第2章 IP数据报结构 教学提示:本章主要介绍网络层和传输层各协议的报头结构,Sniffer Pro的安装和使用方法。

Slides:



Advertisements
Similar presentations
练一练: 在数轴上画出表示下列各数的点, 并指出这些点相互间的关系: -6 , 6 , -3 , 3 , -1.5, 1.5.
Advertisements

NAT与ICMP交互.
第三章 计算机网络体系结构及协议.
会计从业资格 会计电算化 精讲班 主讲老师:黄德建.
计算机网络教程 任课教师:孙颖楷.
第三章 数据链路层 任务驱动 问题探究 习题讲解 实验要求.
——Windows98与Office2000(第二版) 林卓然编著 中山大学出版社
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
1. 基础知识 首都师范大学 信息工程学院 网络设计与管理实践 1. 基础知识 首都师范大学 信息工程学院
《计算机网络技术》 课程整体设计介绍.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 02 认识虚拟局域网 计算机网络技术专业.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
一、数据链路层的设计问题 1. 向网络层提供的服务
第3章 网络体系结构与网络协议 主讲:方继才.
第1章 网络标准化 锐捷认证网络工程师RCNA.
网络设计与管理实践 首都师范大学信息工程学院.
实验八 配置动态路由-OSPF协议.
第17章 实现路由器.
项目四 组建跨地区网络 授课教师:肖颖.
第八课 TCP/IP协议.
网际协议:IP.
实验4 基于Socket的C/S程序开发 实验目的
在PHP和MYSQL中实现完美的中文显示
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
Kvm异步缺页中断 浙江大学计算机体系结构实验室 徐浩.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
计算机网络原理 徐明伟
利用Wireshark观察网络报文 2015.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
网络常用常用命令 课件制作人:谢希仁.
实用组网技术 第一章 网络基础知识.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
第17章 网站发布.
第3章 IP寻址与地址解析.
《手把手教你学STM32》 主讲人 :正点原子团队 硬件平台:正点原子STM32开发板 版权所有:广州市星翼电子科技有限公司 淘宝店铺:
TCP/IP基本原理 第二章 网络接口层.
第3章 信息与信息系统 陈恭和.
SOA – Experiment 2: Query Classification Web Service
電子郵件簡介.
第四章 团队音乐会序幕: 团队协作平台的快速创建
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
IT 安全 第 9节 通信和网络控制.
4.2 网际协议IP 网际协议 IP 是 TCP/IP 体系中两个最主要的协议之一。与 IP 协议配套使用的还有四个协议:
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
第八章 总线技术 8.1 概述 8.2 局部总线 8.3 系统总线 8.4 通信总线.
数据报分片.
郑 昀 应用开发事业部 神州泰岳 SIP多方会话消息 之实例讲解 郑 昀 应用开发事业部 神州泰岳
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
实验目的:掌握数据的顺序存储结构及它们在计算机中的操作。 实验内容:
WSAAsyncSelect 模型 本节内容 视频提供:昆山爱达人信息技术有限公司 视频录制:yang
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
第十七讲 密码执行(1).
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
IP路由协议 IP数据报从源主机无连接的、逐步地传送到目标主机,这就是IP协议的路由选择。.
入侵检测技术 大连理工大学软件学院 毕玲.
DSP技术与应用 电子与信息技术系.
3.6.1 虚拟网络的基本概念 虚拟局域网的实现技术 虚拟网络的优点
Presentation transcript:

第2章 IP数据报结构 教学提示:本章主要介绍网络层和传输层各协议的报头结构,Sniffer Pro的安装和使用方法。 教学要求:了解流量监控和数据分析的概念,掌握网络层协议和传输层协议的报头结构,熟悉Sniffer Pro的安装和基本操作方法,熟练掌握使用Sniffer Pro进行抓包并分析的步骤。

2.1 流量监控与数据分析 以太网的通信是基于广播方式的,这意味着在同一个网段的所有网络接口都可以访问到物理媒体上传输的数据,而每一个网络接口都有一个惟一的硬件地址,即MAC地址,长度为48字节,一般来说每一块网卡上的MAC地址都是不同的。在MAC地址和IP地址间使用ARP和RARP协议进行相互转换。

2.1.1 局域网数据流量的监控 以太网的工作机制是把要发送的数据包发往连接在同一网段中的所有主机,在包头中包括有目标主机的正确地址,只有与数据包中目标地址相同的主机才能接收到信息包,但是当主机工作在监听模式下时,不管数据包中的目标物理地址是什么,主机都可以接收到。许多局域网内有十几台甚至上百台主机是通过一个集线器连接在一起的,在协议的高层或者用户来看,当同一网络中的两台主机通信的时候,源主机将写有目的主机地址的数据包直接发往目的主机,或者当网络中的一台主机同外界的主机通信时,源主机将写有目的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去,要发送的数据包必须从TCP/IP协议的IP层交给网络接口,即数据链路层。网络接口不会识别IP地址,它在IP数据包的基础上又增加了一部分以太帧的帧头信息。在帧头中,有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址,这个48位的地址是与IP地址相对应的。对于作为网关的主机,由于它连接了多个网络,它也就同时具备有很多个IP地址,在每个网络中它都有一个。

局域网数据流量的监控 1.检测网络监听 (1) 对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,但处于监听状态的机器能接收,如果它不反向检查地址的话,就会响应。 (2) 向网上发大量不存在的物理地址的包,由于监听程序分析和处理大量的数据包时要占用很多的CPU资源,这将导致性能下降。这种方法的难度比较大。 (3) 使用反监听工具进行检测。

局域网数据流量的监控 2.网络监听的防范措施 1) 对网络进行逻辑分段或物理分段 网络分段是一种有效抑制网络广播风暴的基本手段,从安全角度讲也是一项具体的安全措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。 2) 使用交换式集线器 尽管对局域网的中心交换机进行了网络分段,但是局域网监听的威胁依然存在。因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而分支集线器通常使用共享式集线器。当用户与主机进行数据通信时,同一台集线器上的其他用户可以监听到两台机器之间传送的数据包。 由此必须以交换式集线器取代共享式集线器,从而防止被非法监听。当然,交换式集线器只能控制单播包而无法控制广播包和多播包。但广播包和多播包内的关键信息要远远少于单播包。 3) 使用加密技术 数据经过加密后,即使通过监听得到传送的信息,但显示的却可能是毫无意义的乱码。使用加密技术会影响数据传输速度,如果使用一个弱加密术还比较容易被攻破。这样管理员和用户必须在速度和安全上进行权衡。

局域网数据流量的监控 4) 划分VLAN VLAN(虚拟局域网)技术可以有效缩小冲突域,通过划分VLAN能防止大部分基于网络监听的入侵。

2.1.2 Sniffer工具介绍 计算机网络是共享通信通道的,这意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为sniffing(窃听)。 以太网是现在应用最广泛的计算机连网方式。以太网协议的特点是在同一网络向所有主机发送数据包信息。数据包头包含有目标主机的地址。一般情况下只有具有该地址的主机会接收这个数据包。如果一台主机能够接收所有数据包,而不理会数据包头内容,这种方式通常称为“混杂”模式。 Sniffer软件是NAI公司推出的功能强大的协议分析软件。Sniffer支持的协议丰富,解码分析速度快。其中Sniffer Pro版可以运行在各种Windows平台上。

2.1.3 深入了解Sniffer Sniffer是一种常用的收集有用数据的方法,这些数据可以是用户的账号和密码,还可以是一些商用机密数据等。随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。Sniffer在Internet安全隐患中显示了很重要的作用。 Sniffer通常运行在路由器或有路由器功能的主机上,这样就能对大量的数据进行监控。Sniffer几乎能得到任何以太网上传送的数据包。 在以太网中Sniffer将系统的网络接口设定为混杂模式。这样,它就可以监听到所有流经同一以太网网段的数据包,而不管它的接受者或发送者是不是运行Sniffer的主机。

2.2 网络层协议报头结构 网络层协议将数据包封装成IP数据报,并运行必要的路由算法,它有4个互联协议。 2.2 网络层协议报头结构 网络层协议将数据包封装成IP数据报,并运行必要的路由算法,它有4个互联协议。 (1) 网际协议(IP):在主机和网络之间进行数据包的路由转发。 (2) 地址解析协议(ARP):获得同一物理网络中的硬件主机地址。 (3) 网际控制报文协议(ICMP):发送消息,并报告有关数据包的传送错误。 (4) 互联组管理协议(IGMP):IP主机向本地多路广播路由器报告主机组成员。

2.2.1 IP IP协议面向无连接,主要负责在主机间寻址并为数据包设定路由,在交换数据前它并不建立会话。因为它不保证正确传递;另一方面,数据在被收到时,IP不需要收到确认,所以它是不可靠的。

IP数据报格式

2.2.2 ARP ARP(地址解析协议)用于获得在同一物理网络中的主机的硬件地址。要在网络上通信必需知道对方主机的硬件地址,地址解析就是将主机IP地址映射为硬件地址的过程。

ARP包结构

2.2.3 ICMP ICMP(Internet控制报文协议)用于报告错误并对消息进行控制。ICMP是IP层的一个组成部分,它负责传递差错报文及其他需要注意的信息。 ICMP报文通常被IP层或更高层协议(TCP或UDP)使用,一些ICMP报文把差错报文返回给用户进程。 ICMP报文是在IP数据报内部传输。

2.2.4 IGMP IGMP(互联组管理协议)把信息传给别的路由器,以使每个支持多路广播的路由器获知哪个主机组处于哪个网络中。 正如ICMP一样,IGMP也被当作IP层的一部分。IGMP报文通过IP数据报进行传输,有固定的报文长度,没有可选数据项。

2.3 传输层协议报头结构 传输协议在计算机之间提供通信会话。传输协议的选择根据数据传输方式而定。常用的两个传输协议如下。 2.3 传输层协议报头结构 传输协议在计算机之间提供通信会话。传输协议的选择根据数据传输方式而定。常用的两个传输协议如下。 (1) 传输控制协议(TCP):提供了面向连接的通信,为应用程序提供可靠的通信连接。适合于一次传输大批数据的情况,并适用于要求得到响应的应用程序。 (2) 用户数据报协议(UDP):提供了无连接通信,且不对传送包进行可靠的保证,适合于一次传输小量数据的情况,可靠性由应用层负责。

2.3.1 TCP TCP提供一种面向连接的、可靠的字节流服务。面向连接意味着两个使用TCP的应用在彼此交换数据之前必须先建立一个TCP连接。

TCP数据报结构

2.3.2 UDP UDP是一个简单的面向数据报的运输层协议,进程的每个输出操作都正好产生一个UDP数据报,并组装成一份待发送的IP数据报。这与面向流字符的协议不同(如TCP),应用程序产生的全体数据与真正发送的单个IP数据报可能没有什么联系。

UDP检验和计算过程中使用的各个字段

2.4 TCP会话安全 TCP协议面向连接,收发双方在发送数据之前必须建立一条连接。 1.连接建立(三次握手) 一对终端同时初始化一个它们之间的连接,但通常是由一端打开一个套接字,然后监听来自另一方的连接,这就是通常所指的被动打开。被动打开的一端就是服务器端。而客户端通过向服务器端发送一个SYN来建立一个主动打开,作为三次握手的一部分。服务器端为一个合法的SYN回送一个SYN/ACK。最后,客户端再发送一个ACK。这样就完成了三次握手,并进入了连接建立状态。 2.数据传输 很多重要的机制在TCP的数据传送状态保证了TCP的可靠性和强壮性。它们包括:使用序号对收到的TCP报文段进行排序以及检测重复的数据;使用校验和来检测报文段的错误;使用确认和计时器来检测和纠正丢包或延时。 在三次握手过程中,两个主机的TCP层间要交换初始序号。这些序号用于标识字节流中的数据,并且还是对应用层的数据字节进行记数的整数。通常在每个TCP报文段中都有一对序号和确认号。TCP报文发送者认为自己的字节编号为序号,而认为接收者的字节编号为确认号。TCP报文的接收者为了确保可靠性,在接收到一定数量的连续字节流后才发送确认。这是对TCP的一种扩展,通常称为选择确认(SACK)。选择确认使得TCP接收者可以对乱序到达的数据块进行确认。 3.连接终止 连接终止使用了四次握手,每个终端的连接在此过程中都能独立地被终止。因此,一个典型的拆接过程需要每个终端都提供一对FIN和ACK。

2.5 数据流捕捉与分析 捕获过程报文统计 捕获报文查看 设置捕获条件 ARP报文解码 IP报文解码

2.6 本 章 实 训 使用Sniffer工具进行抓捕获分析

2.7 本章习题 填空题 (1) 在以太网中,所有的通信都是 的。 (2) 网卡一般有4种接收模式: 、 、 、 。 2.7 本章习题 填空题 (1) 在以太网中,所有的通信都是 的。 (2) 网卡一般有4种接收模式: 、 、 、 。 (3) Sniffer的中文意思是 。

选择题 (1) TCP和UDP属于( )协议。 A.网络层 B.数据链路层 C.传输层 D.以上都不是 (2) ARP属于( )协议。

简答题 (1)总结流量监控对网络安全的重要性。 (2) 简述Sniffer的工作原理。 (3) 请画出ARP报文结构图。 (4) 网络层的传输层协议各有哪几个? (5) 传输层的两个传输协议报头结构各有什么特点? (6) 使用Sniffer 进行抓包时,有哪几种基本的捕获条件?