网络监视器的安装和使用.ppt

第六讲课程内容 1 物理层2 数据链路层MAC帧的格式3 网络层的IP数据报的格式4 运输层的两个协议5 应用层协议的特点6 网络监视器的应用 计算机网络体系结构与协议TCP IP五层协议的体系结构 TCP IP是四层的体系结构 应用层 运输层 网际层和网络接口层 但网络接口层的下面并没有具体内容 因此往往采取折中的办法 即综合OSI和TCP IP的优点 采用一种只有五层协议的体系结构 数据报文的封装过程 5 4 3 2 1 5 4 3 2 1 计算机1 AP2 AP1 计算机2 应用程序数据 10100110100101比特流110101110101 注意观察加入或剥去首部 尾部 的层次 应用程序数据 一 物理层物理传输数据 应用层 applicationlayer 5 4 3 2 1 5 4 3 2 1 物理传输媒体 计算机1 AP2 AP1 定义了电气 机械 程序和功能规范 如电平 电压 数据速率 传输距离等 电信号 或光信号 在物理媒体中传播从发送端物理层传送到接收端物理层 计算机2 二 数据链路层MAC帧的格式 数据链路层属于计算机网络的低层 数据是从一个节点传送到另一个节点 关心的是物理寻址 拓朴结构 错误通知 有序传送和流量控制 数据链路层将网络层交下来的IP数据报组装成帧 常用的以太网MAC帧格式有两种标准 DIXEthernetV2标准IEEE的802 3标准最常用的MAC帧是以太网V2的格式 以太网MAC帧 物理层 MAC层 1010101010101010101010101010101011 前同步码 帧开始定界符 7字节 1字节 8字节 插入 IP层 目的地址 源地址 类型 数据 FCS 6 6 2 4 字节 46 1500 MAC帧 以太网V2的MAC帧格式 http协议的Freame层图捕获日期 帧系列号 帧长度1514 以太网类型为IP协议和数据等 http协议的ETHERNET层目标地址 源地址 网卡地址 帧长度1514 以太网类型为IP协议和数据等 1 以太网V2的MAC帧由5个字段组成 1 目的地址 6字节 下一跳的数据链路地址 2 源地址 6字节 当前的数据链路地址 3 类型 2字节 类型字段用来标志上一层使用的是什么协议 4 数据 46 1500字节 当数据字段的长度小于46字节时 应在数据字段的后面加入整数字节的填充字段 以保证以太网的MAC帧长不小于64字节 5 帧检验序列FCS 4字节 使用CRC检验 6 插入码 为了达到比特同步 发送端和接收端网卡的时钟频率同步 在帧的前面插入了8字节 8字节中的第一个字段共7个字节 是前同步码 用来实现帧的比特同步 第二个字段是帧开始定界符 表示后面的信息是MAC帧 2 IEEE的802 3标准 三 网络层的IP数据报的格式 网际协议IP是TCP IP体系中两个最主要的协议之一 也是最重要的因特网协议之一 网络层负责在两个端系统 源和目的 之间提供连通和路径选择 这两个端系统可能处于不同的网络上 网络寻址是为源和目的提供IP地址 1 IP数据报的格式IP数据报的格式能够说明IP协议都有什么功能 一个IP数据报由首部和数据两部分组成 首部的前一部分是固定长度 共20字节 是所有IP数据报必须具有的 在首部的固定部分的后面是一些可选字段 其长度是可变的 网际层的IP协议及配套协议 各种应用层协议 网络接口层 HTTP FTP SMTP等 物理硬件 运输层 TCP UDP 应用层 ICMP IP RARP ARP 与各种网络接口 网络层 网际层 IGMP 固定部分 可变部分 0 4 8 16 19 24 31 版本 标志 生存时间 协议 标识 区分服务 总长度 片偏移 填充 首部检验和 源地址 目的地址 可选字段 长度可变 位 首部长度 数据部分 数据部分 首部 IP数据报 http协议的IP层 版本 首部长度 服务类型 总长度和标识符等 http协议的IP层的标志 片偏移 fragmentoffset TTL为55 UDP 协议 首部校验和 源地址 目标地址 IP地址 IP选项等 2 IP数据报的格式 1 版本 占4位 指IP协议的版本 目前的IP协议版本号为4 即IPv4 2 首部长度 占4位 最大值是60字节 3 区分服务 服务类型 占8位 用来获得更好的服务 在一般的情况下都不使用这个字段 4 总长度 占16位 指首部和数据之和的长度 数据报的最大长度为65535字节 5 标识 identification 占16位 它是一个计数器 用来产生数据报的标识 6 标志 flag 占3位 目前只有前两位有意义 7 片偏移 12位 指出 较长的分组在分片后 某片在原分组中的相对位置 8 生存时间 8位 记为TTL TimeToLive 数据报在网络中可通过的路由器数的最大值 9 协议 8位 字段 指出此数据报携带的何种协议 以便目的主机的IP层将数据上交给哪个处理过程 10 首部检验和 16位 字段 只检验数据报的首部 不检验数据部分 不采用CRC检验码而采用简单的计算方法 11 源地址占4字节 12 目的地址占4字节 13 选项 用来支持排错 测量 安全等 四 运输层的两个协议 运输层是整个网络体系结构中的关键层次之一 TCP IP体系中运输层最重要的两个协议是TCP和UDP 运输层向上面的应用层提供服务 TCP要比UDP复杂得多 TCP传送的数据单位协议是TCP报文段 UDP传送的数据单位协议是UDP报文或用户数据报 TCP IP体系中的运输层协议 TCP UDP IP 应用层 与各种网络接口 运输层 一 用户数据报协议UDP报文的格式 UDP只在IP的数据报服务之上增加了很少一点的功能 即端口的功能和差错检测的功能 应用层交给UDP多长的报文 UDP就照样发送 即一次发送一个报文 应用程序必须选择合适大小的报文 UDP在某些方面有其特殊的优点 1 UDP的主要特点 1 UDP是无连接的 即发送数据之前不需要建立连接 2 UDP使用尽最大努力交付 即不保证可靠交付 同时也不使用拥塞控制 3 UDP是面向报文的 UDP没有拥塞控制 很适合多媒体通信的要求 4 UDP支持一对一 一对多 多对一和多对多的交互通信 5 UDP的首部开销小 只有8个字节 2 UDP的首部格式 1 源地址 2 目的地址 3 长度 UDP用户数据报的长度 最小值是8 仅有首部 4 检验和 检测UDP用户数据报在传输中是否有错 有错就丢弃 UDP的首部格式 伪首部 源端口 目的端口 长度 检验和 数据 首部 UDP长度 源IP地址 目的IP地址 0 17 IP数据报 字节 4 4 1 1 2 12 2 2 2 2 字节 发送在前 数据 首部 UDP用户数据报 二 传输控制协议TCP报文的格式 传输控制协议TCP连接的每一端都必须设有两个窗口 一个发送窗口和一个接收窗口 TCP的可靠传输机制用字节的序号进行控制 TCP所有的确认都是基于序号而不是基于报文段 TCP两端的四个窗口经常处于动态变化之中 1 TCP最主要的特点 1 TCP是面向连接的运输层协议 2 每一条TCP连接只能有两个端点 endpoint 每一条TCP连接只能是点对点的 一对一 3 TCP提供可靠交付的服务 确保到达不正确的分组能按正确的顺序排序 4 TCP提供全双工通信 5 面向字节流 进行流量控制 调整窗口大小 TCP首部 20字节的固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN 32位 SYN RST PSH ACK URG 位08162431 填充 TCP数据部分 TCP首部 TCP报文段 IP数据部分 IP首部 发送在前 http协议的TCP报文格式 源端口是http协议 目标端口号 序号 1619477635 确认号 717589340 数据偏移 Dataoffset 20 等 http协议的TCP报文格式标志 flags 窗口 校验和 紧急指针 urgentpointer 数据等 2 TCP报文段的首部格式 1 源端口 占2字节 端口是运输层与应用层的服务接口 运输层的功能要通过端口才能实现 2 目的端口 占2字节 3 序号 占4字节 TCP连接中传送的数据流中的每一个字节都编上一个序号 4 确认号 占4字节 是期望收到对方的下一个报文段的数据的第一个字节的序号 5 数据偏移 即首部长度 占4位 它指出TCP报文段的数据起始处距离TCP报文段的起始处有多远 6 保留 占6位 保留发后使用 日前置为0 标志的6个参数 7 紧急URG 当URG 1时 紧急指针字段有效 它告诉系统此报文段中有紧急数据 应尽快传送 8 确认ACK 只有当ACK 1时确认号字段才有效 当ACK 0时 确认号无效 9 推送PSH 接收TCP收到PSH 1的报文段 就尽快地交付接收进程 而不再等到整个缓存都填满了后再向上交付 10 复位RST 当RST 1时 表明TCP连接中出现严重差错 必须释放连接 然后再重新建立连接 11 同步SYN 同步SYN 1表示这是一个连接请求或连接接受报文 12 终止FIN FINis 用来释放一个连接 FIN 1表明此报文段的发送端的数据已发送完毕 13 窗口字段 占2字节 用来让对方设置发送窗口的依据 14 检验和 占2字节 检验和字段检验的范围包括首部和数据这两部分 再加上12字节的伪首部 15 紧急指针 占16位 指出在本报文段中紧急数据共有多少个字节 16 选项 长度可变 最长可达40字节 当没有使用选项时 TCP的首部长度是20字节 17 其他选项其他选项包括 窗口扩大选项 时间戳选项 选择确认选项 填充字段 五 应用层协议的特点 每个应用层协议都是为了解决某一类应用问题 而问题的解决又往往是通过位于不同主机中的多个应用进程之间的通信和协同工作来完成的 应用层的具体内容就是规定应用进程在通信时所遵循的协议 如 DNS http协议的HTTP层的数据 六 网络监视器的应用 一 网络监视器所谓网络监视器就是监视网络数据 并对这些数据进行分析 即把专门用于采集网络数据流并提供分析能力的工具称为网络监视器 网络监视器能提供网络利用率和数据流量方面的一般性数据 还能从网络中捕获数据帧 并能够筛选 解释 分析这些数据的来源 内容等信息 使用网络监视器能够捕捉发到本地网卡或从本地网卡发出的所有数据帧 二 网络监视器的安装在Windows2000server手动安装网络监视器的 控制面板 添加 删除程序 添加 删除windows组件 管理和监视工具 详细信息 网络监视工具 确定 下一步 选完成 三 网络监视器捕获数据包的操作步骤 管理工具 网络监视器 选确定 选 本地计算机 选一个网络 选外网 确定 四 网络监视器的组成 网络监视器主要由四个不同的部分组成 1 图表区 2 会话统计区 3 机器统计区 4 显示统计区 三角形开始捕捉包 眼镜图 停止 选眼镜图捕捉包的情况 五 分析捕获数据 网络监视器捕获帧后通过网络层的吞吐量可监视不同网络层的活动 下面请看捕获的5种协议的包图 分别有http icmp数据包的状态和位置参数 1 HTTP协议 收数据包 抓包图 http协议的Freame层图 http协议的ETHERNET层目标地址 源地址 网卡地址 帧长度1514 以太网类型为IP协议和数据等 http协议的IP层 版本 首部长度 服务类型 总长度和标识符等 http协议的IP层的标志 片偏移 TTL为55 TCP 或UDP 协议 首部校验和 源地址 目标地址 IP地址 IP选项等 http协议的TCP报文格式 源端口是http协议 目标端口号 序号 确认号 数据偏移等 http协议的TCP报文格式标志 窗口 校验和 紧急指针 选项和数据等 http协议的HTTP层图客户机用端口号 2 ICMP internet控制报文协议 协议 局域网内收 发数据包 抓包图 有病毒 ICMP协议的Freame层图 下面全为AAA ICMP协议的回应和回答报文格式 包类型 回音码 校验和 标识符 序号 任意数据等 七 作业 南昌大学实验报告学生姓名 张三珊学号 12345678专业班级 05级20班实验类型 验证 综合 设计 创新实验日期 3月26日实验成绩 以下主要内容由学生完成 一 实验项目名称实验三 中小型企业网的管理与配置 二 实验目的 1 学会管理中小型企业网 2 掌握一种网络监视器的安装与使用 并分析数据包内各层的内容 三 实验内容1 安装DHCP服务器 服务器端设置