IGMP及抓包分析

IGMP一、Internet 组管理协议IGMP 是Internet 组管理协议(Internet Group Management Protocol)的缩写。

IGMP 在TCP/IP 协议中的位置:应用层协议（FTP,HTTP,SMTP）TCP UDP ICMP IGMPIPARP RARPMACPHY在了解 IGMP 协议的之前，我们首先看看以太网对报文的处理方法。

我们知道，目前使用的以太网（ethernet）有一个特点，当一个报文在一条线路上传输时，该线路上的所有主机都能够接收到这个报文。

只是当报文到达MAC 层时，主机会检测这个报文是不是发送给自己的，如果不是该报文就会被丢弃。

常用的抓包软件ethereal, sniffer 都可以捕获当前物理线路上的所有报文，不管该报文的目的地址是不是自己。

以太网中有一种特殊的报文广播包其目的mac 地址全为0xff，所有的主机都必须接收。

说到 IGMP 不能不提“组播”的概念。

假如现在一个主机想将一个数据包发给网络上的若干主机，有什么方法可以做到呢一个方法是采用广播包发送，这样网络上的所有主机都能够接收到，另一种方式是将数据包复制若干份分别发给目的主机。

这两个方法都存在问题：方法一，广播的方法导致网络上所有的主机都能接收到，占用了网络上其他主机的资源。

方法二，由于所有目的主机接收的报文都是相同的，采用单播方式显然效率很低。

为了解决上面所述的问题，人们提出了“组播”的概念，控制一个报文发送给对该报文感兴趣的主机，IGMP 就是组播管理协议。

我们来看一个简单的组播应用场景PC，如何处理呢首先STB 要发起一个连接请求，也就是IGMP report 报文，加入到电视直播的组播组中。

同样当STB 要断开连接的时候就发送一个IGMP leave 报文。

Router 也需要知道当前有哪些STB 加入了组播组，防止有的STB 异常掉线了，却依然占用系统资源。

Router 周期性的发送IGMP query 报文查询组播组情况，STB 接到query 报文后发送report 消息到router。

EIGRP基础首先我们先来了解下CISCO开发EIGRP的背景。

CISCO在开发EIGRP之前有个叫IGRP的协议，这个协议的开发主要是针对RIPv1的，也是个有类的协议。

后来RIPv2出来后，CISCO就想，我要是还是个有类的肯定活不长，所以必须得改，但他并不是像RIP那样增加了那么些个特性就完事了，关键是这个时候OSPF已经诞生了，鉴于OSPF的强大与变态，若是小改那肯定也是干不过他的，所以CISCO干脆就大改，整个能跟OSPF相抗衡的东西出来，EIGRP vs OSPF，于是乎EIGRP就出来了，而不是IGRPv2什么的。

当然，EIGRP也不是完全没用IGRP 的东西，像IGRP的composite mertic（符合度量值）这样的好特性EIGRP还是继承下来了，不然也不会叫增强型内部网关路由协议。

接下来，让我们来看看EIGRP到底有哪些子值得称道的特性。

一、Fast Convergence（快收敛）。

相对于RIP的30/180和IGRP的90/270而言，EIGRP 的Hello和Dead时间是5s/15s（这里想不考虑多点链路小于T1的情况）。

那这就很不得了了，收敛时间非常之快，也就更能满足现在网络对于路由性能的要求。

二、Loop Free（无环）。

其实，对于这个特性并没有什么好值得炫耀的，因为对于路由协议来讲，你有环那你还是路由协议吗，谁敢用你，但这里说的无环是指他引入了一些比较好的机制来保障他的无环，而不是像RIP那样通过各种“补丁”技术来保障其无环。

三、Simply Configure（配置简单）。

这一点是针对OSPF来讲的，玩过OSPF的人都知道，当你要使用OSPF来达到某些特性时他的配置那是无比蛋疼，异常复杂，在那个时候你会觉得EIGRP的配置那真是一个简单，好使。

四、Unequal Loadbalance（非等价负载平衡）。

这个特性是EIGRP所特有的，也被CISCO申请了专利，这个特性能让你的网络在保障冗余的同时，有较高的利用率。

拟 制 人时 间IGMP 协议详解与测试方法1 基本信息1.1 摘要本文主要介绍IGMP协议与我司终端产品IGMP的测试方法。

1.2关键字IGMP，SNOOPING1.3 缩略语IGMP Internet Group Management Protocol Internet 组管理协议SMB SmartBits 思博伦通信网络分析仪CPE Customer Premise Equipment 用户侧设备2 协议解释2.1 IGMP 作用¾ 实现一对多数据流业务，有很多种实现方式，如广播，但是浪费带宽，会造成广播风暴：¾ 如果用IGMP 的话，根据成员的需要去接受数据流业务：组播成员2组播成员12.2 IGMP协议¾IGMP协议用于IPv4系统向任何邻居组播路由器报告其组播成员资格。

IP组播路由器自己本身也可以是一到多个组播组的成员。

这时，组播路由器要实现协议的组播路由器部分和组成员部分。

¾报文格式IGMP V1 报文格式Ver Type Reserved ChecksumGroup AddressIGMP V2 报文格式Type Max Resp Time ChecksumGroup AddressMembership Query: 成员关系查询（0x11）V1 Membership Report: 版本 1 成员关系报告（0x12）V2 Membership Report: 版本 2 成员关系报告（0x16）Leave Group: 离开组报告（0x17）¾IGMP组播地址组播IP地址用于标识一个IP组播组。

IANA把D类地址空间分配给IP组播，其范围是从224.0.0.0到239.255.255.255。

如下图所示(二进制表示)，IP组播地址前四位均为1110。

八位组（1）八位组（2）八位组（3）八位组（4）1110XXXX XXXXXXXX XXXXXXXX XXXXXXXX组播地址的分类：保留——224.0.0.0 - 224.0.0.255用户组播地址——224.0.1.0 - 238.255.255.255本地管理组——239.0.0.0 - 239.255.255.255 （用于私人组播领域，类似私有IP地址）¾IGMP组播地址2层的MAC地址是如何与3层的IP地址进行映射的呢？通过将MAC地址的前25位强行规定位01.00.5e，而后23位对应IP地址的后23位，而组播IP地址的前4位均相同如：IP地址： 1110yyyy.yxxxxxxx.xxxxxxx.xxxxxxxxMAC地址： 00000001.00000000.01011110.0xxxxxxx.xxxxxxx.xxxxxxxx2.3 IGMP版本¾IGMP的不同版本Version 1：在[RFC-1112]中声明，是第一个广泛使用的IGMP版本。

IGMP协议分析组播协议的工作机制IGMP（Internet Group Management Protocol，互联网组管理协议）是一种网络协议，用于多播的组播管理。

组播是一种网络传输方式，可以在单一数据流上同时发送给多个目标设备。

IGMP协议允许主机加入或离开一个多播组，以及路由器为特定多播组提供流量转发。

IGMP协议的工作机制基于主机和路由器之间的交互。

主机通过发送特定的IGMP报文向路由器注册加入或离开一个多播组的意图。

路由器则负责根据这些报文来进行相应的组播流量管理与转发。

在IGMP协议中，主机和路由器的交互可以分为两个角色：主机可以是一个多播组的成员，路由器则充当组播流量的转发和管理者。

主机角色中的IGMP报文主要分为三种类型：成员关系查询报文（Membership Query）、成员关系报告报文（Membership Report）和成员离开报文（Leave Group）。

成员关系查询报文用于路由器定期发送以查询网络中的主机是否还是某个多播组的成员。

成员关系报告报文则是主机向路由器发送的，用于通知路由器它们的成员关系。

成员离开报文则是主机主动发送给路由器，用于通知路由器其离开了某个多播组。

路由器角色中的IGMP报文主要有两种类型：成员关系查询报文（Membership Query）和成员关系报告报文（Membership Report）。

成员关系查询报文用于路由器周期性地向多播组的成员发送，以获取其成员关系，并维护组播组的活跃状态。

成员关系报告报文则是路由器在接收到主机发来的成员关系报告后，向其他路由器发送的，以便提供多播组的流量转发和管理。

IGMP协议的工作流程如下：1. 主机在加入一个多播组时，会向网络中的路由器发送成员关系报告报文，以通知路由器其加入了该组。

2. 路由器在收到成员关系报告报文后，会更新其组播组成员数据库，记录下该主机加入了该组。

3. 路由器会定时发送成员关系查询报文，以获取组播组的成员列表，并维护组播组的活跃状态。

I G M P及抓包分析IGMPIGMP 是Internet Group Management Protocol（互联网组管理协议）的简称。

它是TCP/IP 协议族中负责IP 组播成员管理的协议，用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。

到目前为止，IGMP 有三个版本：1、IGMPv1（由RFC 1112 定义）2、IGMPv2（由RFC 2236 定义）3、IGMPv3（由RFC 3376定义）一、IGMPv11.1报文格式1、版本：版本字段包含IGMP版本标识，因此设置为1。

2、类型：成员关系查询（0x11）成员关系报告（0x12）3、校验和4、组地址：当一个成员关系报告正被发送时，组地址字段包含组播地址。

当用于成员关系查询时，本字段为0，并被主机忽略。

1.2组成员加入过程当一个主机希望接收一个组播组的数据，则发送成员加入报告给组播组。

IGMPv1 join包如下：1.3查询与响应过程路由器RTA（IGMP查询器）周期性地（默认60秒）向子网内所有主机（224.0.0.1代表子网内所有主机）发送成员关系查询信息。

所有主机收到IGMPv1成员关系查询信息，一主机首先向组播组发送IGMPv1成员关系报告。

组的其他成员监听到报告后抑制自己的成员关系报告发送。

1.4 抑制机制当主机收到IGMP成员关系查询时，对它已经加入的每个组播组启动一个倒计数报告计时器。

各个报告计时器初始值为从0到最大响应之间一个随机数，默认值是10秒。

计时器到时的主机则主动发送成员关系报告，目的地为该主机所属的组地址。

其它主机收到该成员关系报告，则抑制成员关系报告的发送，并删除计时器。

1.5 组成员离开过程主机“默不作声”地离开组（不发送报告了）。

路由器发送成员关系查询信息。

路由器没有收到该组的IGMP报告，则再发送成员关系信息（3次查询周期过后）。

组播组超时，剪枝。

二、IGMPv22.1报文格式1、类型成员关系查询（0x11）常规查询：用于确定哪些组播组是有活跃的，即该组是否还有成员在使用，常规查询地址由全零表示；特定组查询：用于查询某具体组播组是否还有组成员。

IGMPIGMP 是Internet Group Management Protocol（互联网组管理协议）的简称。

它是TCP/IP 协议族中负责IP 组播成员管理的协议，用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。

到目前为止，IGMP 有三个版本：1、IGMPv1（由RFC 1112 定义）2、IGMPv2（由RFC 2236 定义）3、IGMPv3（由RFC 3376定义）一、IGMPv11.1报文格式1、版本：版本字段包含IGMP版本标识，因此设置为1。

2、类型：成员关系查询（0x11）成员关系报告（0x12）3、校验和4、组地址：当一个成员关系报告正被发送时，组地址字段包含组播地址。

当用于成员关系查询时，本字段为0，并被主机忽略。

1.2组成员加入过程当一个主机希望接收一个组播组的数据，则发送成员加入报告给组播组。

IGMPv1 join包如下：1.3查询与响应过程路由器RTA（IGMP查询器）周期性地（默认60秒）向子网内所有主机（224.0.0.1代表子网内所有主机）发送成员关系查询信息。

所有主机收到IGMPv1成员关系查询信息，一主机首先向组播组发送IGMPv1成员关系报告。

组的其他成员监听到报告后抑制自己的成员关系报告发送。

1.4 抑制机制当主机收到IGMP成员关系查询时，对它已经加入的每个组播组启动一个倒计数报告计时器。

各个报告计时器初始值为从0到最大响应之间一个随机数，默认值是10秒。

计时器到时的主机则主动发送成员关系报告，目的地为该主机所属的组地址。

其它主机收到该成员关系报告，则抑制成员关系报告的发送，并删除计时器。

1.5 组成员离开过程主机“默不作声”地离开组（不发送报告了）。

路由器发送成员关系查询信息。

路由器没有收到该组的IGMP报告，则再发送成员关系信息（3次查询周期过后）。

组播组超时，剪枝。

二、IGMPv22.1报文格式1、类型成员关系查询（0x11）常规查询：用于确定哪些组播组是有活跃的，即该组是否还有成员在使用，常规查询地址由全零表示；特定组查询：用于查询某具体组播组是否还有组成员。

协议分析实验报告年级：姓名：学号：实验日期： 2013-04-10实验名称：利用wireshark分析IGMP协议一、实验目的分析IGMP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、协议简介Internet组管理协议（IGMP）是因特网协议家族中的一个组播协议，用于IP主机向任一个直接相邻的路由器报告他们的组成员情况。

IGMP信息封装在IP报文中，其IP的协议号为2。

它用来在ip主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。

igmp不包括组播路由器之间的组成员关系信息的传播与维护，这部分工作由各组播路由协议完成。

所有参与组播的主机必须实现igmp。

报告报文字段说明：Type（8bit）0x22成员关系报告Reserved(8bit)和Reserved(16bit)：都是表示保留字段，不过在IGMP中为了使它们都保持对应的长度，所以才有了长度上的区别，它在发送的时候是以0填充，在接收的时候是不作任何处理的。

校验和校验和是对整个IGMP消息以16位为一段进行取反求和。

为了计算校验和，校验和字段首先必须被置0。

当收到一个数据，在处理之前，必须先对校验和进行验证。

Number_of_Group_Records(M)：该字段表示该报告报文中包含有几个组记录GroupRecord[i]（i从1到M）：一个主机可能需要点播多个组播地址的组播业务，每个记录包含了对应于其中一个组播地址的源地址列表等信息，它受到Number_of_Group_Records的大小的影响。

每一个组记录字段是一整块数据，其含有的信息是关于发送者在报告发送接口上的某一个多播组的成员关系。

每一个GroupReocrd的内部格式如下：字段说明：AuxDataLen：辅助数据长度含有在组记录中的辅助数据的实际长度，其单位是32bit字。

它有可能是0，这就表示辅助数据不存在。

1 提供BTV业务功能本文介绍kylinPET性能测试工具进行IPTV的直播测试1)图形化直观表示BTV业务交互流程2)支持视频媒体MDI、RTP丢包等指标监控3)每个BTV用户一个虚拟IP4)支持IPv4的IGMP组播；支持IPv6的MLD组播2 IGMP组播加入频道并监控频道质量通过该例子，介绍如何使用工具完成BTV业务测试，及介绍工具的界面使用方法。

操作步骤：2.1 Scripter创建流程脚本2.1.1 新建业务脚本点击“文件” -> “新建”或者“工具栏”的“新建”按钮。

HeBIn2.1.2 编辑脚本流程1)配置参数列表A.新建group-source2参数作为组播报文源IP按顺序递增，即用户1的组播源IP为152.168.1.1，用户2的组播源IP为152.1681.2B.新建group-ip2参数作为组播报文的组播IPC.新建port参数作为监听媒体流的目的端口D.组播协议为v3注意：1、V3版本需要配置组播源IP，组播IP；而v2版本不需要配置组播源IP，只需要组播IP。

2、V3版本IGMP报文目的IP为224.0.0.22；而v2版本IGMP报文目的IP为配置的组播IP2)编辑流程图A.编辑BTV业务流程图，监控媒体流，发送加入组播组报文，休眠20秒，关闭媒体流，发送离开组播组报文。

B.“monitor A”媒体节点通知媒体代理器监控媒体流指标，这里选择媒体流目的IP与端口（需在参数预先配置）C.“join A”发送节点发送IGMP组播报文，组播组IP为group-ip2，组播源为group-source2D.“close”媒体节点关闭媒体流监控E.“leave A”发送节点离开组播组2.1.3 Scripter保存脚本点击“文件” -> “保存”或者“工具栏”的按钮。

如脚本保存为igmp.spet2.2 Controller创建测试场景2.2.1 创建执行代理器点击“工具” -> “执行代理器”或者“工具栏”的按钮，添加执行代理器如果是远端执行代理器，需要添加新的代理器，IP与地址为远端执行代理器。

IGMP协议解析组播管理的关键协议原理与应用组播（Multicast）是一种在网络中一对多进行数据传输的方式，它允许发送方将数据包发送给一组主机，而不是传统的一对一方式。

为了实现组播管理，网络协议中采用了一种被称为IGMP协议（Internet Group Management Protocol，互联网组管理协议）的协议。

一、协议原理IGMP协议用于主机和组播路由器之间的通信，通过该协议，主机可以加入到一个组播组，接收组播数据。

IGMP协议具体实现了以下几个重要原理：1. 组播组管理组播组是由一组主机共同组成的逻辑组，组播组成员可以通过IGMP协议加入或者离开组播组。

当主机需要接收某个组播组的数据时，它会向所连接的组播路由器发送IGMP报文，加入到该组播组中。

而当不再需要接收该组播组的数据时，主机会发送IGMP离开报文，通知组播路由器将其从组播组中移除。

2. 组播路由器查询为了了解主机的组播组成员情况，组播路由器会定期发送IGMP查询报文，询问所连接的主机是否还属于某个组播组。

主机在收到查询报文后，如果确实是该组播组的成员，则会发送IGMP成员报文回应，以告知组播路由器自己仍然是组播组的一员。

3. 组播数据转发当组播源发送数据时，它会向所在网络中的组播地址发送数据包。

组播路由器根据主机的组播组成员信息，将数据包仅转发给那些需要接收该组播组数据的主机。

这样，组播源只需发送一份数据包，就能够实现数据的一对多传输。

二、协议应用IGMP协议在各种网络环境中都有广泛的应用。

以下是几个主要领域中的应用示例：1. 视频流传输在IP视频会议、实时直播等场景中，使用组播技术可以实现高效的视频流传输。

IGMP协议的加入和离开机制保证了只有需要接收视频流的主机才会接收到数据，减轻了网络负载。

2. 软件升级和配置分发在大规模网络中，当需要对多个主机进行软件升级或者配置分发时，可以使用组播技术进行分发。

IGMP协议的组播数据转发机制可以确保数据只传输到需要接收的主机，提高了分发效率和节省了带宽资源。

抓包工具和抓包分析1概述在处理IP网络的故障时，经常使用以太网抓包工具来查看和抓取IP网络上某些端口或某些网段的数据包，并对这些数据包进行分析，定位问题。

在IMON项目里，使用抓包工具抓包进行分析的场景在EPG采集、引流模块和软终端监看模块，一般情况下EPG采集和引流模块比较稳定，软终端监看还涉及SS5代理，这部分出问题的几率比较大，这是就有可能要现场维护人员抓包进行分析、排查、定位问题，确定是网络问题还是软件问题，如果是软件问题则要将抓回的包发给研发解决。

EPG抓包可分为对鉴权过程、采集过程抓包验证，主要是通过通过抓包分析与IPTV鉴权服务器之间的TCP交互。

流媒体交互抓包可分为对组播、点播进行抓包，一般交互的协议分为IGMP、RTSP、RTMP等，组播一般是基于UDP的IGMP流，点播是基于RTP的RTSP流或基于TCP的RTMP流。

软终端抓包主要是抓取软终端与IPTV服务器交互、SS5与IPTV服务器交互的数据包，一般跟流媒体交互的报文协议差不多，也是分为组播IGMP、点播RTSP等协议，不过经过测试发现江苏的部分组播（可能是用户不同所致）发送的是RTSP的包。

2常用抓包工具2.1W ireSharkWireshark是一个非常好用的抓包工具，当我们遇到一些和网络相关的问题时，可以通过这个工具进行分析，不过要说明的是，这只是一个工具，用法是非常灵活的。

过滤器的区别捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。

需要在开始捕捉前设置。

显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。

他们可以在得到捕捉结果后随意修改。

捕捉过滤器Protocol（协议）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果没有特别指明是什么协议，则默认使用所有支持的协议。

IGMP协议详解摘要：文章来自于《TCP/IP详解》卷一第十三章。

本文详细介绍IGMP协议原理及实现实例。

1、引言本文将介绍用于支持主机和路由器进行多播的Internet组管理协议（IGMP，Internet Group Management Protocol）。

它让一个物理网络上的所有系统知道主机当前所在的组播组。

组播路由器（也称多播路由器，Multicast Router）需要这些信息以便知道多播数据报应该向哪些接口转发。

IGMP在RFC 1112中定义[Deering 1989].正如ICMP一样，IGMP也被当作IP 层的一部分。

IGMP报文通过IP数据报进行传输。

不像我们已经见到的其他协议，IGMP有固定的报文长度，没有可选数据。

图13-1显示了IGMP报文如何封装在IP数据报中。

IGMP（Internet组管理协议）报文及协议（图一）IGMP报文通过IP首部中协议字段值为2来指明。

2、IGMP报文图1 3 - 2显示了长度为8字节的IGMP报文格式。

IGMP（Internet组管理协议）报文及协议（图二）这是版本为1的IGMP。

IGMP共有三个版本1、2和3。

目前普遍使用的是版本2。

IGMP类型为1说明是由多播路由器发出的查询报文，为2说明是主机发出的报告报文。

检验和的计算和ICMP协议相同。

组地址为D类IP地址。

在查询报文中组地址设置为0，在报告报文中组地址为要参加的组地址。

在下一节中，当介绍IGMP如何操作时，我们将会更详细地了解它们。

IGMP报文V2版本（RFC2236 、RFC3376）：类型字段（type）：原版本和类型合并，其中值等于0x11为Membership query；0x12为IGMP v1 Membership report，0x16为IGMP v2 Membershipreport(join)，0x17为IGMP v2 leave.最大响应时间（Max Resp Time）：缺省为10秒，规定在发送回应报告之前的最大延迟时间，1/10秒为单位组地址字段（Group Address）：32位D类IP地址。

详解IGMP(Internet组管理协议)报文及协议本文将介绍用于支持主机和路由器进行多播的Internet组管理协议（IGMP）。

它让一个物理网络上的所有系统知道主机当前所在的多播组。

多播路由器需要这些信息以便知道多播数据报应该向哪些接口转发。

IGMP在RFC 1112中定义[Deering 1989].也被当作IP 层的一部分。

IGMP报文通过IP数据报进行传输。

正如ICMP一样， IGMP 也被当作不像我们已经见到的其他协议， IGMP有固定的报文长度，没有可选数据。

图13-1显示了IGMP报文如何封装在IP数据报中。

IGMP（Internet组管理协议）报文及协议（图一）IGMP报文通过IP首部中协议字段值为2来指明。

2 IGMP报文显示了长度为8字节的IGMP报文格式。

图1 3 - 2IGMP（Internet组管理协议）报文及协议（图二）这是版本为1的IGMP.IGMP类型为1说明是由多播路由器发出的查询报文，为2说明是主机发出的报告报文。

检验和的计算和ICMP协议相同。

组地址为D类IP地址。

在查询报文中组地址设置为0，在报告报文中组地址为要参加的组地址。

在下一节中，当介绍IGMP如何操作时，我们将会更详细地了解它们。

协议3 IGMP3.1 加入一个多播组多播的基础就是一个进程的概念（使用的术语进程是指操作系统执行的一个程序），该进程在一个主机的给定接口上加入了一个多播组。

在一个给定接口上的多播组中的成员是动态的—它随时因进程加入和离开多播组而变化。

这里所指的进程必须以某种方式在给定的接口上加入某个多播组。

进程也能离开先前加入的多播组。

这些是一个支持多播主机中任何API所必需的部分。

使用限定词“接口”是因为多播组中的成员是与接口相关联的。

一个进程可以在多个接口上加入同一多播组。

Stanford大学伯克利版Unix中的IP 多播详细说明了有关socket API的变化，这些变化在Solaris 2.x和ip（7）的文档中也提供了。

数据包抓包分析抓包分析是数据通信领域中的一种重要技术手段，它可以帮助我们深入了解网络通信过程中的细节和问题。

本文将从抓包分析的基本原理、常用工具、应用场景和分析步骤等方面进行详细介绍，旨在帮助读者掌握这一技术并能够灵活运用。

一、抓包分析的基本原理在进行抓包分析之前，首先需要了解数据包的概念。

数据包是指在网络中进行信息交换时，按照一定格式封装的数据单元。

它包含了源地址、目的地址、数据内容和控制信息等重要信息。

抓包分析是通过在网络通信过程中拦截和解析数据包来获取网络通信的详细信息。

其基本原理是，在计算机网络中，数据包在传输过程中会经过一系列的网络设备，如路由器、交换机等。

我们可以在这些设备上设置抓包工具，将经过的数据包复制下来，并进行解析和分析。

二、抓包分析的常用工具1. Wireshark：Wireshark是一款广泛使用的网络抓包分析工具。

它支持多种操作系统，并提供强大的显示和过滤功能，可以方便地查看和分析抓取到的数据包。

2. tcpdump：tcpdump是一款基于命令行的抓包工具，适用于各种UNIX和Linux系统。

它可以实时捕获网络流量，并将数据包按照指定的过滤条件进行过滤和显示。

3. Fiddler：Fiddler是一款应用在Web开发和调试中的抓包工具。

它可以拦截并查看HTTP、HTTPS等协议的数据包，并提供一系列的调试和分析功能。

三、抓包分析的应用场景抓包分析在网络工程、网络安全、网络优化等领域中都有着广泛的应用。

以下是几个常见的应用场景：1. 故障排查：通过抓包分析，我们可以了解网络通信的细节，快速定位故障点，并进行相应的修复。

2. 网络安全：抓包分析可以帮助我们检测、分析和阻断恶意代码、网络攻击和数据泄露等安全威胁，保护网络安全。

3. 性能优化：通过抓包分析，我们可以了解网络通信的瓶颈所在，优化网络架构，提高网络性能和用户体验。

四、抓包分析的步骤进行抓包分析时，通常需要以下几个步骤：1. 设置抓包环境：选择适当的抓包工具，并在需要的设备上进行安装和配置。

网络协议分析——抓包分析班级：021231学号：姓名：目录一、TCP协议分析-------------------------------2二、UDP协议分析-------------------------------6三、ARP协议分析-------------------------------12四、HTTP协议分析------------------------------16一、TCP协议分析1.TCP协议：1.TCP（Transmission Control Protocol 传输控制协议）是一种面向连接（连接导向）的、可靠的、基于IP的传输层协议，由IETF的RFC 793说明（specified）。

TCP在IP报文的协议号是6。

2.功能当应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，TCP则把数据流分割成适当长度的报文段，最大传输段大小（MSS）通常受该计算机连接的网络的数据链路层的最大传送单元（MTU）限制。

之后TCP把数据包传给IP层，由它来通过网络将包传送给接收端实体的TCP层。

TCP为了保证报文传输的可靠[1] ，就给每个包一个序号，同时序号也保证了传送到接收端实体的包的按序接收。

然后接收端实体对已成功收到的字节发回一个相应的确认(ACK)；如果发送端实体在合理的往返时延(RTT)内未收到确认，那么对应的数据（假设丢失了）将会被重传。

在数据正确性与合法性上，TCP用一个校验和函数来检验数据是否有错误，在发送和接收时都要计算校验和；同时可以使用md5认证对数据进行加密。

在保证可靠性上，采用超时重传和捎带确认机制。

在流量控制上，采用滑动窗口协议，协议中规定，对于窗口内未经确认的分组需要重传。

2.抓包分析：运输层：源端口：占2个字节。

00 50（0000 0000 0101 0000）目的端口：占2个字节。

f1 4c(1111 0001 0100 1100)序号：占4个字节。

抓包分析ISAKMP协商过程第一阶段主模式原理分析MM 模式下：6个包1-2 包：双方互相提供可以实现的Isakmp参数包括下面的内容1 对端ip2 authentication 方式：presharekey CA 等3 加密类型 des 3des aes4 hash md5 sha-15 DH 1,2.73-4 包通过DH算法产生可以密钥1 给isakmp phase 1 阶段使用2 给ISakmap phase2 阶段使用5-6 包验证对等体的身份,建立isakmp sa1 共享密钥2 CA3 NO-nonce在MM模式下要配置参数在1 cryipsec isakmp key cisco address X.x.X.X-----配置共享密钥2 authentication 方式：presharekey CA 等3 加密类型 des 3des aes4 hash md5 sha-15 DH 1,2.7第1-2个数据包1.作用（1）通过数据包源地址确认对端体的和合法性。

（2）协商IKE策略2.第一个包的格式通过比较收到的数据包的源地址和本端配置的CRYPTO ISAKMP KEY 密码 address IP 中的IP 是否相等验证合法性。

相等就接收设个包，不相等就丢弃。

•通过上图可以看出，模式是主模式，载荷类型是SA，数目是一个，内容是IKE策略。

3.第二个包通过上面的图可以看出是协商后的策略。

第3-4个数据包1.作用（1）通过协商DH产生第一阶段的密码。

2 第三个包格式从上图可看出模式主模式，载荷类型是密钥交换和厂商载荷。

说明：DH是一种非对称密钥算法，基于一个知名的单项函数，A=G a mode p 这个函数的特点是在G 和p 很多的情况下已知a求A很容易，反之基本不可能。

关于这个算法详情可以参考网络上的相关文章。

IPSEC就是通过这种方式，协商密钥的。

有了这个秘密就可以通过衍生算法得到密钥和HMAC吃了IKE的密钥，感兴趣的密钥也从这个密钥衍生出来的，所以说这个密钥是IPSEC的始祖。