网络协议实践课程第1章20140228

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

InternetProtocolAction李毅超2014.02第一章预备知识主要内容•1、开源协议分析软件Ethereal使用介绍•--用Ethereal来观察一个轻流量网络•2、网络协议层介绍•--用Ethereal来直观观察协议分层•3、开源协议分析软件Ethereal高级使用介绍•--用Ethereal的过滤器来观察一个重流量网络•用Ethereal观察一个从“轻流量网络”捕获的分组跟踪记录,从而练习和掌握Ethereal的基本使用。–如何捕获自己的分组跟踪记录;–如何在跟踪记录中观察每个分组的细节;–如何查看整个跟踪记录的统计概要。实验1.1用Ethereal来观察一个轻流量网络一、环境配置–实验前,尽可能关闭所有使用网络的应用程序。二、实验•第一步:启动Ethereal捕获一个跟踪记录。我们从Capture(捕获)菜单使用CaptureOptions(捕获选项)对话框来指定跟踪记录的各个方面。实际演示我们一起实际操作下Ethereal软件,来具体看一下CaptureOptions对话框……1.Interface2.LimiteachpackettoNbytes3.Capturepacketsinpromiscuousmode4.Filter捕获过滤器使用一种简单的过滤语言。例如:捕获从IP地址为192.168.0.1发出和发往它的分组(ip.dseq192.168.0.1)(lp.srceq192.168.0.1)5.Capturefile(s)捕获到的分组可以直接保存在一个或多个文件里。CaptureOptions对话框介绍6.Displayoptions一般选择观察实时更新的分组,让显示屏自动滚动到最后捕获的分组。7.StopCapture8.Nameresolution•MAC部分地址转化为厂商的名称•IP地址转化为主机名•将那些众所周知端口号转换成应用层协议名第二步:对话框中点击OK或Capture菜单中选择Start,开始捕获分组并显示捕获的实时统计窗口。第三步:点击显示捕获统计窗口中的Stop按钮结束捕获。并将跟踪结果存入quietNetwork.cap文件。三、观察跟踪记录文件quietNetwork.cap1.用Ethereal打开quietNetwork.cap。我们还是实际操作Ethereal来看下(file-open)在这个实验中,30秒钟的时间里列表框中显示我们一共捕获了21个分组(列表框下分别为协议框和原始框)。我们所观察的是关闭所有使用网络的应用程序以后仍然存在的网络通信。20个SSDP分组是从IP地址192.168.0.1发送到多播地址239.255.255.250(SSDP即简单服务发现协议,一种网络设备用于寻找其他网络设备的协议,声明线缆调制解调路由器是一个可用网关设备。)1个Browser分组(11号分组)是从IP地址192.168.0.101发送到广播地址192.168.0.255,声明该台式主机属于MSHOME域/工作组。这两种类型的声明就是两类网络活动的实例,网络活动甚至是在你没有意识到你的计算机已使用了网络的情况下发生的。你可能会对将学到的所有不同类型网络活动感到惊叹,甚至其中有的类型你可能根本就没听说过。2.statistic菜单选择Summary来观察该跟踪记录的概要,在•我们还是实际操作Ethereal来看下跟踪记录的概要实验1.2协议层•协议定义了通信实体为完成一个指定任务而使用的报文格式、报文内容和报文顺序。例如,HTTP定义了在传输一个网页时Web浏览器和Web服务器之间相互交换的报文集合。•计算机之间的通信是在一组协议层的基础上完成的,每一层完成其对应的任务的一部分。这些协议层共同构成了网络协议栈。一、配置二、实验•捕获后跟踪结果存于simpleHttp.cap。三、观察跟踪记录文件simpleHttp.cap1.用Ethereal打开simpleHttp.cap2.在Statistic菜单中选择ProtocolHierarchyStatistics选项,借此查看协议层次统计:•我们还是实际操作Ethereal来看下协议层次统计•在传输层,分为TCP和UDP两种。•所有的UDP(17-26)都包含了应用层协议HTTP报文,其实是SSDP报文。•而TCP(1-16)则可以进一步分出包含实际数据。有趣的是,TCP数据即使是HTTP也不会标识出来。因为网络使用了一个不标准的端口号5678,而不是通用的HTTP端口80。•TCP1-16号分组显示了整个TCP连接。除了6个帧(4,5,6,8,9,11)带有数据,其他帧10个帧都是不带数据,用来建立、维持、关闭TCP连接的。没有数据的帧要比带有数据的帧小很多。对于每个帧,我们可以在协议框中看到帧的大小。没有数据的帧大约在54到62个字节之间,而带有数据的帧则在75到1200个字节。•帧层:线路上的整个分组,frame11有75字节。•以太网层:75字节,以太网首部占用了14个字节,各有6个字节分别表示目的地址和源地址,另2个字节则表示类型0x800--IP。分组中的另外61个字节是以太网帧的数据。•网际协议层:61字节,首部20字节(第4章再讲),数据41字节。•传输协议层:41字节,首部20字节(第3章再讲),数据21字节。•UDP–观察一个UDP分组,以17号分组为例。UDP首部只有8个字节,2个字节源端口和2字节目的端口,2个字节表示长度,2个字节表示校验和。实验1.3用过滤器来观察一个重流量网络在一个重流量网络中,网络协议分析器每秒钟可以捕获到成百上千的分组,这将会造成分析器和用户的信息过载。而且在数以千计的被捕获分组中寻找感兴趣的分组在没有工具的情况下就像是大海捞针。•Ethereal主要高级功能:捕获过滤器、显示过滤器、颜色过滤器1.Ethereal允许用户指定捕获过滤器,用它捕获与用户指定表达式匹配的分组到内存,因此它会改变跟踪记录内存或文件的内容。2.Ethereal也允许用户指定的显示过滤器,用它显示与用户指定表达式匹配的分组,以此来限制分组的显示。显示过滤器和捕获过滤器大体上相似,但显示过滤器仅改变跟踪记录被显示的方式而不是改变跟踪记录的内容。3.Ethereal还允许用户指定颜色过滤器。颜色过滤器以指定颜色显示匹配的分组而不是从显示中除去不匹配的分组。颜色过滤器与显示过滤器使用相同的表达式语言。然而,捕获过滤器则使用不同的语言。•Ethereal的其他高级功能和方法根据计算机的速度和网络数据传输率,有必要采取措施尽量减少分组丢失。1.一个合理的方法是禁用实时显示和转换。以后分析跟踪记录时再执行这些功能。2.使用Tethereal对于那些大而长的跟踪记录,另一个好办法就是完全使用Tethereal来避免Ethereal的GUI系统开销,Techereal是Ethereal的一个命令行版本。Tethereal及其在线帮助手册通常会随Ethereal一起安装。3.在一台空闲的机器上跟踪可以确保丢失最少分组的捕获。–当分析器与其他应用程序共享计算机(内存、CPU时间、网络带宽和其他资源)的时候,它会导致分组的丢失,而且它也会扰乱网络活动自身的时间周期。4.捕获长期跟踪记录或大量数据,直接存入一个文件或多个文件中以避免使用大量的内存进行捕获。5.限制每个分组被捕获的部分。–根据捕获的目的,感兴趣的可能主要是每个分组的协议首部,而且通过丢弃数据部分,你可以大大减小跟踪的大小。6.Ethereal也允许你通过指定捕获过滤器来减小跟踪的大小。7.捕获时间上能短则短,先短后长。一、配置:•1台运行Windows的PC连接到Linksys线缆调制解调路由器。启动一个SSH会话和Web浏览器应用。实验配置见图1.3.1二、实验•捕获过滤器:•捕获直接存于busynetwork.cap。三、观察跟踪记录文件busyNetwork.cap•1.使用颜色过滤器:•捕获过滤器能够帮助我们将精力放在那些感兴趣的分组上,从而有助于减小跟踪记录的大小。但是,颜色过滤器正好可以对跟踪记录进行理解和分类。•busyNetwork.cap中有1392个分组,无法手动检查。颜色过滤器可以帮助我们将数据很快分类成多个独立的数据流。比如:http蓝色、ssh红色、FTP绿色、DNS紫色•定义颜色过滤器:View菜单下选择Coloringrules•你可以定义一个颜色过滤器,然后将其导出到一个文件中,并在分析其他跟踪记录的时候再导入它。我们推荐你定制一个个人的颜色过滤器文件,以便快速地分析跟踪记录。本实验,创建了一个颜色过滤器generic.col。2.使用显示过滤器:捕获的分组很多,你可以只显示关注的分组,不显示那些不关注的分组。•Analyze菜单下选择displayfilters,也可进入显示过滤器。定义显示过滤器的语言跟颜色过滤器一样。•使用Edit菜单的FindPacket可以用显示过滤器来搜索分组。课堂演示•我们还是实际操作Ethereal来看下捕获过滤器的对网络分组的选择性捕获。•然后我们再实际操作Ethereal使用颜色过滤器按分组类型来查看下busyNetwork.cap中捕获的所有网络分组。•最后我们再实际操作Ethereal使用显示过滤器来查看下busyNetwork.cap中捕获的某类分组。本章小节•Ethereal的基本使用介绍—捕获、分析、统计•网络协议层次体系介绍—链路层、网络层、传输层、应用层•Ethereal的高级使用介绍—过滤器(捕获、显示、颜色)从下一章开始,我们将使用Ethereal这个协议分析工具来逆向分析一些重要代表性的网络协议。

1 / 36
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功