网络空间安全技术实践教程 8.2课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络空间安全技术实践教程
第三篇 网络安全理论与技术实验篇
第八章 网络协议基础实验
8.2 TCP和UDP协议分析实验
网络空间安全技术实践教程
2
8.2 TCP和UDP协议分析实验
实验目的: 本次实验主要利用Wireshark ,Charles, Fiddler等抓包软件,抓取TCP和UDP协议 数据包,截取抓包结果,分析TCP协议包 结构,TCP协议机制,如:TCP协议中 “三次握手”,“四次挥手”流程;分析 UDP协议包结构,从而进一步理解UDP协 议运行流程。
网络空间安全技术实践教程
22
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(4)分析TCP协议“四次挥手”过程 3>第三次挥手(如图8-2-13):客户端收到服务器发送的Fin=1,用 来关闭服务器到客户端的数据传送。Flags中Acknowledgement为1,Fin 为1。
网络空间安全技术实践教程 13
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 10>Options(选项):24bytes 选项主要有以下内容: Maximum segment size(最大报文段长度):用于在连接开始时确定 MSS的大小。 Window scale(窗口扩大因子): 当通信双方认为首部的窗口值还 不够大的时候,在连接开始时用这个来定义更大的窗口。仅在连接开始 时有效。一经定义,通信过程中无法更改。 无操作字段(NOP, 0x01),占1B,也用于填充,放在选项的开头
网络空间安全技术实践教程 12
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 7>Window(窗口):65535 窗口的大小,表示源端主机一次最多能接受的字节数。 8>Checksum(校验和):0x6a2a 校验和覆盖了整个的TCP报文段:TCP首部和TCP数据。这是一个强制 性的字段,一定是由发送端计算和存储,并由收端进行验证。 9>Urgent pointer(紧急指针):0 只有当URG标志置为1时紧急指针才有效。紧急指针是一个正的偏移 量,和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧 急方式是发送端向另一端发送紧急数据的一种方式。
网络空间安全技术实践教程
11
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 6>Flags(标志):0x002(SYN) 在TCP首部中有6个标志比特。他们中的多个可同时被置为1 。 URG:紧急指针(urgent pointer)有效 ACK:确认序号有效 PSH:指示接收方应该尽快将这个报文段交给应用层而不用等待缓冲 区装满 RST:一般表示断开一个连接 SYN:同步序号用来发起一个连接 FIN:发送端完成发送任务(即断开连接)
网络空间安全技术实践教程
6
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(1)抓取TCP协议数据包 我们使用wireshark抓包软件抓取数据包,具体操作步骤如下: 首先,打开浏览器,输入即将浏览的网页(如图8-2-1所示),同时 打开wireshark抓包软件,点击“ ”,启动抓包,进行数据捕获(如图 8-2-2所示)。
网络空间安全技术实践教程 14
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 10>Options(选项):24bytes 选项结束字段(EOL,0x00),占1B,一个报文段仅用一次。放在末 尾用于填充,用途是说明首部已经没有更多的消息,应用数据在下一个 32位字开始处。 Timestamps(时间戳):应用测试RTT和防止序号绕回。 允许SACK选项:提供了在 RFC 2018 中描述的支持功能,以便解决 与拥挤和多信息包丢失有关的问题。假如是一个没有带 SACK 的 TCP, 那么接收 TCP 应用程序只能确认按顺序接收数据包,而丢弃最后一个未 确认包之后的其他数据包,这可能导致大量的数据包重传;但是一个带 SACK的TCP,则可以只重传丢失的数据包,以保证更好的传输效率。
网络空间安全技术实践教程
15
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(3)分析TCP协议“三次握手”过程 TCP协议通过“三次握手”过程来确认连接,我们抓取了三次握手的 数据包(如图8-2-6),分别点击第6个、第7个和第8个数据包,分析 “三次握手”具体流程:
82tcpudp?实验结果要求本次实验主要利用wiresharkcharlesfiddler等抓包软件选取不同于本节实验教材中的网站如163网站校园官网视频网站等或者聊天软件qq或者skype抓取tcp协议和udp协议的数据包截取抓包结果读取其包信息分析包结构深刻体会tcp和udp协议的运行流程并分析tcp协议中确认连接的三次握手和断开连接的四次挥手过程
网络空间安全技术实践教程 3
8.2 TCP和UDP协议分析实验
实验原理: 在简化的OSI模型中,TCP协议和UDP协议 完成第四层传输层所指定的功能,但是它 们功能与结构都不相同 :TCP是一种面向 连接的、可靠的、基于字节流的传输层通 信协议 ;UDP 是一种无连接的传输层协议, 提供面向事务的简单不可靠信息传送服务 。 我们通过实验抓包,分析TCP协议与UDP 协议的具体流程与不同点。
网络空间安全技术实践教程
23
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(4)分析TCP协议“四次挥手”过程 4>第四次挥手(如图8-2-14):客户端收到Fin后,发送一个ACK给 服务器,确认序号(Acknowledgement number)为收到的序列号 (Sequence number)+1,即ACK=Seq+1=4998,Flags中Acknowledgement 为1。 服务器关闭,四次挥手完成。
网络空间安全技术实践教程
24
8.2 TCP和UDP协议分析实验
实验步骤: 2)抓取UDP协议数据包并分析
(1)抓取UDP协议数据包 我们仿照“1)抓取TCP协议数据包并分析中的(1)抓取TCP协议数 据包”的流程,可以抓取到DNS数据包(如图8-2-15),因为DNS属于应 用层协议,其传输层是UDP协议,故我们可以分析UDP数据包如下。
网络空间安全技术实践教程 10
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 4>Acknowledge number(确认号):2c3ccaec(16进制表示) 确认号包含发送确认的一端所期望收到的下一个数据包顺序号。因 此,确认序号应当是上次已成功收到数据包顺序号加 1(此处 2c3ccaeb+1=2c3ccaec)。只有 ACK标志为 1时确认序号字段才有效。 5>Header Length(头长度):44bytes 头长度是TCP首部的长度,最大为15 * 4 = 60字节。
网络空间安全技术实践教程
16
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(3)分析TCP协议“三次握手”过程 1>第一次握手(如图8-2-7):客户端发送一个TCP,标志位为[SYN], 序列号Seq(Sequence number)相对值为0,Flags中Syn为1。代表用户 请求建立连接。
网络空间安全技术实践教程
25
8.2 TCP和UDP协议分析实验
实验步骤: 2)抓取UDP协议数据包并分析
(1)抓取UDP协议数据包 我们双击第18个数据包,可以看到UDP协议的数据包结构(如图8-216):
网络空间安全技术实践教程
26ቤተ መጻሕፍቲ ባይዱ
8.2 TCP和UDP协议分析实验
实验步骤: 2)抓取UDP协议数据包并分析
网络空间安全技术实践教程
20
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(4)分析TCP协议“四次挥手”过程 1>第一次挥手(如图8-2-11):客户端发送一个标志位为[FIN ACK] 的数据包,序列号(Sequence number)为1340,Flags中 Acknowledgement为1,Fin为1。请求关闭客户端到服务器的数据传送。
网络空间安全技术实践教程
21
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(4)分析TCP协议“四次挥手”过程 2>第二次挥手(如图8-2-12):服务器收到客户端的Fin,它发回一 个ACK,确认序号为收到的序号+1,即ACK=Seq+1=1341。Flags中 Acknowledgement为1。
网络空间安全技术实践教程 4
8.2 TCP和UDP协议分析实验
实验要点说明:(实验难点说明)
抓取TCP协议数据包并分析 抓取UDP协议数据包并分析
网络空间安全技术实践教程
5
8.2 TCP和UDP协议分析实验
实验准备: (实验环境,实验先有知识技 术说明) 操作系统windows XP及以上
Wireshark、Charles和Fiddler等抓包工具
网络空间安全技术实践教程
17
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(3)分析TCP协议“三次握手”过程 2>第二次握手(如图8-2-8):服务器发回确认包,标志位为[SYN]、 [ACK],将确认序号ACK(Acknowledge number)设为Seq+1(即为1), Flags中Acknowledgement为1,Syn为1。
实验步骤: 1)抓取TCP协议数据包并分析
(1)抓取TCP协议数据包 我们双击第6个和第7个数据包,可以看到TCP协议的具体包结构(如 图8-2-4和图8-2-5所示)。
网络空间安全技术实践教程
9
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 我们抓取的TCP数据包,通过分析,我们可以看到TCP包有以下结构: 1>Source Port(源端口号):53805 源端口号标识了发送主机的进程。 2>Destination Port(目的端口号):80 目标端口号标识接受方主机的进程。 3>Sequence number(序列号):2c3ccaeb(16进制表示) 序列号用来标识从 TCP源端向 TCP目的端发送的数据字节流,它表 示在这个报文段中的第一个数据包的顺序号。如果将字节流看作在两个 应用程序间的单向流动,则 TCP用顺序号对每个数据包进行计数。
网络空间安全技术实践教程
7
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(1)抓取TCP协议数据包 接着,在图8-2-1中点击回车(enter),浏览网页,我们可以得到 wireshark捕获的数据如图8-2-3所示。
网络空间安全技术实践教程
8
8.2 TCP和UDP协议分析实验
网络空间安全技术实践教程
18
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(3)分析TCP协议“三次握手”过程 3>第三次握手(如图8-2-9):客户端再次发送确认包(ACK),序 列号(Sequence number)、确认序号(Acknowledgement number)均为 1,Flags中Acknowledgement为1,Syn为0。
(2)分析UDP数据包信息及包结构 我们抓取的UDP数据包,通过分析,我们可以看到UDP包有以下结构: 1>Source Port(源端口号):64677 源端口号标识了发送主机的进程。 2>Destination Port(目的端口号):53 目标端口号标识接受方主机的进程。 3> Length(长度)占用2个字节,标识UDP整个数据包的长度。 4> Checksum (校验和):包含UDP头和数据部分。
通过三次握手,TCP建立成功,然后双方可以进行通信。
网络空间安全技术实践教程
19
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(4)分析TCP协议“四次挥手”过程 TCP协议通过“四次挥手”过程来断开连接,我们抓取了四次挥手的 数据包(如图8-2-10),分别点击第639个、第640个、第641个和第642 个数据包,分析“四次挥手”具体流程:
第三篇 网络安全理论与技术实验篇
第八章 网络协议基础实验
8.2 TCP和UDP协议分析实验
网络空间安全技术实践教程
2
8.2 TCP和UDP协议分析实验
实验目的: 本次实验主要利用Wireshark ,Charles, Fiddler等抓包软件,抓取TCP和UDP协议 数据包,截取抓包结果,分析TCP协议包 结构,TCP协议机制,如:TCP协议中 “三次握手”,“四次挥手”流程;分析 UDP协议包结构,从而进一步理解UDP协 议运行流程。
网络空间安全技术实践教程
22
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(4)分析TCP协议“四次挥手”过程 3>第三次挥手(如图8-2-13):客户端收到服务器发送的Fin=1,用 来关闭服务器到客户端的数据传送。Flags中Acknowledgement为1,Fin 为1。
网络空间安全技术实践教程 13
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 10>Options(选项):24bytes 选项主要有以下内容: Maximum segment size(最大报文段长度):用于在连接开始时确定 MSS的大小。 Window scale(窗口扩大因子): 当通信双方认为首部的窗口值还 不够大的时候,在连接开始时用这个来定义更大的窗口。仅在连接开始 时有效。一经定义,通信过程中无法更改。 无操作字段(NOP, 0x01),占1B,也用于填充,放在选项的开头
网络空间安全技术实践教程 12
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 7>Window(窗口):65535 窗口的大小,表示源端主机一次最多能接受的字节数。 8>Checksum(校验和):0x6a2a 校验和覆盖了整个的TCP报文段:TCP首部和TCP数据。这是一个强制 性的字段,一定是由发送端计算和存储,并由收端进行验证。 9>Urgent pointer(紧急指针):0 只有当URG标志置为1时紧急指针才有效。紧急指针是一个正的偏移 量,和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧 急方式是发送端向另一端发送紧急数据的一种方式。
网络空间安全技术实践教程
11
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 6>Flags(标志):0x002(SYN) 在TCP首部中有6个标志比特。他们中的多个可同时被置为1 。 URG:紧急指针(urgent pointer)有效 ACK:确认序号有效 PSH:指示接收方应该尽快将这个报文段交给应用层而不用等待缓冲 区装满 RST:一般表示断开一个连接 SYN:同步序号用来发起一个连接 FIN:发送端完成发送任务(即断开连接)
网络空间安全技术实践教程
6
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(1)抓取TCP协议数据包 我们使用wireshark抓包软件抓取数据包,具体操作步骤如下: 首先,打开浏览器,输入即将浏览的网页(如图8-2-1所示),同时 打开wireshark抓包软件,点击“ ”,启动抓包,进行数据捕获(如图 8-2-2所示)。
网络空间安全技术实践教程 14
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 10>Options(选项):24bytes 选项结束字段(EOL,0x00),占1B,一个报文段仅用一次。放在末 尾用于填充,用途是说明首部已经没有更多的消息,应用数据在下一个 32位字开始处。 Timestamps(时间戳):应用测试RTT和防止序号绕回。 允许SACK选项:提供了在 RFC 2018 中描述的支持功能,以便解决 与拥挤和多信息包丢失有关的问题。假如是一个没有带 SACK 的 TCP, 那么接收 TCP 应用程序只能确认按顺序接收数据包,而丢弃最后一个未 确认包之后的其他数据包,这可能导致大量的数据包重传;但是一个带 SACK的TCP,则可以只重传丢失的数据包,以保证更好的传输效率。
网络空间安全技术实践教程
15
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(3)分析TCP协议“三次握手”过程 TCP协议通过“三次握手”过程来确认连接,我们抓取了三次握手的 数据包(如图8-2-6),分别点击第6个、第7个和第8个数据包,分析 “三次握手”具体流程:
82tcpudp?实验结果要求本次实验主要利用wiresharkcharlesfiddler等抓包软件选取不同于本节实验教材中的网站如163网站校园官网视频网站等或者聊天软件qq或者skype抓取tcp协议和udp协议的数据包截取抓包结果读取其包信息分析包结构深刻体会tcp和udp协议的运行流程并分析tcp协议中确认连接的三次握手和断开连接的四次挥手过程
网络空间安全技术实践教程 3
8.2 TCP和UDP协议分析实验
实验原理: 在简化的OSI模型中,TCP协议和UDP协议 完成第四层传输层所指定的功能,但是它 们功能与结构都不相同 :TCP是一种面向 连接的、可靠的、基于字节流的传输层通 信协议 ;UDP 是一种无连接的传输层协议, 提供面向事务的简单不可靠信息传送服务 。 我们通过实验抓包,分析TCP协议与UDP 协议的具体流程与不同点。
网络空间安全技术实践教程
23
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(4)分析TCP协议“四次挥手”过程 4>第四次挥手(如图8-2-14):客户端收到Fin后,发送一个ACK给 服务器,确认序号(Acknowledgement number)为收到的序列号 (Sequence number)+1,即ACK=Seq+1=4998,Flags中Acknowledgement 为1。 服务器关闭,四次挥手完成。
网络空间安全技术实践教程
24
8.2 TCP和UDP协议分析实验
实验步骤: 2)抓取UDP协议数据包并分析
(1)抓取UDP协议数据包 我们仿照“1)抓取TCP协议数据包并分析中的(1)抓取TCP协议数 据包”的流程,可以抓取到DNS数据包(如图8-2-15),因为DNS属于应 用层协议,其传输层是UDP协议,故我们可以分析UDP数据包如下。
网络空间安全技术实践教程 10
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 4>Acknowledge number(确认号):2c3ccaec(16进制表示) 确认号包含发送确认的一端所期望收到的下一个数据包顺序号。因 此,确认序号应当是上次已成功收到数据包顺序号加 1(此处 2c3ccaeb+1=2c3ccaec)。只有 ACK标志为 1时确认序号字段才有效。 5>Header Length(头长度):44bytes 头长度是TCP首部的长度,最大为15 * 4 = 60字节。
网络空间安全技术实践教程
16
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(3)分析TCP协议“三次握手”过程 1>第一次握手(如图8-2-7):客户端发送一个TCP,标志位为[SYN], 序列号Seq(Sequence number)相对值为0,Flags中Syn为1。代表用户 请求建立连接。
网络空间安全技术实践教程
25
8.2 TCP和UDP协议分析实验
实验步骤: 2)抓取UDP协议数据包并分析
(1)抓取UDP协议数据包 我们双击第18个数据包,可以看到UDP协议的数据包结构(如图8-216):
网络空间安全技术实践教程
26ቤተ መጻሕፍቲ ባይዱ
8.2 TCP和UDP协议分析实验
实验步骤: 2)抓取UDP协议数据包并分析
网络空间安全技术实践教程
20
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(4)分析TCP协议“四次挥手”过程 1>第一次挥手(如图8-2-11):客户端发送一个标志位为[FIN ACK] 的数据包,序列号(Sequence number)为1340,Flags中 Acknowledgement为1,Fin为1。请求关闭客户端到服务器的数据传送。
网络空间安全技术实践教程
21
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(4)分析TCP协议“四次挥手”过程 2>第二次挥手(如图8-2-12):服务器收到客户端的Fin,它发回一 个ACK,确认序号为收到的序号+1,即ACK=Seq+1=1341。Flags中 Acknowledgement为1。
网络空间安全技术实践教程 4
8.2 TCP和UDP协议分析实验
实验要点说明:(实验难点说明)
抓取TCP协议数据包并分析 抓取UDP协议数据包并分析
网络空间安全技术实践教程
5
8.2 TCP和UDP协议分析实验
实验准备: (实验环境,实验先有知识技 术说明) 操作系统windows XP及以上
Wireshark、Charles和Fiddler等抓包工具
网络空间安全技术实践教程
17
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(3)分析TCP协议“三次握手”过程 2>第二次握手(如图8-2-8):服务器发回确认包,标志位为[SYN]、 [ACK],将确认序号ACK(Acknowledge number)设为Seq+1(即为1), Flags中Acknowledgement为1,Syn为1。
实验步骤: 1)抓取TCP协议数据包并分析
(1)抓取TCP协议数据包 我们双击第6个和第7个数据包,可以看到TCP协议的具体包结构(如 图8-2-4和图8-2-5所示)。
网络空间安全技术实践教程
9
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(2)分析TCP数据包信息及包结构 我们抓取的TCP数据包,通过分析,我们可以看到TCP包有以下结构: 1>Source Port(源端口号):53805 源端口号标识了发送主机的进程。 2>Destination Port(目的端口号):80 目标端口号标识接受方主机的进程。 3>Sequence number(序列号):2c3ccaeb(16进制表示) 序列号用来标识从 TCP源端向 TCP目的端发送的数据字节流,它表 示在这个报文段中的第一个数据包的顺序号。如果将字节流看作在两个 应用程序间的单向流动,则 TCP用顺序号对每个数据包进行计数。
网络空间安全技术实践教程
7
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(1)抓取TCP协议数据包 接着,在图8-2-1中点击回车(enter),浏览网页,我们可以得到 wireshark捕获的数据如图8-2-3所示。
网络空间安全技术实践教程
8
8.2 TCP和UDP协议分析实验
网络空间安全技术实践教程
18
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(3)分析TCP协议“三次握手”过程 3>第三次握手(如图8-2-9):客户端再次发送确认包(ACK),序 列号(Sequence number)、确认序号(Acknowledgement number)均为 1,Flags中Acknowledgement为1,Syn为0。
(2)分析UDP数据包信息及包结构 我们抓取的UDP数据包,通过分析,我们可以看到UDP包有以下结构: 1>Source Port(源端口号):64677 源端口号标识了发送主机的进程。 2>Destination Port(目的端口号):53 目标端口号标识接受方主机的进程。 3> Length(长度)占用2个字节,标识UDP整个数据包的长度。 4> Checksum (校验和):包含UDP头和数据部分。
通过三次握手,TCP建立成功,然后双方可以进行通信。
网络空间安全技术实践教程
19
8.2 TCP和UDP协议分析实验
实验步骤: 1)抓取TCP协议数据包并分析
(4)分析TCP协议“四次挥手”过程 TCP协议通过“四次挥手”过程来断开连接,我们抓取了四次挥手的 数据包(如图8-2-10),分别点击第639个、第640个、第641个和第642 个数据包,分析“四次挥手”具体流程: