ethereal抓包分析Word文档下载推荐.docx
- 文档编号:18431469
- 上传时间:2022-12-16
- 格式:DOCX
- 页数:10
- 大小:1.17MB
ethereal抓包分析Word文档下载推荐.docx
《ethereal抓包分析Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《ethereal抓包分析Word文档下载推荐.docx(10页珍藏版)》请在冰豆网上搜索。
一、安装Ethereal、用CaptureOptions(捕获选项)对话框来指定跟踪记录的各个方面、开始抓包。
1、安装Ethereal
从网络下载得到该软件,并进行安装。
过程略。
2、捕获选项
图1捕获选项的设置
3、开始抓包
点击上图中的“Start”开始抓包
图2开始抓包
二、分析UDP、TCP、ICMP协议
1、UDP协议
UDP是UserDatagramProtocol的简称,中文名是用户数据包协议,是OSI参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。
它是IETFRFC768是UDP的正式规范。
(1)UDP是一个无连接协议,传输数据之前源端和终端不建立连接,当它想传送时就简单地去抓取来自应用程序的数据,并尽可能快地把它扔到网络上。
在发送端,UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制;
在接收端,UDP把每个消息段放在队列中,应用程序每次从队列中读一个消息段。
(2)由于传输数据不建立连接,因此也就不需要维护连接状态,包括收发状态等,因此一台服务机可同时向多个客户机传输相同的消息。
(3)UDP信息包的标题很短,只有8个字节,相对于TCP的20个字节信息包的额外开销很小。
(4)吞吐量不受拥挤控制算法的调节,只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。
(5)UDP使用尽最大努力交付,即不保证可靠交付,因此主机不需要维持复杂的链接状态表(这里面有许多参数)。
(6)UDP是面向报文的。
发送方的UDP对应用程序交下来的报文,在添加首部后就向下交付给IP层。
既不拆分,也不合并,而是保留这些报文的边界,因此,应用程序需要选择合适的报文大小。
图3抓包后主界面,大量UDP协议
原始框显示了分组中包含的数据的每个字节.从中可以观察最原始的传输数据.
方框左边是十六进制的数据,右边是ASCII码。
报文的二进制码,即发送的最原始内容。
选择其中第8个包进行分析。
图4第8个Frame
第1行,现在此贞基本信息。
名称,692字节。
第2行,显示到达时间2010.07.02。
第3、4行,现在使用时间。
第6、7行,现在贞长度和捕获长度,都是692字节。
第8、9、10行,现在此贞类型,为UDP类型。
图5以太网
图5显示了此贞的源地址和目的地址,分别为第3行,第7行。
另外说明了此贞是个单波贞“Thisisaunicastframe”.
图6Internet协议
第1行,给出了源地址和目的地址,分别为60.21.240.12;
218.56.158.86。
第2行,Version=4,表示IP协议的版本号为4,即IPV4,占4位,HeaderLength=20Bytes,表示IP包头的总长度为20个字节,该部分占4个位。
所以第一行合起来就是一个字节。
第3行,给出头长度,20字节。
第6行,Identification=40793,表示IP包识别号为40793。
该部分占两个字节。
第7行,Flags,表示片标志,占3个位。
各位含义分别为:
第一个“0”不用,第二位为不可分片位标志位,此处值为“1”表示该数据表禁制分片。
第三位为是否最后一段标志位,此处“0”表示最后一段。
第10行,给出贞类型,为UDP。
第11行,HeaderChecksun=0xf43c(correct),表示IP包头校验和为0xf43c,括号内的Correct表示此IP数据包是正确的,没有被非法修改过。
该部分占两字节。
图7用户数据报协议
第2行,源端口:
13237。
2字节,源端口号,即发送这个TCP包的计算机所使用的端口号。
第3行,目的端口:
10611。
2字节,目标端口号,即接受这个TCP包计算机所使用的端口号。
第4行,长度658字节。
第5行,Checksum-检验和,校验和。
在数据处理和数据通信领域中,用于校验目的的一组数据项的和。
这些数据项可以是数字或在计算检验和过程中看作数字的其它字符串。
2、TCP协议
在因特网协议族(Internetprotocolsuite)中,TCP层是位于IP层之上,应用层之下的中间层。
不同主机的应用层之间经常需要可靠的、像管道一样的连接,但是IP层不提供这样的流机制,而是提供不可靠的包交换。
TCP建立连接之后,通信双方都同时可以进行数据的传输,其次,他是全双工的;
在保证可靠性上,采用超时重传和捎带确认机制。
图8窗口中的TCP协议贞
不展开分析的话,也可以看到一些基本信息,比如编号为667,源地址,目的地址,协议类型等,注意到,后面提到了有关于TCP协议3次握手过程中的量,Ack,Seq等。
客户端向Web服务器发送一个SYN同步连接请求,Web服务器收到请求后向客户端发送一个SYN/ACK数据包,同意客户端的连接请并向客端发起同步,客户端收到该数据包后再次确认,从而成功建立TCP连接。
图9第667个贞
名称,60字节。
第6、7行,现在贞长度和捕获长度,都是60字节。
第8、9、10行,现在此贞类型,为TCP类型。
图10以太网信息
显示了此贞的源地址和目的地址,指出协议类型为TCP。
图11Internet信息
第1行,给出了源地址和目的地址,分别为125.84.68.178;
60.21.240.12。
第3行,给出头长度,40字节。
第6行,Identification=15498,表示IP包识别号为15498。
第10行,给出贞类型,为TCP。
第11行,HeaderChecksun=0xdaid(correct),表示IP包头校验和为0xdaid,括号内的Correct表示此IP数据包是正确的,没有被非法修改过。
图12传输控制协议
(TransmissionControlProtocol,TCP)是一种面向连接的、可靠的、基于字节流的运输层通信协议,通常由IETF的RFC793说明。
在简化的计算机网络OSI模型中,它完成传输层所指定的功能。
第1行,源端口:
4313。
第2行,目的端口:
19836。
第3行,序列数,1。
第4行,接收数,1。
第5行,包头长度20字节。
第6行,Flags,表示片标志,占3个位。
下面各行,都没有被设置,其中Syn,为首部同步位,在TCP向另一个发送连接请求报文段,设置为1。
Fin,在TCP释放连接的时候用到,用来表示结束,它需要消耗一个序号。
3、ICMP协议
ICMP是(InternetControlMessageProtocol)Internet控制报文协议。
它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。
这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
ICMP协议是一种面向连接的协议,用于传输出错报告控制信息。
它是一个非常重要的协议,它对于网络安全具有极其重要的意义。
它是TCP/IP协议族的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。
当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。
ICMP提供一致易懂的出错报告信息。
发送的出错报文返回到发送原数据的设备,因为只有发送设备才是出错报文的逻辑接受者。
发送设备随后可根据ICMP报文确定发生错误的类型,并确定如何才能更好地重发失败的数据报。
图13窗口中的ICMP协议(请求)
图14窗口中的ICMP协议(应答)
上两图,与前面分析的协议区别在于增加了Type:
0(Echo(ping)request/reply),
表明了ping类型和其代码。
图15网际协议
221.202.136.137。
第3行,给出包头长度,68字节。
第6行,Identification=40853,表示IP包识别号为40853。
第10行,给出贞类型,为ICMP。
第11行,HeaderChecksun=0x8ae(correct),表示IP包头校验和为0x8ae,括号内的Correct表示此IP数据包是正确的,没有被非法修改过。
三、实验体会
通过本次开放性实验,首先我学会了安装Ethereal,当然软件的安装有很多的相同点,但是英文软件的安装就不是那么轻易的了,这不仅让我更家熟练的安装软件,同时还加强了我的英文水平。
其次,让我学会了在抓包前的设置工作,在CaptureOptions进行。
例如,可以过滤一些不想要的包,如果太大的话,就舍弃它们。
还有,这次实验让我对计算机网络所学习的知识进行了巩固复习,在进行TCP协议的分析时,我为了更好的完成实验,我又翻阅的我们的教科书,再次深入的学习了关于他的知识,比如TCP连接的3次握手和释放等等。
四、参考文献
1、计算机网络简明教程,电子工业出版社,谢希仁编著。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ethereal 分析