议标标 识识区区 分分 服服 务务总总 长长 度度片片 偏偏 移移填填 充充首首 部部 检检 验验 和和源源 地地 址址目目 的的 地地 址址可可 选选 字字 段段 （长（长 度度 可可 变）变）位位首部长度首部长度数数 据据 部部 分分数数 据据 部部 分分首首 部部IP 数据报数据报首首部部发送在前发送在前FIP 数据报格式数据报格式ICMP 协议协议：Internet Control Message ProtocolFIP 协议本身提供无连接的服务，不包括流量控制协议本身提

13、供无连接的服务，不包括流量控制与差错控制功能；与差错控制功能；F检测网络状态（路由、拥塞、服务质量等问题）检测网络状态（路由、拥塞、服务质量等问题）；F提供多种形式的报文，每个提供多种形式的报文，每个 ICMP 消息报文都被封消息报文都被封装于装于 IP 分组中；分组中；FPING 是一个典型的基于是一个典型的基于 ICMP 协议的实用程序。协议的实用程序。2022-7-515实验 12 网络嗅探与协议分析ICMP 报文格式报文格式2022-7-516实验 12 网络嗅探与协议分析类型类型代码代码 校验和校验和数据区数据区 1 2 3 4CHECKSUM： 整个整个 ICMP 报文的校验和算法

14、报文的校验和算法与与 IP 分组头的校验和算法相同分组头的校验和算法相同CODE：提供报文类型的详细信息提供报文类型的详细信息类型类型ICMP 报文报文类型类型ICMP 报文报文0ECHO 应答应答11分组超时分组超时3目的不可达目的不可达12分组参数错分组参数错4源抑制源抑制13时间戳请求时间戳请求5路由重定向路由重定向14时间戳应答时间戳应答8回应请求回应请求17地址掩码请求地址掩码请求18地址掩码应答地址掩码应答2022-7-517实验 12 网络嗅探与协议分析 ICMP 报文类型报文类型 差错报告差错报告（网关网关主机信息传输主机信息传输）F 信宿（网络、主机、协议、端口）不可达报告信

15、宿（网络、主机、协议、端口）不可达报告F 超时报告超时报告（TTL=0）F 参数差错报告参数差错报告F IP 校验和错误校验和错误F 重组失败重组失败 控制报文控制报文（网关网关主机主机）F 源抑制报文源抑制报文F 重定向报文重定向报文请求请求|应答报文应答报文(主机主机主机信息传输主机信息传输)F ECHO请求请求|应答应答F 时间戳请求时间戳请求|应答应答F 地址掩码请求地址掩码请求|应答应答类型码类型码ICMP 报文报文0ECHO 应答应答3目的不可达目的不可达4源抑制源抑制5路由重定向路由重定向8ECHO 请求请求9路由广播路由广播10路由请求路由请求11分组超时分组超时12分组参数错

16、分组参数错13时间戳请求时间戳请求14时间戳应答时间戳应答15信息请求消息信息请求消息16信息响应消息信息响应消息17地址掩码请求地址掩码请求18地址掩码应答地址掩码应答ICMP 回声请求回声请求|应答应答2022-7-518实验 12 网络嗅探与协议分析ABB 可以可以到达吗？到达吗？ICMP 回声请求回声请求 可以，可以，我在这里。我在这里。ICMP 回声应答回声应答用用 PING 命令产生的回声及其应答示意图命令产生的回声及其应答示意图ARP 协议协议F地址解析协议地址解析协议；F把把 IP 地址转换成地址转换成 MAC 地址。地址。2022-7-519实验 12 网络嗅探与协议分析AR

17、P 工作过程工作过程F每个主机都有一个每个主机都有一个 ARP 缓存，一旦收到缓存，一旦收到 ARP 应答应答， 主机就将获得的主机就将获得的 IP 地址和物理地址存入缓存，地址和物理地址存入缓存，发送报文时，首先到缓存中查找相应项，若找不到发送报文时，首先到缓存中查找相应项，若找不到，再利用，再利用 ARP 进行地址解析进行地址解析；F在在 ARP 请求中填上自己的请求中填上自己的 IP 地址和硬件地址，地址和硬件地址，以避免其它主机过后再发以避免其它主机过后再发 ARP 请求；请求；2022-7-520实验 12 网络嗅探与协议分析F当广播当广播 ARP 请求时，网上所有的计算机都能收到请

18、求时，网上所有的计算机都能收到该报文，此时各站应更新该报文，此时各站应更新 A 的的 IP 地址到物理地址地址到物理地址之间的映射；之间的映射；F当网上出现一个新的计算机时，该新的计算机尽可当网上出现一个新的计算机时，该新的计算机尽可能主动广播它的能主动广播它的 IP 地址和物理地址，以避免其它地址和物理地址，以避免其它站都运行站都运行 ARP。2022-7-521实验 12 网络嗅探与协议分析2022-7-522实验 12 网络嗅探与协议分析FARP 数据报格式数据报格式硬件类型硬件类型协议类型协议类型硬件地址长度硬件地址长度协议长度协议长度操作操作源站源站 MAC 地址（前地址（前 4 字

19、节）字节）源站源站 MAC 地址（后地址（后 2 字节）字节）源站源站 IP 地址（前地址（前 2 字节）字节）源站源站 IP 地址（后地址（后 2 字节）字节） 目的站目的站 MAC 地址（前地址（前 2 字节）字节）目的站目的站 MAC 地址（后地址（后 4 字节）字节）目的站目的站 IP 地址地址TCP 协议协议：传输控制协议：传输控制协议F面向连接面向连接；F可靠可靠；F在源端将上层的数据流划分成段的形式，在目的端在源端将上层的数据流划分成段的形式，在目的端将段重新整合成数据流；将段重新整合成数据流；F重传机制；重传机制；F流控制。流控制。2022-7-523实验 12 网络嗅探与协议

20、分析TCP首部首部20 字字节节的的固固定定首首部部目目 的的 端端 口口数据数据偏移偏移检检 验验 和和选选 项项 （长（长 度度 可可 变）变）源源 端端 口口序序 号号紧紧 急急 指指 针针窗窗 口口确确 认认 号号保保 留留FIN32 位位SYNRSTPSHACKURG位位 0 8 16 24 31填填 充充TCP 数据部分数据部分TCP 首部首部TCP 报文段报文段IP 首部首部发送在前发送在前IP 数据部分数据部分2022-7-524实验 12 网络嗅探与协议分析 TCP 数据报格式数据报格式TCP 选项域选项域2022-7-525实验 12 网络嗅探与协议分析kind=81 Bl

21、en=101 Btime stamp value 4 Btime stampecho reply4 Bkind=31 Blen=31 Bshift count1 Bkind=21 Blen=41 BMSS2 Bkind=11 Bkind=01 Bend of optionsNOPno operationMaximumSegment SizeWindowScale FactorTime Stamp建立建立 TCP 连接连接：通过三次握手建立一个：通过三次握手建立一个 TCP 连连接，协商一些参数（双方的初始序列号、分段大接，协商一些参数（双方的初始序列号、分段大小等）；小等）；2022-7-52

22、6实验 12 网络嗅探与协议分析客户机客户机（发起者发起者）服务器服务器（提供者）（提供者）SYN， SeqNum = xSYN and ACK， SeqNum = y and Ack = x + 1ACK， Ack = y + 1释放释放 TCP 连接连接：通过四次握手释放一个：通过四次握手释放一个 TCP 连接。连接。2022-7-527实验 12 网络嗅探与协议分析客户机客户机（发起者发起者）服务器服务器（提供者）（提供者）FINFIN-ACKFINFIN-ACK发送数据发送数据Data ackUDP 协议协议：用户数据报协议：用户数据报协议F无连接无连接；F不可靠不可靠；F以用户数据报

23、形式传送信息，在目标端不需要重组以用户数据报形式传送信息，在目标端不需要重组数据；数据；F不提供确认与流量控制。不提供确认与流量控制。2022-7-528实验 12 网络嗅探与协议分析FUDP 数据报格式数据报格式伪首部伪首部源端口源端口目的端口目的端口长长 度度检验和检验和数数 据据首首 部部UDP长度长度源源 IP 地址地址目的目的 IP 地址地址017IP 数据报数据报字节字节44112122222字节字节发送在前发送在前数数 据据首首 部部UDP 用户数据报用户数据报2022-7-529实验 12 网络嗅探与协议分析DNS 协议协议：域名解析协议，提供域名到主机：域名解析协议，提供域名

24、到主机IP地址地址的映射；的映射；域名服务的三大要素域名服务的三大要素F域（域（Domain）和域名）和域名（Domain name）： 域指域指由地理位置或业务类型而联系在一起的一组计算机由地理位置或业务类型而联系在一起的一组计算机构成构成；F主机主机：由域名来标识，域名是由字符和（或）数字：由域名来标识，域名是由字符和（或）数字组成的名称，用于替代主机的数字化地址（组成的名称，用于替代主机的数字化地址（IP 地址地址）；）；F域名服务器域名服务器：提供域名解析服务的主机，通常由其：提供域名解析服务的主机，通常由其 IP 地址标识。地址标识。2022-7-530实验 12 网络嗅探与协议分析

25、F域名解析过程域名解析过程2022-7-531实验 12 网络嗅探与协议分析FDNS 报文格式报文格式2022-7-532实验 12 网络嗅探与协议分析报文首部报文首部标识：标识：16 bit # 用于查询用于查询，应答报文应答报文使用同样的使用同样的 #标志标志F查询或应答；查询或应答；F希望递归；希望递归；F可以递归；可以递归；F授权应答。授权应答。标识标识标志标志问题数问题数资源记录数资源记录数授权资源记录数授权资源记录数额外资源记录数额外资源记录数查询问题查询问题回答（资源数可变）回答（资源数可变）授权（资源数可变）授权（资源数可变）额外信息（资源数可变）额外信息（资源数可变）DNS

26、消息格式消息格式F头部头部（Header）：包含关于消息性质方面的信息包含关于消息性质方面的信息；F查查询问题询问题（Question）：包含目的服务器请求访问包含目的服务器请求访问的信息；的信息；F回答回答（Answer）：包含用于提供包含用于提供 Question 部分部分所要求的信息的资源记录；所要求的信息的资源记录；F授权授权（Authority）：包含指向包含指向 Question 部分所部分所要求信息的权威服务器资源记录；要求信息的权威服务器资源记录；F额外信息额外信息（Additional）：包含用于回答包含用于回答 Question 部分的其他信息。部分的其他信息。2022-7

27、-533实验 12 网络嗅探与协议分析2022-7-534实验 12 网络嗅探与协议分析头部选项头部选项功功 能能Transaction ID它包含将查询与应答关联起来时使用的标识符值它包含将查询与应答关联起来时使用的标识符值QR用于设定消息是个查询消息还是应答消息用于设定消息是个查询消息还是应答消息OPCODE用于设定生成的消息查询类型用于设定生成的消息查询类型AA应答消息由作为请求访问查询名字所在域权威服务器应答应答消息由作为请求访问查询名字所在域权威服务器应答TC用于表示消息已经被截尾用于表示消息已经被截尾RD在查询中，表示目的服务器应该将该消息视为递归查询。如果没在查询中，表示目的服务

28、器应该将该消息视为递归查询。如果没有该标志，则表示该查询是个迭代查询。有该标志，则表示该查询是个迭代查询。RA用于设定服务器是否被配置成能够处理递归查询用于设定服务器是否被配置成能够处理递归查询Z未用未用RCODE用于设定应答消息性质，表示何时出现了错误和错误的类型用于设定应答消息性质，表示何时出现了错误和错误的类型QDCOUNT用于设定消息的用于设定消息的 Question 部分中的项目的数量部分中的项目的数量ANCOUNT用于设定消息的用于设定消息的 Answer 部分中的项目的数量部分中的项目的数量NSCOUNT用于设定消息的用于设定消息的 Authority 部分中的项目的数量部分中的

29、项目的数量ARCOUNT用于设定消息的用于设定消息的 Additional 部分中的项目的数量部分中的项目的数量说明：每个说明：每个 DNS 消息都有一个消息都有一个 Header 部分，只部分，只有当有当 DNS 消息包含数据时，消息包含数据时，DNS 消息才包含其他消息才包含其他 4 个部分。个部分。2022-7-535实验 12 网络嗅探与协议分析2022-7-536实验 12 网络嗅探与协议分析查询问题部分选项查询问题部分选项功功 能能QNAME它包含请求访问的信息所涉及的它包含请求访问的信息所涉及的DNS名字、域名或区域名字、域名或区域名字名字QTYPE用于设定要求访问的资源记录的类

30、型用于设定要求访问的资源记录的类型QCLASS用于设定要求访问的资源记录的种类用于设定要求访问的资源记录的种类FDNS 消息的消息的 Question 部分包含首标的部分包含首标的 QDCOUNT 字段中设定的项目的数量；字段中设定的项目的数量；F大多数情况下，该部分中只有一个选项。大多数情况下，该部分中只有一个选项。2022-7-537实验 12 网络嗅探与协议分析回答授权部分选项回答授权部分选项功功 能能NAME包含提供的信息所涉及的包含提供的信息所涉及的 DNS 名字、域名或区域的名字名字、域名或区域的名字TYPE包含一个代码，用于设定项目包含的资源记录的类型包含一个代码，用于设定项目包

31、含的资源记录的类型CLASS包含一个代码，用于设定资源记录的种类包含一个代码，用于设定资源记录的种类TTL用于设定提供的资源记录应该在服务器缓存中存放的时用于设定提供的资源记录应该在服务器缓存中存放的时间间RDLENGTH用于设定用于设定 RDATA 字段的长字段的长RDATA用于设定资源记录的数据，数据的性质取决于用于设定资源记录的数据，数据的性质取决于 TYPE 和和 CLASS 字段值字段值HTTP 协议协议：基于客户：基于客户|服务器模式；服务器模式；客户机的操作客户机的操作FGET：检索检索 URL (用得最多用得最多)；FHEAD：只检索响应头；只检索响应头；FPOST：向服务器发

32、送数据；向服务器发送数据；FPUT：puts page on server（在服务器上放页面）；（在服务器上放页面）；FDELETE：从服务器上删除页面。从服务器上删除页面。HTTP 消息消息F请求请求；F响应。响应。2022-7-538实验 12 网络嗅探与协议分析2022-7-539实验 12 网络嗅探与协议分析方法方法(大写大写)说明说明GET请求获取请求获取 Request-URI 所标识的资源；它是目前网上最常用的方法。所标识的资源；它是目前网上最常用的方法。POST在在 Request-URI 所标识的资源后附加新的数据；所标识的资源后附加新的数据；POST 请求可以导致请求可以导

33、致新资源的产生和已有资源的更新。新资源的产生和已有资源的更新。HEAD请求获取由请求获取由 Request-URI 所标识的资源的响应消息报头；要求响应与所标识的资源的响应消息报头；要求响应与相应的相应的GET请求的响应一样，但是没有响应体（请求的响应一样，但是没有响应体（response body）。这）。这用来获得响应头（用来获得响应头（response header）中的元数据信息（）中的元数据信息（meta-information）有帮助，因为它不需要传输所有的内容。）有帮助，因为它不需要传输所有的内容。PUT请求服务器存储一个资源，并用请求服务器存储一个资源，并用 Request-U

34、RI 作为其标识。作为其标识。DELETE请求服务器删除请求服务器删除 Request-URI 所标识的资源。所标识的资源。TRACE请求服务器回送收到的请求信息，主要用于测试或诊断；客户端可以（请求服务器回送收到的请求信息，主要用于测试或诊断；客户端可以（通过此方法）察看在请求过程中中间服务器添加或者改变哪些内容。通过此方法）察看在请求过程中中间服务器添加或者改变哪些内容。CONNECT将请求的连接转换成透明的将请求的连接转换成透明的 TCP/IP 通道，通常用来简化通过非加密的通道，通常用来简化通过非加密的 HTTP 代理的代理的SSL-加密通讯（加密通讯（HTTPS）。）。OPTIONS

35、请求查询服务器的性能，或者查询与资源相关的选项和需求。请求查询服务器的性能，或者查询与资源相关的选项和需求。HTTP 操作操作F客户机发送请求客户机发送请求GET http:/ HTTP/1.0F服务器发送响应服务器发送响应HTTP-Version: HTTP/1.0 200 OKContent-Length: 3012Content-Type: text/html2022-7-540实验 12 网络嗅探与协议分析FHTTP 请求报文格式请求报文格式2022-7-541实验 12 网络嗅探与协议分析方法方法SPRequest-URISP短语短语首部字段名首部字段名值值首部字段名首部字段名值值请

36、求正文请求正文crlfcrlf消息报头消息报头请求行请求行HTTP 请求报文结构请求报文结构Crlf：cr 表示回车，表示回车，lf 表示换行表示换行FHTTP 响应报文格式响应报文格式2022-7-542实验 12 网络嗅探与协议分析方法方法SP状态码状态码SP版本版本首部字段名首部字段名值值首部字段名首部字段名值值响应正文响应正文crlfcrlf消息报头消息报头请求行请求行HTTP 响应报文结构响应报文结构Crlf：cr 表示回车，表示回车，lf 表示换行表示换行HTTP 请求消息格式请求消息格式2022-7-543实验 12 网络嗅探与协议分析Http 请求报文请求报文：ASCII（可读

37、格式可读格式）GET /somedir/page.html HTTP/1.0 User-agent: Mozilla/4.0 Accept: text/html，image/gif，image/jpeg Accept-language:fr （extra carriage return， line feed） request line（GET，POST，HEAD commands）header lines回车，换行回车，换行表示报文的结束表示报文的结束HTTP 响应消息格式响应消息格式2022-7-544实验 12 网络嗅探与协议分析HTTP/1.0 200 OK Date: Thu，06 A

38、ug 1998 12:00:15 GMT Server: Apache/1.3.0 （Unix）Last-Modified: Mon，22 Jun 1998 . Content-Length: 6821 Content-Type: text/html data data data data data . 状态行状态行（协议状态码，协议状态码，状态短语状态短语）头部行头部行数据数据，例如例如，请求的请求的 html 文件文件FTP 协议协议：基于客户：基于客户|服务器模式服务器模式Internet 文件传送的基础；文件传送的基础；FTP 完成两台计算机之间的拷贝，从远程计算机拷完成两台计算机之间

39、的拷贝，从远程计算机拷贝文件至本地计算机上，称之为贝文件至本地计算机上，称之为“下载（下载（download）”文件，若将文件从本地计算机中拷文件，若将文件从本地计算机中拷贝至远程计算机上，则称之为贝至远程计算机上，则称之为“上载（上载（upload）”文件；文件；在在 TCP/IP 协议中，协议中，FTP 标准命令标准命令 TCP 端口号为端口号为 21，Port 方式数据端口为方式数据端口为 20。控制连接在整个会。控制连接在整个会话期间一直保持连接状态。数据连接则是临时建立话期间一直保持连接状态。数据连接则是临时建立的，在文件传送结束后即被关闭。的，在文件传送结束后即被关闭。2022-7

40、-545实验 12 网络嗅探与协议分析FFTP 结构图结构图2022-7-546实验 12 网络嗅探与协议分析FTP 支持的模式支持的模式：区别在于数据连接是由谁发起；：区别在于数据连接是由谁发起；FStandard 模式模式（PORT 方式，主动方式方式，主动方式），）， FTP 的客户端发送的客户端发送 PORT 命令到命令到 FTP 服务器；服务器；FPassive 模式模式（ PASV，被动方式，被动方式） ，FTP 的客户的客户端发送端发送 PASV 命令到命令到 FTP 服务器；服务器；2022-7-547实验 12 网络嗅探与协议分析FPort 模式模式 FTP 客户端首先和客户

41、端首先和 FTP 服务器的服务器的 TCP 21 端口建立连接，通过这个通道发送命令；端口建立连接，通过这个通道发送命令；F客户端需要接收数据的时候在这个通道上发送客户端需要接收数据的时候在这个通道上发送 PORT 命令，命令，PORT 命令包含了客户端用什么端口命令包含了客户端用什么端口接收数据；接收数据；F在传送数据的时候，服务器端通过自己的在传送数据的时候，服务器端通过自己的 TCP 20 端口连接至客户端的指定端口发送数据；端口连接至客户端的指定端口发送数据；F FTP 服务器必须和客户端建立一个新的连接用来传服务器必须和客户端建立一个新的连接用来传送数据；送数据；2022-7-548

42、实验 12 网络嗅探与协议分析FPassive 模式在建立控制通道的时候和模式在建立控制通道的时候和 Standard 模模式类似，但建立连接后发送的不是式类似，但建立连接后发送的不是 Port 命令，而命令，而是是 Pasv 命令；命令；FFTP 服务器收到服务器收到 Pasv 命令后，随机打开一个高端命令后，随机打开一个高端端口（端口号大于端口（端口号大于 1024。主要原因是。主要原因是 1024 以前以前的端口都已经预先被定义，由一些典型的服务使用的端口都已经预先被定义，由一些典型的服务使用或保留给以后会用到这些端口的资源服务）并且通或保留给以后会用到这些端口的资源服务）并且通知客户端

43、在这个端口上传送数据的请求；知客户端在这个端口上传送数据的请求；F客户端连接客户端连接 FTP 服务器端口，然后服务器端口，然后 FTP 服务器将服务器将通过这个端口进行数据的传送，这个时候通过这个端口进行数据的传送，这个时候 FTP 服务服务器不再需要建立一个新的和客户端之间的连接。器不再需要建立一个新的和客户端之间的连接。 2022-7-549实验 12 网络嗅探与协议分析Windows 有自带的有自带的 FTP 命令和命令和 IE 浏览器来作为浏览器来作为 FTP 的客户端。后者在的客户端。后者在 IE 的地址栏上输入的地址栏上输入 ftp:/FTP 服务器地址来访问，前者可以在命令窗服

44、务器地址来访问，前者可以在命令窗口下通过口下通过 ftp 命令来使用；命令来使用；使用使用 FTP 命令登录成功远程命令登录成功远程 FTP 服务器后即进入服务器后即进入 FTP 子环境，在这个子环境下，用户可以使用子环境，在这个子环境下，用户可以使用 FTP 的内部命令完成相应的文件传输操作；的内部命令完成相应的文件传输操作；2022-7-550实验 12 网络嗅探与协议分析FTP 的命令格式的命令格式 ftp -v -d -i -n -g -w:windowsize 主主机名机名/IP 地址地址 ；参数参数F-v：不显示远程服务器的所有响应信息；不显示远程服务器的所有响应信息；F-n：限制

45、限制 ftp 的自动登录；的自动登录；F-i ：在多个文件传输期间关闭交互提示；在多个文件传输期间关闭交互提示；F-d：允许调试、显示客户机和服务器之间传递的全允许调试、显示客户机和服务器之间传递的全部部 ftp 命令；命令； F-g：不允许使用文件名通配符；不允许使用文件名通配符；F-w：windowsize 忽略默认的忽略默认的 4096 传输缓冲区。传输缓冲区。2022-7-551实验 12 网络嗅探与协议分析TELNET 协议协议：基于客户：基于客户|服务器模式服务器模式FTelnet 协议是协议是 TCP/IP 协议族中的一员，是协议族中的一员，是 Internet 远程登陆服务的标

46、准协议；远程登陆服务的标准协议；F应用应用 Telnet 协议能够把本地用户所使用的计算机协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。变成远程主机系统的一个终端。2022-7-552实验 12 网络嗅探与协议分析TELNET 协议的基本服务协议的基本服务FTelnet 定义一个网络虚拟终端为远端系统提供一个定义一个网络虚拟终端为远端系统提供一个标准接口，客户机程序不必详细了解远端系统，只标准接口，客户机程序不必详细了解远端系统，只需构造使用标准接口的程序；需构造使用标准接口的程序；FTelnet 包括一个允许客户机和服务器协商选项的机包括一个允许客户机和服务器协商选项的机制，而

47、且它还提供一组标准选项；制，而且它还提供一组标准选项；FTelnet 对称处理连接的两端，即对称处理连接的两端，即 Telnet 不强迫客不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输户机从键盘输入，也不强迫客户机在屏幕上显示输出。出。2022-7-553实验 12 网络嗅探与协议分析TELNET 协议的应用协议的应用FWindows XP 自带了自带了 Telnet 客户机和服务器程序客户机和服务器程序，分别是，分别是 Telnet.exe（客户机程序）和（客户机程序）和tlntsvr.exe（服务器程序）；（服务器程序）；FTELNET 客户程序为用户提供命令接口。可通过：客户程序为

48、用户提供命令接口。可通过：控制面板控制面板-管理工具管理工具-服务服务-启动启动 TELNET 服务器程序服务器程序；F一旦连接到一旦连接到 TELNET 服务器，用户即可使用任何远服务器，用户即可使用任何远程计算机上基于字符的应用程序，查看程计算机上基于字符的应用程序，查看 TELNET 服服务器的信息，和务器的信息，和 TELNET 服务器进行数据传输。服务器进行数据传输。2022-7-554实验 12 网络嗅探与协议分析常见常见 TELNET 的命令的命令Fopen：使用：使用 “open 主机名主机名/IP 地址地址”可以建立到可以建立到主机的主机的 Telnet 连接；连接；Fclo

49、se：关闭现有的：关闭现有的 Telnet 连接；连接；Fdisplay：查看：查看 Telnet 客户的当前设置；客户的当前设置；Fquit：退出：退出 Telnet 客户程序。客户程序。2022-7-555实验 12 网络嗅探与协议分析QQ 协议协议：基于客户：基于客户|服务器模式服务器模式FQQ 好友间消息传送原理基好友间消息传送原理基于于 UDP 协议来实现的，协议来实现的，UDP 数据具有固定端口数据具有固定端口 8000，这些数据都通过加，这些数据都通过加密的形式在网络中转输；密的形式在网络中转输；FQQ 选择选择 UDP 协议的主要原因协议的主要原因：UDP 的速度比的速度比 T

50、CP 要快，由于要快，由于 TCP 协议中植入了各种安全保障协议中植入了各种安全保障功能，在实际执行的过程中会占用大量的系统开销功能，在实际执行的过程中会占用大量的系统开销，无疑使速度受到影响，而，无疑使速度受到影响，而 UDP 由于排除了信息由于排除了信息可靠传递机制，将安全和排序等功能移交给上层应可靠传递机制，将安全和排序等功能移交给上层应用来完成，降低了执行时间，使速度得到了保证；用来完成，降低了执行时间，使速度得到了保证；2022-7-556实验 12 网络嗅探与协议分析FQQ 的文件传输建立在的文件传输建立在 TCP 连接之上的，其格式是连接之上的，其格式是包头为包头为 0 x04

51、包尾为包尾为 0 x03。基于。基于 UDP 可以用端口可以用端口再根据协议特征方式识别；而基于再根据协议特征方式识别；而基于 TCP 的的 HTTP 方式可以根据数据包的特征识别方式可以根据数据包的特征识别 QQ 数据；数据；FQQ 除了使用除了使用 UDP 通信，还与通信，还与 TCPF 服务器通信，服务器通信，而且与而且与 TCPF 服务器的通信量远远大于服务器的通信量远远大于 UDP 通信通信量。量。2022-7-557实验 12 网络嗅探与协议分析TCPF 文本聊天协议簇文本聊天协议簇FTCPF（Text Chatting Protocol Family）文本聊）文本聊天协议族，主要

52、支持与其它天协议族，主要支持与其它 QQ 端进行文字聊天；端进行文字聊天；FTCPF 是建立在是建立在 UDP 协议上的协议簇；协议上的协议簇；FTCPF 是以请求响应模式工作的，也就是说，客是以请求响应模式工作的，也就是说，客户端发出一个请求，服务器端会给出一个相应的响户端发出一个请求，服务器端会给出一个相应的响应；服务器向客户端发送信息，客户端也会给服务应；服务器向客户端发送信息，客户端也会给服务器相应的响应。请求和响应通过相同的序列号来进器相应的响应。请求和响应通过相同的序列号来进行配对（请求代码也应该相同）。而且每种请求的行配对（请求代码也应该相同）。而且每种请求的发起方都是相同的。发

53、起方都是相同的。2022-7-558实验 12 网络嗅探与协议分析TCPF 格式：包头格式：包头+数据数据+包尾包尾F包头包头：QQ 协议有多种包头，分别代表一类用途的协议有多种包头，分别代表一类用途的包，所有的包，所有的 TCPF 包的前七个字节是包头，从包头包的前七个字节是包头，从包头可以识别包的内容；可以识别包的内容；F第第 0 个字节：个字节：TCPF 包标示：包标示：0 x02；F第第 1-2 个字节：发送者标识，如果是个字节：发送者标识，如果是 0 x01 0 x00，表明是，表明是由服务器发送，客户端的标识与所使用的由服务器发送，客户端的标识与所使用的 QQ 版本有关；版本有关；

54、F第第 3-4 个字节：命令编号；个字节：命令编号；F第第 5-6 个字节：命令序列号；个字节：命令序列号；F包尾包尾：所有的：所有的 TCPF 包都以包都以 0 x03 作为包尾；作为包尾；2022-7-559实验 12 网络嗅探与协议分析FTCPF 数据数据F登录请求包登录请求包 LIP（LogIn Packet）：由客户端向服务由客户端向服务器发出登录请求的数据包器发出登录请求的数据包；F登录应答包登录应答包 LRP（Login Reply Packet）：由服务由服务器响应客户端登录请求的数据包；器响应客户端登录请求的数据包；F注销请求包注销请求包 LOP（LogOut Packet）

55、：由客户端向由客户端向服务器发出注销登录请求的数据包，服务器对此包不作应答服务器发出注销登录请求的数据包，服务器对此包不作应答；F客户端其它包客户端其它包 CSP（Client Sent Packet）：客户客户端向服务器发送的其它包；端向服务器发送的其它包；F服务器其它包服务器其它包 SSP（Server Sent Packet）：由服由服务器向客户端发送的其它包。务器向客户端发送的其它包。2022-7-560实验 12 网络嗅探与协议分析迅雷下载协议迅雷下载协议：基于：基于 P2SP 技术的下载软件技术的下载软件FS 指的是指的是 SERVER，就是在，就是在 P2P 的基础上增加了的基础

56、上增加了对对 SERVER 的资源下载，也就是说的资源下载，也就是说 P2SP 是一种是一种能同时从多个服务器和多个节点进行下载的技术；能同时从多个服务器和多个节点进行下载的技术；F迅雷的下载速度会比只从服务器下载（迅雷的下载速度会比只从服务器下载（P2S）或只）或只从节点下载（从节点下载（P2P）的软件速度要更快；）的软件速度要更快；FP2SP 下载是一种多资源多协议下载方式，全称是下载是一种多资源多协议下载方式，全称是Peer to ServerPeer，即用户对服务器和用户；，即用户对服务器和用户；2022-7-561实验 12 网络嗅探与协议分析FP2SP 有效地把原本孤立的服务器和其

57、镜像资源以及有效地把原本孤立的服务器和其镜像资源以及 P2P 资资源整合到了一起；源整合到了一起；FP2P 的下载概念，就是下载不再象传统方式那样只的下载概念，就是下载不再象传统方式那样只能依赖服务器，内容的传递可以在网络上的各个终能依赖服务器，内容的传递可以在网络上的各个终端机器中进行；端机器中进行；F在传统的传输技术中用户一次只能连接一个服务器在传统的传输技术中用户一次只能连接一个服务器进行下载，而进行下载，而 P2SP 技术能搜索某一内容在其他服技术能搜索某一内容在其他服务器上镜像并将其存储于数据库中，用户能同时从务器上镜像并将其存储于数据库中，用户能同时从多个服务器上下载内容；多个服务

58、器上下载内容；F在在 P2SP 中通过引入服务器作为资源数据来源的方中通过引入服务器作为资源数据来源的方法，避免了法，避免了P2P 中资源提供不稳定的问题。中资源提供不稳定的问题。2022-7-562实验 12 网络嗅探与协议分析迅雷的核心技术迅雷的核心技术：智能资源选择：智能资源选择F用户使用迅雷下载某个文件的同时，迅雷会自动收用户使用迅雷下载某个文件的同时，迅雷会自动收集用户的下载地址，并以集用户的下载地址，并以 MD5 值判断是否为同一值判断是否为同一个文件，从而形成一个庞大的下载链接库，这样就个文件，从而形成一个庞大的下载链接库，这样就在迅雷服务器端进行了资源的整合；在迅雷服务器端进行

59、了资源的整合；F当后面的用户下载同一个文件时，迅雷就会根据用当后面的用户下载同一个文件时，迅雷就会根据用户具体的网速而去一个速度最快的服务器上面下载户具体的网速而去一个速度最快的服务器上面下载同一个文件；同一个文件；F由于选择通常是最优化的结果，因此用户感觉下载由于选择通常是最优化的结果，因此用户感觉下载速度的确非常快。速度的确非常快。2022-7-563实验 12 网络嗅探与协议分析12.4.1 安装安装 Winpcap 和和 WireShark 应用软件应用软件12.4.2 运行运行 WireShark，捕获网络上的数据包，捕获网络上的数据包12.4.3 分析分析 ARP、ICMP、TCP

60、、IP、DNS、TELNET、HTTP、FTP 等协议工作过程等协议工作过程12.4.4 分析分析 QQ 协议、迅雷下载协议协议、迅雷下载协议 2022-7-564实验 12 网络嗅探与协议分析12.5.1 网络嗅探网络嗅探背景描述：某公司背景描述：某公司 LAN 的主机连接交换机的主机连接交换机，并由并由路由器接入路由器接入 Internet，因业务扩展，公司决定进行，因业务扩展，公司决定进行网络嗅探，为此需要网络嗅探，为此需要安装安装 Winpcap 和和 WireShark 应用软件应用软件，嗅探网络类型；，嗅探网络类型；需求分析需求分析F以公司网关为嗅探对象；以公司网关为嗅探对象；F截