數(shù)據(jù)包捕獲與協(xié)議分析_青農(nóng)大計(jì)算機(jī)網(wǎng)絡(luò)_第1頁
數(shù)據(jù)包捕獲與協(xié)議分析_青農(nóng)大計(jì)算機(jī)網(wǎng)絡(luò)_第2頁
數(shù)據(jù)包捕獲與協(xié)議分析_青農(nóng)大計(jì)算機(jī)網(wǎng)絡(luò)_第3頁
數(shù)據(jù)包捕獲與協(xié)議分析_青農(nóng)大計(jì)算機(jī)網(wǎng)絡(luò)_第4頁
數(shù)據(jù)包捕獲與協(xié)議分析_青農(nóng)大計(jì)算機(jī)網(wǎng)絡(luò)_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)(實(shí)習(xí))報(bào)告i. 實(shí)驗(yàn)(實(shí)習(xí))名稱: 數(shù)據(jù)包捕獲辦議分析 實(shí)驗(yàn)(實(shí)習(xí))日期專業(yè) 姓名:學(xué)號(hào):一. 實(shí)驗(yàn)?zāi)康模?. 了解抓包與協(xié)議分析軟件的簡(jiǎn)單使用方法。2 了解并驗(yàn)證網(wǎng)絡(luò)上數(shù)據(jù)包的基木結(jié)構(gòu)。二. 實(shí)驗(yàn)環(huán)境1硬件:pc、配備網(wǎng)卡,局域網(wǎng)環(huán)境。2. 軟件:windows 2000 或者 xp 操作系統(tǒng)、winpcap> analyzero三. 實(shí)驗(yàn)內(nèi)容利用ethereal軟件抓取網(wǎng)絡(luò)上的數(shù)據(jù)包(http、icmp、ip、tcp),并作相應(yīng)分 析。四. 實(shí)驗(yàn)步驟(1)安裝etheral的安裝非常簡(jiǎn)單,只要按照提示安裝即可。(2)運(yùn)行雙擊桌面的ethereal,顯示uthe eth

2、ereal network analyzern的主界而,菜單的功能是:(3)設(shè)置規(guī)則這里有兩種方式可以設(shè)置規(guī)則: 使用 interface1)選擇capture一>interfaces,將顯示該主機(jī)的所有網(wǎng)絡(luò)接口和所有流經(jīng)的數(shù)據(jù)包,單-擊 "capture"按鈕,及執(zhí)行捕獲。2)如果要修改捕獲過程中的參數(shù),可以單擊該接口對(duì)應(yīng)的“prepare”按鈕。在捕獲選項(xiàng) 對(duì)話框中,可以進(jìn)一步設(shè)置捕獲條件: interface確定所選擇的網(wǎng)絡(luò)接口 limit each packet to n bytes指定所捕獲包的字節(jié)數(shù)。選擇該項(xiàng)是為了節(jié)省空間,只捕獲包頭,在包頭屮已經(jīng)擁有要分

3、析的信息。 capture packet in promiscuous mode設(shè)置成混雜模式。在該模式下,可以記錄所有的分組,包括日的地址非本機(jī)的分組。 capture filter指定過濾規(guī)則有關(guān)過濾規(guī)則請(qǐng)查閱以下使用filter方式中的內(nèi)容。 capture files指定捕獲結(jié)果存放位置 update list of packets in real time實(shí)時(shí)更新分纟fl每個(gè)新分組會(huì)隨時(shí)在顯示結(jié)果屮出現(xiàn),但在重網(wǎng)絡(luò)流量時(shí)會(huì)出現(xiàn)丟包現(xiàn)象。 stop capture limits設(shè)置停止跟蹤的時(shí)間如捕獲到一定數(shù)量的分組(.after n packets)>跟蹤記錄達(dá)到一定的大小(.

4、after n megabytes)或在一個(gè)特定的時(shí)間后(.after n minutes)c name resolution設(shè)置名字解析如啟用mac地址轉(zhuǎn)換(enable mac name resolution),可以將地址轉(zhuǎn)換成丿商、網(wǎng)絡(luò) 地址轉(zhuǎn)換(enable network name resolution),可以將地址轉(zhuǎn)換成主機(jī)名、傳輸名字轉(zhuǎn)換 (enable transport name resolution), nj'以將端口號(hào)翻譯成|辦議,但在重網(wǎng)絡(luò)流量時(shí)會(huì)出現(xiàn) 丟包現(xiàn)象。3) 設(shè)定完畢后,單擊“0k”按鈕將按照新設(shè)定的條件執(zhí)行捕獲。使用 filter1)選擇captur

5、e->capture filter,顯示過濾器対話框,該過濾器對(duì)以過濾掉不感興趣的數(shù) 據(jù)血,使捕獲的結(jié)果減少。2)單擊“new”按鈕,在filter name和filter sting中填入過濾器名稱和過濾規(guī)則,最后 單擊“save”按鈕保存過濾規(guī)則。(4)捕獲數(shù)據(jù)包選擇capture>start,將按照事先設(shè)定的過濾規(guī)則進(jìn)彳亍捕獲。捕獲結(jié)束時(shí),單擊“stop” 按鈕。沒冇設(shè)定過濾條件時(shí),表示捕獲流經(jīng)本機(jī)的所有數(shù)據(jù)包。(5)產(chǎn)牛一個(gè)滿足捕獲條件的動(dòng)作選擇想耍抓取的i辦議。(6)分析結(jié)果捕獲結(jié)束厲,捕獲結(jié)果將按時(shí)間順序顯示在跟蹤列表框(第一個(gè)窗口)中,包括序號(hào)、 發(fā)送時(shí)問、源地址、i

6、d的地址、協(xié)議等信息,其屮源地址和口的地址是物理地址。單擊表頭 中的標(biāo)題,可以重新按照該標(biāo)題排序。抓包協(xié)議分析協(xié)議數(shù)據(jù)包窗口timesource desonadonprotocol infoudpsour" port: 600g destination port: 25607具體分析如下:捕獲的數(shù)據(jù)包默認(rèn)按照時(shí)間的順序全部顯示在窗口中,窗口的選項(xiàng)從左到右分別是:包 序號(hào)(no.)、時(shí)間(time,單位為秒)、數(shù)據(jù)包的源ip地址(source)、數(shù)據(jù)包的目的ip 地址(destination)、協(xié)議類型(protocol) x包信息概述(info)。上述包分析如下:包號(hào)是2;當(dāng)前包到達(dá)

7、時(shí)間距離第一個(gè)包到達(dá)的時(shí)間是2. 247044秒(當(dāng)前包就是第一 個(gè)到達(dá));包的源ip地址是10. 10. 68. 130;frame 6 (54 bytes on wire. 54 bytes captured)ethernet ll9 src: fo:de:fl:d:ba:sb (f0:de:f 1:cl:ba:5b)9 dst: huaweite_5a:fc:00 (00£e0:fc:5a:fc:00)internet protoco,sc1010 68.130 (101068130) dst: 22o 181 162 18 (22o 181 16 人 18)source po

8、rt: 4528 (4528)destination port: http (80)sequence number: 1 (relative sequence number) acknowledgement number: 1 (relative ack number) header length: 20 bytesflags: 0x0010 (ack) window size: 65535圖協(xié)議樹窗口上而是一個(gè)協(xié)議樹窗口。協(xié)議樹窗口顯示的協(xié)議層次與網(wǎng)絡(luò)協(xié)議的層次對(duì)應(yīng),下而是 上ifii這個(gè)例子的對(duì)應(yīng)關(guān)系:frame對(duì)應(yīng)的協(xié)議層次是幀,ethernet it對(duì)應(yīng)的協(xié)議層次是數(shù)據(jù)鏈路層inter

9、net protocol對(duì)應(yīng)的協(xié)議層次是網(wǎng)絡(luò)層,transmission control protocol對(duì)應(yīng)的協(xié)議層次是傳 輸層。每個(gè)樹節(jié)點(diǎn)下的都是該數(shù)據(jù)包在該層的具體參數(shù)和數(shù)據(jù)。要了解每個(gè)樹節(jié)點(diǎn)的含義需要 熟讀tcp/ip協(xié)議簇。這里要記住一點(diǎn),從應(yīng)用層到最低層,通過逐漸添加數(shù)據(jù)包頭來完成 的,在數(shù)據(jù)鏈路層有一個(gè)尾部。這里僅僅舉兩個(gè)例子:tpi辦議節(jié)點(diǎn)、tcp協(xié)議節(jié)點(diǎn)。rame z (bb bytes on wiret bb dytes capturedarrival time: nov 28. 2012 10:26:25.475627000time delta from previous

10、 packet: 2.247044000 secondstime since reference or first frarre: 2.247044000 secondsframe number: 2packet length: 65 bytescapture length: 65 bytesprotocols in frawe: eth:1p:udp:datacoloring rule narre: checksua errorscoloring rule string: edpchcksurr-bad=l.ip.checksucr_bad=ltcpchecksum_badudpchcksu

11、m_badethernet llt src: fo:de:fl:cl:ba:5b (f0:de:fl:cl:ba:5b), dst: huaweite_5a:fc:00 (00:eo:fc:5a:fc:00)destination: huav.eite_5a:fc:00 (oo:eo:fc:5a:fc:00)address: huav.eite-5a:fc:00 (00:e0:fc:5a:fc:00) 0multicast: this is a unicast frame0locally administrated address: this 1s a factory default addr

12、esssource: fo:de:fl:cl:ba:sb (fo:de:fl:cl:ba:5b)address: fo:de:fl:cl:ba:5b (fo:de:fl:cl:ba:5b)0 .0type: ip (0x0800)multicast: this is a unicast framelocally administrated address: this is a factory default address進(jìn)制數(shù)據(jù)包窗口16進(jìn)制數(shù)據(jù)包窗口將數(shù)據(jù)包的所有內(nèi)容以16進(jìn)制的形式顯示出來,如下所示:0 4 8 10 6 8 05 3 9 04d 5 o0 2 0 40 8 0 0dl4

13、f0093ssennsdnnbto o 3 o oo o 7 eooolc o 4f4- o 6 c3 cos5 3 7 8cd 7 3 t f 1 o o 3 e e e 3 o 1 oolf o o o 3 c o00000010002000300040圖16進(jìn)制數(shù)據(jù)包窗口 該窗口包括3部分,分別是: 16進(jìn)制的序號(hào),單位為字節(jié);最左邊部分。 16進(jìn)制的數(shù)據(jù)內(nèi)容:16個(gè)字節(jié)一行;中間部分。 ascii碼數(shù)據(jù)內(nèi)容,最右邊部分。元素介紹:表格1primitive描述srcldst host <host>允許設(shè)立主機(jī)ip或名稱過濾器??梢允褂们熬Y操作符src或 dst指定此主機(jī)為源地

14、址還是目的地址。如果沒有指定前綴操作 符,則抓取與此主機(jī)相關(guān)的所有數(shù)據(jù)包。ether srcldst host <ehost>允許設(shè)置以太網(wǎng)主機(jī)地址(mac地址)過濾器??梢栽趀ther和 host z間隨意包含srcldst前綴操作符,指定此主機(jī)為源地址還 是目的地址。如果沒冇指定前綴操作符,則抓取與此主機(jī)相關(guān) 的所有數(shù)據(jù)包。gateway host <host>設(shè)定以此主機(jī)為網(wǎng)關(guān)的數(shù)據(jù)包過濾器。即那些以太網(wǎng)源或目的 地址為此主機(jī)以太網(wǎng)地址(mac地址),而ip地址卻不是此主機(jī) ip地址的數(shù)據(jù)包都被取。srcldst net <net>mask <m

15、ask>llen <length>設(shè)置希望抓収數(shù)據(jù)的網(wǎng)絡(luò)數(shù)。可是使用前綴操作符src或dst 指定你希望抓収的是源網(wǎng)絡(luò)或是日標(biāo)網(wǎng)絡(luò)。如果不加前綴操作符,則抓取于此網(wǎng)絡(luò)相關(guān)的所有數(shù)據(jù)。如果與您主機(jī)的掩碼或 cidr不同,可以通過mask掩碼和len cidr設(shè)置。tcpludp srcldst port <port>設(shè)置tcp或udp過濾端口號(hào)??梢允褂们熬Ytcp或udp和src 或dst設(shè)置你要過濾的是tcp還是udp,是源端口還是目的端口。 tcpludp必須在srcldst前面。lesslgreater <length>設(shè)置過濾數(shù)據(jù)包氏度。被抓取得

16、數(shù)據(jù)包長(zhǎng)度小于等于或人于等 于設(shè)定的長(zhǎng)度。iplether proto <protocol>設(shè)定ip或以太網(wǎng)層成濾協(xié)議。etherlip broadcastlmulticast設(shè)定過濾以太網(wǎng)或ip層的廣播或多播<expr> relop <expr>設(shè)置一個(gè)復(fù)合過濾表達(dá)式,去選擇數(shù)據(jù)包中的字節(jié)或字節(jié)范圍具體實(shí)驗(yàn)過程:()抓取tcp試驗(yàn)過程定義過濾器上面節(jié)點(diǎn)說明如下:樹節(jié)點(diǎn)名稱source portdestination portsequenee numberacknowledgement numberheader lengthflagswindow sizec

17、hecksum停止抓包,進(jìn)行數(shù)據(jù)分析。3. tcp協(xié)議節(jié)點(diǎn)< transmission control protocol, src port: 4532 (4532), dst port: http (80), seq: 0, ack: 0, len: 0 source port: 4532 (4532)destination port: http (80)sequence number: 0 (relative sequenew number)acknowledgement number: 0 (relative ack number)header length: 20 bytes3

18、flags: 0x0014 (rst, ack)window size: 0checksum: 0x8317 correct圖tcp協(xié)議節(jié)點(diǎn)說明源端口,傳輸層的源地址;目的端口,傳輸層的目的地址;當(dāng)前包所載有效數(shù)據(jù)的起始序號(hào),在一個(gè)連 接中從開始計(jì)數(shù);以字節(jié)計(jì)數(shù);是源用來確認(rèn)忖標(biāo)在該連接上的到該序號(hào)的 數(shù)據(jù)都已經(jīng)收到。頭的長(zhǎng)度。tcp標(biāo)志,上面的例子中表示該包是一個(gè)ack 標(biāo)志,ack標(biāo)志幾乎每個(gè)包都有(握手和終止 的時(shí)候可能沒有);告訴對(duì)方tcp窗口的數(shù)據(jù)大??;對(duì)方還可 以發(fā)送多少數(shù)據(jù);校驗(yàn)和optionsv六進(jìn)數(shù)據(jù)包:)0)0)0)0oooo0 12 30 0 2 0oodoe 6b d

19、od 0 0 9 r 4 6 o o o o 0 0 5 0 c o o o r 400 a e 4 7 5 7b 1 cb 1 3 r 218tl cl ba 5b 08 007a b4 oa oa 44 8221 43 46 01 b4 f7 |475 003 ef g; 14zl.e. (+蟲& z. . . d. s.pi. !cf.g.(二)抓取ipip協(xié)議分析> ip是tcp/ip協(xié)議集的核心之一,它提供了無連接的數(shù)據(jù)包傳輸和互聯(lián)網(wǎng)的路由 服務(wù)。ip的基本任務(wù)是通過互聯(lián)網(wǎng)傳輸數(shù)據(jù)包,每個(gè)ip數(shù)據(jù)包是獨(dú)立傳輸?shù)摹?gt; 丄機(jī)上的ip層基于數(shù)據(jù)鏈路層向傳輸層提供傳輸服務(wù)

20、,1p從源傳輸層實(shí)體獲得 數(shù)據(jù),再通過物理網(wǎng)絡(luò)傳送到忖的機(jī)器的ip層。(下圖為ip協(xié)議格式:)試驗(yàn)過程定義過濾器選項(xiàng)字段,特殊的tcp用途停止抓包,數(shù)據(jù)分析 數(shù)據(jù)分析: internet protocolt src: 211.10049.14 (4), dst: 30 (30)version: 4header length: 20 bytes田 differentiated services field: 0x00 (dscp 0x00: default; ecn: 0x00)total length: 47identificat

21、ion: 0x0000 (0)田 flags: 0x04 (don*t fragment)fragment offset: 0time to live: 53protocol: udp (0x11)s header checksum: oxf2bf correctsource: 4 (4)destination: 10.10. 6&130 (30)user datagram protocol, src port: 25607 (25607), dst port: 6000 (6000) fl q hvtp<ip協(xié)

22、議節(jié)點(diǎn)上面節(jié)點(diǎn)說明如下:樹節(jié)點(diǎn)名稱versionheader lengthtotal lengthflags說明ip 版本,ipv420個(gè)字節(jié)的tp頭,沒有其他選項(xiàng)該ip包攜帶的64字節(jié)不分片標(biāo)志被設(shè)置沒有被設(shè)置,該1p在通過 各種類型的網(wǎng)絡(luò)時(shí)可以分片傳輸;如果該網(wǎng) 絡(luò)的最大數(shù)據(jù)包小于該ip包的長(zhǎng)度,該數(shù)據(jù) 包將被分片傳輸;protocolheader checksumsource, destionation十六進(jìn)制數(shù)據(jù)包:該數(shù)據(jù)包是tcp協(xié)議的頭的校驗(yàn)和,通過該字段可以知道數(shù)據(jù)是否 有錯(cuò)誤。該數(shù)據(jù)包的網(wǎng)絡(luò)層源和ii標(biāo)地址。juuu30103020d0302f82顧6400丄b7 8ceo 7

23、407 5idod7doooo11匾016f315a(三)hup抓包 定義過濾器ethereal: capture optionsinterface:realtek 10/100/1000 ethernet nicip address: 30buffer size: 1:megabytejs)" capture packets in promiscuous modelimit each packet to7 bytescapture filter: http|capture filers)file:bro*a'se.use multiple files.a

24、fterl±j ltj.after骨megabyte(s)pd.aftervlmin ute(s)vstop capture .helpdisplay optionsupdate list of packets in re制 timehide capture info dialogname resolution" enable mac name resolutionenable net/vork neme resolution" enable “nsport name resolutionstartcancel開始抓包:停止抓包,分析數(shù)據(jù)日 get /haocll

25、gif4353935503301=httpx3a»mf»firxiex.labs.ht«lsf=httpbafifx2fw.baidu.caicffc=7x9m5ajsa6i( request method: getrequest uri trunmm: /haodhgiftl扔湖01 如hup!ba!of!cfhaq】60aoin(le)ddbshtii1&f=hupjb睨站刪baidu.orwrequest version: hhp/1.1accept: 7*vnreferer: accept-language: zh-cnrnuser-agent:

26、nozilla/4.0 (conpatible; nsie 8.0; windows nt 5.1; trident/4.0; svl; .net clr 2.0.50727)rnaccept-encoding: gzip, deflaternhost: haostat.qihoo.cournconnection: keep-alivernq q q g q gx ) !* ousiod金co eo rcc2 二 ces3 99 cj 干訐lu20 48 54/uctof45?em b d 8 7 lh b 4 o- 4 3 r j 3 j r c c 5 c d r- r- d o o a7

27、 - * 4-4005% d jq ? b 4 > 、1 3 纟 5 mlaoa印2ffem d qj 6 2 & a 3 %<- »te 11 k- r 1 3j- 5 3 eonrrrr:c 14 52 n if k bb 騷 5( lt 禮 c ?: 2f *2- p 0 0 a aaaacar: : p, 岀 jp, ge 1川冷卯http/1. l.waccep t / fhttp協(xié)議節(jié)點(diǎn)樹節(jié)點(diǎn)名稱說明request method以get方式向主機(jī)請(qǐng)求request url獲取有關(guān)當(dāng)前請(qǐng)求的url的信息accept-language瀏覽器可以支持中文re

28、quest version實(shí)現(xiàn)瀏覽器版本是:http/1. 1referer告訴服務(wù)器是從i1a0123鏈接過來的user-agent用戶使用的瀏覽器的類型,類型冇:'msieinetscapeloperalkonquerorlmozilla' 五種accept-encoding瀏覽器支持的類型是彩ip十六進(jìn)制的數(shù)據(jù):(四)icmp 泄義過濾器ethereak capture optionsvaxcapture filers)display optionsfile:use multiple filesbrowse.meqabytefs; +minute lj囲packetmeg

29、abytefs)minute(s)i v istop capture .after.after.afterupdate list of packets in re對(duì) timehide capture info dialog-name resolution7 enable mac name resolutionenable network n&me resolution7 enable transport name resolutonstartcancelethereah capture from reattek 10/1開始抓包c(diǎn)aptured packets% of totaltotal2sctp00.0%tcp00.0%udp00.0%icmp21 1100.0%arp00.0%ospf00.0%gre00.0%netbios00.0%ipx00.0%vines00.0%other00.0%vaxrunning00:00:0

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論