网络数据包结构与安全优秀文档

第3章网络数据包与安全指导教师：李云亮本章要求了解分组交换与数据包的结构掌握数据包截获的原理熟悉Sniffer软件的使用了解数据的分析方法掌握提高网络安全性防止网络嗅探的措施监视器菜单：选择设定系统监视对象和监视的任务，可以定义过滤器对监视的对象有选择的做出显示，也可以察看报警日志通常专用的网络监视软件具有更强的数据捕获与过滤功能，是网络管理员手中的重要工具软件后面内容全部为被传输的数据。2提高网络安全性，防止网络嗅探的措施网卡都有哪些工作模式？地址解析协议（ARP）ACK确认序号有效。主要的协议欺骗攻击方式有各层协议主要内容有什么？地址26-29H：目标主机协议地址。因此，端与端之间无需先通过呼叫建立连接。（十六进制表示为C0H、A8H、01H、64H）此例为65259（FEEBH）本章主要内容3.1分组交换与数据包的结构3.2数据包的捕获与分析3.3数据的分析3.4数据的安全

分组交换与数据包的结构数据包的与分析数据的分析数据的安全第3章网络数据包结构与安全引入：当前的网络环境

我们当前所处的网络环境是一个开放的环境，任何人都可以通过简单的手段从物理上连入计算机网络。在这样一个开放的网络环境中如何才能安全地使用网络传输信息？目前网络存在哪些安全隐患或者漏洞？这些隐患和漏洞是怎样造成对网络安全的威胁的？我们应当如何防范？。。。存在问题6|PresentationTitle|Month2009故事：扁鹊行医7|PresentationTitle|Month2009质量小故事-扁鹊行医

上医治未病，中医治欲病，下医治已病。

--------《皇帝内经》8|PresentationTitle|Month2009故事中的领悟-扁鹊行医在互联网这个开放的环境中，各方的信息传输都是以通信协议为基础的。只有深入了解通信协议，才能在开放的通信环境中选择适当的协议来保证通信的效率与安全，并且能够有针对性地避开某些协议的安全缺陷，建立安全的网络环境。我们从中可以体会到什么呢？事后控制不如事中控制，事中控制不如事前控制.互联网的工作原理10|PresentationTitle|Month2009你知道ISO和OSI么？ISO国际标准化组织1947年2月23日正式成立ISO介绍OSI参考模型共七层模型体系结构（architecture）服务定义（servicedefinition）协议说明（protocolspecification）以在互联网中发送e-mail为例，了解OSI参考模型的通信过程3.1分组交换与数据包的结构

在通信子网中，从一台主机到另一台主机传送数据时，可能会经历由多个节点组成的路径。通常将数据在通信子网中节点间的数据传输过程统称为数据交换（Switch），其对应的技术为数据交换技术。数据交换技术可分为以下两大类。电路交换（CircuitSwitching）技术。（应用于传统主意通信）存储转发交换（Store-and-ForwardSwitching）技术。（应用于现代计算机网络通信技术）存储转发交换方式的特点：（1）发送的数据与目的地址、源地址、控制信息按照一定格式组成一个数据单元（报文或报文分组）进入通信子网；（2）通信子网中的结点是通信控制处理机，它负责完成数据单元的接收、差错校验、存储、路选和转发功能。存储转发方式的分类：报文（message）交换报文分组（packet）交换3.1.1分组交换与数据包报文交换

特点

报文交换方式的数据传输单位是报文，报文就是站点一次性要发送的数据块，其长度不限且可变。当一个站要发送报文时，它将一个目的地址附加到报文，网络节点根据报文上的目的地址信息，把报文发送到下一个节点，一直逐个节点地转送到目的节点。每个节点在收到整个报文并检查无误后，就暂存这个报文，然后利用路由信息找出下一个节点的地址，再把整个报文传送给下一个节点。因此，端与端之间无需先通过呼叫建立连接。

报文从源点传送到目的地采用“存储--转发”方式，在传送报文时，一个时刻仅占用一段通道。不管发送数据的长度是多少，都把它当作一个逻辑单元发送；在交换节点中需要缓冲存储，报文需要排队，故报文交换不能满足实时通信的要求，并且报文经过网络的延迟时间长且不定。有时节点收到过多的数据而无空间存储或不能及时转发时，就不得不丢弃报文原理

分组交换在发送端，先把较长的报文划分成较短的、固定长度的数据段。

报文1101000110101010110101011100010011010010假定这个报文校长不便于传输分组交换数据数据数据报文每一个数据段前面添加上首部构成分组。首部首部首部分组

1分组

2分组

3请注意：现在左边是“前面”分组交换分组交换网以“分组”作为数据传输单元。依次把各分组发送到接收端（假定接收端在左边）。数据首部分组

1数据首部分组

2数据首部分组

3分组交换首部的重要性分组交换首部的职责每一个分组的首部都含有地址等控制信息。分组交换网中的结点交换机根据收到的分组的首部中的地址信息，把分组转发到下一个结点交换机。用这样的存储转发方式，最后分组就能到达最终目的地。分组交换数据首部分组

1数据首部分组

2数据首部分组

3收到的数据接收端收到分组后剥去首部还原成报文。最后，在接收端把收到的数据恢复成为原来的报文。这里我们假定分组在传输过程中没有出现差错，在转发时也没有被丢弃。分组交换报文1101000110101010110101011100010011010010分组传输及重组

分组传输特点由于分组长度较短，在传输出错时，检错容易并且重发花费的时间较少；限定分组最大数据长度，有利于提高存储转发结点的存储空间利用率与传输效率；公用数据网采用的是分组交换技术。网络中信息的传递原理:同生活中的信件邮递过程相似；被分割的数据片断就像信息的内容,是传输过程的主体；在逐层传递信息时,各层的服务程序要在原有数据包的基础上添加本层传输服务所需的数据包头构成最终传输的完整数据包.传输的信息是以数据包为基本传输单位的；数据包的内容是被侵害后的信息块,在第个数据包上附加了多层包头；一个数据包里,信息内容是不完整的;在第一个数据包善,完整地包含了传送此数据包所需的全部来源及目标地址信息3.1.2信息传输过程与数据包的结构社会上存在的邮政系统OSI参考模型的结构

OSI参考模型工作原理不同的协议层,有着不同的任务目标,应用着不同的网络协议。应用层:

将被传输的信息转换成符合网络传输远东的二进制数据块传输层:

将数据包传输到目的地.

网络层:

将源主机要发出的信息经过适当的路径送到目的主机.数据链路层:

将网络层交下来的IP数据报组装成帧,在两个相邻节点间的链路上传送以帧为单位的数据.物理层:

向上一层提供一个传输数据的物理连接.HTTPFTPTELNETSMTPNXSSNMPDHCPMMS等TCPUDPIPDLC3.1.3网络协议在网络安全中的意义

网络协议存在安全性漏洞TCP/IP协议数据流采用明文传输网络入侵者在数据包中伪造IP地址,获得合法身份潜入网络系统进行窘迫或破坏。使用网络扫描工具探测网络结构。发现网络漏洞寻找网络安全薄弱环节对或主机进行攻击。26|PresentationTitle|Month2009掌握网络协议的意义

我们在掌握了网络传输原理与协议结构之后,可以有针对性地对网络入侵或安全威胁进行有效的防范.可以对数据包上的信息进行分析和判断,对合法的数据包放行,而对非法的数据包进行阻拦.也可以通过拦截网络数据包的方法对网络一荼状态进行有效监控,发现网络异常行为,及时采取应对措施,保证网络系统安全地运行意义3.2数据包的捕获与分析数据包截获的原理数据截获的方法3.2.3SnifferPortable软件介绍数据的捕获与过滤3.2.1数据包截获的原理以太网接口卡可以被设置成如下4种工作模式：广播：数据帧可以发向网络中所有计算机。任何设置为广播模式的网卡都接收目的地址为广播地址的数据帧。通常所有的网卡被配置为接收广播帧多播：发往一组计算机的帧称为多播帧，使用特定的多播地址作为目的地址。这些计算机的组构成了多播组。这样，多播组里的任何一个成员计算机将会接收具有多播目的地址的帧直接：发往特定计算机的帧具有特定计算机的物理地址。具有特定物理地址的计算机将接收特定的帧，丢弃其它的帧。网卡可以设置为仅仅接收直接帧。混杂：设置为这个模式的网卡接收所有收到的数据包，任何到达此网卡的信息都不丢弃。这个模式是网络监测应用程序的关键模式。网卡的缺省工作模式包含广播模式和直接模式，即它只接收广播帧和发给自己的帧。如果采用混杂模式，网卡将接受所有到达本网卡网络端口的信号。3.2.2数据截获的方法在网络监听情况下，要想监听到被监听主机之间的通信信息，也要满足以上的两点基本要求要将监听计算机与被监听主机使用集线器相连要将监听计算机上网卡的工作模式设置为混杂模式

通常情况下，当使用专用嗅探软件进入监听模式时会自动将网卡设为混杂模式网络监听可以使用Windows2000Server自带的《网络监视器》程序，也可以使用专用的网络监视软件。通常专用的网络监视软件具有更强的数据捕获与过滤功能，是网络管理员手中的重要工具软件3.2.3SnifferPortable软件介绍Windows中的网络监视器出于安全考虑，仅允许捕获进出本机的数据包，禁止捕获与本机无关的主机间数据报SnifferPortable是一款专用网络监视软件，可以捕获一切到达本机网络端口的数据报SnifferPortable是NETWORKGENERAL公司推出的功能强大的协议分析软件。可以工作于Windows2000及WindowsXP系统中。它以被动的方式默默的监视和捕获每一个在网络中广播的数据包，并可对数据包的内容进行过滤、分析、存储SnifferPortable的主要功能捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等SnifferPortable主界面SnifferPortable共有8个下拉菜单，其主要功能是：文件菜单：打开和保存各种记录数据文件；软件系统工作模式的设定；打印各种报表或报告；运行脚本程序等监视器菜单：选择设定系统监视对象和监视的任务，可以定义过滤器对监视的对象有选择的做出显示，也可以察看报警日志捕获菜单：可以启动或停止捕获操作。可以按照不同的工作需求设置捕获过滤器，也可以为捕获操作设置触发条件。这些功能可以极大地提高捕获工作效率显示菜单：显示捕获数据的内容。可以对显示内容进行搜索与过滤工具菜单：包含了一些系统工具。如系统配置选项，监视对象地址簿，数据包自动发送工具等数据库菜单：对保存数据的数据库进行整理维护窗口菜单：按不同的工作需要显示或隐藏不同的窗口帮助菜单：提供系统帮助SnifferPortable的启动数据包的捕获开始按钮：启动捕获程序，开始捕获数据包。暂停按钮：暂时停止捕获数据。停止按钮：停止捕获工作。停止和显示按钮：停止捕获工作，自动转到显示捕获数据包窗口。显示按钮：显示捕获数据包的内容。定义过滤器按钮：设置过滤条件，有选择的进行捕获。数据包的读取与分析SnifferPortable捕获到的数据包被暂存在内存里，点击“显示”或“停止和显示”按钮可以把捕获的数据包内容显示出来在数据显示窗口中，通过窗口标签可以选择多种显示模式专家模式解码显示模式矩阵显示模式主机列表显示模式捕获过滤点击SnifferPortable捕获工具栏上的“定义过滤器”按钮，可以打开“定义过滤器”对话框在对话框中可以设置按制定的地址及在制定地址上数据传输方向进行过滤其中IP协议内容长度为20字节，TCP协议内容长度为20字节。地址22H-23H：2字节。通常专用的网络监视软件具有更强的数据捕获与过滤功能，是网络管理员手中的重要工具软件此例为65259（FEEBH）帧校验序列：4个字节，利用的是CRC循环冗余校验法，在SnifferPortable中不显示。第六行：SnifferPortable添加的DLC结束标志传输的信息是以数据包为基本传输单位的；第3章网络数据包结构与安全结果，主机A将B发来的包丢弃。捕获网络流量进行详细分析由于分组长度较短，在传输出错时，检错容易并且重发花费的时间较少；窗口菜单：按不同的工作需要显示或隐藏不同的窗口存储转发方式的分类：第一行：SnifferPortable添加的DLC起始标志定义了数据传输设备和传输媒体或网络间的接口。ICMP数据包类型字段。3网络层协议报头结构3.3数据的分析3.3.1TCP/IP协议3.3.2利用SnifferPortable分析网络协议3.3.3网络层协议报头结构3.3.4传输层协议报头结构3.3.1TCP/IP协议应用层运输层网络层链路层第一层链路层，也被称为网络接口层。定义了数据传输设备和传输媒体或网络间的接口。这一层涉及到对于传输媒介的特性、信号的特性、数据传输率和相关内容的确定。本层主要网络有DLC帧协议（数据链路控制）。第二层网络层，也被称作互连网层，处理分组在网络中的活动，例如分组的路由选择。在TCP/IP协议组件中，网络层协议包括IP协议（网际协议），ICMP协议（Internet互连网控制报文协议），以及IGMP协议（Internet组管理协议）。第三层运输层，主要为两台主机上的应用程序提供端到端的通信。在TCP/IP协议中，有两个互不相同的传输协议：即面向连接的TCP协议和非连接的UDP协议。第四层应用层，由不同的应用程序实现特定的应用目的。如：Telnet远程登录协议FTP文件传输协议SMTP简单邮件传输协议SNMP简单网络管理协议……

3.3.2利用SnifferPortable分析网络协议窗口工作区被分成三个窗格上面的窗格显示数据包列表。每一行代表一个数据包。可以看到每一个数据包在这批数据中的编号、此数据包的来源与目标地址，数据包内容摘要等下面窗格显示当前选中的数据包中的具体内容。用十六进制和ASCII码显示中间窗格显示出当前选中的数据包中包含哪些网络协议，及各协议报头在数据包中的位置。用鼠标选中窗格中的一个协议后，在下面窗格中就会用灰色底纹将此与协议相关的内容突出显示出来DLC帧1.前导码：8个字节，用于同步和起始标志。在SnifferPortable中不显示2.目的地址：6个字节，目的主机MAC地址3.源地址：6个字节，源主机MAC地址4.类型域：2个字节，标识了在以太网上运行的客户端协议。即表明上层（网络层）的协议。如IP、IPX等网络层协议5.数据：46～1500字节，这里是真正要传输的数据。如果长度不够46字节则由DLC协议自动补齐为46字节6.帧校验序列：4个字节，利用的是CRC循环冗余校验法，在SnifferPortable中不显示。其中2～4称为帧头，6称为帧尾。DLC帧实例在DLC头部：共显示6行信息，其中第3-5行显示内容是DLC真实内容，其它行是SnifferPortable添加的状态信息第一行：SnifferPortable添加的DLC起始标志第二行：SnifferPortable添加的帧序号、捕获日期、时间、帧的长度等信息。以上2行内容在数据包中是没有的第三行：DLC真实内容。目标主机的MAC地址。占6个字节，帧内地址00-05H第四行：DLC真实内容。源主机的MAC地址。占6个字节，帧内地址06-0BH第五行：DLC真实内容。数据包的类型（即上层协议的类型）。占2个字节，帧内地址0C-0DH。上层协议的类型主要有0800为IP协议，0806为ARP协议等第六行：SnifferPortable添加的DLC结束标志DLC结束标志之后是此帧的所要传输信息的真实内容。此帧内容包括IP和TCP协议2部分。其中IP协议内容长度为20字节，TCP协议内容长度为20字节。内容总长度40字节帧的最后一行是DLC填充段。因为此数据帧内容长度不足46字节，DLC自动添加了6个字节的“00”将其补足为46字节3.3.3网络层协议报头结构网络层协议主要有：网际协议（IP）地址解析协议（ARP）网际控制报文协议（ICMP）网际协议（IP）IP数据包的格式4位版本4位首部长度8位服务类型16位总长度（字节数）16位标识3位标志13位片偏移8位TTL8位协议16位首部检验和32位源IP地址32位目的IP地址选项（如果有）数据地址0E：1字节。高4位是IP协议版本号，低4位是本包IP首部长度。此例中0EH地址内容为45H。4代表IP协议版本号为4，即IPv4，此包所经过的各个路由器等网络设备均按IPv4格式对数据包进行解读与处理。5为此数据包IP首部长度代码。实际首部长度为此代码乘以4，本例中首部长度为5×4＝20字节。首部最大长度为0FH×4＝15×4＝60（字节）地址0F：1字节。服务类型：定义IP协议包的处理方法，它包含如下子字段过程字段：3位，设置了数据包的重要性，取值越大数据越重要，取值范围为：0（正常）~7（网络控制）延迟字段：1位，取值：0（正常）、1（低延迟）流量字段：1位，取值：0（正常）、1（高流量）可靠性字段：1位，取值：0（正常）、1（高可靠性）成本字段：1位，取值：0（正常）、1（最小成本）未使用：1位本例中均取正常值“0”地址10H-11H：2字节。IP包总长度。此例中IP包总长度为0052H，即82字节。从0EH到5FH，包含了IP包头及数据长度地址12H-13H：2字节。IP报文标识字段，每一个IP数据包都有一个与分组过程相关的唯一标识，做为到达目标后恢复数据时组合的依据。此例中标识为78FAH地址14H的高3位：有关数据分段的标识地址14H的低5位-15H：段偏移。当数据分组时，它和更多段位进行连接，帮助目的主机将分段的包组合地址16H：1字节。IP包生存时间TTL。由于IP包发出后就不再对它进行管理，任其自由寻找目标主机。如果网络或目标主机出现故障造成IP包无法到达目的主机，此数据包就会不断在网上游逛，形成网络数据包孤儿。网络孤儿大量存在就会占用网络资源，严重影响正常的网络通信。因此，如果IP包经过一定时间还无法找到目标主机就应该让它自动消亡。这个时间就是TTL。当某一网络设备发出IP包的同时要给IP包设定一个生存时间常数，每经过一个路由器此时间常数自动减一，当TTL值减为0还无法找到目标主机就自动消亡地址17H：1字节。协议代码。表示此IP包携带的是何种协议报文。常见的有：1：ICMP6：TCP17：UDP此例中协议代码值为6，表示报文是TCP协议。地址18H-19H：2字节。首部校验和。用于校验和纠错。地址1AH-1DH：4字节。源IP地址。此例为DBH、85H、3FH、36H。用点分十进制表示即为地址1EH-21H：4字节。目标IP地址。此例为C0H、A8H、01H、64H。用点分十进制表示即为00地址解析协议（ARP）ARP是一种将IP转化成以IP对应的网卡的物理地址的一种协议，或者说ARP协议是一种将IP地址转化成MAC地址的一种协议，它靠在内存中保存的一张表来使IP得以在网络上被目标机器应答在源主机在发送一个IP包之前，它要到该转换表中寻找与目标主机IP包相对应的MAC地址，如果没有找到，该源主机就发送一个ARP广播包，即目的MAC为FF-FF-FF-FF-FF-FF,目的IP为目标主机，再带上自己的源IP，和源MACARP数据包结构硬件类型协议类型硬件地址长度协议地址长度操作（请求：1；应答：2）源主机硬件地址源主机协议地址目标硬件地址目标协议地址数据包前14个字节为DLC包头，ARP协议包从偏移地址0DH开始到29H结束地址0D-0EH：2字节。硬件类型，以太网为“0001H”地址10-11H：2字节。上层协议类型，0800H为IP协议地址12H：硬件地址长度。MAX地址长度恒为6字节。地址13H：协议地址长度。IP地址恒为4字节地址14-15H：操作。请求包恒为1，应答包恒为2。此例是请求包，值为1

地址16-1BH：源主机的MAC地址。此例为：00-0D-60-8A-F0-3F地址1C-1FH：源主机协议地址。此例为。（十六进制表示为C0H、A8H、01H、64H）地址20-25H：目标主机MAC地址。此例为ARP请求包，地址为0地址26-29H：目标主机协议地址。此例为。（十六进制表示为C0H、A8H、01H、65H）地址2A-3BH：DLC将数据包不足长度部分补足ARP应答包网际控制报文协议（ICMP）ICMP协议用于在主机、路由器之间传递控制消息以检查网络是否通畅、主机是否可达、路由是否可用等。ICMP包并不传输用户数据，但是对于用户数据的传递起着重要的作用。ICMP常被黑客利用成为网络攻击的重要手段我们在网络维护管理中经常会使用到ICMP协议，比如经常使用的用于检查网络连通性的Ping命令，跟踪路由的Tracert命令等使用网络扫描工具探测网络结构。判断与IP地址为（）的主机是否连通。2提高网络安全性，防止网络嗅探的措施此例为以HTTP协议传输的超文本网页信息，全部以明文方式传输第四层应用层，由不同的应用程序实现特定的应用目的。开始按钮：启动捕获程序，开始捕获数据包。地址20-25H：目标主机MAC地址。带参数ipconfig（带/all）5为此数据包IP首部长度代码。显示TCP/IP网络配置信息/刷新动态主机配置协议DHCP和域名系统DNS设置.上机作业：网络命令的使用？第二层网络层，也被称作互连网层，处理分组在网络中的活动，例如分组的路由选择。ICMP数据包结构SnifferPortable的启动地址0EH-21H：IP包头以下地址若有选项则连续32字节选项。ICMP报文包含在IP数据报中，属于IP的载荷。一个ICMP报文包括IP头部、ICMP头部和ICMP报文

ICMP数据包结构IP首部ICMP报文8位类型8位代码16位检验和不同的类型和代码有不同的数据内容地址00-0DH：DLC包头地址0EH-21H：IP包头地址22H：1字节。ICMP数据包类型字段。不同的代码代表此数据包内容的类型。类型代码 类型描述0 响应应答（ECHO-REPLY）3 不可到达4 源抑制5 重定向8 响应请求（ECHO-REQUEST）11 超时12 参数失灵13 时间戳请求14 时间戳应答15 信息请求（*已作废）16 信息应答（*已作废）17 地址掩码请求18 地址掩码应答此例中代码08，响应请求。地址22H：1字节。代码。据前一字节设定不同类型下此字节含义不同。详细解释请查阅ICMP协议手册。此例中为0。地址23H-24H：2字节校验和。用于校验数据包的正确性地址25H-26H：标识地址27H-28H：2字节。发送二进制位序列号地址29H-结束：发送探测包内容。使用Windows系统的Ping命令时内容为英文小写字母a-w循环发送，直到达到命令要求的字节数为止。默认字节数为323.3.4传输层协议报头结构传输层协议主要有：传输控制协议（TCP）用户数据报协议（UDP）传输控制协议（TCP）TCP协议在传输层提供面向连接的可靠传输服务TCP的工作主要是建立连接，然后从应用层程序中接收数据并进行传输。TCP采用虚电路连接方式进行工作，在发送数据前它需要在发送方和接收方建立一个连接，数据在发送出去后，发送方会等待接收方给出一个确认性的应答，否则发送方将认为此数据丢失，并重新发送此数据。发送和接收方TCP实体以数据报的形式交换数据。一个数据报包含一个固定的20字节的头、一个可选部分以及0或多字节的数据TCP报头结构源端口（16）目的端口（16）序列号（32）确认号（32）TCP偏移量（4）保留（6）标志（6）窗口（16）校验和（16）紧急（16）选项（0或32）数据（可变）地址00-0DH：DLC包头地址0EH-21H：IP包头地址22H-23H：2字节。源主机端口号，此例为使用HTTP协议访问网页，默认端口号为80（0050H）地址24H-25H：2字节。目标主机端口号，由应用程序随机产生。此例为3545（0DD9H）地址26H-29H：4字节。序号：指明了段在即将传输的段序列中的位置。TCP连接是可靠的，而且保证了传送数据包的顺序，保证顺序是用序号来保证的。此例中序号为2938112427（AF2009ABH）地址2AH-2DH：4字节。确认号：作为收到数据的响应，连接成功后传输数据过程中此号为请求包序号＋应答数据包长度，若不进行通信仅进行连接时长度为1字节同步字节。此例为648543792＋1＝648543793（26A7FE31H）。地址2EH：1字节。高4位为首部长度，值为首部字节数/4。低4位保留未用。此例TCP首部长度20字节，故此此字节高4位值=20/4=5地址2FH：1字节。高2位保留未用。低6位为标志位。URG紧急指针有效。ACK确认序号有效。PSH接收方应该尽快将这个报文段交给应用层。RST重建连接。SYN同步序号用来发起一个连接。FIN发端完成发送任务。此例ACK位被置位，表示这是一个确认连接包。地址30H-31H：2字节。窗口：指定发送端能传输下一段的大小。此例为65259（FEEBH）地址32H-33H：2字节。校验和。，用来校验段头和数据部分的可靠性。此例为082DH地址34H-35H：2字节。紧急。指明段中包含紧急信息，只有当URG标志置1时紧急指针才有效。此例为0以下地址若有选项则连续32字节选项。此例没有选项字段。后面内容全部为被传输的数据。此例为以HTTP协议传输的超文本网页信息，全部以明文方式传输用户数据报协议（UDP）用户数据报协议UDP也是传输层协议，和TCP协议处于一个分层中，但是与TCP协议不同，UDP协议并不提供超时重传，出错重传等功能，是不可靠的协议UDP将数据的校验交给应用软件来完成，大大提高了信息传输的灵活性，由应用软件判断数据报是否可以丢弃。对于可以忽略的部分应用软件可以自主将其丢弃，以保障信息传递的时效性。因此，UDP协议广泛应用于时效性要求高的场合，比如网络电话、网络电视、视频监控等UDP包的结构源端口号目的端口号UDP长度UDP校验和数据（如果有）地址00-0DH：DLC包头地址0EH-21H：IP包头地址22H-23H：2字节。源主机端口号，此例为53124（CF84H）地址24H-25H：2字节。目标主机端口号，此例为53124（CF84H）地址26H-27H：2字节。UDP部分数据长度，此例为835B（0343H）地址28H-29H：2字节。校验和地址2AH-结束：UDP数据段。此例为网络电视数据3.4数据的安全3.4.1安全隐患3.4.2提高网络安全性，防止网络嗅探的措施3.4.1安全隐患信息泄漏网络攻击信息泄漏网络攻击协议欺骗攻击技术是针对网络协议的缺陷，采用欺骗的手段，截获信息或取得特权并进行攻击主要的协议欺骗攻击方式有IP欺骗ARP欺骗DNS欺骗源路由欺骗等IP欺骗攻击示例IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。通常应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的前提假设同一网段内有两台主机A、B，另一网段内有主机X。B授予A某些特权。X为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。然而，此时主机A已被主机X利用拒绝服务攻击“淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权