第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)

第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)教學(xué)提示：本章主要介紹網(wǎng)絡(luò)層和傳輸層各協(xié)議的報(bào)頭結(jié)構(gòu)，SnifferPro的安裝和使用方法。教學(xué)要求：了解流量監(jiān)控和數(shù)據(jù)分析的概念，掌握網(wǎng)絡(luò)層協(xié)議和傳輸層協(xié)議的報(bào)頭結(jié)構(gòu)，熟悉SnifferPro的安裝和基本操作方法，熟練掌握使用SnifferPro進(jìn)行抓包并分析的步驟。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第1頁。2.1流量監(jiān)控與數(shù)據(jù)分析以太網(wǎng)的通信是基于廣播方式的，這意味著在同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問到物理媒體上傳輸?shù)臄?shù)據(jù)，而每一個網(wǎng)絡(luò)接口都有一個惟一的硬件地址，即MAC地址，長度為48字節(jié)，一般來說每一塊網(wǎng)卡上的MAC地址都是不同的。在MAC地址和IP地址間使用ARP和RARP協(xié)議進(jìn)行相互轉(zhuǎn)換。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第2頁。2.1.1局域網(wǎng)數(shù)據(jù)流量的監(jiān)控以太網(wǎng)的工作機(jī)制是把要發(fā)送的數(shù)據(jù)包發(fā)往連接在同一網(wǎng)段中的所有主機(jī)，在包頭中包括有目標(biāo)主機(jī)的正確地址，只有與數(shù)據(jù)包中目標(biāo)地址相同的主機(jī)才能接收到信息包，但是當(dāng)主機(jī)工作在監(jiān)聽模式下時，不管數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都可以接收到。許多局域網(wǎng)內(nèi)有十幾臺甚至上百臺主機(jī)是通過一個集線器連接在一起的，在協(xié)議的高層或者用戶來看，當(dāng)同一網(wǎng)絡(luò)中的兩臺主機(jī)通信的時候，源主機(jī)將寫有目的主機(jī)地址的數(shù)據(jù)包直接發(fā)往目的主機(jī)，或者當(dāng)網(wǎng)絡(luò)中的一臺主機(jī)同外界的主機(jī)通信時，源主機(jī)將寫有目的主機(jī)IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去，要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口，即數(shù)據(jù)鏈路層。網(wǎng)絡(luò)接口不會識別IP地址，它在IP數(shù)據(jù)包的基礎(chǔ)上又增加了一部分以太幀的幀頭信息。在幀頭中，有兩個域分別為只有網(wǎng)絡(luò)接口才能識別的源主機(jī)和目的主機(jī)的物理地址，這個48位的地址是與IP地址相對應(yīng)的。對于作為網(wǎng)關(guān)的主機(jī)，由于它連接了多個網(wǎng)絡(luò)，它也就同時具備有很多個IP地址，在每個網(wǎng)絡(luò)中它都有一個。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第3頁。局域網(wǎng)數(shù)據(jù)流量的監(jiān)控1．檢測網(wǎng)絡(luò)監(jiān)聽(1)對于懷疑運(yùn)行監(jiān)聽程序的機(jī)器，用正確的IP地址和錯誤的物理地址ping，運(yùn)行監(jiān)聽程序的機(jī)器會有響應(yīng)。這是因?yàn)檎５臋C(jī)器不接收錯誤的物理地址，但處于監(jiān)聽狀態(tài)的機(jī)器能接收，如果它不反向檢查地址的話，就會響應(yīng)。(2)向網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序分析和處理大量的數(shù)據(jù)包時要占用很多的CPU資源，這將導(dǎo)致性能下降。這種方法的難度比較大。(3)使用反監(jiān)聽工具進(jìn)行檢測。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第4頁。局域網(wǎng)數(shù)據(jù)流量的監(jiān)控2．網(wǎng)絡(luò)監(jiān)聽的防范措施1)對網(wǎng)絡(luò)進(jìn)行邏輯分段或物理分段網(wǎng)絡(luò)分段是一種有效抑制網(wǎng)絡(luò)廣播風(fēng)暴的基本手段，從安全角度講也是一項(xiàng)具體的安全措施。其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。2)使用交換式集線器盡管對局域網(wǎng)的中心交換機(jī)進(jìn)行了網(wǎng)絡(luò)分段，但是局域網(wǎng)監(jiān)聽的威脅依然存在。因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而分支集線器通常使用共享式集線器。當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時，同一臺集線器上的其他用戶可以監(jiān)聽到兩臺機(jī)器之間傳送的數(shù)據(jù)包。由此必須以交換式集線器取代共享式集線器，從而防止被非法監(jiān)聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包和多播包。但廣播包和多播包內(nèi)的關(guān)鍵信息要遠(yuǎn)遠(yuǎn)少于單播包。3)使用加密技術(shù)數(shù)據(jù)經(jīng)過加密后，即使通過監(jiān)聽得到傳送的信息，但顯示的卻可能是毫無意義的亂碼。使用加密技術(shù)會影響數(shù)據(jù)傳輸速度，如果使用一個弱加密術(shù)還比較容易被攻破。這樣管理員和用戶必須在速度和安全上進(jìn)行權(quán)衡。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第5頁。局域網(wǎng)數(shù)據(jù)流量的監(jiān)控4)劃分VLANVLAN(虛擬局域網(wǎng))技術(shù)可以有效縮小沖突域，通過劃分VLAN能防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第6頁。2.1.2Sniffer工具介紹

計(jì)算機(jī)網(wǎng)絡(luò)是共享通信通道的，這意味著計(jì)算機(jī)能夠接收到發(fā)送給其他計(jì)算機(jī)的信息。捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息就稱為sniffing(竊聽)。以太網(wǎng)是現(xiàn)在應(yīng)用最廣泛的計(jì)算機(jī)連網(wǎng)方式。以太網(wǎng)協(xié)議的特點(diǎn)是在同一網(wǎng)絡(luò)向所有主機(jī)發(fā)送數(shù)據(jù)包信息。數(shù)據(jù)包頭包含有目標(biāo)主機(jī)的地址。一般情況下只有具有該地址的主機(jī)會接收這個數(shù)據(jù)包。如果一臺主機(jī)能夠接收所有數(shù)據(jù)包，而不理會數(shù)據(jù)包頭內(nèi)容，這種方式通常稱為“混雜”模式。Sniffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件。Sniffer支持的協(xié)議豐富，解碼分析速度快。其中SnifferPro版可以運(yùn)行在各種Windows平臺上。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第7頁。2.1.3深入了解SnifferSniffer是一種常用的收集有用數(shù)據(jù)的方法，這些數(shù)據(jù)可以是用戶的賬號和密碼，還可以是一些商用機(jī)密數(shù)據(jù)等。隨著Internet及電子商務(wù)的日益普及，Internet的安全也越來越受到重視。Sniffer在Internet安全隱患中顯示了很重要的作用。Sniffer通常運(yùn)行在路由器或有路由器功能的主機(jī)上，這樣就能對大量的數(shù)據(jù)進(jìn)行監(jiān)控。Sniffer幾乎能得到任何以太網(wǎng)上傳送的數(shù)據(jù)包。在以太網(wǎng)中Sniffer將系統(tǒng)的網(wǎng)絡(luò)接口設(shè)定為混雜模式。這樣，它就可以監(jiān)聽到所有流經(jīng)同一以太網(wǎng)網(wǎng)段的數(shù)據(jù)包，而不管它的接受者或發(fā)送者是不是運(yùn)行Sniffer的主機(jī)。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第8頁。2.2網(wǎng)絡(luò)層協(xié)議報(bào)頭結(jié)構(gòu)網(wǎng)絡(luò)層協(xié)議將數(shù)據(jù)包封裝成IP數(shù)據(jù)報(bào)，并運(yùn)行必要的路由算法，它有4個互聯(lián)協(xié)議。(1)網(wǎng)際協(xié)議(IP)：在主機(jī)和網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)包的路由轉(zhuǎn)發(fā)。(2)地址解析協(xié)議(ARP)：獲得同一物理網(wǎng)絡(luò)中的硬件主機(jī)地址。(3)網(wǎng)際控制報(bào)文協(xié)議(ICMP)：發(fā)送消息，并報(bào)告有關(guān)數(shù)據(jù)包的傳送錯誤。(4)互聯(lián)組管理協(xié)議(IGMP)：IP主機(jī)向本地多路廣播路由器報(bào)告主機(jī)組成員。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第9頁。2.2.1IPIP協(xié)議面向無連接，主要負(fù)責(zé)在主機(jī)間尋址并為數(shù)據(jù)包設(shè)定路由，在交換數(shù)據(jù)前它并不建立會話。因?yàn)樗槐ＷC正確傳遞；另一方面，數(shù)據(jù)在被收到時，IP不需要收到確認(rèn)，所以它是不可靠的。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第10頁。IP數(shù)據(jù)報(bào)格式

第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第11頁。2.2.2ARPARP(地址解析協(xié)議)用于獲得在同一物理網(wǎng)絡(luò)中的主機(jī)的硬件地址。要在網(wǎng)絡(luò)上通信必需知道對方主機(jī)的硬件地址，地址解析就是將主機(jī)IP地址映射為硬件地址的過程。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第12頁。ARP包結(jié)構(gòu)

第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第13頁。2.2.3ICMP

ICMP(Internet控制報(bào)文協(xié)議)用于報(bào)告錯誤并對消息進(jìn)行控制。ICMP是IP層的一個組成部分，它負(fù)責(zé)傳遞差錯報(bào)文及其他需要注意的信息。ICMP報(bào)文通常被IP層或更高層協(xié)議(TCP或UDP)使用，一些ICMP報(bào)文把差錯報(bào)文返回給用戶進(jìn)程。ICMP報(bào)文是在IP數(shù)據(jù)報(bào)內(nèi)部傳輸。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第14頁。2.2.4IGMPIGMP(互聯(lián)組管理協(xié)議)把信息傳給別的路由器，以使每個支持多路廣播的路由器獲知哪個主機(jī)組處于哪個網(wǎng)絡(luò)中。正如ICMP一樣，IGMP也被當(dāng)作IP層的一部分。IGMP報(bào)文通過IP數(shù)據(jù)報(bào)進(jìn)行傳輸，有固定的報(bào)文長度，沒有可選數(shù)據(jù)項(xiàng)。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第15頁。2.3傳輸層協(xié)議報(bào)頭結(jié)構(gòu)傳輸協(xié)議在計(jì)算機(jī)之間提供通信會話。傳輸協(xié)議的選擇根據(jù)數(shù)據(jù)傳輸方式而定。常用的兩個傳輸協(xié)議如下。(1)傳輸控制協(xié)議(TCP)：提供了面向連接的通信，為應(yīng)用程序提供可靠的通信連接。適合于一次傳輸大批數(shù)據(jù)的情況，并適用于要求得到響應(yīng)的應(yīng)用程序。(2)用戶數(shù)據(jù)報(bào)協(xié)議(UDP)：提供了無連接通信，且不對傳送包進(jìn)行可靠的保證，適合于一次傳輸小量數(shù)據(jù)的情況，可靠性由應(yīng)用層負(fù)責(zé)。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第16頁。2.3.1TCPTCP提供一種面向連接的、可靠的字節(jié)流服務(wù)。面向連接意味著兩個使用TCP的應(yīng)用在彼此交換數(shù)據(jù)之前必須先建立一個TCP連接。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第17頁。TCP數(shù)據(jù)報(bào)結(jié)構(gòu)第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第18頁。2.3.2UDPUDP是一個簡單的面向數(shù)據(jù)報(bào)的運(yùn)輸層協(xié)議，進(jìn)程的每個輸出操作都正好產(chǎn)生一個UDP數(shù)據(jù)報(bào)，并組裝成一份待發(fā)送的IP數(shù)據(jù)報(bào)。這與面向流字符的協(xié)議不同(如TCP)，應(yīng)用程序產(chǎn)生的全體數(shù)據(jù)與真正發(fā)送的單個IP數(shù)據(jù)報(bào)可能沒有什么聯(lián)系。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第19頁。

UDP檢驗(yàn)和計(jì)算過程中使用的各個字段

第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第20頁。2.4TCP會話安全TCP協(xié)議面向連接，收發(fā)雙方在發(fā)送數(shù)據(jù)之前必須建立一條連接。TCP連接包括：連接建立、數(shù)據(jù)傳輸和連接終止。TCP用3次握手建立一個連接。1．連接建立(三次握手)一對終端同時初始化一個它們之間的連接，但通常是由一端打開一個套接字，然后監(jiān)聽來自另一方的連接，這就是通常所指的被動打開。被動打開的一端就是服務(wù)器端。而客戶端通過向服務(wù)器端發(fā)送一個SYN來建立一個主動打開，作為三次握手的一部分。服務(wù)器端為一個合法的SYN回送一個SYN/ACK。最后，客戶端再發(fā)送一個ACK。這樣就完成了三次握手，并進(jìn)入了連接建立狀態(tài)。2．?dāng)?shù)據(jù)傳輸很多重要的機(jī)制在TCP的數(shù)據(jù)傳送狀態(tài)保證了TCP的可靠性和強(qiáng)壯性。它們包括：使用序號對收到的TCP報(bào)文段進(jìn)行排序以及檢測重復(fù)的數(shù)據(jù)；使用校驗(yàn)和來檢測報(bào)文段的錯誤；使用確認(rèn)和計(jì)時器來檢測和糾正丟包或延時。在三次握手過程中，兩個主機(jī)的TCP層間要交換初始序號。這些序號用于標(biāo)識字節(jié)流中的數(shù)據(jù)，并且還是對應(yīng)用層的數(shù)據(jù)字節(jié)進(jìn)行記數(shù)的整數(shù)。通常在每個TCP報(bào)文段中都有一對序號和確認(rèn)號。TCP報(bào)文發(fā)送者認(rèn)為自己的字節(jié)編號為序號，而認(rèn)為接收者的字節(jié)編號為確認(rèn)號。TCP報(bào)文的接收者為了確保可靠性，在接收到一定數(shù)量的連續(xù)字節(jié)流后才發(fā)送確認(rèn)。這是對TCP的一種擴(kuò)展，通常稱為選擇確認(rèn)(SACK)。選擇確認(rèn)使得TCP接收者可以對亂序到達(dá)的數(shù)據(jù)塊進(jìn)行確認(rèn)。3．連接終止連接終止使用了四次握手，每個終端的連接在此過程中都能獨(dú)立地被終止。因此，一個典型的拆接過程需要每個終端都提供一對FIN和ACK。第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第21頁。2.5數(shù)據(jù)流捕捉與分析

捕獲過程報(bào)文統(tǒng)計(jì)捕獲報(bào)文查看設(shè)置捕獲條件ARP報(bào)文解碼

IP報(bào)文解碼第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第22頁。2.6本章實(shí)訓(xùn)使用Sniffer工具進(jìn)行抓捕獲分析

第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第23頁。2.7本章習(xí)題

填空題(1)在以太網(wǎng)中，所有的通信都是

的。(2)網(wǎng)卡一般有4種接收模式：

、

、

、

。(3)Sniffer的中文意思是

。

第2章IP數(shù)據(jù)報(bào)結(jié)構(gòu)全文共26頁，當(dāng)前為第24頁。選擇題(1)TCP和UDP屬于()協(xié)議。A．網(wǎng)絡(luò)層 B．?dāng)?shù)據(jù)鏈路層 C．傳輸層 D．以上都不是(2)ARP屬于()協(xié)議。A．網(wǎng)絡(luò)層 B．?dāng)?shù)據(jù)鏈路層 C．傳輸層 D．以上都不是(3)TCP連接的建立需要