網(wǎng)絡(luò)數(shù)據(jù)包結(jié)構(gòu)與安全優(yōu)秀文檔

第3章網(wǎng)絡(luò)數(shù)據(jù)包與安全指導(dǎo)教師：李云亮本章要求了解分組交換與數(shù)據(jù)包的結(jié)構(gòu)掌握數(shù)據(jù)包截獲的原理熟悉Sniffer軟件的使用了解數(shù)據(jù)的分析方法掌握提高網(wǎng)絡(luò)安全性防止網(wǎng)絡(luò)嗅探的措施監(jiān)視器菜單：選擇設(shè)定系統(tǒng)監(jiān)視對(duì)象和監(jiān)視的任務(wù)，可以定義過濾器對(duì)監(jiān)視的對(duì)象有選擇的做出顯示，也可以察看報(bào)警日志通常專用的網(wǎng)絡(luò)監(jiān)視軟件具有更強(qiáng)的數(shù)據(jù)捕獲與過濾功能，是網(wǎng)絡(luò)管理員手中的重要工具軟件后面內(nèi)容全部為被傳輸?shù)臄?shù)據(jù)。2提高網(wǎng)絡(luò)安全性，防止網(wǎng)絡(luò)嗅探的措施網(wǎng)卡都有哪些工作模式？地址解析協(xié)議（ARP）ACK確認(rèn)序號(hào)有效。主要的協(xié)議欺騙攻擊方式有各層協(xié)議主要內(nèi)容有什么？地址26-29H：目標(biāo)主機(jī)協(xié)議地址。因此，端與端之間無需先通過呼叫建立連接。（十六進(jìn)制表示為C0H、A8H、01H、64H）此例為65259（FEEBH）本章主要內(nèi)容3.1分組交換與數(shù)據(jù)包的結(jié)構(gòu)3.2數(shù)據(jù)包的捕獲與分析3.3數(shù)據(jù)的分析3.4數(shù)據(jù)的安全

分組交換與數(shù)據(jù)包的結(jié)構(gòu)數(shù)據(jù)包的與分析數(shù)據(jù)的分析數(shù)據(jù)的安全第3章網(wǎng)絡(luò)數(shù)據(jù)包結(jié)構(gòu)與安全引入：當(dāng)前的網(wǎng)絡(luò)環(huán)境

我們當(dāng)前所處的網(wǎng)絡(luò)環(huán)境是一個(gè)開放的環(huán)境，任何人都可以通過簡單的手段從物理上連入計(jì)算機(jī)網(wǎng)絡(luò)。在這樣一個(gè)開放的網(wǎng)絡(luò)環(huán)境中如何才能安全地使用網(wǎng)絡(luò)傳輸信息？目前網(wǎng)絡(luò)存在哪些安全隱患或者漏洞？這些隱患和漏洞是怎樣造成對(duì)網(wǎng)絡(luò)安全的威脅的？我們應(yīng)當(dāng)如何防范？。。。存在問題6|PresentationTitle|Month2009故事：扁鵲行醫(yī)7|PresentationTitle|Month2009質(zhì)量小故事-扁鵲行醫(yī)

上醫(yī)治未病，中醫(yī)治欲病，下醫(yī)治已病。

--------《皇帝內(nèi)經(jīng)》8|PresentationTitle|Month2009故事中的領(lǐng)悟-扁鵲行醫(yī)在互聯(lián)網(wǎng)這個(gè)開放的環(huán)境中，各方的信息傳輸都是以通信協(xié)議為基礎(chǔ)的。只有深入了解通信協(xié)議，才能在開放的通信環(huán)境中選擇適當(dāng)?shù)膮f(xié)議來保證通信的效率與安全，并且能夠有針對(duì)性地避開某些協(xié)議的安全缺陷，建立安全的網(wǎng)絡(luò)環(huán)境。我們從中可以體會(huì)到什么呢？事后控制不如事中控制，事中控制不如事前控制.互聯(lián)網(wǎng)的工作原理10|PresentationTitle|Month2009你知道ISO和OSI么？ISO國際標(biāo)準(zhǔn)化組織1947年2月23日正式成立ISO介紹OSI參考模型共七層模型體系結(jié)構(gòu)（architecture）服務(wù)定義（servicedefinition）協(xié)議說明（protocolspecification）以在互聯(lián)網(wǎng)中發(fā)送e-mail為例，了解OSI參考模型的通信過程3.1分組交換與數(shù)據(jù)包的結(jié)構(gòu)

在通信子網(wǎng)中，從一臺(tái)主機(jī)到另一臺(tái)主機(jī)傳送數(shù)據(jù)時(shí)，可能會(huì)經(jīng)歷由多個(gè)節(jié)點(diǎn)組成的路徑。通常將數(shù)據(jù)在通信子網(wǎng)中節(jié)點(diǎn)間的數(shù)據(jù)傳輸過程統(tǒng)稱為數(shù)據(jù)交換（Switch），其對(duì)應(yīng)的技術(shù)為數(shù)據(jù)交換技術(shù)。數(shù)據(jù)交換技術(shù)可分為以下兩大類。電路交換（CircuitSwitching）技術(shù)。（應(yīng)用于傳統(tǒng)主意通信）存儲(chǔ)轉(zhuǎn)發(fā)交換（Store-and-ForwardSwitching）技術(shù)。（應(yīng)用于現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)）存儲(chǔ)轉(zhuǎn)發(fā)交換方式的特點(diǎn)：（1）發(fā)送的數(shù)據(jù)與目的地址、源地址、控制信息按照一定格式組成一個(gè)數(shù)據(jù)單元（報(bào)文或報(bào)文分組）進(jìn)入通信子網(wǎng)；（2）通信子網(wǎng)中的結(jié)點(diǎn)是通信控制處理機(jī)，它負(fù)責(zé)完成數(shù)據(jù)單元的接收、差錯(cuò)校驗(yàn)、存儲(chǔ)、路選和轉(zhuǎn)發(fā)功能。存儲(chǔ)轉(zhuǎn)發(fā)方式的分類：報(bào)文（message）交換報(bào)文分組（packet）交換3.1.1分組交換與數(shù)據(jù)包報(bào)文交換

特點(diǎn)

報(bào)文交換方式的數(shù)據(jù)傳輸單位是報(bào)文，報(bào)文就是站點(diǎn)一次性要發(fā)送的數(shù)據(jù)塊，其長度不限且可變。當(dāng)一個(gè)站要發(fā)送報(bào)文時(shí)，它將一個(gè)目的地址附加到報(bào)文，網(wǎng)絡(luò)節(jié)點(diǎn)根據(jù)報(bào)文上的目的地址信息，把報(bào)文發(fā)送到下一個(gè)節(jié)點(diǎn)，一直逐個(gè)節(jié)點(diǎn)地轉(zhuǎn)送到目的節(jié)點(diǎn)。每個(gè)節(jié)點(diǎn)在收到整個(gè)報(bào)文并檢查無誤后，就暫存這個(gè)報(bào)文，然后利用路由信息找出下一個(gè)節(jié)點(diǎn)的地址，再把整個(gè)報(bào)文傳送給下一個(gè)節(jié)點(diǎn)。因此，端與端之間無需先通過呼叫建立連接。

報(bào)文從源點(diǎn)傳送到目的地采用“存儲(chǔ)--轉(zhuǎn)發(fā)”方式，在傳送報(bào)文時(shí)，一個(gè)時(shí)刻僅占用一段通道。不管發(fā)送數(shù)據(jù)的長度是多少，都把它當(dāng)作一個(gè)邏輯單元發(fā)送；在交換節(jié)點(diǎn)中需要緩沖存儲(chǔ)，報(bào)文需要排隊(duì)，故報(bào)文交換不能滿足實(shí)時(shí)通信的要求，并且報(bào)文經(jīng)過網(wǎng)絡(luò)的延遲時(shí)間長且不定。有時(shí)節(jié)點(diǎn)收到過多的數(shù)據(jù)而無空間存儲(chǔ)或不能及時(shí)轉(zhuǎn)發(fā)時(shí)，就不得不丟棄報(bào)文原理

分組交換在發(fā)送端，先把較長的報(bào)文劃分成較短的、固定長度的數(shù)據(jù)段。

報(bào)文1101000110101010110101011100010011010010假定這個(gè)報(bào)文校長不便于傳輸分組交換數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)報(bào)文每一個(gè)數(shù)據(jù)段前面添加上首部構(gòu)成分組。首部首部首部分組

1分組

2分組

3請(qǐng)注意：現(xiàn)在左邊是“前面”分組交換分組交換網(wǎng)以“分組”作為數(shù)據(jù)傳輸單元。依次把各分組發(fā)送到接收端（假定接收端在左邊）。數(shù)據(jù)首部分組

1數(shù)據(jù)首部分組

2數(shù)據(jù)首部分組

3分組交換首部的重要性分組交換首部的職責(zé)每一個(gè)分組的首部都含有地址等控制信息。分組交換網(wǎng)中的結(jié)點(diǎn)交換機(jī)根據(jù)收到的分組的首部中的地址信息，把分組轉(zhuǎn)發(fā)到下一個(gè)結(jié)點(diǎn)交換機(jī)。用這樣的存儲(chǔ)轉(zhuǎn)發(fā)方式，最后分組就能到達(dá)最終目的地。分組交換數(shù)據(jù)首部分組

1數(shù)據(jù)首部分組

2數(shù)據(jù)首部分組

3收到的數(shù)據(jù)接收端收到分組后剝?nèi)ナ撞窟€原成報(bào)文。最后，在接收端把收到的數(shù)據(jù)恢復(fù)成為原來的報(bào)文。這里我們假定分組在傳輸過程中沒有出現(xiàn)差錯(cuò)，在轉(zhuǎn)發(fā)時(shí)也沒有被丟棄。分組交換報(bào)文1101000110101010110101011100010011010010分組傳輸及重組

分組傳輸特點(diǎn)由于分組長度較短，在傳輸出錯(cuò)時(shí)，檢錯(cuò)容易并且重發(fā)花費(fèi)的時(shí)間較少；限定分組最大數(shù)據(jù)長度，有利于提高存儲(chǔ)轉(zhuǎn)發(fā)結(jié)點(diǎn)的存儲(chǔ)空間利用率與傳輸效率；公用數(shù)據(jù)網(wǎng)采用的是分組交換技術(shù)。網(wǎng)絡(luò)中信息的傳遞原理:同生活中的信件郵遞過程相似；被分割的數(shù)據(jù)片斷就像信息的內(nèi)容,是傳輸過程的主體；在逐層傳遞信息時(shí),各層的服務(wù)程序要在原有數(shù)據(jù)包的基礎(chǔ)上添加本層傳輸服務(wù)所需的數(shù)據(jù)包頭構(gòu)成最終傳輸?shù)耐暾麛?shù)據(jù)包.傳輸?shù)男畔⑹且詳?shù)據(jù)包為基本傳輸單位的；數(shù)據(jù)包的內(nèi)容是被侵害后的信息塊,在第個(gè)數(shù)據(jù)包上附加了多層包頭；一個(gè)數(shù)據(jù)包里,信息內(nèi)容是不完整的;在第一個(gè)數(shù)據(jù)包善,完整地包含了傳送此數(shù)據(jù)包所需的全部來源及目標(biāo)地址信息3.1.2信息傳輸過程與數(shù)據(jù)包的結(jié)構(gòu)社會(huì)上存在的郵政系統(tǒng)OSI參考模型的結(jié)構(gòu)

OSI參考模型工作原理不同的協(xié)議層,有著不同的任務(wù)目標(biāo),應(yīng)用著不同的網(wǎng)絡(luò)協(xié)議。應(yīng)用層:

將被傳輸?shù)男畔⑥D(zhuǎn)換成符合網(wǎng)絡(luò)傳輸遠(yuǎn)東的二進(jìn)制數(shù)據(jù)塊傳輸層:

將數(shù)據(jù)包傳輸?shù)侥康牡?

網(wǎng)絡(luò)層:

將源主機(jī)要發(fā)出的信息經(jīng)過適當(dāng)?shù)穆窂剿偷侥康闹鳈C(jī).數(shù)據(jù)鏈路層:

將網(wǎng)絡(luò)層交下來的IP數(shù)據(jù)報(bào)組裝成幀,在兩個(gè)相鄰節(jié)點(diǎn)間的鏈路上傳送以幀為單位的數(shù)據(jù).物理層:

向上一層提供一個(gè)傳輸數(shù)據(jù)的物理連接.HTTPFTPTELNETSMTPNXSSNMPDHCPMMS等TCPUDPIPDLC3.1.3網(wǎng)絡(luò)協(xié)議在網(wǎng)絡(luò)安全中的意義

網(wǎng)絡(luò)協(xié)議存在安全性漏洞TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸網(wǎng)絡(luò)入侵者在數(shù)據(jù)包中偽造IP地址,獲得合法身份潛入網(wǎng)絡(luò)系統(tǒng)進(jìn)行窘迫或破壞。使用網(wǎng)絡(luò)掃描工具探測網(wǎng)絡(luò)結(jié)構(gòu)。發(fā)現(xiàn)網(wǎng)絡(luò)漏洞尋找網(wǎng)絡(luò)安全薄弱環(huán)節(jié)對(duì)或主機(jī)進(jìn)行攻擊。26|PresentationTitle|Month2009掌握網(wǎng)絡(luò)協(xié)議的意義

我們?cè)谡莆樟司W(wǎng)絡(luò)傳輸原理與協(xié)議結(jié)構(gòu)之后,可以有針對(duì)性地對(duì)網(wǎng)絡(luò)入侵或安全威脅進(jìn)行有效的防范.可以對(duì)數(shù)據(jù)包上的信息進(jìn)行分析和判斷,對(duì)合法的數(shù)據(jù)包放行,而對(duì)非法的數(shù)據(jù)包進(jìn)行阻攔.也可以通過攔截網(wǎng)絡(luò)數(shù)據(jù)包的方法對(duì)網(wǎng)絡(luò)一荼狀態(tài)進(jìn)行有效監(jiān)控,發(fā)現(xiàn)網(wǎng)絡(luò)異常行為,及時(shí)采取應(yīng)對(duì)措施,保證網(wǎng)絡(luò)系統(tǒng)安全地運(yùn)行意義3.2數(shù)據(jù)包的捕獲與分析數(shù)據(jù)包截獲的原理數(shù)據(jù)截獲的方法3.2.3SnifferPortable軟件介紹數(shù)據(jù)的捕獲與過濾3.2.1數(shù)據(jù)包截獲的原理以太網(wǎng)接口卡可以被設(shè)置成如下4種工作模式：廣播：數(shù)據(jù)幀可以發(fā)向網(wǎng)絡(luò)中所有計(jì)算機(jī)。任何設(shè)置為廣播模式的網(wǎng)卡都接收目的地址為廣播地址的數(shù)據(jù)幀。通常所有的網(wǎng)卡被配置為接收廣播幀多播：發(fā)往一組計(jì)算機(jī)的幀稱為多播幀，使用特定的多播地址作為目的地址。這些計(jì)算機(jī)的組構(gòu)成了多播組。這樣，多播組里的任何一個(gè)成員計(jì)算機(jī)將會(huì)接收具有多播目的地址的幀直接：發(fā)往特定計(jì)算機(jī)的幀具有特定計(jì)算機(jī)的物理地址。具有特定物理地址的計(jì)算機(jī)將接收特定的幀，丟棄其它的幀。網(wǎng)卡可以設(shè)置為僅僅接收直接幀?；祀s：設(shè)置為這個(gè)模式的網(wǎng)卡接收所有收到的數(shù)據(jù)包，任何到達(dá)此網(wǎng)卡的信息都不丟棄。這個(gè)模式是網(wǎng)絡(luò)監(jiān)測應(yīng)用程序的關(guān)鍵模式。網(wǎng)卡的缺省工作模式包含廣播模式和直接模式，即它只接收廣播幀和發(fā)給自己的幀。如果采用混雜模式，網(wǎng)卡將接受所有到達(dá)本網(wǎng)卡網(wǎng)絡(luò)端口的信號(hào)。3.2.2數(shù)據(jù)截獲的方法在網(wǎng)絡(luò)監(jiān)聽情況下，要想監(jiān)聽到被監(jiān)聽主機(jī)之間的通信信息，也要滿足以上的兩點(diǎn)基本要求要將監(jiān)聽計(jì)算機(jī)與被監(jiān)聽主機(jī)使用集線器相連要將監(jiān)聽計(jì)算機(jī)上網(wǎng)卡的工作模式設(shè)置為混雜模式

通常情況下，當(dāng)使用專用嗅探軟件進(jìn)入監(jiān)聽模式時(shí)會(huì)自動(dòng)將網(wǎng)卡設(shè)為混雜模式網(wǎng)絡(luò)監(jiān)聽可以使用Windows2000Server自帶的《網(wǎng)絡(luò)監(jiān)視器》程序，也可以使用專用的網(wǎng)絡(luò)監(jiān)視軟件。通常專用的網(wǎng)絡(luò)監(jiān)視軟件具有更強(qiáng)的數(shù)據(jù)捕獲與過濾功能，是網(wǎng)絡(luò)管理員手中的重要工具軟件3.2.3SnifferPortable軟件介紹Windows中的網(wǎng)絡(luò)監(jiān)視器出于安全考慮，僅允許捕獲進(jìn)出本機(jī)的數(shù)據(jù)包，禁止捕獲與本機(jī)無關(guān)的主機(jī)間數(shù)據(jù)報(bào)SnifferPortable是一款專用網(wǎng)絡(luò)監(jiān)視軟件，可以捕獲一切到達(dá)本機(jī)網(wǎng)絡(luò)端口的數(shù)據(jù)報(bào)SnifferPortable是NETWORKGENERAL公司推出的功能強(qiáng)大的協(xié)議分析軟件?？梢怨ぷ饔赪indows2000及WindowsXP系統(tǒng)中。它以被動(dòng)的方式默默的監(jiān)視和捕獲每一個(gè)在網(wǎng)絡(luò)中廣播的數(shù)據(jù)包，并可對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行過濾、分析、存儲(chǔ)SnifferPortable的主要功能捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析利用專家分析系統(tǒng)診斷問題實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)收集網(wǎng)絡(luò)利用率和錯(cuò)誤等SnifferPortable主界面SnifferPortable共有8個(gè)下拉菜單，其主要功能是：文件菜單：打開和保存各種記錄數(shù)據(jù)文件；軟件系統(tǒng)工作模式的設(shè)定；打印各種報(bào)表或報(bào)告；運(yùn)行腳本程序等監(jiān)視器菜單：選擇設(shè)定系統(tǒng)監(jiān)視對(duì)象和監(jiān)視的任務(wù)，可以定義過濾器對(duì)監(jiān)視的對(duì)象有選擇的做出顯示，也可以察看報(bào)警日志捕獲菜單：可以啟動(dòng)或停止捕獲操作。可以按照不同的工作需求設(shè)置捕獲過濾器，也可以為捕獲操作設(shè)置觸發(fā)條件。這些功能可以極大地提高捕獲工作效率顯示菜單：顯示捕獲數(shù)據(jù)的內(nèi)容。可以對(duì)顯示內(nèi)容進(jìn)行搜索與過濾工具菜單：包含了一些系統(tǒng)工具。如系統(tǒng)配置選項(xiàng)，監(jiān)視對(duì)象地址簿，數(shù)據(jù)包自動(dòng)發(fā)送工具等數(shù)據(jù)庫菜單：對(duì)保存數(shù)據(jù)的數(shù)據(jù)庫進(jìn)行整理維護(hù)窗口菜單：按不同的工作需要顯示或隱藏不同的窗口幫助菜單：提供系統(tǒng)幫助SnifferPortable的啟動(dòng)數(shù)據(jù)包的捕獲開始按鈕：啟動(dòng)捕獲程序，開始捕獲數(shù)據(jù)包。暫停按鈕：暫時(shí)停止捕獲數(shù)據(jù)。停止按鈕：停止捕獲工作。停止和顯示按鈕：停止捕獲工作，自動(dòng)轉(zhuǎn)到顯示捕獲數(shù)據(jù)包窗口。顯示按鈕：顯示捕獲數(shù)據(jù)包的內(nèi)容。定義過濾器按鈕：設(shè)置過濾條件，有選擇的進(jìn)行捕獲。數(shù)據(jù)包的讀取與分析SnifferPortable捕獲到的數(shù)據(jù)包被暫存在內(nèi)存里，點(diǎn)擊“顯示”或“停止和顯示”按鈕可以把捕獲的數(shù)據(jù)包內(nèi)容顯示出來在數(shù)據(jù)顯示窗口中，通過窗口標(biāo)簽可以選擇多種顯示模式專家模式解碼顯示模式矩陣顯示模式主機(jī)列表顯示模式捕獲過濾點(diǎn)擊SnifferPortable捕獲工具欄上的“定義過濾器”按鈕，可以打開“定義過濾器”對(duì)話框在對(duì)話框中可以設(shè)置按制定的地址及在制定地址上數(shù)據(jù)傳輸方向進(jìn)行過濾其中IP協(xié)議內(nèi)容長度為20字節(jié)，TCP協(xié)議內(nèi)容長度為20字節(jié)。地址22H-23H：2字節(jié)。通常專用的網(wǎng)絡(luò)監(jiān)視軟件具有更強(qiáng)的數(shù)據(jù)捕獲與過濾功能，是網(wǎng)絡(luò)管理員手中的重要工具軟件此例為65259（FEEBH）幀校驗(yàn)序列：4個(gè)字節(jié)，利用的是CRC循環(huán)冗余校驗(yàn)法，在SnifferPortable中不顯示。第六行：SnifferPortable添加的DLC結(jié)束標(biāo)志傳輸?shù)男畔⑹且詳?shù)據(jù)包為基本傳輸單位的；第3章網(wǎng)絡(luò)數(shù)據(jù)包結(jié)構(gòu)與安全結(jié)果，主機(jī)A將B發(fā)來的包丟棄。捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析由于分組長度較短，在傳輸出錯(cuò)時(shí)，檢錯(cuò)容易并且重發(fā)花費(fèi)的時(shí)間較少；窗口菜單：按不同的工作需要顯示或隱藏不同的窗口存儲(chǔ)轉(zhuǎn)發(fā)方式的分類：第一行：SnifferPortable添加的DLC起始標(biāo)志定義了數(shù)據(jù)傳輸設(shè)備和傳輸媒體或網(wǎng)絡(luò)間的接口。ICMP數(shù)據(jù)包類型字段。3網(wǎng)絡(luò)層協(xié)議報(bào)頭結(jié)構(gòu)3.3數(shù)據(jù)的分析3.3.1TCP/IP協(xié)議3.3.2利用SnifferPortable分析網(wǎng)絡(luò)協(xié)議3.3.3網(wǎng)絡(luò)層協(xié)議報(bào)頭結(jié)構(gòu)3.3.4傳輸層協(xié)議報(bào)頭結(jié)構(gòu)3.3.1TCP/IP協(xié)議應(yīng)用層運(yùn)輸層網(wǎng)絡(luò)層鏈路層第一層鏈路層，也被稱為網(wǎng)絡(luò)接口層。定義了數(shù)據(jù)傳輸設(shè)備和傳輸媒體或網(wǎng)絡(luò)間的接口。這一層涉及到對(duì)于傳輸媒介的特性、信號(hào)的特性、數(shù)據(jù)傳輸率和相關(guān)內(nèi)容的確定。本層主要網(wǎng)絡(luò)有DLC幀協(xié)議（數(shù)據(jù)鏈路控制）。第二層網(wǎng)絡(luò)層，也被稱作互連網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動(dòng)，例如分組的路由選擇。在TCP/IP協(xié)議組件中，網(wǎng)絡(luò)層協(xié)議包括IP協(xié)議（網(wǎng)際協(xié)議），ICMP協(xié)議（Internet互連網(wǎng)控制報(bào)文協(xié)議），以及IGMP協(xié)議（Internet組管理協(xié)議）。第三層運(yùn)輸層，主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。在TCP/IP協(xié)議中，有兩個(gè)互不相同的傳輸協(xié)議：即面向連接的TCP協(xié)議和非連接的UDP協(xié)議。第四層應(yīng)用層，由不同的應(yīng)用程序?qū)崿F(xiàn)特定的應(yīng)用目的。如：Telnet遠(yuǎn)程登錄協(xié)議FTP文件傳輸協(xié)議SMTP簡單郵件傳輸協(xié)議SNMP簡單網(wǎng)絡(luò)管理協(xié)議……

3.3.2利用SnifferPortable分析網(wǎng)絡(luò)協(xié)議窗口工作區(qū)被分成三個(gè)窗格上面的窗格顯示數(shù)據(jù)包列表。每一行代表一個(gè)數(shù)據(jù)包?？梢钥吹矫恳粋€(gè)數(shù)據(jù)包在這批數(shù)據(jù)中的編號(hào)、此數(shù)據(jù)包的來源與目標(biāo)地址，數(shù)據(jù)包內(nèi)容摘要等下面窗格顯示當(dāng)前選中的數(shù)據(jù)包中的具體內(nèi)容。用十六進(jìn)制和ASCII碼顯示中間窗格顯示出當(dāng)前選中的數(shù)據(jù)包中包含哪些網(wǎng)絡(luò)協(xié)議，及各協(xié)議報(bào)頭在數(shù)據(jù)包中的位置。用鼠標(biāo)選中窗格中的一個(gè)協(xié)議后，在下面窗格中就會(huì)用灰色底紋將此與協(xié)議相關(guān)的內(nèi)容突出顯示出來DLC幀1.前導(dǎo)碼：8個(gè)字節(jié)，用于同步和起始標(biāo)志。在SnifferPortable中不顯示2.目的地址：6個(gè)字節(jié)，目的主機(jī)MAC地址3.源地址：6個(gè)字節(jié)，源主機(jī)MAC地址4.類型域：2個(gè)字節(jié)，標(biāo)識(shí)了在以太網(wǎng)上運(yùn)行的客戶端協(xié)議。即表明上層（網(wǎng)絡(luò)層）的協(xié)議。如IP、IPX等網(wǎng)絡(luò)層協(xié)議5.數(shù)據(jù)：46～1500字節(jié)，這里是真正要傳輸?shù)臄?shù)據(jù)。如果長度不夠46字節(jié)則由DLC協(xié)議自動(dòng)補(bǔ)齊為46字節(jié)6.幀校驗(yàn)序列：4個(gè)字節(jié)，利用的是CRC循環(huán)冗余校驗(yàn)法，在SnifferPortable中不顯示。其中2～4稱為幀頭，6稱為幀尾。DLC幀實(shí)例在DLC頭部：共顯示6行信息，其中第3-5行顯示內(nèi)容是DLC真實(shí)內(nèi)容，其它行是SnifferPortable添加的狀態(tài)信息第一行：SnifferPortable添加的DLC起始標(biāo)志第二行：SnifferPortable添加的幀序號(hào)、捕獲日期、時(shí)間、幀的長度等信息。以上2行內(nèi)容在數(shù)據(jù)包中是沒有的第三行：DLC真實(shí)內(nèi)容。目標(biāo)主機(jī)的MAC地址。占6個(gè)字節(jié)，幀內(nèi)地址00-05H第四行：DLC真實(shí)內(nèi)容。源主機(jī)的MAC地址。占6個(gè)字節(jié)，幀內(nèi)地址06-0BH第五行：DLC真實(shí)內(nèi)容。數(shù)據(jù)包的類型（即上層協(xié)議的類型）。占2個(gè)字節(jié)，幀內(nèi)地址0C-0DH。上層協(xié)議的類型主要有0800為IP協(xié)議，0806為ARP協(xié)議等第六行：SnifferPortable添加的DLC結(jié)束標(biāo)志DLC結(jié)束標(biāo)志之后是此幀的所要傳輸信息的真實(shí)內(nèi)容。此幀內(nèi)容包括IP和TCP協(xié)議2部分。其中IP協(xié)議內(nèi)容長度為20字節(jié)，TCP協(xié)議內(nèi)容長度為20字節(jié)。內(nèi)容總長度40字節(jié)幀的最后一行是DLC填充段。因?yàn)榇藬?shù)據(jù)幀內(nèi)容長度不足46字節(jié)，DLC自動(dòng)添加了6個(gè)字節(jié)的“00”將其補(bǔ)足為46字節(jié)3.3.3網(wǎng)絡(luò)層協(xié)議報(bào)頭結(jié)構(gòu)網(wǎng)絡(luò)層協(xié)議主要有：網(wǎng)際協(xié)議（IP）地址解析協(xié)議（ARP）網(wǎng)際控制報(bào)文協(xié)議（ICMP）網(wǎng)際協(xié)議（IP）IP數(shù)據(jù)包的格式4位版本4位首部長度8位服務(wù)類型16位總長度（字節(jié)數(shù)）16位標(biāo)識(shí)3位標(biāo)志13位片偏移8位TTL8位協(xié)議16位首部檢驗(yàn)和32位源IP地址32位目的IP地址選項(xiàng)（如果有）數(shù)據(jù)地址0E：1字節(jié)。高4位是IP協(xié)議版本號(hào)，低4位是本包IP首部長度。此例中0EH地址內(nèi)容為45H。4代表IP協(xié)議版本號(hào)為4，即IPv4，此包所經(jīng)過的各個(gè)路由器等網(wǎng)絡(luò)設(shè)備均按IPv4格式對(duì)數(shù)據(jù)包進(jìn)行解讀與處理。5為此數(shù)據(jù)包IP首部長度代碼。實(shí)際首部長度為此代碼乘以4，本例中首部長度為5×4＝20字節(jié)。首部最大長度為0FH×4＝15×4＝60（字節(jié)）地址0F：1字節(jié)。服務(wù)類型：定義IP協(xié)議包的處理方法，它包含如下子字段過程字段：3位，設(shè)置了數(shù)據(jù)包的重要性，取值越大數(shù)據(jù)越重要，取值范圍為：0（正常）~7（網(wǎng)絡(luò)控制）延遲字段：1位，取值：0（正常）、1（低延遲）流量字段：1位，取值：0（正常）、1（高流量）可靠性字段：1位，取值：0（正常）、1（高可靠性）成本字段：1位，取值：0（正常）、1（最小成本）未使用：1位本例中均取正常值“0”地址10H-11H：2字節(jié)。IP包總長度。此例中IP包總長度為0052H，即82字節(jié)。從0EH到5FH，包含了IP包頭及數(shù)據(jù)長度地址12H-13H：2字節(jié)。IP報(bào)文標(biāo)識(shí)字段，每一個(gè)IP數(shù)據(jù)包都有一個(gè)與分組過程相關(guān)的唯一標(biāo)識(shí)，做為到達(dá)目標(biāo)后恢復(fù)數(shù)據(jù)時(shí)組合的依據(jù)。此例中標(biāo)識(shí)為78FAH地址14H的高3位：有關(guān)數(shù)據(jù)分段的標(biāo)識(shí)地址14H的低5位-15H：段偏移。當(dāng)數(shù)據(jù)分組時(shí)，它和更多段位進(jìn)行連接，幫助目的主機(jī)將分段的包組合地址16H：1字節(jié)。IP包生存時(shí)間TTL。由于IP包發(fā)出后就不再對(duì)它進(jìn)行管理，任其自由尋找目標(biāo)主機(jī)。如果網(wǎng)絡(luò)或目標(biāo)主機(jī)出現(xiàn)故障造成IP包無法到達(dá)目的主機(jī)，此數(shù)據(jù)包就會(huì)不斷在網(wǎng)上游逛，形成網(wǎng)絡(luò)數(shù)據(jù)包孤兒。網(wǎng)絡(luò)孤兒大量存在就會(huì)占用網(wǎng)絡(luò)資源，嚴(yán)重影響正常的網(wǎng)絡(luò)通信。因此，如果IP包經(jīng)過一定時(shí)間還無法找到目標(biāo)主機(jī)就應(yīng)該讓它自動(dòng)消亡。這個(gè)時(shí)間就是TTL。當(dāng)某一網(wǎng)絡(luò)設(shè)備發(fā)出IP包的同時(shí)要給IP包設(shè)定一個(gè)生存時(shí)間常數(shù)，每經(jīng)過一個(gè)路由器此時(shí)間常數(shù)自動(dòng)減一，當(dāng)TTL值減為0還無法找到目標(biāo)主機(jī)就自動(dòng)消亡地址17H：1字節(jié)。協(xié)議代碼。表示此IP包攜帶的是何種協(xié)議報(bào)文。常見的有：1：ICMP6：TCP17：UDP此例中協(xié)議代碼值為6，表示報(bào)文是TCP協(xié)議。地址18H-19H：2字節(jié)。首部校驗(yàn)和。用于校驗(yàn)和糾錯(cuò)。地址1AH-1DH：4字節(jié)。源IP地址。此例為DBH、85H、3FH、36H。用點(diǎn)分十進(jìn)制表示即為地址1EH-21H：4字節(jié)。目標(biāo)IP地址。此例為C0H、A8H、01H、64H。用點(diǎn)分十進(jìn)制表示即為00地址解析協(xié)議（ARP）ARP是一種將IP轉(zhuǎn)化成以IP對(duì)應(yīng)的網(wǎng)卡的物理地址的一種協(xié)議，或者說ARP協(xié)議是一種將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議，它靠在內(nèi)存中保存的一張表來使IP得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答在源主機(jī)在發(fā)送一個(gè)IP包之前，它要到該轉(zhuǎn)換表中尋找與目標(biāo)主機(jī)IP包相對(duì)應(yīng)的MAC地址，如果沒有找到，該源主機(jī)就發(fā)送一個(gè)ARP廣播包，即目的MAC為FF-FF-FF-FF-FF-FF,目的IP為目標(biāo)主機(jī)，再帶上自己的源IP，和源MACARP數(shù)據(jù)包結(jié)構(gòu)硬件類型協(xié)議類型硬件地址長度協(xié)議地址長度操作（請(qǐng)求：1；應(yīng)答：2）源主機(jī)硬件地址源主機(jī)協(xié)議地址目標(biāo)硬件地址目標(biāo)協(xié)議地址數(shù)據(jù)包前14個(gè)字節(jié)為DLC包頭，ARP協(xié)議包從偏移地址0DH開始到29H結(jié)束地址0D-0EH：2字節(jié)。硬件類型，以太網(wǎng)為“0001H”地址10-11H：2字節(jié)。上層協(xié)議類型，0800H為IP協(xié)議地址12H：硬件地址長度。MAX地址長度恒為6字節(jié)。地址13H：協(xié)議地址長度。IP地址恒為4字節(jié)地址14-15H：操作。請(qǐng)求包恒為1，應(yīng)答包恒為2。此例是請(qǐng)求包，值為1

地址16-1BH：源主機(jī)的MAC地址。此例為：00-0D-60-8A-F0-3F地址1C-1FH：源主機(jī)協(xié)議地址。此例為。（十六進(jìn)制表示為C0H、A8H、01H、64H）地址20-25H：目標(biāo)主機(jī)MAC地址。此例為ARP請(qǐng)求包，地址為0地址26-29H：目標(biāo)主機(jī)協(xié)議地址。此例為。（十六進(jìn)制表示為C0H、A8H、01H、65H）地址2A-3BH：DLC將數(shù)據(jù)包不足長度部分補(bǔ)足ARP應(yīng)答包網(wǎng)際控制報(bào)文協(xié)議（ICMP）ICMP協(xié)議用于在主機(jī)、路由器之間傳遞控制消息以檢查網(wǎng)絡(luò)是否通暢、主機(jī)是否可達(dá)、路由是否可用等。ICMP包并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。ICMP常被黑客利用成為網(wǎng)絡(luò)攻擊的重要手段我們?cè)诰W(wǎng)絡(luò)維護(hù)管理中經(jīng)常會(huì)使用到ICMP協(xié)議，比如經(jīng)常使用的用于檢查網(wǎng)絡(luò)連通性的Ping命令，跟蹤路由的Tracert命令等使用網(wǎng)絡(luò)掃描工具探測網(wǎng)絡(luò)結(jié)構(gòu)。判斷與IP地址為（）的主機(jī)是否連通。2提高網(wǎng)絡(luò)安全性，防止網(wǎng)絡(luò)嗅探的措施此例為以HTTP協(xié)議傳輸?shù)某谋揪W(wǎng)頁信息，全部以明文方式傳輸?shù)谒膶討?yīng)用層，由不同的應(yīng)用程序?qū)崿F(xiàn)特定的應(yīng)用目的。開始按鈕：啟動(dòng)捕獲程序，開始捕獲數(shù)據(jù)包。地址20-25H：目標(biāo)主機(jī)MAC地址。帶參數(shù)ipconfig（帶/all）5為此數(shù)據(jù)包IP首部長度代碼。顯示TCP/IP網(wǎng)絡(luò)配置信息/刷新動(dòng)態(tài)主機(jī)配置協(xié)議DHCP和域名系統(tǒng)DNS設(shè)置.上機(jī)作業(yè)：網(wǎng)絡(luò)命令的使用？第二層網(wǎng)絡(luò)層，也被稱作互連網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動(dòng)，例如分組的路由選擇。ICMP數(shù)據(jù)包結(jié)構(gòu)SnifferPortable的啟動(dòng)地址0EH-21H：IP包頭以下地址若有選項(xiàng)則連續(xù)32字節(jié)選項(xiàng)。ICMP報(bào)文包含在IP數(shù)據(jù)報(bào)中，屬于IP的載荷。一個(gè)ICMP報(bào)文包括IP頭部、ICMP頭部和ICMP報(bào)文

ICMP數(shù)據(jù)包結(jié)構(gòu)IP首部ICMP報(bào)文8位類型8位代碼16位檢驗(yàn)和不同的類型和代碼有不同的數(shù)據(jù)內(nèi)容地址00-0DH：DLC包頭地址0EH-21H：IP包頭地址22H：1字節(jié)。ICMP數(shù)據(jù)包類型字段。不同的代碼代表此數(shù)據(jù)包內(nèi)容的類型。類型代碼 類型描述0 響應(yīng)應(yīng)答（ECHO-REPLY）3 不可到達(dá)4 源抑制5 重定向8 響應(yīng)請(qǐng)求（ECHO-REQUEST）11 超時(shí)12 參數(shù)失靈13 時(shí)間戳請(qǐng)求14 時(shí)間戳應(yīng)答15 信息請(qǐng)求（*已作廢）16 信息應(yīng)答（*已作廢）17 地址掩碼請(qǐng)求18 地址掩碼應(yīng)答此例中代碼08，響應(yīng)請(qǐng)求。地址22H：1字節(jié)。代碼。據(jù)前一字節(jié)設(shè)定不同類型下此字節(jié)含義不同。詳細(xì)解釋請(qǐng)查閱ICMP協(xié)議手冊(cè)。此例中為0。地址23H-24H：2字節(jié)校驗(yàn)和。用于校驗(yàn)數(shù)據(jù)包的正確性地址25H-26H：標(biāo)識(shí)地址27H-28H：2字節(jié)。發(fā)送二進(jìn)制位序列號(hào)地址29H-結(jié)束：發(fā)送探測包內(nèi)容。使用Windows系統(tǒng)的Ping命令時(shí)內(nèi)容為英文小寫字母a-w循環(huán)發(fā)送，直到達(dá)到命令要求的字節(jié)數(shù)為止。默認(rèn)字節(jié)數(shù)為323.3.4傳輸層協(xié)議報(bào)頭結(jié)構(gòu)傳輸層協(xié)議主要有：傳輸控制協(xié)議（TCP）用戶數(shù)據(jù)報(bào)協(xié)議（UDP）傳輸控制協(xié)議（TCP）TCP協(xié)議在傳輸層提供面向連接的可靠傳輸服務(wù)TCP的工作主要是建立連接，然后從應(yīng)用層程序中接收數(shù)據(jù)并進(jìn)行傳輸。TCP采用虛電路連接方式進(jìn)行工作，在發(fā)送數(shù)據(jù)前它需要在發(fā)送方和接收方建立一個(gè)連接，數(shù)據(jù)在發(fā)送出去后，發(fā)送方會(huì)等待接收方給出一個(gè)確認(rèn)性的應(yīng)答，否則發(fā)送方將認(rèn)為此數(shù)據(jù)丟失，并重新發(fā)送此數(shù)據(jù)。發(fā)送和接收方TCP實(shí)體以數(shù)據(jù)報(bào)的形式交換數(shù)據(jù)。一個(gè)數(shù)據(jù)報(bào)包含一個(gè)固定的20字節(jié)的頭、一個(gè)可選部分以及0或多字節(jié)的數(shù)據(jù)TCP報(bào)頭結(jié)構(gòu)源端口（16）目的端口（16）序列號(hào)（32）確認(rèn)號(hào)（32）TCP偏移量（4）保留（6）標(biāo)志（6）窗口（16）校驗(yàn)和（16）緊急（16）選項(xiàng)（0或32）數(shù)據(jù)（可變）地址00-0DH：DLC包頭地址0EH-21H：IP包頭地址22H-23H：2字節(jié)。源主機(jī)端口號(hào)，此例為使用HTTP協(xié)議訪問網(wǎng)頁，默認(rèn)端口號(hào)為80（0050H）地址24H-25H：2字節(jié)。目標(biāo)主機(jī)端口號(hào)，由應(yīng)用程序隨機(jī)產(chǎn)生。此例為3545（0DD9H）地址26H-29H：4字節(jié)。序號(hào)：指明了段在即將傳輸?shù)亩涡蛄兄械奈恢?。TCP連接是可靠的，而且保證了傳送數(shù)據(jù)包的順序，保證順序是用序號(hào)來保證的。此例中序號(hào)為2938112427（AF2009ABH）地址2AH-2DH：4字節(jié)。確認(rèn)號(hào)：作為收到數(shù)據(jù)的響應(yīng)，連接成功后傳輸數(shù)據(jù)過程中此號(hào)為請(qǐng)求包序號(hào)＋應(yīng)答數(shù)據(jù)包長度，若不進(jìn)行通信僅進(jìn)行連接時(shí)長度為1字節(jié)同步字節(jié)。此例為648543792＋1＝648543793（26A7FE31H）。地址2EH：1字節(jié)。高4位為首部長度，值為首部字節(jié)數(shù)/4。低4位保留未用。此例TCP首部長度20字節(jié)，故此此字節(jié)高4位值=20/4=5地址2FH：1字節(jié)。高2位保留未用。低6位為標(biāo)志位。URG緊急指針有效。ACK確認(rèn)序號(hào)有效。PSH接收方應(yīng)該盡快將這個(gè)報(bào)文段交給應(yīng)用層。RST重建連接。SYN同步序號(hào)用來發(fā)起一個(gè)連接。FIN發(fā)端完成發(fā)送任務(wù)。此例ACK位被置位，表示這是一個(gè)確認(rèn)連接包。地址30H-31H：2字節(jié)。窗口：指定發(fā)送端能傳輸下一段的大小。此例為65259（FEEBH）地址32H-33H：2字節(jié)。校驗(yàn)和。，用來校驗(yàn)段頭和數(shù)據(jù)部分的可靠性。此例為082DH地址34H-35H：2字節(jié)。緊急。指明段中包含緊急信息，只有當(dāng)URG標(biāo)志置1時(shí)緊急指針才有效。此例為0以下地址若有選項(xiàng)則連續(xù)32字節(jié)選項(xiàng)。此例沒有選項(xiàng)字段。后面內(nèi)容全部為被傳輸?shù)臄?shù)據(jù)。此例為以HTTP協(xié)議傳輸?shù)某谋揪W(wǎng)頁信息，全部以明文方式傳輸用戶數(shù)據(jù)報(bào)協(xié)議（UDP）用戶數(shù)據(jù)報(bào)協(xié)議UDP也是傳輸層協(xié)議，和TCP協(xié)議處于一個(gè)分層中，但是與TCP協(xié)議不同，UDP協(xié)議并不提供超時(shí)重傳，出錯(cuò)重傳等功能，是不可靠的協(xié)議UDP將數(shù)據(jù)的校驗(yàn)交給應(yīng)用軟件來完成，大大提高了信息傳輸?shù)撵`活性，由應(yīng)用軟件判斷數(shù)據(jù)報(bào)是否可以丟棄。對(duì)于可以忽略的部分應(yīng)用軟件可以自主將其丟棄，以保障信息傳遞的時(shí)效性。因此，UDP協(xié)議廣泛應(yīng)用于時(shí)效性要求高的場合，比如網(wǎng)絡(luò)電話、網(wǎng)絡(luò)電視、視頻監(jiān)控等UDP包的結(jié)構(gòu)源端口號(hào)目的端口號(hào)UDP長度UDP校驗(yàn)和數(shù)據(jù)（如果有）地址00-0DH：DLC包頭地址0EH-21H：IP包頭地址22H-23H：2字節(jié)。源主機(jī)端口號(hào)，此例為53124（CF84H）地址24H-25H：2字節(jié)。目標(biāo)主機(jī)端口號(hào)，此例為53124（CF84H）地址26H-27H：2字節(jié)。UDP部分?jǐn)?shù)據(jù)長度，此例為835B（0343H）地址28H-29H：2字節(jié)。校驗(yàn)和地址2AH-結(jié)束：UDP數(shù)據(jù)段。此例為網(wǎng)絡(luò)電視數(shù)據(jù)3.4數(shù)據(jù)的安全3.4.1安全隱患3.4.2提高網(wǎng)絡(luò)安全性，防止網(wǎng)絡(luò)嗅探的措施3.4.1安全隱患信息泄漏網(wǎng)絡(luò)攻擊信息泄漏網(wǎng)絡(luò)攻擊協(xié)議欺騙攻擊技術(shù)是針對(duì)網(wǎng)絡(luò)協(xié)議的缺陷，采用欺騙的手段，截獲信息或取得特權(quán)并進(jìn)行攻擊主要的協(xié)議欺騙攻擊方式有IP欺騙ARP欺騙DNS欺騙源路由欺騙等IP欺騙攻擊示例IP欺騙技術(shù)就是通過偽造某臺(tái)主機(jī)的IP地址騙取特權(quán)從而進(jìn)行攻擊的技術(shù)。通常應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能夠使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可以回到源地，那么源IP地址一定是有效的，而這正是使源IP地址欺騙攻擊成為可能的前提假設(shè)同一網(wǎng)段內(nèi)有兩臺(tái)主機(jī)A、B，另一網(wǎng)段內(nèi)有主機(jī)X。B授予A某些特權(quán)。X為獲得與A相同的特權(quán)，所做欺騙攻擊如下：首先，X冒充A，向主機(jī)B發(fā)送一個(gè)帶有隨機(jī)序列號(hào)的SYN包。主機(jī)B響應(yīng)，回送一個(gè)應(yīng)答包給A，該應(yīng)答號(hào)等于原序列號(hào)加1。然而，此時(shí)主機(jī)A已被主機(jī)X利用拒絕服務(wù)攻擊“淹沒”了，導(dǎo)致主機(jī)A服務(wù)失效。結(jié)果，主機(jī)A將B發(fā)來的包丟棄。為了完成三次握手，X還需要向B回送一個(gè)應(yīng)答包，其應(yīng)答號(hào)等于B向A發(fā)送數(shù)據(jù)包的序列號(hào)加1。此時(shí)主機(jī)X并不能檢測到主機(jī)B的數(shù)據(jù)包（因?yàn)椴辉谕痪W(wǎng)段），只有利用TCP順序號(hào)估算法來預(yù)測應(yīng)答包的順序號(hào)并將其發(fā)送給目標(biāo)機(jī)B。如果猜測正確，B則認(rèn)為收到的ACK是來自內(nèi)部主機(jī)A。此時(shí)，X即獲得了主機(jī)A在主機(jī)B上所享有的特權(quán)