第8章 网络抓包实训

传输层协议及报文格式 传输层的主要协议 传输层端口的含义 TCP报文段格式 UDP报文段格式
8.3传输层协议及报文格式



传输层位于OSI七层模型中的第四层； 传输层协议为运行在不同主机上的应用进程 之间提供了逻辑通信； 传输层的主要功能就是提供端到端的服务。
8.3.1 传输层的主要协议



8.1.4 以太网帧格式



数据在网络上是以帧为单位进行传输的，帧 是通过数据链路层（二层）协议封装而成的 。以太网技术属于一种数据链路层技术。 确切地说，相邻两个节点的传输是以帧为单 位传输的，帧由相邻两个节点中的发送方封 装的，由接收方解封装。 发送方在封装帧时，需要指定目的MAC地址 ，并填写自己的MAC地址到源地址，指明上 层协议类型，把网络层传递下来的IP数据包 全部放入数据段，并计算出CRC校验和，才 能创建一个数据帧。
8.1.4 以太网帧格式



数据字段：帧所携带的数据载荷（来自上一层IP 分组）。以太网的最大传输单元（MTU）是1500 字节，如果一个IP数据包长度超过1500字节，就 必须将该IP数据包分组，帧的最大长度规定为 1518字节。 填充域字段：帧的最短长度规定为64字节，这就 要求“数据字段”的最小长度是46字节。如果IP 数据包小于46个字节，将被填充到46字节。 CRC字段：CRC，即循环冗余校验（Cyclic Redundancy Check），CRC字段的目的是允许接 收方适配器检测数据帧是否存在差错。
8.3.2 传输层端口的含义


由于同一台机器上可能会运行多个网络应用 程序，计算机需要确保目标计算机上接收源 主机数据包的软件应用程序的正确性 确保源主机的应用程序进程也能够正确响应 目标主机的回复。 该过程是通过使用TCP 或 UDP 端口号来实 现的。
8.3.2 传输层端口的含义
1.
8.3.2 传输层端口的含义
2.
3.
注册端口（RegisteredPorts）从1024到 49151，用于松散地绑定于一些网络服务， 可以把许多服务绑定到同一端口作为触发条 件，注册端口可以自定义； 动态端口或私有端口（Dynamic or Private Ports）从49152到65535，这些端口并不对 应特定的网络服务，每个端口可以对应一台 特定的主机和该主机的特定服务端口。实际 上计算机通常从1024开始分配动态端口。
《计算机网络技术实训教程》
第8章 网络抓包实训
第8章 网络抓包实训



8.1 8.2 8.3 8.4 8.5
以太网（Ethernet）与帧格式 网络层协议与IP数据包格式 传输层协议及报文格式 网络抓包软件 网络嗅探器的使用方法
第8章 网络抓包实训


本章主要学习数据报文分层、以太网帧结构 、IP分组结构、传输层报文结构以及各层的 解码分析，有利于掌握网络体系结构中网络 分层结构。 本章以网络通讯分析工具Iris 软件为例，进 行局域网抓包和解码分析实训。
8.1 以太网（Ethernet）与帧格式

最初的以太网采用10Mbps传输速率，比较 普及的是10Base-T标准。 10M以太网的网络连接设备最常用的是集线 器（Hub），采用总线式半双工连接方式。 目前，以太网已发展成为全双工的快速以太 网和千兆以太网。
8.1.1 快速以太网



8.2.2 IPv4数据包格式
11.
12.
源地址、目的地址：当源主机封装一个IP数 据包时，将本地IP 地址写入源地址字段， 将目的IP地址写入目的地址字段。通常源主 机通过DNS查找到目的IP地址。 选项：可变长，最大40字节。可以规定数 据报的保密程度、路由路径、时间戳等等， 还可以自己定义选项内容。一般数据包都不 包含选项，IPv6中已取消选项字段。
8.1.3 CSMA/CD

1.
பைடு நூலகம்
2.
CSMA/CD是具有冲突检测的载波侦听多址 访问协议，以太网（Ethernet）采用了这种 二层访问协议。CSMA/CD协议的工作过程 如下： 网络适配器获得一个网络层（三层）数据分 组，并将它封装成一个以太帧，并将该帧放 到网络适配器的缓冲区中； 如果适配器侦听到信道空闲，它就开始传输 该帧；如果适配器侦听到信道忙，继续侦听 直到信道空闲，然后开始传输该帧
8.2.2 IPv4数据包格式
1. 2.
3.
版本（Version）：4位，规定了数据包的IP 协议版本，如IPv4； 首部长度（IHL）：4位，规定IP头部长度。 4个字节为一个度量单位，IHL的最小值为5, 为5，表示IP头部的固定长度为20字节。首 部长度的最大值15； 服务类型（TOS：Type of Service）：8位 ，规定优先级、延时、呑吐量、可靠性，当 前路由器通常完全忽略服务类型；
8.2.2 IPv4数据包格式

例如：以下是一个截获的数据帧，灰色部分 为IP数据包首部，共20字节。
【思考题】请将图中灰色部分的16进制数字 转化为10进制，对照下一页的解码结果。
8.2.2 IPv4数据包格式

解码
8.3传输层协议及报文格式



8.3 8.3.1 8.3.2 8.3.3 8.3.4
传输层包括两个最主要的协议，即面向连接 的TCP（Transmission Control Protocol，传 输控制协议）和面向无连接的UDP（User Data Protocol，用户数据报协议）。 TCP是基于连接的协议，也就是说，在正式 收发数据前，必须和对方建立可靠的连接。 一个TCP连接必须要经过三次“握手”才能 建立起来。
8.3.1 传输层的主要协议


如果三次握手中有一次出现收不到回复或发 生报文错误等情况，就不能建立TCP连接， 所以说TCP连接是可靠的，适合传输大量文 件。 TCP协议的缺点是开销较大，传送数据前需 先建立连接，传送数据后又必须撤销连接。
8.3.1 传输层的主要协议



UDP是基于无连接的协议。 在正式收发数据前， UDP不与对方建立连 接，不管对方是什么状态，就直接把数据包 发送过去。 效率较高，但可靠性差。 UDP适用于一次只传送少量数据、对可靠性 要求不高的应用环境。
8.1.3 CSMA/CD
3.
4.

在传输过程中，适配器始终检测信道。如果 信道上没有来自其它适配器的信号，表示该 帧已成功传输； 如果在传输过程中检测到来自其它适配器的 信号，它就停止传输该帧，并发送一个特殊 的拥塞信号，之后适配器进一个指数回退阶 段。 CSMA/CD有效解决了以太网信道争用和冲 突问题。
8.1 以太网（Ethernet）与帧格式



8.1.1 8.1.2 8.1.3 8.1.4
快速以太网 千兆（吉比特）以太网 CSMA/CD 以太网帧格式
8.1 以太网（Ethernet）与帧格式


以太网采用IEEE802.3标准，现有的局域网 几乎全部采用以太网组建。 以太网（Ethernet）使用了CSMA/CD媒体访 问协议，是一种数据链路层（OSI七层模型 中的第二层）技术。 数据链路层的主要作用是解决相邻两台主机 进行无差错的数据传输问题，数据链路层的 最主要的功能是数据帧的封装、差错检测和 恢复。
8.1.2 千兆（吉比特）以太网


千兆以太网技术有两个标准：IEEE802.3z和 IEEE802.3ab。IEEE802.3z制定了光纤和短 程铜线连接方案的标准，目前已完成了标准 制定工作。IEEE802.3ab制定了五类双绞线 上较长距离连接方案的标准。 目前已推出最新的10G以太网，采用 IEEE802.3ae标准。
8.1.4 以太网帧格式

例如：以下是一个截获的数据帧，以16进 制表示，帧首部为14字节。
8.2网络层协议与IP数据包格式



8.2 网络层协议与IP数据包格式 8.2.1 网络层协议 8.2.2 IPv4数据包格式
8.2网络层协议与IP数据包格式

我们知道以太网帧格式中的数据段中承载着 IP数据分组。 本节我们讲述网络层（OSI七层模型中的第 三层）IP协议和IP数据包格式。 网络层的作用是解决网络上任意两个节点之 间的数据传输问题，其最基本的功能是编址 和选路。
IETF IANA 定义了三种端口组：公认端口、 注册端口以及动态或私有端口。 公认端口（Well Known Ports）从0到1023 ，用于绑定特定的网络服务，通常这些端口 明确了某种服务的协议。例如，80端口是 为HTTP服务所开放的，23端口是为Telnet 服务开放的，一般不允许私自定义公认端口 ；
8.2.1 网络层协议


IP协议负责编址规则、数据包格式和分组处 理规则； 路由协议负责路径选择和转发，路由协议包 括RIP、IGRP、OSPF、BGP等等； 网际控制报文协议（ICMP）负责差错报告 和路由器信令。 以上组件构成网络层三个主要的组件，这里 我们重点讲述IP数据包格式。
8.2.2 IPv4数据包格式
8.2.2 IPv4数据包格式
8.
9.
10.
生命期（TTL：Time To Live）：8位，确保 数据包不会永远在网络中循环，最大值为 255。每经过一个路由器该字段值减1，若 TTL值为0该数据包必须丢弃。 上层协议（Protocol）：该字段表示IP数据 包的数据部分应交给哪个上层协议。如： 17表示上层是UDP，6是TCP，89是OSPF， 88是EGIRP，1是ICMP等等。 首部校验和（Header Checksum）：只校验 头部，确保IP数据包首部正确；
8.1.4 以太网帧格式
2.
3.
4.
目的地址：接收方适配器的MAC 地址，由6 个字节共48位组成，一般用12个16进制数 字表示。 源地址：发送方适配器的MAC地址，由6个 字节共48位组成，一般用12个16进制数字 表示。 类型字段：网络层的协议都有标准化的类型 编号，如：0800表示上层是IP协议，0806 表示上层是ARP协议。
100Base-T快速以太网是从10Base-T以太网 标准发展而来的，它保留了以太网的帧结构 和CSMA/CD协议，使10Base-T和100Base-T 站点间进行数据通信时不需要进行协议转换 而兼容。 快速以太网采用点到点全双工的传输方式， 兼容总线式半双工传输方式。 快速以太网能显著提高工作站和服务器的传 输带宽，从而可以安全地增大网络上的负载 。 IEEE于1995年5月正式通过了快速以太 网100Base-T标准，即IEEE802.3u标准。
8.1.2 千兆（吉比特）以太网


千兆以太网技术作为高速以太网技术，给用 户带来了提高核心网络的有效解决方案，这 种解决方案的最大优点是继承了传统以太技 术价格便宜的优点。 千兆技术仍然是以太技术，它采用了与10M 以太网相同的帧格式、帧结构、网络协议、 全/半双工工作方式、流控模式以及布线系 统。
8.2.2 IPv4数据包格式
6.
标志（Flag）：共3位，实际使用后两位， 即DF（Don’t Fragment）标志和MF（More Fragment）标志。DF表示是否分段，MF表 示是否为IP数据包的最后一个分段，MF=0 表示这是最后一个分段。
8.2.2 IPv4数据包格式
7.

分段偏移（Fragment Offset）：共13位， 所以一个IP数据报最多可以有8192个分段 ，以8字节作为度量单位，该字段表示该分 段在IP包中的插入数据的开始位置。 例如：分段偏移的值为185，表示该分段 的起始位置位于IP包中的185×8＝1480字 节处 由此我们发现除了IP数据包的最后一个分段 外，其他所有分段的长度必须是8字节的倍 数。
8.1.4 以太网帧格式

下面我们介绍一下以太网帧格式：
前同步 码 （8字 节） 目的地 址 （6字 节） 源地址 （6字 节） 类型 （2字 节） 数据 （0～1500 字节） 填充域 （0～ 46） CRC （4字 节）
1.
前同步码：前同步码用于标识帧的开始， 前同步码8个字节不包括在帧的长度之内。
8.2.2 IPv4数据包格式
4.
5.
数据包长度（Total Length）：16位，这是 IP数据包的总字节数（首部加上数据），最 大长度为2的16次方减1（即65535字节 ） 。由于以太网数据帧的MTU为1500字节， 所以要对超过1500字节的IP数据包进行分 段。 标识（Identification）：16位，同一个IP 数据包的所有分段都具有相同的标识。让目 标主机确定新到达的分段属于哪个数据包。