第2章 IP数据报结构 教学提示：本章主要介绍网络层和传输层各协议的报头结构，Sniffer Pro的安装和使用方法。

Presentation on theme: "第2章 IP数据报结构 教学提示：本章主要介绍网络层和传输层各协议的报头结构，Sniffer Pro的安装和使用方法。"— Presentation transcript:

1 第2章 IP数据报结构 教学提示：本章主要介绍网络层和传输层各协议的报头结构，Sniffer Pro的安装和使用方法。
教学要求：了解流量监控和数据分析的概念，掌握网络层协议和传输层协议的报头结构，熟悉Sniffer Pro的安装和基本操作方法，熟练掌握使用Sniffer Pro进行抓包并分析的步骤。

2 2.1 流量监控与数据分析 以太网的通信是基于广播方式的，这意味着在同一个网段的所有网络接口都可以访问到物理媒体上传输的数据，而每一个网络接口都有一个惟一的硬件地址，即MAC地址，长度为48字节，一般来说每一块网卡上的MAC地址都是不同的。在MAC地址和IP地址间使用ARP和RARP协议进行相互转换。

3 局域网数据流量的监控 以太网的工作机制是把要发送的数据包发往连接在同一网段中的所有主机，在包头中包括有目标主机的正确地址，只有与数据包中目标地址相同的主机才能接收到信息包，但是当主机工作在监听模式下时，不管数据包中的目标物理地址是什么，主机都可以接收到。许多局域网内有十几台甚至上百台主机是通过一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的主机地址的数据包直接发往目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，即数据链路层。网络接口不会识别IP地址，它在IP数据包的基础上又增加了一部分以太帧的帧头信息。在帧头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址，这个48位的地址是与IP地址相对应的。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。

4 局域网数据流量的监控 1．检测网络监听 (1) 对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，但处于监听状态的机器能接收，如果它不反向检查地址的话，就会响应。 (2) 向网上发大量不存在的物理地址的包，由于监听程序分析和处理大量的数据包时要占用很多的CPU资源，这将导致性能下降。这种方法的难度比较大。 (3) 使用反监听工具进行检测。

5 局域网数据流量的监控 2．网络监听的防范措施 1) 对网络进行逻辑分段或物理分段
网络分段是一种有效抑制网络广播风暴的基本手段，从安全角度讲也是一项具体的安全措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。 2) 使用交换式集线器 尽管对局域网的中心交换机进行了网络分段，但是局域网监听的威胁依然存在。因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而分支集线器通常使用共享式集线器。当用户与主机进行数据通信时，同一台集线器上的其他用户可以监听到两台机器之间传送的数据包。 由此必须以交换式集线器取代共享式集线器，从而防止被非法监听。当然，交换式集线器只能控制单播包而无法控制广播包和多播包。但广播包和多播包内的关键信息要远远少于单播包。 3) 使用加密技术 数据经过加密后，即使通过监听得到传送的信息，但显示的却可能是毫无意义的乱码。使用加密技术会影响数据传输速度，如果使用一个弱加密术还比较容易被攻破。这样管理员和用户必须在速度和安全上进行权衡。

6 局域网数据流量的监控 4) 划分VLAN VLAN(虚拟局域网)技术可以有效缩小冲突域，通过划分VLAN能防止大部分基于网络监听的入侵。

7 Sniffer工具介绍 计算机网络是共享通信通道的，这意味着计算机能够接收到发送给其他计算机的信息。捕获在网络中传输的数据信息就称为sniffing(窃听)。 以太网是现在应用最广泛的计算机连网方式。以太网协议的特点是在同一网络向所有主机发送数据包信息。数据包头包含有目标主机的地址。一般情况下只有具有该地址的主机会接收这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”模式。 Sniffer软件是NAI公司推出的功能强大的协议分析软件。Sniffer支持的协议丰富，解码分析速度快。其中Sniffer Pro版可以运行在各种Windows平台上。

8 深入了解Sniffer Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的账号和密码，还可以是一些商用机密数据等。随着Internet及电子商务的日益普及，Internet的安全也越来越受到重视。Sniffer在Internet安全隐患中显示了很重要的作用。 Sniffer通常运行在路由器或有路由器功能的主机上，这样就能对大量的数据进行监控。Sniffer几乎能得到任何以太网上传送的数据包。 在以太网中Sniffer将系统的网络接口设定为混杂模式。这样，它就可以监听到所有流经同一以太网网段的数据包，而不管它的接受者或发送者是不是运行Sniffer的主机。

9 2.2 网络层协议报头结构 网络层协议将数据包封装成IP数据报，并运行必要的路由算法，它有4个互联协议。
2.2 网络层协议报头结构 网络层协议将数据包封装成IP数据报，并运行必要的路由算法，它有4个互联协议。 (1) 网际协议(IP)：在主机和网络之间进行数据包的路由转发。 (2) 地址解析协议(ARP)：获得同一物理网络中的硬件主机地址。 (3) 网际控制报文协议(ICMP)：发送消息，并报告有关数据包的传送错误。 (4) 互联组管理协议(IGMP)：IP主机向本地多路广播路由器报告主机组成员。

10 IP IP协议面向无连接，主要负责在主机间寻址并为数据包设定路由，在交换数据前它并不建立会话。因为它不保证正确传递；另一方面，数据在被收到时，IP不需要收到确认，所以它是不可靠的。

11 IP数据报格式

12 ARP ARP(地址解析协议)用于获得在同一物理网络中的主机的硬件地址。要在网络上通信必需知道对方主机的硬件地址，地址解析就是将主机IP地址映射为硬件地址的过程。

13 ARP包结构

14 ICMP ICMP(Internet控制报文协议)用于报告错误并对消息进行控制。ICMP是IP层的一个组成部分，它负责传递差错报文及其他需要注意的信息。 ICMP报文通常被IP层或更高层协议(TCP或UDP)使用，一些ICMP报文把差错报文返回给用户进程。 ICMP报文是在IP数据报内部传输。

15 2.2.4 IGMP IGMP(互联组管理协议)把信息传给别的路由器，以使每个支持多路广播的路由器获知哪个主机组处于哪个网络中。
正如ICMP一样，IGMP也被当作IP层的一部分。IGMP报文通过IP数据报进行传输，有固定的报文长度，没有可选数据项。

16 2.3 传输层协议报头结构 传输协议在计算机之间提供通信会话。传输协议的选择根据数据传输方式而定。常用的两个传输协议如下。
2.3 传输层协议报头结构 传输协议在计算机之间提供通信会话。传输协议的选择根据数据传输方式而定。常用的两个传输协议如下。 (1) 传输控制协议(TCP)：提供了面向连接的通信，为应用程序提供可靠的通信连接。适合于一次传输大批数据的情况，并适用于要求得到响应的应用程序。 (2) 用户数据报协议(UDP)：提供了无连接通信，且不对传送包进行可靠的保证，适合于一次传输小量数据的情况，可靠性由应用层负责。

17 TCP TCP提供一种面向连接的、可靠的字节流服务。面向连接意味着两个使用TCP的应用在彼此交换数据之前必须先建立一个TCP连接。

18 TCP数据报结构

19 UDP UDP是一个简单的面向数据报的运输层协议，进程的每个输出操作都正好产生一个UDP数据报，并组装成一份待发送的IP数据报。这与面向流字符的协议不同(如TCP)，应用程序产生的全体数据与真正发送的单个IP数据报可能没有什么联系。

20 UDP检验和计算过程中使用的各个字段

21 2.4 TCP会话安全 TCP协议面向连接，收发双方在发送数据之前必须建立一条连接。
1．连接建立(三次握手) 一对终端同时初始化一个它们之间的连接，但通常是由一端打开一个套接字，然后监听来自另一方的连接，这就是通常所指的被动打开。被动打开的一端就是服务器端。而客户端通过向服务器端发送一个SYN来建立一个主动打开，作为三次握手的一部分。服务器端为一个合法的SYN回送一个SYN/ACK。最后，客户端再发送一个ACK。这样就完成了三次握手，并进入了连接建立状态。 2．数据传输 很多重要的机制在TCP的数据传送状态保证了TCP的可靠性和强壮性。它们包括：使用序号对收到的TCP报文段进行排序以及检测重复的数据；使用校验和来检测报文段的错误；使用确认和计时器来检测和纠正丢包或延时。 在三次握手过程中，两个主机的TCP层间要交换初始序号。这些序号用于标识字节流中的数据，并且还是对应用层的数据字节进行记数的整数。通常在每个TCP报文段中都有一对序号和确认号。TCP报文发送者认为自己的字节编号为序号，而认为接收者的字节编号为确认号。TCP报文的接收者为了确保可靠性，在接收到一定数量的连续字节流后才发送确认。这是对TCP的一种扩展，通常称为选择确认(SACK)。选择确认使得TCP接收者可以对乱序到达的数据块进行确认。 3．连接终止 连接终止使用了四次握手，每个终端的连接在此过程中都能独立地被终止。因此，一个典型的拆接过程需要每个终端都提供一对FIN和ACK。

22 2.5 数据流捕捉与分析 捕获过程报文统计 捕获报文查看 设置捕获条件 ARP报文解码 IP报文解码

23 2.6 本 章 实 训 使用Sniffer工具进行抓捕获分析

24 2.7 本章习题 填空题 (1) 在以太网中，所有的通信都是 的。 (2) 网卡一般有4种接收模式： 、 、 、 。
2.7 本章习题 填空题 (1) 在以太网中，所有的通信都是 的。 (2) 网卡一般有4种接收模式： 、 、 、 。 (3) Sniffer的中文意思是 。

25 选择题 (1) TCP和UDP属于( )协议。 A．网络层 B．数据链路层 C．传输层 D．以上都不是 (2) ARP属于( )协议。

26 简答题 (1)总结流量监控对网络安全的重要性。 (2) 简述Sniffer的工作原理。 (3) 请画出ARP报文结构图。
(4) 网络层的传输层协议各有哪几个? (5) 传输层的两个传输协议报头结构各有什么特点？ (6) 使用Sniffer 进行抓包时，有哪几种基本的捕获条件？