组网技术与配置(第3版)-第6章

1、计算机网络组网技术与配置组网技术与配置（第（第3版）版）清华大学出版社清华大学出版社 ISBN 978-7-302-34697-5计算机网络第第6章章 网络协议网络协议分析工具分析工具清华大学出版社清华大学出版社 ISBN 978-7-302-34697-5计算机网络第第6章章 网络协议分析工具网络协议分析工具 6.1 网络协议分析工具概述网络协议分析工具概述 6.2 Ethereal的应用界面及参数设置的应用界面及参数设置 6.3 应用层网络协议分析应用层网络协议分析 6.4运输层网络协议分析运输层网络协议分析 6.5 网络层网络协议分析网络层网络协议分析 6.6 数据链路层网络协议分析数据

2、链路层网络协议分析计算机网络6.1 网络协议分析工具概述网络协议分析工具概述 6.1.1 网络协议分析方法网络协议分析方法 6.1.2 Ethereal/Wireshark网络协议分析工具网络协议分析工具 6.1.3 Ethereal/Wireshark在在Windows上的安上的安装装计算机网络6.1.1 网络协议分析方法网络协议分析方法 网络协议分析已成为网络配置、网络安全、网络协议分析已成为网络配置、网络安全、网络管理的重要应用工具网络管理的重要应用工具 网络协议分析系统可以是一个独立的，配合网络协议分析系统可以是一个独立的，配合专业软件的硬件设备，也可以是安装在台式专业软件的硬件设备，

3、也可以是安装在台式计算机或笔记本计算机上的软件计算机或笔记本计算机上的软件 网络协议分析软件是一类基于被动侦听原理网络协议分析软件是一类基于被动侦听原理的网络监听程序的网络监听程序 TcpDump、WinDump、Sniffer、Ethereal (Wireshark)计算机网络6.1.2 Ethereal/Wireshark网络协网络协议分析工具议分析工具 Ethereal是当前较为流行的一种计算机网络是当前较为流行的一种计算机网络调试和数据包嗅探、分析软件调试和数据包嗅探、分析软件 Ethereal能够运行在所有流行的操作系统平能够运行在所有流行的操作系统平台上台上 Wireshar继续开

4、放源代码，任何人都可自由继续开放源代码，任何人都可自由下载，也可共同开发，其主要功能和使用方下载，也可共同开发，其主要功能和使用方法都高度秉承法都高度秉承Ethereal计算机网络6.1.3 Ethereal/Wireshark在在Windows上的安装上的安装 可以在其官方下载站点可以在其官方下载站点 当然也可以从当然也可以从Wireshark的官方网站的官方网站上下载最新版本的上下载最新版本的wireshark-win32-1.2.8.exe安装文件安装文件 Ethereal的安装提供人机对话过程的安装提供人机对话过程 如果在如果在Windows平台系统还

5、没有安装平台系统还没有安装Winpcap，安装向，安装向导会提示安装导会提示安装Winpcap 基于基于Linux平台下的网络数据包捕获驱动程序是平台下的网络数据包捕获驱动程序是Libpcap计算机网络6.2 Ethereal的应用界面及参数设置的应用界面及参数设置 6.2.1 Ethereal的用户界面和参数用途的用户界面和参数用途 6.2.2 Ethereal的应用方法的应用方法计算机网络6.2.1 Ethereal的用户界面和参数用途的用户界面和参数用途 1Ethereal的主界面的主界面 2Menu Bar（菜单栏）（菜单栏） 3Tool Bar（工具栏）（工具栏） 4Filter B

6、ar（显示过滤器栏）（显示过滤器栏） 5Packet List Pane（协议跟踪列表框）（协议跟踪列表框） 6Packet Details Pane（协议层次框）（协议层次框） 7Packet Bytes Pane（协议代码框）（协议代码框） 8Status Bar（状态栏）（状态栏）计算机网络Ethereal捕获到数据包之后的用户主界面捕获到数据包之后的用户主界面计算机网络Menu Bar（菜单栏）（菜单栏） Ethereal界面菜单栏中每一项的项目名称及其功能界面菜单栏中每一项的项目名称及其功能描述描述计算机网络Tool Bar（工具栏）（工具栏）和和Filter Bar（显（显示过滤器

7、栏）示过滤器栏）当将鼠标移动到工具栏上的每一个图标时，会出现该图标的当将鼠标移动到工具栏上的每一个图标时，会出现该图标的功能解释信息功能解释信息在在“Filter”之后的文本框里可以输入显示过滤关键词表达式之后的文本框里可以输入显示过滤关键词表达式计算机网络Packet List Pane（协议跟踪列表框）（协议跟踪列表框） 在数据包列表里的每一个行表示数据包文件里的一个数据在数据包列表里的每一个行表示数据包文件里的一个数据包。如果选中了其中一行，选中的那一行会以蓝色底色高包。如果选中了其中一行，选中的那一行会以蓝色底色高亮显示，例如图中的第亮显示，例如图中的第1行，此数据包的信息就会显示在行

8、，此数据包的信息就会显示在“协议层次框协议层次框”和和“协议代码框协议代码框”里里计算机网络Packet Details Pane（协议层次框）（协议层次框）和和Packet Bytes Pane（协议代码框）（协议代码框）此窗格以树结构显示在协议跟踪列表框被选中数据包的协议和字此窗格以树结构显示在协议跟踪列表框被选中数据包的协议和字段内容，树可以展开和收起段内容，树可以展开和收起通常使用哈希方式显示数据包字节。左边显示数据包偏移量，中通常使用哈希方式显示数据包字节。左边显示数据包偏移量，中间使用十六进制显示数据包，右边对应显示间使用十六进制显示数据包，右边对应显示ASCII字符或没有适字符或

9、没有适当的显示当的显示计算机网络Status Bar（状态栏）（状态栏） 状态栏中左边显示上下文信息，右边显示当前数据状态栏中左边显示上下文信息，右边显示当前数据包信息，标识字母含义如下：包信息，标识字母含义如下： P：抓取得数据包数：抓取得数据包数 D：被显示的数据包数：被显示的数据包数 M：被作过标记的数据包数：被作过标记的数据包数计算机网络6.2.2 Ethereal的应用方法的应用方法 1数据包捕获数据包捕获 首先在启动首先在启动ethereal应用程序之后，点击菜单栏应用程序之后，点击菜单栏上的上的“Capture”选项，弹出下拉菜单选项，弹出下拉菜单 选择选择“Interfaces

10、”选项，弹出选项，弹出Ethereal捕包网络捕包网络接口对话框接口对话框 2Ethereal捕包选项对话框包含的子选项捕包选项对话框包含的子选项 3Ethereal捕包选项设置捕包选项设置计算机网络Capture选项下拉菜单选项下拉菜单和和Ethereal捕包捕包网络接口对话框网络接口对话框计算机网络Ethereal捕包选项对话框捕包选项对话框 选择所要捕获数选择所要捕获数据包的网卡，然据包的网卡，然后直接点击它后后直接点击它后面的面的“Capture”按钮，按钮，Ethereal将会直接进入数将会直接进入数据包的捕获状态据包的捕获状态。可以通过点击。可以通过点击“Prepare”按钮按钮，

11、对，对Ethereal的的捕包选项进行一捕包选项进行一些设置些设置计算机网络 “Capture”框中各个项目的名称及描述框中各个项目的名称及描述计算机网络 “Capture files”框中各个项目的名称及描述框中各个项目的名称及描述“Dispaly Option”框各个项目的名称及描述框各个项目的名称及描述计算机网络 “Name Resolution”框各个项目名称及描述框各个项目名称及描述 “Stop Capture”框的各个项目名称及描述框的各个项目名称及描述计算机网络Ethereal捕包选项设置捕包选项设置 在明白了所有捕包选项的作用之后，就可以自己设定选项在明白了所有捕包选项的作用之

12、后，就可以自己设定选项，使，使Ethereal按照所设置的要求进行捕包动作按照所设置的要求进行捕包动作计算机网络Ethereal捕包信息对话框捕包信息对话框 捕包选项设置完以后，点击捕包选项设置完以后，点击“Start”按钮，将会弹按钮，将会弹出数据包捕获信息对话框出数据包捕获信息对话框计算机网络6.3应用层网络协议分析应用层网络协议分析 6.3.1 Ethereal协议分析方法协议分析方法 6.3.2 HTTP协议分析协议分析 6.3.3 FTP协议分析协议分析计算机网络6.3.1 Ethereal协议分析方法协议分析方法 Ethereal对捕获到的数据包按照网络协议层对捕获到的数据包按照网

13、络协议层次进行解析次进行解析 Ethereal是按自底向上的方法对网络协议进是按自底向上的方法对网络协议进行解析，自底向上依次是数据链路层、网络行解析，自底向上依次是数据链路层、网络层、运输层、应用层层、运输层、应用层 这是由于从网卡上捕获的是数据链路层网络这是由于从网卡上捕获的是数据链路层网络协议帧协议帧 按照网络协议封装原理，帧封装是网络层协按照网络协议封装原理，帧封装是网络层协议数据单元分组，依次类推议数据单元分组，依次类推计算机网络数据包解析流程数据包解析流程 按照自顶向下方法，依次对应用层、运输层、网络层、数按照自顶向下方法，依次对应用层、运输层、网络层、数据链路层的几种常用网络协议

14、进行实例分析据链路层的几种常用网络协议进行实例分析计算机网络6.3.2 HTTP协议分析协议分析 1HTTP协议协议 Web应用服务采用的是应用服务采用的是HTTP协议协议 HTTP报文有两种：一种是请求报文报文有两种：一种是请求报文，另一种报另一种报文是响应报文文是响应报文 HTTP协议的传输过程一般情况下可以分为协议的传输过程一般情况下可以分为4个个步骤步骤 2HTTP协议的请求报文协议的请求报文计算机网络HTTP协议的请求报文协议的请求报文 报文内容及结构分析如下：报文内容及结构分析如下： 1）请求行）请求行 2）首部行）首部行 3）实体主体）实体主体计算机网络6.3.3 FTP协议分析

15、协议分析 FTP是面向连接的，使用的运输层协议是是面向连接的，使用的运输层协议是TCP。采用客户机。采用客户机/服务器（服务器（C/S）工作方式）工作方式 FTP的客户端和服务器之间需要建立并行的的客户端和服务器之间需要建立并行的“控制连接控制连接”和和“数据连接数据连接” 分别通过端口号分别通过端口号21和和20进行进行 通过通过TCP三次握手实例来分析一个完整的三次握手实例来分析一个完整的FTP会话过程会话过程计算机网络TCP三次握手，建立控制连接的过程三次握手，建立控制连接的过程可以看出，经过可以看出，经过TCP的三次握手（图的三次握手（图6-17中的中的14、15、16行），行），FT

16、P的客户端和服务器端建立起控制连接，客户端使用的客户端和服务器端建立起控制连接，客户端使用3714号端口，服务器端使用号端口，服务器端使用21号端口来发送控制信息号端口来发送控制信息计算机网络客户端发送客户端发送USER命令命令计算机网络服务器返回服务器返回331号响应报文号响应报文计算机网络客户端发送客户端发送PASS命令命令计算机网络服务器返回服务器返回230号响应报文号响应报文计算机网络客户端发送客户端发送PASV命令命令计算机网络服务器返回服务器返回227号响应报文号响应报文计算机网络数据连接的数据连接的TCP三次握手过程中的第三次握手过程中的第35、36、37行行计算机网络数据连接关

17、闭过程数据连接关闭过程计算机网络6.4运输层网络协议分析运输层网络协议分析 6.4.1 TCP协议格式协议格式 6.4.2 UDP协议格式协议格式计算机网络6.4.1 TCP协议格式协议格式 通过分析一个通过分析一个Ethereal应用界面给出的具体实例来使读者应用界面给出的具体实例来使读者对对TCP报文段的格式有一个更加直观的理解报文段的格式有一个更加直观的理解计算机网络6.4.2 UDP协议格式协议格式 UDP只在只在IP分组提供的服务上增加了很少的分组提供的服务上增加了很少的功能。因为功能。因为UDP是无连接的是无连接的计算机网络6.5 网络层网络协议分析网络层网络协议分析 6.5.1

18、IPv4协议分析协议分析 6.5.2 ARP协议分析协议分析 6.5.3 ICMPv4协议分析协议分析计算机网络6.5.1 IPv4协议分析协议分析 一个一个IP分组由首部和数据两部分组成，首部的固定部分为分组由首部和数据两部分组成，首部的固定部分为20字节，首部的可选部分长度是可变的，最长为字节，首部的可选部分长度是可变的，最长为40字节字节计算机网络8位的区分服务字段位的区分服务字段IP数据报标识字段数据报标识字段计算机网络Flags（标志）字段展开（标志）字段展开 Reserved bit保留位，目前还没有使用。保留位，目前还没有使用。 DF(Dont fragment)标识分组是否可以

19、分片。该位置为标识分组是否可以分片。该位置为1时时表示不能分片，该位置为表示不能分片，该位置为0时表示可以分片。这里时表示可以分片。这里DF=1表表示不能分片。示不能分片。 MF(More fragments)表示是否为最后一个分片。如果表示是否为最后一个分片。如果DF=0即允许分片的情况下，该位置为即允许分片的情况下，该位置为1时表示后面还有分时表示后面还有分片，该位置为片，该位置为0时表示这是最后一个分片。如果时表示这是最后一个分片。如果DF=1即不即不允许分片的情况下，该位置为允许分片的情况下，该位置为0。这里。这里DF=1，MF=0不允许不允许分片分片计算机网络6.5.2 ARP协议分析协议分析 ARP完成从完成从IP地址到地址到MAC地址转换的协议地址转换的协议计算机网络6.5.3 ICMPv4协议分析协议分析 1ICMP协议协议 2ICMP协议格式协议格式