超级网络分析工具SnifferPro详解.doc

目录
基本的TCP/IP协议介绍(IP/TCP/UDP) 1
超级网络分析工具Sniffer Pro详解 6
TCP/IP网络数据报分析 26
使用Sniffer工具进行TCP/IP、ICMP数据包分析 32
TCP协议分析实验 37
基本的TCP/IP协议介绍(IP/TCP/UDP)
IP/IPv4:网际协议
IP/IPv4:网际协议
(IP/IPv4: Protocol)
网际协议(IP)是一个网络层协议,它包含寻址信息和控制信息,可使数据包在网络中路由。 IP 协议是 TCP/IP 协议族中的主要网络层协议,与 TCP 协议结合组成整个因特网协议的核心协议。 IP 协议同样都适用于 LAN 和 WAN 通信。
IP 协议有两个基本任务:提供无连接的和最有效的数据包传送;提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。对于互联网络中 IP 数据报的路由选择处理,有一套完善的 IP 寻址方式。每一个 IP 地址都有其特定的组成但同时遵循基本格式。 IP 地址可以进行细分并可用于建立子网地址。 TCP/IP 网络中的每台计算机都被分配了一个唯一的 32 位逻辑地址,这个地址分为两个主要部分:网络号和主机号。网络号用以确认网络,如果该网络是因特网的一部分,其网络号必须由 InterNIC 统一分配。一个网络服务器供应商(ISP)可以从 InterNIC 那里获得一块网络地址,按照需要自己分配地址空间。主机号确认网络中的主机,它由本地网络管理员分配。
当你发送或接受数据时(例如,一封电子信函或网页),消息分成若干个块,也就是我们所说的“包”。每个包既包含发送者的网络地址又包含接受者的地址。由于消息被划分为大量的包,若需要,每个包都可以通过不同的网络路径发送出去。包到达时的顺序不一定和发送顺序相同, IP 协议只用于发送包,而 TCP 协议负责将其按正确顺序排列。
除了 ARP 和 RARP ,其它所有 TCP/IP 族中的协议都是使用 IP 传送主机与主机间的通信。当前 IP 协议有两种版本: IPv4 和 IPv6 。本文主要阐述 IPv4 。 IPv6 的相关细节将在其它文件中再作介绍。
协议结构
4
8
16
32bit
Version
IHL
Type of service
Total length
Identification
Flags
Fragment offset
Time to live
Protocol
Header checksum
Source address
Destination address
Option + Padding
Data
Version – 4位字段,指出当前使用的 IP 版本。
IP Header Length (IHL) ―指数据报协议头长度,具有32位字长。指向数据起点。正确协议头最小值为5。
Type-of-Service ―指出上层协议对处理当前数据报所期望的服务质量,并对数据报按照重要性级别进行分配。这些8位字段用于分配优先级、延迟、吞吐量以及可靠性。
Total Length ―指定整个 IP 数据包的字节长度,包括数据和协议头。其最大值为65,535字节。典型的主机可以接收576字节的数据报。
Identification ―包含一个整数,用于识别当前数据报。该字段由发送端分配帮助接收端集中数据报分片。
Flags ―由3位字段构成,其中低两位(最不重要)控制分片。低位指出数据包是否可进行分片。中间位指出在一系列分片数据包中数据包是否是最后的分片。第三位即最高位不使用。
Fragment Offset ― 13位字段,指出与源数据报的起始端相关的分片数据位置,支持目标IP适当重建源数据报。
Time-to-Live ―是一种计数器,在丢弃数据报的每个点值依次减1直至减少为0。这样确保数据包无止境的环路过程。
Protocol ―指出在 IP 处理过程完成之后,有哪种上层协议接收导入数据包。
Header Checksum ―帮助确保 IP 协议头的完整性。由于某些协议头字段的改变,如生存期(Time to Live),这就需要对每个点重新计算和检验。协议头需要进行处理。
Source Address ―指定发送代码。
Destination Address ―指定接收代码。
Options ―允许 IP 支持各种选项,如安全性。
Data ―包括上层信息。
TCP:传输控制协议
TCP:传输控制协议
(TCP:Transmission Control Protocol)
传输控制协议 TCP 是 TCP/IP 协议栈中的传输层协议,它通过序列确认以及包