第章I数据报结构

第2章IP数据报结构

第2章IP数据报结构教学提示：本章主要介绍网络层和传输层各协议的报头结构，SnifferPro的安装和使用方法。教学要求：了解流量监控和数据分析的概念，掌握网络层协议和传输层协议的报头结构，熟悉SnifferPro的安装和基本操作方法，熟练掌握使用SnifferPro进行抓包并分析的步骤。2.1流量监控与数据分析以太网的通信是基于广播方式的，这意味着在同一个网段的所有网络接口都可以访问到物理媒体上传输的数据，而每一个网络接口都有一个惟一的硬件地址，即MAC地址，长度为48字节，一般来说每一块网卡上的MAC地址都是不同的。在MAC地址和IP地址间使用ARP和RARP协议进行相互转换。2.1.1局域网数据流量的监控以太网的工作机制是把要发送的数据包发往连接在同一网段中的所有主机，在包头中包括有目标主机的正确地址，只有与数据包中目标地址相同的主机才能接收到信息包，但是当主机工作在监听模式下时，不管数据包中的目标物理地址是什么，主机都可以接收到。许多局域网内有十几台甚至上百台主机是通过一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的主机地址的数据包直接发往目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，即数据链路层。网络接口不会识别IP地址，它在IP数据包的基础上又增加了一部分以太帧的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址，这个48位的地址是与IP地址相对应的。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。局域网数据流量的监控1．检测网络监听(1)对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，但处于监听状态的机器能接收，如果它不反向检查地址的话，就会响应。(2)向网上发大量不存在的物理地址的包，由于监听程序分析和处理大量的数据包时要占用很多的CPU资源，这将导致性能下降。这种方法的难度比较大。(3)使用反监听工具进行检测。局域网数据流量的监控2．网络监听的防范措施1)对网络进行逻辑分段或物理分段网络分段是一种有效抑制网络广播风暴的基本手段，从安全角度讲也是一项具体的安全措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。2)使用交换式集线器尽管对局域网的中心交换机进行了网络分段，但是局域网监听的威胁依然存在。因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而分支集线器通常使用共享式集线器。当用户与主机进行数据通信时，同一台集线器上的其他用户可以监听到两台机器之间传送的数据包。由此必须以交换式集线器取代共享式集线器，从而防止被非法监听。当然，交换式集线器只能控制单播包而无法控制广播包和多播包。但广播包和多播包内的关键信息要远远少于单播包。3)使用加密技术数据经过加密后，即使通过监听得到传送的信息，但显示的却可能是毫无意义的乱码。使用加密技术会影响数据传输速度，如果使用一个弱加密术还比较容易被攻破。这样管理员和用户必须在速度和安全上进行权衡。局域网数据流量的监控4)划分VLANVLAN(虚拟局域网)技术可以有效缩小冲突域，通过划分VLAN能防止大部分基于网络监听的入侵。2.1.2Sniffer工具介绍

计算机网络是共享通信通道的，这意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为sniffing(窃听)。以太网是现在应用最广泛的计算机连网方式。以太网协议的特点是在同一网络向所有主机发送数据包信息。数据包头包含有目标主机的地址。一般情况下只有具有该地址的主机会接收这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”模式。Sniffer软件是NAI公司推出的功能强大的协议分析软件。Sniffer支持的协议丰富，解码分析速度快。其中SnifferPro版可以运行在各种Windows平台上。2.1.3深入了解SnifferSniffer是一种常用的收集有用数据的方法，这些数据可以是用户的账号和密码，还可以是一些商用机密数据等。随着Internet及电子商务的日益普及，Internet的安全也越来越受到重视。Sniffer在Internet安全隐患中显示了很重要的作用。Sniffer通常运行在路由器或有路由器功能的主机上，这样就能对大量的数据进行监控。Sniffer几乎能得到任何以太网上传送的数据包。在以太网中Sniffer将系统的网络接口设定为混杂模式。这样，它就可以监听到所有流经同一以太网网段的数据包，而不管它的接受者或发送者是不是运行Sniffer的主机。2.2网络层协议报头结构网络层协议将数据包封装成IP数据报，并运行必要的路由算法，它有4个互联协议。(1)网际协议(IP)：在主机和网络之间进行数据包的路由转发。(2)地址解析协议(ARP)：获得同一物理网络中的硬件主机地址。(3)网际控制报文协议(ICMP)：发送消息，并报告有关数据包的传送错误。(4)互联组管理协议(IGMP)：IP主机向本地多路广播路由器报告主机组成员。2.2.1IPIP协议面向无连接，主要负责在主机间寻址并为数据包设定路由，在交换数据前它并不建立会话。因为它不保证正确传递；另一方面，数据在被收到时，IP不需要收到确认，所以它是不可靠的。IP数据报格式

2.2.2ARPARP(地址解析协议)用于获得在同一物理网络中的主机的硬件地址。要在网络上通信必需知道对方主机的硬件地址，地址解析就是将主机IP地址映射为硬件地址的过程。ARP包结构

2.2.3ICMP

ICMP(Internet控制报文协议)用于报告错误并对消息进行控制。ICMP是IP层的一个组成部分，它负责传递差错报文及其他需要注意的信息。ICMP报文通常被IP层或更高层协议(TCP或UDP)使用，一些ICMP报文把差错报文返回给用户进程。ICMP报文是在IP数据报内部传输。2.冈2.茅4偷I边GM税PIG洒MP叫(互联毁组管程理协劫议)把信笨息传麦给别抚的路师由器王，以棕使每恰个支凝持多灭路广恳播的词路由关器获艺知哪雀个主的机组班处于酒哪个秆网络左中。正如IC就MP一样德，IG水MP也被慰当作IP层的旁一部明分。IG融MP报文掌通过IP数据赠报进益行传吵输，范有固蜻定的挪报文场长度谎，没尤有可吴选数支据项颂。2.款3传输角层协吃议报笑头结险构传输渐协议纹在计贫算机蜻之间志提供每通信睛会话拔。传迁输协壤议的神选择物根据夜数据角传输蹦方式顾而定污。常办用的垃两个避传输劈燕协议岂如下宪。(1较)传输浇控制啄协议(T走CP勺)：提号供了丹面向夜连接坚的通违信，羊为应有用程肠序提黎供可肢靠的单通信纱连接赚。适倦合于角一次烛传输匙大批矩数据榆的情她况，都并适驻用于词要求耕得到氧响应木的应汗用程抖序。(2菌)用户臂数据驾报协捐议(U络DP朋)：提宴供了表无连持接通笼信，拔且不欺对传伪送包脚进行顾可靠剩的保皮证，柳适合效于一俱次传是输小堪量数张据的愁情况洋，可罗靠性接由应烤用层挪负责妈。2.还3.榆1颈T候CPTC匠P提供周一种摄面向限连接派的、奖可靠学的字玻节流滚服务竟。面锄向连惨接意镰味着书两个笛使用TC芒P的应而用在浩彼此厌交换穗数据扎之前荒必须士先建咬立一食个TC壁P连接着。TC哗P数据塘报结剪构2.正3.嚷2拿U请DPUD劝P是一扒个简故单的船面向具数据锦报的匀运输倡层协闹议，踢进程再的每泡个输咳出操污作都裙正好仔产生绕一个UD臂P数据优报，钞并组扛装成疼一份额待发截送的IP数据严报。胳这与困面向铲流字摸符的子协议旁不同(如TC振P)，应饰用程每序产以生的浸全体伸数据糕与真帽正发他送的免单个IP数据榜报可得能没等有什着么联踏系。UD窄P检验辨和计蛾算过集程中标使用多的各垦个字挤段2.网4贡T京CP会话弓安全TC宪P协议并面向踪蝶连接伸，收责发双盒方在启发送涌数据另之前怨必须锡建立少一条雹连接弓。TC茫P连接梅包括医：连泰接建予立、概数据罩传输遵和连殿接终渣止。TC鸦P用3次握睁手建傻立一回个连石接。1．连杜接建昏立(三次径握手)一对尸终端组同时疼初始塘化一涌个它婶们之烛间的麻连接词，但禾通常免是由逆一端欲打开喷一个剧套接神字，技然后烦监听逼来自培另一活方的策连接乖，这击就是箱通常叠所指但的被衔动打档开。望被动腾打开床的一朴端就菊是服待务器卵端。船而客刷户端清通过倘向服配务器普端发断送一农个SY攀N来建踩立一绞个主化动打脆开，孝作为夺三次炉握手谅的一喊部分戚。服朽务器筹端为劝一个宋合法型的SY惭N回送贯一个SY室N/细AC布K。最盟后，秒客户倘端再岭发送难一个AC植K。这味样就狮完成大了三聪次握挖手，喷并进横入了搞连接魄建立曾状态航。2．数呼据传领输很多容重要求的机盟制在TC属P的数震据传既送状仍态保崭证了TC权P的可典靠性弦和强浩壮性挥。它倦们包捞括：脖使用示序号陕对收霜到的TC及P报文杠段进甜行排厚序以洪及检意测重顿复的仪数据倍；使诞用校料验和炕来检御测报积文段停的错辰误；铁使用就确认口和计干时器拴来检饰测和浆纠正遗丢包株或延喝时。在三秘次握舒手过虽程中裳，两爹个主花机的TC拦P层间毒要交推换初棍始序因号。笋这些吹序号城用于楚标识卧字节什流中控的数杂据，斧并且鬼还是掉对应宵用层钉的数柔据字禽节进希行记责数的睡整数月。通膊常在在每个TC耗P报文禁段中陷都有环一对毙序号爷和确族认号已。TC攀P报文老发送裳者认鸡为自核己的霉字节狗编号意为序且号，痒而认佩为接野收者刷的字袍节编砌号为茧确认溪号。TC桨P报文拥的接矩收者脂为了第确保窃可靠脸性，笼在接巨收到超一定道数量摔的连拣续字问节流爽后才旁发送豆确认松。这闪是对TC熔P的一臂种扩令展，约通常师称为炊选择图确认(S抵AC保K)。选坊择确临认使治得TC冰P接收轻者可正以对孩乱序甲到达私的数轻据块摇进行峡确认蜓。3．连勺接终章止连接贿终止妙使用绞了四稠次握哀手，纵每个桑终端浅的连蛋接在楚此过尘程中拌都能匹独立会地被就终止持。因庭此，虎一个随典型爸的拆神接过裂程需批要每陵个终胆端都俩提供大一对FI王N和AC打K。2.系5数据姐流捕拳捉与钉分析捕获茂过程剧报文状统计捕获监报文裁查看设置狸捕获消条件AR蓄P报文驻解码IP报文呆解码2.究6本险章靠实等训使用Sn款if鸭fe饰r工具古进行系抓捕征获分峰析2.虎7本章定习题峰填脉空题(