1、協(xié)議分析軟件的使用試驗(yàn)環(huán)境1、網(wǎng)絡(luò)環(huán)境如圖 1 所示208 號機(jī)（地址共! 208 號機(jī)（地址共! 192,1S8,113, 208）1 號機(jī) f 地址為 ）圖1為了表述方便，下文中208號機(jī)即指地址為08的計(jì)算機(jī)，1 號機(jī)指地址為 的計(jì)算機(jī)。（本實(shí)驗(yàn)中可以使用1 代替1號機(jī)器, 1 上面安裝有ftp服務(wù)器，支持匿名訪問。）2、操作系統(tǒng)兩臺機(jī)器都為Windows 2000 , 1號機(jī)機(jī)器作為服務(wù)器，安裝FTP服務(wù)3、協(xié)議分析工具Windows環(huán)境下常用的工具有：Sniffer Pro、Natxray、Iris以及windows 2000自帶的網(wǎng)絡(luò)監(jiān)視 器等。本文選用Iris作為協(xié)議分析工具。在

2、客戶機(jī)208號機(jī)安裝IRIS軟件。（三）、測試過程1、測試?yán)樱簩?號機(jī)計(jì)算機(jī)中的一個(gè)文件通過FTP下載到208號機(jī)中。2、IRIS的設(shè)置。由于IRIS具有網(wǎng)絡(luò)監(jiān)聽的功能，如果網(wǎng)絡(luò)環(huán)境中還有其它的機(jī)器將抓很多別的數(shù)據(jù)包，這樣為學(xué) 習(xí)帶來諸多不便，為了清楚地看清楚上述例子的傳輸過程首先將IRIS設(shè)置為只抓208號機(jī)和1 號機(jī)之間的數(shù)據(jù)包。設(shè)置過程如下：1）用熱鍵CTRL+B彈出如圖所示的地址表，在表中填寫機(jī)器的IP地址，為了對抓的包看得更清楚 不要添主機(jī)的名字（name）,設(shè)置好后關(guān)閉此窗口。圖22）用熱鍵CTRL+E彈出如圖所示過濾設(shè)置，選擇左欄“ IPaddress”，右欄按下圖將addre

3、ss book中的地址拽到下面，設(shè)置好后確定，這樣就這抓這兩臺計(jì)算機(jī)之間的包。dlt filter settlnu*Hardware Filter 犠Layer乙3WordsMAC addressIP addressIP addressPorts Advan匚dlt filter settlnu*Hardware Filter 犠Layer乙3WordsMAC addressIP addressIP addressPorts Advan匚udS) This host Cl92. 160. 113. 00) 由 劈ft Br adc as t/Mul t i c as tH Address Bo

4、cki- 常 102. 16S. 113. EOS 0觀 i2t 1B8. 113, 1 ()ModtQ IncludeNoJkddress 1DirJiLddress 2119216日113NOBlEZS-l132.ICO.110.123456XXXXKXX確定 I 取稍 I.應(yīng)用 I 幫助 I圖33、抓包按下IRIS工具欄中開始按鈕。在瀏覽器中輸入：FTP:/,找到要下載的文件， 鼠標(biāo)右鍵該文件，在彈出的菜單中選擇“復(fù)制到文件夾”開始下載，下載完后在IRIS工具欄中按 按鈕停止抓包。圖4顯示的就是FTP的整個(gè)過程，下面我們將詳細(xì)分析這個(gè)過程。i謝10&IwenGi 日眷：i:Q Thi k

5、 i.1. tk pickiit dl k m* r i O/oh Tiru rvn la* i.3L； pickat Rkt# l-yn j； an cn j-hrlM ti li xt or ycm rif： cra nrr y 労liulcin母 on 舊二JHtlp也I his editor ruppwrtK th. usud. tdi t rtMiais et in st wifurd di tears k 嘶i謝10&IwenGi 日眷：i:Q Thi k i.1. tk pickiit dl k m* r i O/oh Tiru rvn la* i.3L； C:2 00 90 Z

6、T: JE 00 SO IT 22 oo go 7：re. m.90.rc：2?. 0 30ZT:JE ga so jc 2Z 00:90:27： re. 00 50/FC. 22. 00 90:27:犧 00 ED JT-22 CO W 27： re 00 50 FC: 22. 00 90.27:16 a S3 JU:Z2 CO 2T FB 00 50 TC.22. 00 90 27:陽 dd：3i：忙:綸 m s-zr；FB 00 50 K 22 00 謹(jǐn) LEE 113 Zfl-9IK ll 113.1i號.L66 113.卻6a. bu in 1192. LEE- L I.3. ED9

7、IK B 113.底.L66 113. 206IS. L66 113.1932.LEB L L3. EDSH號 LEB I.IJ ：|192.166 LL12D6192. L6 113.1i92. iM ns. aoa92 LEE 1.1.3 11 螢 L66 L13. 20S192. IB8 113.1i. iiu.ii3isn炫 LEB LL3. J畑 llU 113 203I9Z. 1163 113.1l92.iBaL113.9!號.LEB L L3.w i ij sw192 L68 L13.1IS. LAS 113. SOfiL寵 IG9 U 3 l*K I&6 113 208LK L

8、B6.113.1 L L6B. Hl.209LK IM 13.1I 盹 I 祠 113 SBLIK. IBfl. 113.1L92 L&a. Hl. 2 lse i.5fl. in. iLK IGfl 113 濟(jì) LK： I M. H3. JL 1641.113.208LK 1M. in. 3 L9S IGB U3 SOS tK*. I 閱 113.1L 166.113.208 ise ：lm. m.L魁 I.GH H3.2CSLW IM 113 1 L號 I.6B. 113. KBL92 I&fi. m. iL9E I.Efl. 3.ZCBL9? IM ：I13 3I? i.磁 ns.aos

9、L92 IM. H3.1g 2L ix&i ?L2LLD&4 L LCfrl 2L 加 ELL L血 2L 加 2L g 2L J.C&4 2LL41064El0000QO9027F6 54530050 FC22C7BE： 0QQ站00JT頭Pm即E0010002803434000eo93豪CO71DOCOAB . ：i C i9 . . . . j . . q i . . i00207101D42AEl3EBF73305AZFF*5(ID叼l-xDj/.P.0030aSD71900aa sMT&344afl 1TT3952O0 9HTS3t4SDMTMWO 1TT339S67 9BT69U3

10、6 ITT33353S 師他收 1TT31953T09BTft9X JTT3395339 90764450 ITOJffiSTlO 曲TW礙I TT39!4K 9HTC:22:C7:BE192.16S. 113. 1IK. IBB. 113. 2DB圖92）解釋數(shù)據(jù)包這兩行數(shù)據(jù)就是查找服務(wù)器及服務(wù)器應(yīng)答的過程。在第1行中，源端主機(jī)的MAC地址是00:50:FC:22:C7:BE。目的端主機(jī)的MAC地址是 FF:FF:FF:FF:FF:FF,這個(gè)地址是十六進(jìn)制表示的，F(xiàn)換算為二進(jìn)制就是1111，全1的地址就是廣 播地址。所謂廣播就是向本網(wǎng)上的每臺網(wǎng)絡(luò)設(shè)備發(fā)送信息，電纜上的每個(gè)以太網(wǎng)接口都要接收這

11、 個(gè)數(shù)據(jù)幀并對它進(jìn)行處理，這一行反映的是步驟5）的內(nèi)容，ARP發(fā)送一份稱作ARP請求的以太網(wǎng) 數(shù)據(jù)幀給以太網(wǎng)上的每個(gè)主機(jī)。網(wǎng)內(nèi)的每個(gè)網(wǎng)卡都接到這樣的信息“誰是192.168. 113.1的IP 地址的擁有者，請將你的硬件地址告訴我”。第 2 行反映的是步驟6）的內(nèi)容。在同一個(gè)以太網(wǎng)中的每臺機(jī)器都會接收到這個(gè)報(bào)文，但正常 狀態(tài)下除了 1號機(jī)外其他主機(jī)應(yīng)該會忽略這個(gè)報(bào)文，而1號的主機(jī)的ARP層收到這份廣播報(bào)文后， 識別出這是發(fā)送端在尋問它的IP地址，于是發(fā)送一個(gè)ARP應(yīng)答。告知自己的IP地址和MAC地址。 第2行可以清楚的看出1號回答的信息自己的MAC地址00:50:FC:22:C7:BE。這兩行

12、反映的是數(shù)據(jù)鏈路層之間一問一答的通信過程。這個(gè)過程就像我要在一個(gè)坐滿人的教室找 一個(gè)叫“張三”的人，在門口喊了一聲“張三”，這一聲大家都聽見了，這就叫廣播。張三聽到 后做了回應(yīng)，別人聽到了沒做回應(yīng)，這樣就與張三取得了聯(lián)系。3）頭信息分析 如下圖左欄所示，第1數(shù)據(jù)包包含了兩個(gè)頭信息：以太網(wǎng)（Ethernet）和ARP。圖 10下表 2 是以太網(wǎng)的頭信息，括號內(nèi)的數(shù)均為該字段所占字節(jié)數(shù)，以太網(wǎng)報(bào)頭中的前兩個(gè)字段是以 太網(wǎng)的源地址和目的地址。目的地址為全1 的特殊地址是廣播地址。電纜上的所有以太網(wǎng)接口都 要接收廣播的數(shù)據(jù)幀。兩個(gè)字節(jié)長的以太網(wǎng)幀類型表示后面數(shù)據(jù)的類型。對于ARP請求或應(yīng)答來 說，該字

13、段的值為 0806。第2行中可以看到，盡管ARP請求是廣播的，但是ARP應(yīng)答的目的地址卻是1號機(jī)的(00 50FC22 C7 BE)。 ARP 應(yīng)答是直接送到請求端主機(jī)的。網(wǎng)目的地址(叮1FF FF FF FF FF FFijjSu F匚 22 07 BEOS Cfi2ijjSu FC 22 匚丁 BEijjQu27 Fh S-1S3OS Cfi表2下表3是ARP協(xié)議的頭信息。硬件類型字段表示硬件地址的類型。它的值為1即表示以太網(wǎng)地址。 協(xié)議類型字段表示要映射的協(xié)議地址類型。它的值為0800即表示IP地址。它的值與包含I P數(shù) 據(jù)報(bào)的以太網(wǎng)數(shù)據(jù)幀中的類型字段的值相同。接下來的兩個(gè)1 字節(jié)的字段

14、，硬件地址長度和協(xié)議 地址長度分別指出硬件地址和協(xié)議地址的長度，以字節(jié)為單位。對于以太網(wǎng)上IP地址的ARP請求 或應(yīng)答來說，它們的值分別為6和4。Op即操作(Opoperation), 1是ARP請求、2是ARP應(yīng)答、 3是RARP請求和4為RARP應(yīng)答，第二行中該字段值為2表示應(yīng)答。接下來的四個(gè)字段是發(fā)送端 的硬件地址、發(fā)送端的IP地址、目的端的硬件地址和目的端IP地址。注意，這里有一些重復(fù)信 息：在以太網(wǎng)的數(shù)據(jù)幀報(bào)頭中和ARP請求數(shù)據(jù)幀中都有發(fā)送端的硬件地址。對于一個(gè)ARP請求來 說，除目的端硬件地址外的所有其他的字段都有填充值。表3的第2行為應(yīng)答，當(dāng)系統(tǒng)收到一份目的端為本機(jī)的ARP請求報(bào)

15、文后，它就把硬件地址填進(jìn)去, 然后用兩個(gè)目的端地址分別替換兩個(gè)發(fā)送端地址，并把操作字段置為2，最后把它發(fā)送回去。(21(2)JOp(2)塩送請肚網(wǎng)iM(4)目的肚（理 址C6）目錘刪（4）1IjjljlOS IjjijiIjjljlijjSu FC 22 C7 BECu .f-.S 7 CjIjj Ijj Ijj Ijj Ijj uuCu7 FTP血血山*2列l(wèi)et*J773l$S206爭畀殆020陽516ja：99:377DO :50: Ff；22；C7: EED0:90?27?F6:&1:53IPTCP- FTP192a6BJ1342CH92.16a_L3J1064219B769442DJ

16、 7731952 D954圖 112）解釋數(shù)據(jù)包這三行數(shù)據(jù)是兩機(jī)建立連接的過程。這三行的核心意思就是TCP協(xié)議的三次握手。TCP的數(shù)據(jù)包是靠IP協(xié)議來傳輸?shù)?。但I(xiàn)P協(xié)議是 只管把數(shù)據(jù)送到出去，但不能保證IP數(shù)據(jù)報(bào)能成功地到達(dá)目的地，保證數(shù)據(jù)的可靠傳輸是靠TCP 協(xié)議來完成的。當(dāng)接收端收到來自發(fā)送端的信息時(shí)，接受端詳發(fā)送短發(fā)送一條應(yīng)答信息，意思是：“我已收到你的信息了?！钡谌M數(shù)據(jù)將能看到這個(gè)過程。TCP是一個(gè)面向連接的協(xié)議。無論哪 一方向另一方發(fā)送數(shù)據(jù)之前，都必須先在雙方之間建立一條連接。建立連接的過程就是三次握手 的過程。這個(gè)過程就像要我找到了張三向他借幾本書，第一步：我說：“你好，我是擔(dān)子

17、”，第二步：張 三說：“你好，我是張三”，第三步：我說：“我找你借幾本書?！边@樣通過問答就確認(rèn)對方身 份，建立了聯(lián)系。下面來分析一下此例的三次握手過程。1）請求端208號機(jī)發(fā)送一個(gè)初始序號（SEQ） 987694419給1號機(jī)。2）服務(wù)器1號機(jī)收到這個(gè)序號后，將此序號加1值為987694419作為應(yīng)答信號（ACK），同時(shí)隨 機(jī)產(chǎn)生一個(gè)初始序號（SEQ）1773195208，這兩個(gè)信號同時(shí)發(fā)回到請求端208號機(jī)，意思為：“消 息已收到，讓我們的數(shù)據(jù)流以1773195208這個(gè)數(shù)開始?！?）請求端208號機(jī)收到后將確認(rèn)序號設(shè)置為服務(wù)器的初始序號（SEQ） 1773195208加1為 1773195

18、209作為應(yīng)答信號。以上三步完成了三次握手，雙方建立了一條通道，接下來就可以進(jìn)行數(shù)據(jù)傳輸了。下面分析TCP頭信息就可以看出，在握手過程中TCP頭部的相關(guān)字段也發(fā)生了變化。3）頭信息分析如圖12所示，第3數(shù)據(jù)包包含了三頭信息：以太網(wǎng)（Ethernet）和IP和TCP。頭信息少了 ARP多了 IP、TCP，下面的過程也沒有ARP的參與，可以這樣理解，在局域網(wǎng)內(nèi)，ARP 負(fù)責(zé)的是在眾多聯(lián)網(wǎng)的計(jì)算機(jī)中找到需要找的計(jì)算機(jī)，找到工作就完成了。以太網(wǎng)的頭信息與第1、2行不同的是幀類型為0800，指明該幀類型為IP。16：0：59：377Heattet tength - 5 (2D bytes)電 16：0：

19、59：377Heattet tength - 5 (2D bytes)電 觀 Type of servKB - 00匸如 length =斗日 byteiIdEnbFicationv SOI+ 觀 FlansFragment afFsat = DTiiw to ife 126 hops (sKoncfc)PTDtixal = 6 7OP Tif-anspott Control Protjacdl E Hsader chacksun - 0 x9384 (Correct)宣Ml比 1? = 1?12466.1；13-233JU Dafitinatim IP 192.169J 13.1IP Opt

20、im = htoneI TCP headerFr-arne ProtixolPacket DecodefEPwkel Wuctyrefcj _ MAL header (Ethernet jj)S! testinfliiofti W;90;27;F6：:53 割 Source: QD;SO:FC:22:C?:BEJ Type： 08(BDcOI)PNo. J_TlineMAC foutes add- J_MA dest. adek11&：3!59：3770D*5O：FC：22：C7：BE FF：FF:FF：Fi=:FF：FF ARPIPv4 header316:8:59:37700:50:FC:

21、22:C7：aEQO:90:27!F6:54:53IPTCP* FTP06416*3 !59* 3770D!9O：27:F6*5 斗:弓 3：D0*5a：FC：2Z*C7:B EIP7CP- FTP16J&99：377OQ;5Q;FC;22：C7;0E00;90：27;F6：5+;53FICP-FTP192,1.113.206616:8:59:37700:9S:27:F6:54:53Od:SO:FC:22:C7:BEIPTCP心 FTP1K.1HLI13L1716:359:4070D:5O!FC*22:C7*BEDO*ga：27*F6:54*53I:7CP- FTP1

22、92463.113.208900;TO;27;Fi5；54：53MJ;S0：FC;22;C7：BEJPICP-FTP192460-i 13.1916:8:59:40700:50:FC!22:C7:BEM:90:27!F&54:53JPTCP- FTP066 in1 2 .CTu /Mrnn. nrii-TF. c. .ca . orwiscn-Cj-廠r .orTTiTFTTl J ETni m i fo i i * 4lr0 63日ARP-Res.19Z-L63.I L3.2DBARP-R 192rl. 113.100 50 27 F占 34 53 叩 5口 FC Z2 C7 FF： C8

23、00 r DOf rriet p k00 30 03 21 40 03 BD 06 92 94 CO AS 11 DDAB . 0. .q.71 01 04 23 QC 15 3A OF 05 53 00 00 00 7D DEq 亠,0DDQ0D100D2D0030圖 12IP協(xié)議頭信息IP是TCP/IP協(xié)議族中最為核心的協(xié)議。從圖5可以看出所有的TCP、UDP、ICMP及IGMP數(shù)據(jù)都 以IP數(shù)據(jù)報(bào)格式傳輸?shù)?，有個(gè)形象的比喻IP協(xié)議就像運(yùn)貨的卡車，將一車車的貨物運(yùn)向目的地。 主要的貨物就是TCP或UDP分配給它的。需要特別指出的是IP提供不可靠、無連接的數(shù)據(jù)報(bào)傳送, 也就是說I P僅提供最

24、好的傳輸服務(wù)但不保證IP數(shù)據(jù)報(bào)能成功地到達(dá)目的地?？吹竭@你會不會擔(dān) 心你的E_MAIL會不會送到朋友那，其實(shí)不用擔(dān)心，上文提過保證數(shù)據(jù)正確到達(dá)目的地是TCP的工 作，稍后我們將詳細(xì)解釋。如表4是IP協(xié)議的頭信息。3 2位也位版本心位首部長度8位服務(wù)類型aos）1B位總長度學(xué)節(jié)數(shù)）1E位標(biāo)識3位標(biāo)志協(xié)位片偏移8位生存時(shí)間（TTL）8位協(xié)復(fù)1E位首部檢驗(yàn)和憲位源n地址寵位目的工F地址選項(xiàng)迪口果有數(shù)據(jù)表 4 IP 數(shù)據(jù)報(bào)格式及首部中的各字段圖 12 中所宣布分 4500 7101 為 IP 的頭信息。這些數(shù)是十六進(jìn)制表示的。一個(gè)數(shù)占 4 位，例如： 4 的二進(jìn)制是 01004位版本：表示目前的協(xié)議版

25、本號，數(shù)值是4表示版本為4,因此IP有時(shí)也稱作IPv4；4位首部長度：頭部的是長度，它的單位是32位（4個(gè)字節(jié)），數(shù)值為5表示IP頭部長度為20字 節(jié)。8位服務(wù)類型（TOS）： 00，這個(gè)8位字段由3位的優(yōu)先權(quán)子字段，現(xiàn)在已經(jīng)被忽略，4位的TOS子 字段以及1位的未用字段（現(xiàn)在為0）構(gòu)成。4位的TOS子字段包含：最小延時(shí)、最大吞吐量、 最高可靠性以及最小費(fèi)用構(gòu)成，這四個(gè)1位最多只能有一個(gè)為1，本例中都為0，表示是一般服務(wù)。16位總長度（字節(jié)數(shù)）：總長度字段是指整個(gè)IP數(shù)據(jù)報(bào)的長度，以字節(jié)為單位。數(shù)值為00 30，換 算為十進(jìn)制為48字節(jié)，48字節(jié)=20字節(jié)的IP頭+28字節(jié)的TCP頭，這個(gè)數(shù)據(jù)

26、報(bào)只是傳送的控制 信息，還沒有傳送真正的數(shù)據(jù)，所以目前看到的總長度就是報(bào)頭的長度。16位標(biāo)識：標(biāo)識字段唯一地標(biāo)識主機(jī)發(fā)送的每一份數(shù)據(jù)報(bào)。通常每發(fā)送一份報(bào)文它的值就會加1， 第3行為數(shù)值為3021，第5行為3022，第7行為3023。分片時(shí)涉及到標(biāo)志字段和片偏移字段， 本文不討論這兩個(gè)字段。8位生存時(shí)間（TTL）： TTL（time-to-live）生存時(shí)間字段設(shè)置了數(shù)據(jù)報(bào)可以經(jīng)過的最多路由器 數(shù)。它指定了數(shù)據(jù)報(bào)的生存時(shí)間。ttl的初始值由源主機(jī)設(shè)置，一旦經(jīng)過一個(gè)處理它的路由器， 它的值就減去1?？筛鶕?jù)TTL值判斷服務(wù)器是什么系統(tǒng)和經(jīng)過的路由器。本例為80,換算成十進(jìn) 制為128, WINDOW

27、S操作系統(tǒng)TTL初始值一般為128, UNIX操作系統(tǒng)初始值為255，本例表示兩個(gè) 機(jī)器在同一網(wǎng)段且操作系統(tǒng)為 WINDOWS。8位協(xié)議：表示協(xié)議類型，6表示傳輸層是TCP協(xié)議。16位首部檢驗(yàn)和：當(dāng)收到一份I P數(shù)據(jù)報(bào)后，同樣對首部中每個(gè)16位進(jìn)行二進(jìn)制反碼的求和。 由于接收方在計(jì)算過程中包含了發(fā)送方存在首部中的檢驗(yàn)和，因此，如果首部在傳輸過程中沒有 發(fā)生任何差錯(cuò)，那么接收方計(jì)算的結(jié)果應(yīng)該為全1。如果結(jié)果不是全1,即檢驗(yàn)和錯(cuò)誤，那么IP 就丟棄收到的數(shù)據(jù)報(bào)。但是不生成差錯(cuò)報(bào)文，由上層去發(fā)現(xiàn)丟失的數(shù)據(jù)報(bào)并進(jìn)行重傳。32位源IP地址和32位目的IP地址：實(shí)際這是IP協(xié)議中核心的部分，但介紹這方面的

28、文章非常 多，本文搭建的又是一個(gè)最簡單的網(wǎng)絡(luò)結(jié)構(gòu)，不涉及路由，本文對此只做簡單介紹，相關(guān)知識請 參閱其它文章。32位的IP地址由一個(gè)網(wǎng)絡(luò)ID和一個(gè)主機(jī)ID組成。本例源IP地址為CO A8 71 DO, 轉(zhuǎn)換為十進(jìn)制為：192.168. 113.208;目的IP地址為CO A8 71 01，轉(zhuǎn)換為十進(jìn)制為：192.168. 113.1。網(wǎng)絡(luò)地址為192.168.113，主機(jī)地址分別為1和208，它們的網(wǎng)絡(luò)地址是相同的 所以在一個(gè)網(wǎng)段內(nèi)，這樣數(shù)據(jù)在傳送過程中可直接到達(dá)。TCP 協(xié)議頭信息如表5是ICP協(xié)議的頭信息。貯位1E位源端口號1E位目的諦口號立位序號寵位確認(rèn)序號&位首部 長度保留（E位）UA

29、F1S:1B位窗口大小1E位檢驗(yàn)和G位緊急指針選項(xiàng)數(shù)據(jù)表 5 TCP 包首部第三行 TCP 的頭信息是： 04 28 00 15 3A DF 05 53 00 00 00 00 70 02 40 00 9A 8D 00 00 02 04 05 B4 01 01 04 02端口號：常說FTP占21端口、HTTP占80端口、TELNET占23端口等，這里指的端口就是TCP或UDP的端口，端口就像通道兩端的門一樣，當(dāng)兩機(jī)進(jìn)行通訊時(shí)門必須是打開的。源端口和目的端 口各占16位， 2的16次方等于65536，這就是每臺電腦與其它電腦聯(lián)系所能開的“門”。一般作 為服務(wù)一方每項(xiàng)服務(wù)的端口號是固定的。本例目的

30、端口號為00 15，換算成十進(jìn)制為21，這正是 FTP的默認(rèn)端口，需要指出的是這是FTP的控制端口，數(shù)據(jù)傳送時(shí)用另一端口，第三組的分析能 看到這一點(diǎn)?？蛻舳伺c服務(wù)器聯(lián)系時(shí)隨機(jī)開一個(gè)大于1024的端口，本例為0428，換算成十進(jìn)制 為 1064。你的電腦中了木馬也會開一個(gè)服務(wù)端口。觀察端口非常重要，不但能看出本機(jī)提供的正 常服務(wù)，還能看出不正常的連接。 Windows 察看端口的命令時(shí) netstat。32位序號：也稱為順序號（Sequence Number），簡寫為SEQ，從上面三次握手的分析可以看出， 當(dāng)一方要與另一方聯(lián)系時(shí)就發(fā)送一個(gè)初始序號給對方，意思是：“讓我們建立聯(lián)系吧？”，服務(wù) 方收

31、到后要發(fā)個(gè)獨(dú)立的序號給發(fā)送方，意思是“消息收到，數(shù)據(jù)流將以這個(gè)數(shù)開始?！庇纱丝煽?出， TCP 連接完全是雙向的，即雙方的數(shù)據(jù)流可同時(shí)傳輸。在傳輸過程中雙方數(shù)據(jù)是獨(dú)立的，因 此每個(gè)TCP連接必須有兩個(gè)順序號分別對應(yīng)不同方向的數(shù)據(jù)流。32位確認(rèn)序號：也稱為應(yīng)答號（AcknowledgmentNumber），簡寫為ACK。在握手階段，確認(rèn)序號 將發(fā)送方的序號加1 作為回答，在數(shù)據(jù)傳輸階段，確認(rèn)序號將發(fā)送方的序號加發(fā)送的數(shù)據(jù)大小作 為回答，表示確實(shí)收到這些數(shù)據(jù)。在第三組的分析中將看到這一過程。4位首部長度：。這個(gè)字段占4位，它的單位時(shí)32位（4個(gè)字節(jié)）。本例值為7, TCP的頭長度為 28字節(jié)，等于

32、正常的長度20字節(jié)加上可選項(xiàng)8個(gè)字節(jié)。，TCP的頭長度最長可為60字節(jié)（二進(jìn) 制 1111 換算為十進(jìn)制為 15， 15*4 字節(jié)=60 字節(jié)）。6 個(gè)標(biāo)志位。URG緊急指針，告訴接收TCP模塊緊要指針域指著緊要數(shù)據(jù)ACK 置1時(shí)表示確認(rèn)號（為合法，為0的時(shí)候表示數(shù)據(jù)段不包含確認(rèn)信息，確認(rèn)號被忽略。PSH 置1時(shí)請求的數(shù)據(jù)段在接收方得到后就可直接送到應(yīng)用程序，而不必等到緩沖區(qū)滿時(shí)才傳送。RST置1時(shí)重建連接。如果接收到RST位時(shí)候，通常發(fā)生了某些錯(cuò)誤。SYN 置 1 時(shí)用來發(fā)起一個(gè)連接。FIN 置 1 時(shí)表示發(fā)端完成發(fā)送任務(wù)。用來釋放連接，表明發(fā)送方已經(jīng)沒有數(shù)據(jù)發(fā)送了。圖13的3個(gè)圖分別為3-

33、5行TCP協(xié)議的頭信息，這三行是三次握手的過程，我們看看握手的過程 標(biāo)志位發(fā)生了什么？如圖13-1請求端208號機(jī)發(fā)送一個(gè)初始序號（SEQ）987694419給1號機(jī)。標(biāo)志位SYN置為1。如圖13-2服務(wù)器1號機(jī)收到這個(gè)序號后，將應(yīng)答信號（ACK）和隨機(jī)產(chǎn)生一個(gè)初始序號（SEQ） 1773195208發(fā)回到請求端208號機(jī)，因?yàn)橛袘?yīng)答信號和初始序號，所以標(biāo)志位ACK和SYN都置為 1。如圖13-3請求端208號機(jī)收到1號機(jī)的信號后，發(fā)回信息給1號機(jī)。標(biāo)志位ACK置為1,其它標(biāo) 志為都為0。注意此時(shí)SYN值為0，SYN是標(biāo)示發(fā)起連接的，上兩部連接已經(jīng)完成。Jl Packet slructorei

34、-LjlJU： liFider貞 II)0 j IFJl Packet slructorei-LjlJU： liFider貞 II)0 j IF4 = 087604419Ahnavledgefi ent nwber = 0J Header Length = 7 (26 bytes)Packet stru亡Iur&ij _)IAC heer QUhwn毗丄口+ _| IFt4 beader-LJ TCP headerV Source port = 21 FTFDeEtinatiQxi port 106-1J S曹svsnbflr - 177319520871醫(yī))口中適.3.Urgtfti po6

35、nhs D他.0.就=01011 .(.Push = D、麗.D. . Ris*! = 0ffiin .1. SSK s 1:- 辿.0 FIM = 0Almorldig4m4nt nunb-tr - 987694420* He&dtr length = 7 (6 bytes)T 區(qū) Flags r . 0 HU . . 1 .- Non . . 0.L . . 0：麗0 .LUrgent poiint迂-0WCK = 1Push = 0Rm 曹 t = 0STH = 10 FIff = 0和訛網(wǎng)=16384E Chtkxin - QxSABD 旳片*J Urgent poinler = 0H

36、 _ TCF Options - KesJ Rix Effnent 146D bytes扌npJ nopJ SJK OK Uta 門 lytai)13-1J Winddw = J?5S0工 Chfrckiun = OxSCftS (Cerreel)J lirgent poiiiter - C-|_| TCP Options = TesJ Msjt segment 1460 bytmmJ n#pJ SCK OK DU QD_| Facket structire+ _1AC keaier (Etheriiet II)E-C I IPr4 header& TCF headerSource port

37、二 1064BeEtinatiom port = 21 FTP-J Sequence immber = 9B769442DAIildwI edgei ent nunbr = 1773195209Header length = 5 (J20 bytes)-國 Flags| -150 _. 0 Urgentpointer = 0：kS -.-1. . ACK = 1i 了畫.0. Flash 二 0i 孑畫0. - Reset = 0i L-S0. SYW = 0二畫0 FUJ = 0Wind = 17520i m E Checksum = Qi8957 (Correct) Urgent, poi

38、nter = D1 TCP Opti ons 二 None-(J) Bate. (0 bytes)13-316位窗口大小：TCP的流量控制由連接的每一端通過聲明的窗口大小來提供。窗口大小為字節(jié)數(shù)， 起始于確認(rèn)序號字段指明的值，這個(gè)值是接收端正期望接收的字節(jié)。窗口大小是一個(gè)16字節(jié)字段， 因而窗口大小最大為 65535 字節(jié)。16位檢驗(yàn)和：檢驗(yàn)和覆蓋了整個(gè)的TCP報(bào)文段：TCP首部和TCP數(shù)據(jù)。這是一個(gè)強(qiáng)制性的字段， 一定是由發(fā)端計(jì)算和存儲，并由收端進(jìn)行驗(yàn)證。16位緊急指針：只有當(dāng)U R G標(biāo)志置1時(shí)緊急指針才有效。緊急指針是一個(gè)正的偏移量，和序號 字段中的值相加表示緊急數(shù)據(jù)最后一個(gè)字節(jié)的序號。

39、選項(xiàng)：圖13-1和圖13-2有8個(gè)字節(jié)選項(xiàng)，圖13-3沒有選項(xiàng)。最常見的可選字段是最長報(bào)文大小， 又稱為MSS (Maximum Segment Size)。每個(gè)連接方通常都在握手的第一步中指明這個(gè)選項(xiàng)。它指 明本端所能接收的最大長度的報(bào)文段。圖13-1可以看出208號機(jī)可以接受的最大字節(jié)數(shù)為1460 字節(jié)， 1460 也是以太網(wǎng)默認(rèn)的大小，在第三組的數(shù)據(jù)分析中可以看到數(shù)據(jù)傳送正是以1460字節(jié) 傳送的。握手小結(jié)面我們分開講了三次握手，看著有點(diǎn)散，現(xiàn)在小結(jié)一下。上篇我們搭建一個(gè)最簡單的網(wǎng)絡(luò)環(huán)境，分別介紹了查找服務(wù)器、建立連接，下面我們來討論數(shù)據(jù) 傳輸和終止連接。第三組數(shù)據(jù)數(shù)據(jù)傳輸1）顯示的是1

40、、2行的數(shù)據(jù)2）解釋數(shù)據(jù)包3）頭信息分析第四組數(shù)據(jù)終止連接1）顯示的是3-5行的數(shù)據(jù)2）解釋數(shù)據(jù)包3）頭信息分析第三組 數(shù)據(jù)傳輸1）下圖顯示的是57-60行的數(shù)據(jù)NO.1 TiMAC source addrMAC dest addrFrmeI ProtocdAdd i IP m.Addr. P destI Port stc fPort tfest3EQJ 51957i6!35：179M：90：E7：F6：51：53CO:50:FG22:C7:BEPTCP1%. 163.113.1Lz.i.iL.zoa1057106&I765I76ZB05Z735&36151416;9:35:479MtSQ:F

41、C:22:C7:EEDO:9O:27:F6:54:5aIPTCPi.i6a.ti3.aaeL91i66.1L3A1D6B1057L0S2735536L76J5H222545916；fcS:40Q：90：27：F6：51：53DO；?D：fc：2ZlC7:0EPTCF19E.16S 113-LLZ.I.LLS.ZOa105 丁1066miwzzz15146DL6;9:35:479Q0:5O:FC;22:C7:EE00：-90：276:&1:53IPTCP192.1 fia.nxaoe192.168.113d1D6610571052735536L7B151563254圖142）解釋數(shù)據(jù)包這四行數(shù)據(jù)

42、是數(shù)據(jù)傳輸過程中一個(gè)發(fā)送一個(gè)接收的過程。前文說過，TCP提供一種面向連接的、可靠的字節(jié)流服務(wù)。當(dāng)接收端收到來自發(fā)送端的信息時(shí)， 接受端要發(fā)送一條應(yīng)答信息，表示收到此信息。數(shù)據(jù)傳送時(shí)被TCP分割成認(rèn)為最適合發(fā)送的數(shù)據(jù) 塊。一般以太網(wǎng)在傳送時(shí) TCP 將數(shù)據(jù)分為 1460 字節(jié)。也就是說數(shù)據(jù)在發(fā)送方被分成一塊一塊的發(fā) 送，接受端收到這些數(shù)據(jù)后再將它們組合在一起。57行顯示1號機(jī)給208號機(jī)發(fā)送了大小為1514字節(jié)大小的數(shù)據(jù)，注意我們前文講過數(shù)據(jù)發(fā)送時(shí) 是層層加協(xié)議頭的，1514字節(jié)=14字節(jié)以太網(wǎng)頭+ 20字節(jié)IP頭+ 20字節(jié)TCP頭+ 1460字節(jié) 數(shù)據(jù) 58行顯示的應(yīng)答信號ACK為：1781

43、514222,這個(gè)數(shù)是57行得SEQ序號1781512762加上傳送的數(shù) 據(jù) 1460， 208 號機(jī)將這個(gè)應(yīng)答信號發(fā)給 1 號機(jī)說明已收到發(fā)來的數(shù)據(jù)。59、 60 行顯示的是繼續(xù)傳送數(shù)據(jù)的過程。這個(gè)過程就像我向張三借書，借給我?guī)妆疚乙f：“我已借了你幾本了?！?，他說：“知道了”3）頭信息圖15-1和圖15-2分別是57行和58行的頭信息，解釋參考第二組。-_| Packet structure-_| Packet structure+ _| MAC header (Ethernet II)+ _| IPv4 header-_| TCP headerJ Source port = 1057J

44、Destination port = 1066J Sequence number = 1781512762J Aknowledgement number = 1052735536J Header length = 5 (20 bytes)-9 Flags1011 .0Urgent pointer = 01011 .1. ACK = 11011 .0. Push = 01011 0.Reset = 01011 0.5YN = 01011 0FIN = 0I “ - Window = 17520X Checksum = OxAFAS (Correct)J Urgent pointer = 0J T

45、CP Options = None(| Data (1460 bytes)硏行的頭信息-_| Packet structure+ _| MAC header (Ethernet II)+ _| IPv4 header-_| TCP headerJ Source port = 1066J Destination port = 1057J Sequence number = 1052735536J Aknowledgement number = 1781514222J Header length = 5 (20 bytes)-9 Flags1011 .0Urgent pointer = 01011

46、 .1. ACK = 11011 .0. Push = 01011 0.Reset = 01011 0.5YN = 01011 0FIN = 0I- Window = 17520X Checksum = 0 xlDE9 (Correct)J Urgent pointer = 0J TCP Options = None(D Data (0 bytes)圖駅行的頭信息第四組 終止連接1）下圖顯示的是93-96 行的數(shù)據(jù)Ti (h：rn： ：m)MACiaurCe addrMW： desL odd-Fr4smePtotctcdAddr. IP fit.Addr.PdtPert 引c |Ptrtdts

47、t5EQKK5iz*SB16:35:579DQ:50:FC;22;C7:EEIPTCP舊出16&1L乳加8均匕托B1L3L11D6610571052755-36II7B1535622543916總對5刊OfeSOsZm：強(qiáng) 53OO:$O:FC:22:C7:0EIPTCP(42.156. J L3,l訶包】間,】L3.歡1057106607635622609D16:9:35:65900:51:FC;22;C7:EEDO:90;27:F6:5H:53IPTOP- FTPH92J68J.L3.2D8L92J66JL3.L1D612198769+57!II773196CT32549LL6：3：35：

48、6S900 W：27：F6：5q：5iQO:M;FC：a：C7;0EIPFTP(42.15. J L3 1L4?.l6S,L3.?0fl2L1064片？31弼032739200:50:FC:22;C7:EEl:9Ql27:F6:&1:53IPTCP-FTP旳丸166伯-2D&19266,113.11D642199769+5717731960565416:411:01700:50 eFC:2:C7:BED0:W:Z7：P6:5 iHIPTCP-. FTP1站】曲IM.前&L?Z. 168.113.121L?731ffi6549416;9:4i:Oi7M:90l27:F6:54:S3OO:5fl;

49、FC:22:C7:0EIPTCP- FTPH92.166413.1：L92d60J13.2fla211D64L7Z319605 丘93769457560L6:5 -|!Dr001：90:27：|F6:54：53DO:SO：FC:ZZsC7:BEJPTCP- FTPi9ZJ6B.H34L9Z.a6B.113.Z082L1064L77319605693 76545-75609616:9:41:017M:9Q:FC:22:C7:EE0O:9Q;27:F6:&1:5aIPTCP- FTPL92d6adl3.t1D64219376945751177319605754圖 162）解釋數(shù)據(jù)包93-96 是兩

50、機(jī)通訊完關(guān)閉的過程。建立一個(gè)連接需要三次握手，而終止一個(gè)連接要經(jīng)過4次握手。這是因?yàn)橐粋€(gè)TCP連接是全雙工 （即數(shù)據(jù)在兩個(gè)方向上能同時(shí)傳遞），每個(gè)方向必須單獨(dú)地進(jìn)行關(guān)閉。 4次握手實(shí)際上就是雙方 單獨(dú)關(guān)閉的過程。本例文件下載完后，關(guān)閉瀏覽器終止了與服務(wù)器的連接圖16的 93-96 行顯示的就是終止連接所經(jīng) 過 4 次握手過程。93行數(shù)據(jù)顯示的是關(guān)閉瀏覽器后，如圖17-1所示208號機(jī)將FIN置1連同序號（SEQ）987695574 發(fā)給 1 號機(jī)請求終止連接。94行數(shù)據(jù)和圖17-2顯示1號機(jī)收到FIN關(guān)閉請求后，發(fā)回一個(gè)確認(rèn)，并將應(yīng)答信號設(shè)置為收到 序號加 1，這樣就終止了這個(gè)方向的傳輸。95

51、行數(shù)據(jù)和圖17-3顯示1號機(jī)將FIN置1連同序號（SEQ） 1773196056發(fā)給208號機(jī)請求終止連接。96行數(shù)據(jù)和圖17-4顯示208號機(jī)收到FIN關(guān)閉請求后，發(fā)回一個(gè)確認(rèn)，并將應(yīng)答信號設(shè)置為收 到序號加1,至此TCP連接徹底關(guān)閉。3）頭信息Facket Decoder-1:E-:E-.:曰Facke t 呂 true til廣 e丄 IAC header (Ethernet _J IPv4 headerTCP headerII)” * Surn-cFacket Decoder-1:E-:E-.:曰Facke t 呂 true til廣 e丄 IAC header (Ethernet _

52、J IPv4 headerTCP headerII)” * Surn-ch port 二 lDEQJ Destin3.titjrL port 二 21 FTP” * S p qiipnc a nuiTib er = 987694574/ AkrLuwlHilgPmHrLt rLmb er 二 1773196056J Headpr length 二 5 (20 bytes)-匿| Flags.0 Urgent p u i n七日丁 - 0.1. ACK = 1.0. Fush 二 00. RhshI = 00. SYN 二 01FIN 二 17 Window 二 16673X ChpcksujT

53、i 二 OxSSBC (Curt-Het)J Urgent p u i n七日丁 - 0J TCF OptiorLS 二 Hcmm Data IH bytes)圖 17-1PAetDodftr| _| MAC header (Elbemel n)*IFvl header-_| TCP header話 5ourx?port = 21 FTP丄 Destination port = 106# Sequence nniber 1773160567 AimowtedcjeeriL number = W7691575Header lentfi - 5 (2Q bytes)-9 Flap.0Urgent0

54、,.L .ACK= L.Q., Ristl Q0.-Reset = 0D. SYN 01FCN=1J Wndflw- 1736* Checksum = 0 xS6O6 (Gcrrect)J Urgent portSr D丄 TCP Options = NoneQ Dat*；abyt)圖 17-3Click push pin to keep open日Packet structure+ _| MAC header (Ethernet II) + _| IPv4 header-_| TCP headerJ Source port = 21 FTPJ Destination port = 1064J

55、 Sequence number = 1773196056J Aknowledgement number = 987694575J Header length = 5 (20 bytes)- Q Flags.0Urgent pointer = 0.1. A 匚 K = 1.0. Push = 0Reset = 0.0. 5YN = 0 0 FIN = 0J Window = 17366X Checksum = 0 x8607 (Correct)J Urgent pointer = 0J TCP Options = None Data (0 bytes)圖 17-2Fwkat D 旦 odsf-

56、_I Padst structureS _| MAC header (Ethernet H)+ LJ IPv4 header-1 _| TP headnrJ Source port 1D64“ De5Matianpart = 21 FTPSequerts nufflbBr S0769575J Aknoxiledgennent rcimber= 1773196057 “ Header length = 5 (2Q曰畫Fla*ou .0Ungert poirter = 0iiAO LiBlPU5h = Ll環(huán)o. Reset = a西.D. SYtJ=-0 wn. 0 FIN = 0J Micfclw 16673-Z Cl_-scisum= Otping Pinging uith 32 bytes of data：Replv from : bytes=32 timelms TTL=128Reply from - bytes=32 timeping Pinging uith 32 bytes of data：Request timed out.Request timed out.圖 19如圖20是ping通的情況。如圖21是ping不通該計(jì)算機(jī)不存在的情況。從圖可以看出ARP請求沒有回應(yīng)。如圖22是ping不通，該