计算机网络设计与安全技术 课件3 网络协议抓包分析

《计算机网络设计与安全技术》第3章

网络协议抓包分析1学习内容：（1）数据包捕获基础；（2）数据包捕获实验项目描述；（3）Wireshark工具应用实例。学习目标：（1）通过网络抓包的层次分析，深入理解网络协议的报文格式和传输要求；（2）掌握Wireshark工具的具体使用方法，并在网络探测、端口扫描、FTP服务等应用中灵活应用。23.1数据包捕获基础

首先介绍数据包的嗅探原理，然后利用协议分析工具Wireshark，进行数据包捕获和过滤设置分析。33.1.1

数据包嗅探器原理4网卡具有以下几种工作模式：（1）广播模式（BroadCastModel）：它的目的MAC地址为0xFFFFFFFFFFFF，是广播帧。工作在广播模式的网卡接收广播帧。（2）多播模式（Multi

CastModel）：多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收，而组外主机接收不到。但是，如果将网卡设置为多播传送模式，它可以接收所有的多播传送帧，而不论它是不是组内成员。（3）直接模式（DirectModel）：工作在直接模式下的网卡只接收目的地址是自己

MAC地址的帧。（4）混杂模式（PromiscuousModel）：工作在混杂模式下的网卡接收所有流过网卡的帧，协议包捕获程序就是在这种模式下运行的。53.1.2Wireshark工具介绍Wireshark是一种可以运行在Windows、UNIX和Linux等操作系统上的数据包嗅探器，属于开源免费软件，依赖PCAP库。6Wireshark捕获筛选器设置Wireshark显示筛选器7显示过滤示例规则：ip.src_host==283.2

数据包捕获实验项目描述实验内容说明：案例包括需求描述、设计要点出发，开展网络拓扑设计和实验室布局设计，最后给出工程概算和采购设备与材料的调研，培养网络工程设计能力。（1）两人一组，分组实验；（2）熟悉Ping、Tracert等命令，学习FTP、HTTP、SMTP和POP3协议；（3）在官网上下载和安装Wireshark的最新版本，并了解其功能和使用方法；（4）下载并安装任一种端口扫描工具；

（5）安装FTP客户端工具，便于抓取FTP客户的登录、下载和退出过程。93.3

Wireshark工具应用实例3.3.1

Ping命令的数据包捕获分析103.3.2Tracert命令数据捕获校园网的路由跟踪数据分析11广域网的路由跟踪数据分析123.3.3

端口扫描数据捕获与分析445端口关闭前后的扫描和抓包情况13对Zenmap的端口扫描操作进行抓包分析143.3.4

FTP协议包的捕获与分析使用FileZilla软件登录FTP服务器示例15登录FTP服务器的数据包信息16下载一个900字节大小的文件17下载900B

文件的数据包FTP协议信息18大于1MB的文件下载数据捕获19FTP退出过程的数据捕获观察图中的数据包发现，从客户端23确认退出请求，到双方的交互完成结束，经历了4个数据包，符合TCP协议断开连接过程是“4次挥手”。数据包分析：第1个数据包：是客户端对服务器关闭连接的响应；第2个数据包：是客户端完成与服务器之间的信息传输；第3个数据包：是FTP服务器到客户端的数据发送已完成；第4个数据包：是客户端对第3个数据包的响应。20还可能产生其他交互情况：对该图中的6个数据包进行以下分析：第1个数据包：是客户端完成数据传输任务，向服务器的数据连接发出说明；第2个数据包：服务器07到客户端的数据传输任务完成；第3个数据包：服务器在数据连接上对第1个包的响应；第4个数据包：客户端在控制连接上对第2个包的响应；第5个数据包：客户端在控制连接上向服务器表明所有任务完成；

第6个数据包：服务器在控制连接上对客户端的响应。至此，双方的所有连接断开。213.3.5

HTTP协议包的捕获与分析WEB网页访问的数据捕获情况22WEB网页访问的HTTP协议分析23WEB网页访问的TCP协议分析24WEB网页访问的IP协议分析本章小结

本章从网络数据包捕获原理出发，通过著名的网络抓包工具Wireshark，来阐述协议抓包的具体要求和解析过程，增强网络安全防范意识。

重点阐述了一个综合性的网络抓包案例，包括网络层的ICMP协议和IP协议、传输层的TCP协议、应用层的FTP协议和HTTP协议。采用PING命令，可以捕获ICMP协议的4个发送包和4个接收包