《网络空间安全技术实践教程》课件8.2课件

第三篇网络安全理论与技术实验篇第八章网络协议基础实验8.2TCP和UDP协议分析实验网络空间安全技术实践教程18.2TCP和UDP协议分析实验实验目的：本次实验主要利用Wireshark，Charles，Fiddler等抓包软件，抓取TCP和UDP协议数据包，截取抓包结果，分析TCP协议包结构，TCP协议机制，如：TCP协议中“三次握手”，“四次挥手”流程；分析UDP协议包结构，从而进一步理解UDP协议运行流程。网络空间安全技术实践教程28.2TCP和UDP协议分析实验实验原理：在简化的OSI模型中，TCP协议和UDP协议完成第四层传输层所指定的功能，但是它们功能与结构都不相同：TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议；UDP是一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务

。我们通过实验抓包，分析TCP协议与UDP协议的具体流程与不同点。网络空间安全技术实践教程38.2TCP和UDP协议分析实验实验要点说明：（实验难点说明）抓取TCP协议数据包并分析抓取UDP协议数据包并分析网络空间安全技术实践教程48.2TCP和UDP协议分析实验实验准备：（实验环境，实验先有知识技术说明）操作系统windowsXP及以上Wireshark、Charles和Fiddler等抓包工具网络空间安全技术实践教程58.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（1）抓取TCP协议数据包

我们使用wireshark抓包软件抓取数据包，具体操作步骤如下：

首先，打开浏览器，输入即将浏览的网页（如图8-2-1所示），同时打开wireshark抓包软件，点击“

”，启动抓包，进行数据捕获（如图8-2-2所示）。网络空间安全技术实践教程68.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（1）抓取TCP协议数据包

接着，在图8-2-1中点击回车（enter），浏览网页，我们可以得到wireshark捕获的数据如图8-2-3所示。网络空间安全技术实践教程78.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（1）抓取TCP协议数据包

我们双击第6个和第7个数据包，可以看到TCP协议的具体包结构（如图8-2-4和图8-2-5所示）。网络空间安全技术实践教程88.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（2）分析TCP数据包信息及包结构

我们抓取的TCP数据包，通过分析，我们可以看到TCP包有以下结构：

1>SourcePort（源端口号）：53805

源端口号标识了发送主机的进程。

2>DestinationPort（目的端口号）：80

目标端口号标识接受方主机的进程。

3>Sequencenumber（序列号）：2c3ccaeb（16进制表示）

序列号用来标识从

TCP源端向

TCP目的端发送的数据字节流，它表示在这个报文段中的第一个数据包的顺序号。如果将字节流看作在两个应用程序间的单向流动，则

TCP用顺序号对每个数据包进行计数。网络空间安全技术实践教程98.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（2）分析TCP数据包信息及包结构

4>Acknowledgenumber（确认号）：2c3ccaec（16进制表示）

确认号包含发送确认的一端所期望收到的下一个数据包顺序号。因此，确认序号应当是上次已成功收到数据包顺序号加

1（此处2c3ccaeb+1=2c3ccaec）。只有

ACK标志为

1时确认序号字段才有效。

5>HeaderLength（头长度）：44bytes

头长度是TCP首部的长度，最大为15*4=60字节。网络空间安全技术实践教程108.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（2）分析TCP数据包信息及包结构

6>Flags（标志）：0x002（SYN）

在TCP首部中有6个标志比特。他们中的多个可同时被置为1。

URG：紧急指针(urgentpointer)有效

ACK：确认序号有效

PSH：指示接收方应该尽快将这个报文段交给应用层而不用等待缓冲区装满

RST：一般表示断开一个连接

SYN：同步序号用来发起一个连接

FIN：发送端完成发送任务(即断开连接)网络空间安全技术实践教程118.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（2）分析TCP数据包信息及包结构

7>Window（窗口）：65535

窗口的大小，表示源端主机一次最多能接受的字节数。

8>Checksum（校验和）：0x6a2a

校验和覆盖了整个的TCP报文段:TCP首部和TCP数据。这是一个强制性的字段，一定是由发送端计算和存储，并由收端进行验证。

9>Urgentpointer（紧急指针）：0

只有当URG标志置为1时紧急指针才有效。紧急指针是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧急方式是发送端向另一端发送紧急数据的一种方式。网络空间安全技术实践教程128.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（2）分析TCP数据包信息及包结构

10>Options（选项）：24bytes

选项主要有以下内容：

Maximumsegmentsize（最大报文段长度）:用于在连接开始时确定MSS的大小。

Windowscale（窗口扩大因子）:当通信双方认为首部的窗口值还不够大的时候，在连接开始时用这个来定义更大的窗口。仅在连接开始时有效。一经定义，通信过程中无法更改。

无操作字段（NOP,0x01），占1B，也用于填充，放在选项的开头网络空间安全技术实践教程138.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（2）分析TCP数据包信息及包结构

10>Options（选项）：24bytes

选项结束字段（EOL，0x00），占1B，一个报文段仅用一次。放在末尾用于填充，用途是说明首部已经没有更多的消息，应用数据在下一个32位字开始处。

Timestamps（时间戳）：应用测试RTT和防止序号绕回。

允许SACK选项：提供了在RFC2018中描述的支持功能，以便解决与拥挤和多信息包丢失有关的问题。假如是一个没有带SACK的TCP，那么接收TCP应用程序只能确认按顺序接收数据包，而丢弃最后一个未确认包之后的其他数据包，这可能导致大量的数据包重传；但是一个带SACK的TCP，则可以只重传丢失的数据包，以保证更好的传输效率。网络空间安全技术实践教程148.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（3）分析TCP协议“三次握手”过程

TCP协议通过“三次握手”过程来确认连接，我们抓取了三次握手的数据包（如图8-2-6），分别点击第6个、第7个和第8个数据包，分析“三次握手”具体流程：

网络空间安全技术实践教程158.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（3）分析TCP协议“三次握手”过程

1>第一次握手（如图8-2-7）：客户端发送一个TCP，标志位为[SYN]，序列号Seq（Sequencenumber）相对值为0，Flags中Syn为1。代表用户请求建立连接。网络空间安全技术实践教程168.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（3）分析TCP协议“三次握手”过程

2>第二次握手（如图8-2-8）：服务器发回确认包，标志位为[SYN]、[ACK]，将确认序号ACK（Acknowledgenumber）设为Seq+1（即为1），Flags中Acknowledgement为1，Syn为1。网络空间安全技术实践教程178.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（3）分析TCP协议“三次握手”过程

3>第三次握手（如图8-2-9）：客户端再次发送确认包（ACK），序列号（Sequencenumber）、确认序号（Acknowledgementnumber）均为1，Flags中Acknowledgement为1，Syn为0。

通过三次握手，TCP建立成功，然后双方可以进行通信。网络空间安全技术实践教程188.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（4）分析TCP协议“四次挥手”过程

TCP协议通过“四次挥手”过程来断开连接，我们抓取了四次挥手的数据包（如图8-2-10），分别点击第639个、第640个、第641个和第642个数据包，分析“四次挥手”具体流程：

网络空间安全技术实践教程198.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（4）分析TCP协议“四次挥手”过程

1>第一次挥手（如图8-2-11）：客户端发送一个标志位为[FINACK]的数据包，序列号（Sequencenumber）为1340，Flags中Acknowledgement为1，Fin为1。请求关闭客户端到服务器的数据传送。

网络空间安全技术实践教程208.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（4）分析TCP协议“四次挥手”过程

2>第二次挥手（如图8-2-12）：服务器收到客户端的Fin，它发回一个ACK，确认序号为收到的序号+1，即ACK=Seq+1=1341。Flags中Acknowledgement为1。

网络空间安全技术实践教程218.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（4）分析TCP协议“四次挥手”过程

3>第三次挥手（如图8-2-13）：客户端收到服务器发送的Fin=1，用来关闭服务器到客户端的数据传送。Flags中Acknowledgement为1，Fin为1。

网络空间安全技术实践教程228.2TCP和UDP协议分析实验实验步骤：1）抓取TCP协议数据包并分析

（4）分析TCP协议“四次挥手”过程

4>第四次挥手（如图8-2-14）：客户端收到Fin后，发送一个ACK给服务器，确认序号（Acknowledgementnumber）为收到的序列号（Sequencenumber）+1，即ACK=Seq+1=4998，Flags中Acknowledgement为1。

服务器关闭，四次挥手完成。

网络空间安全技术实践教程238.2TCP和UDP协议分析实验实验步骤：2）抓取UDP协议数据包并分析

（1）抓取UDP协议数据包

我们仿照“1）抓取TCP协议数据包并分析中的（1）抓取TCP协议数据包”的流程，可以抓取到DNS数据包（如图8-2-15），因为DNS属于应用层协议，其传输层是UDP协议，故我们可以分析UDP数据包如下。

网络空间安全技术实践教程248.2TCP和UDP协议分析实验实验步骤：2）抓取UDP协议数据包并分析

（1）抓取UDP协议数据包

我们双击第18个数据包，可以看到UDP协议的数据包结构（如图8-2-16）：

网络空间安全技术实践教程258.2TCP和UDP协议分析实验实验步骤：2）抓取UDP协议数据包并分析

（2）分析UDP数据包信息及包结构

我们抓取的UDP数据包，通过分析，我们可以看到UDP包有以下结构：

1>SourcePort（源端口号）：64677

源端口号标识了发送主机的进程。

2>DestinationPort（目的端口号）：53

目标端口号标识接受方主机的进程。

3>Length（长度）占用2个字节，标识UDP整个数据包的长度。

4>Checksum（校验和）:包含UDP头和数据部分。

网络空间安全技术实践教程