实验 12 网络嗅探与协议分析
12.3 实验原理（续）
建立 TCP 连接：通过三次握手建立一个 TCP 连 接，协商一些参数（双方的初始序列号、分段大 小等）；
客户机 （发起者） 服务器 （提供者）
2015-3-10
实验 12 网络嗅探与协议分析
26
12.3 实验原理（续）
释放 TCP 连接：通过四次握手释放一个 TCP 连接。
计算机网络实验 网络嗅探与 协议分析

2015-3-10 实验 1通过网络嗅探了解网络数据类型，了解网络工 作原理； 12.1.2 通过实验理解并掌握网络嗅探工具 Wireshark 的使用； 12.1.3 通过实验理解并掌握 TCP/IP 体系结构及其协 议分析方法； 12.1.4 通过实验理解并掌握 FTP 协议的工作原理； 12.1.5 通过实验理解并掌握 Telnet 协议的工作原理；
2015-3-10 实验 12 网络嗅探与协议分析 3
12.2 实验要求
12.2.1 12.2.2 12.2.3 12.2.4 预习实验原理； 熟悉实验设备； 熟悉实验环境； ……
2015-3-10
实验 12 网络嗅探与协议分析
4
12.3 实验原理
12.3.1 网络嗅探基础 概述 网络嗅探：利用计算机的网络接口截获目的地为其 它计算机的数据报文； 网络嗅探器：一种监控网络数据的工具，又称 Sniffer 抓包，它工作在网络底层，通过对局域网 上传输的各种关键信息进行窃听，从而获取重要信 息； 一个信息包嗅探器向我们展示出正在网络上进行的 活动；
位 0 8 源 端 口 序 号 TCP 首部 确 认 号 窗 口 紧 急 指 针 填 充
32 位
16
24 目 的 端 口
31
TCP 数 据 报 格 式
数据 偏移
保 留
U A P R S F R C S S Y I G K H T N N
检 验 和 选 项 （长 度 可 变）
20 字 节 的 固 定 首 部
IP
UDP
Ethernet X.25 PPP
9
实验 12 网络嗅探与协议分析
12.3 实验原理（续）
TCP/IP 的主要协议---协议簇
TCP/IP
应用层
主要协议
Http、Telnet、 FTP、E-mail 等
主要功能
负责把数据传输到传输层或者接收从传输层返回的 数据； TCP 为两台主机上的应用程序提供高可靠的端到 端的数据通信，包括把应用程序交给它的数据分成 数据块交给网络层、确认接收到的分组等；UDP 则为应用层提供不可靠的数据通信，它只是把数据 包的分组从一台主机发送到另一台主机，不保证数 据能到达另一端； 主要为数据包选择路由，其中 IP 是 TCP/IP 协议 族中最为核心的协议，所有的 TCP、UDP、 ICMP、IGMP 数据都以 IP 数据包格式传输； 发送时将 IP 包作为帧发送，接收时把收到的位组 装成帧，同时提供链路管理、错误检侧等。
2015-3-10 实验 12 网络嗅探与协议分析 20
12.3 实验原理（续）
当广播 ARP 请求时，网上所有的计算机都能收到 该报文，此时各站应更新 A 的 IP 地址到物理地址 之间的映射； 当网上出现一个新的计算机时，该新的计算机尽可 能主动广播它的 IP 地址和物理地址，以避免其它 站都运行 ARP。
12.3 实验原理（续）
12.3.3 常见协议原理 IP 协议 TCP/IP 协议栈中重要的网际层协议； 向高层提供无连接的服务； 网际层传输的数据单元是分组，一般称为 IP 数据 报； 主要功能：从源端经互连网到目的端尽最大努力传 输数据报。
2015-3-10 实验 12 网络嗅探与协议分析 13
kind=0 1B kind=1 1B kind=2 1B kind=3 1B len=4 1B len=3 1B MSS 2B shift count 1B time stamp value 4B time stamp echo reply 4B
25
kind=8 len=10 1B 1B
2015-3-10
2015-3-10 实验 12 网络嗅探与协议分析 2
12.1 实验目的（续）
12.1.6 通过实验理解并掌握 HTTP 协议的工作原理； 12.1.7 通过实验理解并掌握 DNS 协议的工作原理； 12.1.8 通过实验理解并掌握 ARP 协议的工作原理； 12.1.9 通过实验理解并掌握 QQ 协议的工作原理 12.1.10 通过实验理解并掌握迅雷下载协议的工作原 理； 12.1.11 通过实验加深对协议格式、协议层次及协议 交互过程的理解。
2015-3-10 实验 12 网络嗅探与协议分析 6
12.3 实验原理（续）
嗅探的基本原理：如果在编程时将网卡的工作模式 设置为“混杂模式”，那么网卡将接受所有传递给 它的数据包。
2015-3-10
实验 12 网络嗅探与协议分析
7
12.3 实验原理（续）
12.3.2 协议分析基础 概述 协议分析：通过程序分析网络数据包的协议头和尾 ，从而了解信息和相关的数据包在产生和传输过程 中的行为； 在典型的网络结构中，网络协议和通信采用的是分 层式设计方案，在 OSI 网络结构参考模型中，同 层协议之间能相互进行通信； 协议分析器的主要功能：分析各层协议头部和尾部 ，通过多层协议头尾和其相关信息来识别网络通信 过程中可能出现的问题的方法，称之为专家分析。
TCP 报文段 发送在前
IP 首部
2015-3-10
TCP 首部
TCP 数据部分
IP 数据部分
实验 12 网络嗅探与协议分析 24
12.3 实验原理（续）
TCP 选项域
end of options NOP no operation Maximum Segment Size Window Scale Factor Time Stamp
IP 数据报
实验 12 网络嗅探与协议分析 14
2015-3-10
12.3 实验原理（续）
ICMP 协议：Internet Control Message Protocol IP 协议本身提供无连接的服务，不包括流量控制 与差错控制功能； 检测网络状态（路由、拥塞、服务质量等问题）； 提供多种形式的报文，每个 ICMP 消息报文都被封 装于 IP 分组中； PING 是一个典型的基于 ICMP 协议的实用程序。
2015-3-10 实验 12 网络嗅探与协议分析 5
12.3 实验原理（续）
嗅探借助于网络接口，在正常的情况下，一个网络 接口应该只响应：目的 MAC 地址为本机硬件地址 的数据帧、向所有设备发送的广播数据帧； 网络接口使用网卡的接收模式 广播方式：网卡能够接收网络中的广播信息； 组播方式：网卡能够接收组播数据； 直接方式：只有目的网卡才能接收该数据； 混杂模式：网卡能够接收一切通过它的数据，而不 管该数据是否是传给它的。
2015-3-10 实验 12 网络嗅探与协议分析 8
12.3 实验原理（续）
网络体系结构
OSI 参考模型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
2015-3-10
TCP/IP 模型
应用层 传输层 网际层 网络 接口层
TCP/IP 协议族 FTP Telnet HTTP TCP
协议头
2015-3-10
数
据
11
实验 12 网络嗅探与协议分析
12.3 实验原理（续）
TCP/IP 协议的封装
应用层
应用地址（80） 应用层数据
传输层
IP地址
TCP头
IP头
网卡地址
应用层数据
网际层
TCP头
应用层数据
数链层
2015-3-10
帧头
IP头
TCP头
应用层数据
帧尾
12
实验 12 网络嗅探与协议分析
0
3 4
ECHO 应答
目的不可达 源抑制
11
12 13
分组超时
分组参数错 时间戳请求
5
8
路由重定向
回应请求
14
17 18
时间戳应答
地址掩码请求 地址掩码应答
16
实验 12 网络嗅探与协议分析
12.3 实验原理（续）
ICMP 报文类型 差错报告（网关→主机信息传输）
信宿（网络、主机、协议、端口）不可达报告 超时报告（TTL=0） 参数差错报告 IP 校验和错误 重组失败
实验 12 网络嗅探与协议分析 10
传输层
TCP、UDP
网络层 链路层
2015-3-10
ICMP、IP、 IGMP ARP、RARP 和设 备驱动程序及接口
12.3 实验原理（续）
数据封装 一台计算机要发送数据到另一台计算机，数据首先 必须打包，打包的过程称为封装； 封装就是在数据前面加上特定的协议头部； 数 据
2015-3-10 实验 12 网络嗅探与协议分析 15
12.3 实验原理（续）
1 2 3 4 类型 代码 校验和
2015-3-10
ICMP 报 文 格 式
数据区
CHECKSUM： 整个 ICMP 报文的校验和算法 与 IP 分组头的校验和算法相同
CODE：提供报文类型的详细信息 类型 ICMP 报文 类型 ICMP 报文
2015-3-10
实验 12 网络嗅探与协议分析
21
12.3 实验原理（续）
ARP 数据报格式
硬件类型 协议类型 硬件地址长度 协议长度 操作 源站 MAC 地址（前 4 字节） 源站 MAC 地址（后 2 字节） 源站 IP 地址（前 2 字节） 源站 IP 地址（后 2 字节） 目的站 MAC 地址（前 2 字节） 目的站 MAC 地址（后 4 字节） 目的站 IP 地址