實(shí)驗(yàn)12網(wǎng)絡(luò)嗅探與協(xié)議分析第一頁，共83頁。12.1實(shí)驗(yàn)?zāi)康?2.1.1通過網(wǎng)絡(luò)嗅探了解網(wǎng)絡(luò)數(shù)據(jù)類型，了解網(wǎng)絡(luò)工作原理；12.1.2通過實(shí)驗(yàn)理解并掌握網(wǎng)絡(luò)嗅探工具Wireshark的使用；12.1.3

通過實(shí)驗(yàn)理解并掌握TCP/IP體系結(jié)構(gòu)及其協(xié)議分析方法；12.1.4通過實(shí)驗(yàn)理解并掌握FTP協(xié)議的工作原理；12.1.5通過實(shí)驗(yàn)理解并掌握Telnet協(xié)議的工作原理；2023/4/182第二頁，共83頁。12.1實(shí)驗(yàn)?zāi)康模ɡm(xù)）12.1.6通過實(shí)驗(yàn)理解并掌握HTTP協(xié)議的工作原理；12.1.7通過實(shí)驗(yàn)理解并掌握DNS協(xié)議的工作原理；12.1.8通過實(shí)驗(yàn)理解并掌握ARP協(xié)議的工作原理；12.1.9通過實(shí)驗(yàn)理解并掌握QQ協(xié)議的工作原理12.1.10通過實(shí)驗(yàn)理解并掌握迅雷下載協(xié)議的工作原理；12.1.11通過實(shí)驗(yàn)加深對(duì)協(xié)議格式、協(xié)議層次及協(xié)議交互過程的理解。2023/4/183第三頁，共83頁。12.2實(shí)驗(yàn)要求12.2.1預(yù)習(xí)實(shí)驗(yàn)原理；12.2.2熟悉實(shí)驗(yàn)設(shè)備；12.2.3熟悉實(shí)驗(yàn)環(huán)境；12.2.4……2023/4/184第四頁，共83頁。12.3實(shí)驗(yàn)原理12.3.1網(wǎng)絡(luò)嗅探基礎(chǔ)概述網(wǎng)絡(luò)嗅探：利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)的數(shù)據(jù)報(bào)文；網(wǎng)絡(luò)嗅探器：一種監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)的工具，又稱Sniffer

抓包，它工作在網(wǎng)絡(luò)底層，通過對(duì)局域網(wǎng)上傳輸?shù)母鞣N關(guān)鍵信息進(jìn)行竊聽，從而獲取重要信息；一個(gè)信息包嗅探器向我們展示出正在網(wǎng)絡(luò)上進(jìn)行的活動(dòng)；2023/4/185第五頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）嗅探借助于網(wǎng)絡(luò)接口，在正常的情況下，一個(gè)網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)：目的MAC地址為本機(jī)硬件地址的數(shù)據(jù)幀、向所有設(shè)備發(fā)送的廣播數(shù)據(jù)幀；網(wǎng)絡(luò)接口使用網(wǎng)卡的接收模式廣播方式：網(wǎng)卡能夠接收網(wǎng)絡(luò)中的廣播信息；組播方式：網(wǎng)卡能夠接收組播數(shù)據(jù)；直接方式：只有目的網(wǎng)卡才能接收該數(shù)據(jù)；混雜模式：網(wǎng)卡能夠接收一切通過它的數(shù)據(jù)，而不管該數(shù)據(jù)是否是傳給它的。2023/4/186第六頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）嗅探的基本原理：如果在編程時(shí)將網(wǎng)卡的工作模式設(shè)置為“混雜模式”，那么網(wǎng)卡將接受所有傳遞給它的數(shù)據(jù)包。2023/4/187第七頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）12.3.2協(xié)議分析基礎(chǔ)概述協(xié)議分析：通過程序分析網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議頭和尾，從而了解信息和相關(guān)的數(shù)據(jù)包在產(chǎn)生和傳輸過程中的行為；在典型的網(wǎng)絡(luò)結(jié)構(gòu)中，網(wǎng)絡(luò)協(xié)議和通信采用的是分層式設(shè)計(jì)方案，在OSI網(wǎng)絡(luò)結(jié)構(gòu)參考模型中，同層協(xié)議之間能相互進(jìn)行通信；協(xié)議分析器的主要功能：分析各層協(xié)議頭部和尾部，通過多層協(xié)議頭尾和其相關(guān)信息來識(shí)別網(wǎng)絡(luò)通信過程中可能出現(xiàn)的問題的方法，稱之為專家分析。2023/4/188第八頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）網(wǎng)絡(luò)體系結(jié)構(gòu)應(yīng)用層傳輸層網(wǎng)際層網(wǎng)絡(luò)接口層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層FTPTCPIPEthernetTelnetHTTPUDPX.25PPPTCP/IP協(xié)議族TCP/IP模型OSI

參考模型2023/4/189第九頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TCP/IP的主要協(xié)議協(xié)議簇TCP/IP主要協(xié)議主要功能應(yīng)用層Http、Telnet、FTP、E-mail

等負(fù)責(zé)把數(shù)據(jù)傳輸?shù)絺鬏攲踊蛘呓邮諒膫鬏攲臃祷氐臄?shù)據(jù)；傳輸層TCP、UDPTCP為兩臺(tái)主機(jī)上的應(yīng)用程序提供高可靠的端到端的數(shù)據(jù)通信，包括把應(yīng)用程序交給它的數(shù)據(jù)分成數(shù)據(jù)塊交給網(wǎng)絡(luò)層、確認(rèn)接收到的分組等；UDP則為應(yīng)用層提供不可靠的數(shù)據(jù)通信，它只是把數(shù)據(jù)包的分組從一臺(tái)主機(jī)發(fā)送到另一臺(tái)主機(jī)，不保證數(shù)據(jù)能到達(dá)另一端；網(wǎng)絡(luò)層ICMP、IP、IGMP主要為數(shù)據(jù)包選擇路由，其中IP是TCP/IP協(xié)議族中最為核心的協(xié)議，所有的TCP、UDP、ICMP、IGMP數(shù)據(jù)都以IP數(shù)據(jù)包格式傳輸；鏈路層ARP、RARP和設(shè)備驅(qū)動(dòng)程序及接口發(fā)送時(shí)將IP包作為幀發(fā)送，接收時(shí)把收到的位組裝成幀，同時(shí)提供鏈路管理、錯(cuò)誤檢側(cè)等。2023/4/1810第十頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）數(shù)據(jù)封裝一臺(tái)計(jì)算機(jī)要發(fā)送數(shù)據(jù)到另一臺(tái)計(jì)算機(jī)，數(shù)據(jù)首先必須打包，打包的過程稱為封裝；封裝就是在數(shù)據(jù)前面加上特定的協(xié)議頭部；數(shù)據(jù)協(xié)議頭數(shù)據(jù)2023/4/1811第十一頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TCP/IP

協(xié)議的封裝TCP頭應(yīng)用層數(shù)據(jù)應(yīng)用層數(shù)據(jù)TCP頭應(yīng)用層數(shù)據(jù)IP頭幀頭TCP頭應(yīng)用層數(shù)據(jù)IP頭幀尾應(yīng)用層傳輸層網(wǎng)際層數(shù)鏈層網(wǎng)卡地址IP地址應(yīng)用地址（80）2023/4/1812第十二頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）12.3.3常見協(xié)議原理IP協(xié)議TCP/IP

協(xié)議棧中重要的網(wǎng)際層協(xié)議；向高層提供無連接的服務(wù)；網(wǎng)際層傳輸?shù)臄?shù)據(jù)單元是分組，一般稱為IP數(shù)據(jù)報(bào)；主要功能：從源端經(jīng)互連網(wǎng)到目的端盡最大努力傳輸數(shù)據(jù)報(bào)。2023/4/1813第十三頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）固定部分可變部分04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長度可變）位首部長度數(shù)據(jù)部分?jǐn)?shù)據(jù)部分首部IP數(shù)據(jù)報(bào)首部發(fā)送在前IP

數(shù)據(jù)報(bào)格式2023/4/1814第十四頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）ICMP協(xié)議：InternetControlMessageProtocolIP協(xié)議本身提供無連接的服務(wù)，不包括流量控制與差錯(cuò)控制功能；檢測網(wǎng)絡(luò)狀態(tài)（路由、擁塞、服務(wù)質(zhì)量等問題）；提供多種形式的報(bào)文，每個(gè)ICMP消息報(bào)文都被封裝于IP分組中；PING是一個(gè)典型的基于ICMP協(xié)議的實(shí)用程序。2023/4/1815第十五頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）ICMP報(bào)文格式類型代碼校驗(yàn)和數(shù)據(jù)區(qū)12 3

4CHECKSUM：整個(gè)ICMP報(bào)文的校驗(yàn)和算法與IP分組頭的校驗(yàn)和算法相同CODE：提供報(bào)文類型的詳細(xì)信息類型ICMP報(bào)文類型ICMP報(bào)文0ECHO應(yīng)答11分組超時(shí)3目的不可達(dá)12分組參數(shù)錯(cuò)4源抑制13時(shí)間戳請(qǐng)求5路由重定向14時(shí)間戳應(yīng)答8回應(yīng)請(qǐng)求17地址掩碼請(qǐng)求18地址掩碼應(yīng)答2023/4/1816第十六頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）ICMP報(bào)文類型差錯(cuò)報(bào)告（網(wǎng)關(guān)→主機(jī)信息傳輸）信宿（網(wǎng)絡(luò)、主機(jī)、協(xié)議、端口）不可達(dá)報(bào)告超時(shí)報(bào)告（TTL=0）參數(shù)差錯(cuò)報(bào)告IP校驗(yàn)和錯(cuò)誤重組失敗控制報(bào)文（網(wǎng)關(guān)→主機(jī)）源抑制報(bào)文重定向報(bào)文請(qǐng)求|應(yīng)答報(bào)文(主機(jī)→主機(jī)信息傳輸)ECHO請(qǐng)求|應(yīng)答時(shí)間戳請(qǐng)求|應(yīng)答地址掩碼請(qǐng)求|應(yīng)答類型碼ICMP報(bào)文0ECHO應(yīng)答3目的不可達(dá)4源抑制5路由重定向8ECHO請(qǐng)求9路由廣播10路由請(qǐng)求11分組超時(shí)12分組參數(shù)錯(cuò)13時(shí)間戳請(qǐng)求14時(shí)間戳應(yīng)答15信息請(qǐng)求消息16信息響應(yīng)消息17地址掩碼請(qǐng)求18地址掩碼應(yīng)答2023/4/1817第十七頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）ICMP回聲請(qǐng)求|應(yīng)答ABB可以到達(dá)嗎？ICMP回聲請(qǐng)求

可以，我在這里。ICMP回聲應(yīng)答用PING命令產(chǎn)生的回聲及其應(yīng)答示意圖2023/4/1818第十八頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）ARP協(xié)議地址解析協(xié)議；把IP地址轉(zhuǎn)換成MAC地址。2023/4/1819第十九頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）ARP工作過程每個(gè)主機(jī)都有一個(gè)ARP緩存，一旦收到ARP應(yīng)答，

主機(jī)就將獲得的IP地址和物理地址存入緩存，發(fā)送報(bào)文時(shí)，首先到緩存中查找相應(yīng)項(xiàng)，若找不到，再利用ARP進(jìn)行地址解析；在ARP請(qǐng)求中填上自己的IP地址和硬件地址，以避免其它主機(jī)過后再發(fā)ARP請(qǐng)求；2023/4/1820第二十頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）當(dāng)廣播ARP請(qǐng)求時(shí)，網(wǎng)上所有的計(jì)算機(jī)都能收到該報(bào)文，此時(shí)各站應(yīng)更新A的IP地址到物理地址之間的映射；當(dāng)網(wǎng)上出現(xiàn)一個(gè)新的計(jì)算機(jī)時(shí)，該新的計(jì)算機(jī)盡可能主動(dòng)廣播它的IP地址和物理地址，以避免其它站都運(yùn)行ARP。2023/4/1821第二十一頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）ARP

數(shù)據(jù)報(bào)格式硬件類型協(xié)議類型硬件地址長度協(xié)議長度操作源站MAC地址（前4字節(jié)）源站MAC地址（后2字節(jié)）源站IP地址（前2字節(jié)）源站IP地址（后2字節(jié)）目的站MAC地址（前2字節(jié)）目的站MAC地址（后4字節(jié)）目的站IP地址2023/4/1822第二十二頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TCP協(xié)議：傳輸控制協(xié)議面向連接；可靠；在源端將上層的數(shù)據(jù)流劃分成段的形式，在目的端將段重新整合成數(shù)據(jù)流；重傳機(jī)制；流控制。2023/4/1823第二十三頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TCP首部20字節(jié)的固定首部目的端口數(shù)據(jù)偏移檢驗(yàn)和選項(xiàng)（長度可變）源端口序號(hào)緊急指針窗口確認(rèn)號(hào)保留FIN32位SYNRSTPSHACKURG位08162431填充TCP數(shù)據(jù)部分TCP首部TCP報(bào)文段IP首部發(fā)送在前IP數(shù)據(jù)部分TCP數(shù)據(jù)報(bào)格式2023/4/1824第二十四頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TCP選項(xiàng)域kind=81Blen=101Btimestampvalue4Btimestampechoreply4Bkind=31Blen=31Bshiftcount1Bkind=21Blen=41BMSS2Bkind=11Bkind=01BendofoptionsNOPnooperationMaximumSegmentSizeWindowScaleFactorTimeStamp2023/4/1825第二十五頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）建立TCP連接：通過三次握手建立一個(gè)TCP連接，協(xié)商一些參數(shù)（雙方的初始序列號(hào)、分段大小等）；客戶機(jī)（發(fā)起者）服務(wù)器（提供者）SYN，SeqNum=xSYNandACK，SeqNum=yandAck=x+1ACK，Ack=y+12023/4/1826第二十六頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）釋放TCP連接：通過四次握手釋放一個(gè)TCP連接。客戶機(jī)（發(fā)起者）服務(wù)器（提供者）FINFIN-ACKFINFIN-ACK發(fā)送數(shù)據(jù)Dataack2023/4/1827第二十七頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）UDP協(xié)議：用戶數(shù)據(jù)報(bào)協(xié)議無連接；不可靠；以用戶數(shù)據(jù)報(bào)形式傳送信息，在目標(biāo)端不需要重組數(shù)據(jù)；不提供確認(rèn)與流量控制。2023/4/1828第二十八頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）UDP數(shù)據(jù)報(bào)格式偽首部源端口目的端口長度檢驗(yàn)和數(shù)據(jù)首部UDP長度源IP地址目的IP地址017IP數(shù)據(jù)報(bào)字節(jié)44112122222字節(jié)發(fā)送在前數(shù)據(jù)首部UDP用戶數(shù)據(jù)報(bào)2023/4/1829第二十九頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）DNS協(xié)議：域名解析協(xié)議，提供域名到主機(jī)IP地址的映射；域名服務(wù)的三大要素域（Domain）和域名（Domainname）：域指由地理位置或業(yè)務(wù)類型而聯(lián)系在一起的一組計(jì)算機(jī)構(gòu)成；主機(jī)：由域名來標(biāo)識(shí)，域名是由字符和（或）數(shù)字組成的名稱，用于替代主機(jī)的數(shù)字化地址（IP地址）；域名服務(wù)器：提供域名解析服務(wù)的主機(jī)，通常由其IP地址標(biāo)識(shí)。2023/4/1830第三十頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）域名解析過程2023/4/1831第三十一頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）DNS報(bào)文格式報(bào)文首部標(biāo)識(shí)：16bit#用于查詢，應(yīng)答報(bào)文使用同樣的#標(biāo)志查詢或應(yīng)答；希望遞歸；可以遞歸；授權(quán)應(yīng)答。標(biāo)識(shí)標(biāo)志問題數(shù)資源記錄數(shù)授權(quán)資源記錄數(shù)額外資源記錄數(shù)查詢問題回答（資源數(shù)可變）授權(quán)（資源數(shù)可變）額外信息（資源數(shù)可變）2023/4/1832第三十二頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）DNS消息格式頭部（Header）：包含關(guān)于消息性質(zhì)方面的信息；查詢問題（Question）：包含目的服務(wù)器請(qǐng)求訪問的信息；回答（Answer）：包含用于提供Question部分所要求的信息的資源記錄；授權(quán)（Authority）：包含指向Question部分所要求信息的權(quán)威服務(wù)器資源記錄；額外信息（Additional）：包含用于回答Question部分的其他信息。2023/4/1833第三十三頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）頭部選項(xiàng)功能TransactionID它包含將查詢與應(yīng)答關(guān)聯(lián)起來時(shí)使用的標(biāo)識(shí)符值QR用于設(shè)定消息是個(gè)查詢消息還是應(yīng)答消息OPCODE用于設(shè)定生成的消息查詢類型AA應(yīng)答消息由作為請(qǐng)求訪問查詢名字所在域權(quán)威服務(wù)器應(yīng)答TC用于表示消息已經(jīng)被截尾RD在查詢中，表示目的服務(wù)器應(yīng)該將該消息視為遞歸查詢。如果沒有該標(biāo)志，則表示該查詢是個(gè)迭代查詢。RA用于設(shè)定服務(wù)器是否被配置成能夠處理遞歸查詢Z未用RCODE用于設(shè)定應(yīng)答消息性質(zhì)，表示何時(shí)出現(xiàn)了錯(cuò)誤和錯(cuò)誤的類型QDCOUNT用于設(shè)定消息的Question部分中的項(xiàng)目的數(shù)量ANCOUNT用于設(shè)定消息的Answer部分中的項(xiàng)目的數(shù)量NSCOUNT用于設(shè)定消息的Authority部分中的項(xiàng)目的數(shù)量ARCOUNT用于設(shè)定消息的Additional部分中的項(xiàng)目的數(shù)量2023/4/1834第三十四頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）說明：每個(gè)DNS消息都有一個(gè)Header部分，只有當(dāng)DNS消息包含數(shù)據(jù)時(shí)，DNS消息才包含其他4個(gè)部分。2023/4/1835第三十五頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）查詢問題部分選項(xiàng)功能QNAME它包含請(qǐng)求訪問的信息所涉及的DNS名字、域名或區(qū)域名字QTYPE用于設(shè)定要求訪問的資源記錄的類型QCLASS用于設(shè)定要求訪問的資源記錄的種類DNS

消息的Question部分包含首標(biāo)的QDCOUNT字段中設(shè)定的項(xiàng)目的數(shù)量；大多數(shù)情況下，該部分中只有一個(gè)選項(xiàng)。2023/4/1836第三十六頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）回答授權(quán)部分選項(xiàng)功能NAME包含提供的信息所涉及的DNS名字、域名或區(qū)域的名字TYPE包含一個(gè)代碼，用于設(shè)定項(xiàng)目包含的資源記錄的類型CLASS包含一個(gè)代碼，用于設(shè)定資源記錄的種類TTL用于設(shè)定提供的資源記錄應(yīng)該在服務(wù)器緩存中存放的時(shí)間RDLENGTH用于設(shè)定RDATA字段的長RDATA用于設(shè)定資源記錄的數(shù)據(jù)，數(shù)據(jù)的性質(zhì)取決于TYPE和CLASS字段值2023/4/1837第三十七頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）HTTP協(xié)議：基于客戶|服務(wù)器模式；客戶機(jī)的操作GET：檢索URL(用得最多)；HEAD：只檢索響應(yīng)頭；POST：向服務(wù)器發(fā)送數(shù)據(jù)；PUT：putspageonserver（在服務(wù)器上放頁面）；DELETE：從服務(wù)器上刪除頁面。HTTP消息請(qǐng)求；響應(yīng)。2023/4/1838第三十八頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）方法(大寫)說明GET請(qǐng)求獲取Request-URI所標(biāo)識(shí)的資源；它是目前網(wǎng)上最常用的方法。POST在Request-URI所標(biāo)識(shí)的資源后附加新的數(shù)據(jù)；POST請(qǐng)求可以導(dǎo)致新資源的產(chǎn)生和已有資源的更新。HEAD請(qǐng)求獲取由Request-URI所標(biāo)識(shí)的資源的響應(yīng)消息報(bào)頭；要求響應(yīng)與相應(yīng)的GET請(qǐng)求的響應(yīng)一樣，但是沒有響應(yīng)體（responsebody）。這用來獲得響應(yīng)頭（responseheader）中的元數(shù)據(jù)信息（meta-information）有幫助，因?yàn)樗恍枰獋鬏斔械膬?nèi)容。PUT請(qǐng)求服務(wù)器存儲(chǔ)一個(gè)資源，并用Request-URI作為其標(biāo)識(shí)。DELETE請(qǐng)求服務(wù)器刪除Request-URI所標(biāo)識(shí)的資源。TRACE請(qǐng)求服務(wù)器回送收到的請(qǐng)求信息，主要用于測試或診斷；客戶端可以（通過此方法）察看在請(qǐng)求過程中中間服務(wù)器添加或者改變哪些內(nèi)容。CONNECT將請(qǐng)求的連接轉(zhuǎn)換成透明的TCP/IP通道，通常用來簡化通過非加密的HTTP代理的SSL-加密通訊（HTTPS）。OPTIONS請(qǐng)求查詢服務(wù)器的性能，或者查詢與資源相關(guān)的選項(xiàng)和需求。2023/4/1839第三十九頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）HTTP操作客戶機(jī)發(fā)送請(qǐng)求GETHTTP/1.0服務(wù)器發(fā)送響應(yīng)HTTP-Version:HTTP/1.0200OKContent-Length:3012Content-Type:text/html<body>2023/4/1840第四十頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）HTTP請(qǐng)求報(bào)文格式方法SPRequest-URISP短語首部字段名值……首部字段名值請(qǐng)求正文crlfcrlf消息報(bào)頭請(qǐng)求行HTTP請(qǐng)求報(bào)文結(jié)構(gòu)Crlf：cr表示回車，lf表示換行2023/4/1841第四十一頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）HTTP響應(yīng)報(bào)文格式方法SP狀態(tài)碼SP版本首部字段名值……首部字段名值響應(yīng)正文crlfcrlf消息報(bào)頭請(qǐng)求行HTTP響應(yīng)報(bào)文結(jié)構(gòu)Crlf：cr表示回車，lf表示換行2023/4/1842第四十二頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）HTTP請(qǐng)求消息格式Http請(qǐng)求報(bào)文：ASCII（可讀格式）GET/somedir/page.htmlHTTP/1.0User-agent:Mozilla/4.0Accept:text/html，image/gif，image/jpegAccept-language:fr（extracarriagereturn，linefeed）requestline（GET，POST，HEADcommands）headerlines回車，換行表示報(bào)文的結(jié)束2023/4/1843第四十三頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）HTTP響應(yīng)消息格式HTTP/1.0200OKDate:Thu，06Aug199812:00:15GMTServer:Apache/1.3.0（Unix）Last-Modified:Mon，22Jun1998…...Content-Length:6821Content-Type:text/html

datadatadatadatadata...狀態(tài)行（協(xié)議狀態(tài)碼，狀態(tài)短語）頭部行數(shù)據(jù)，例如，請(qǐng)求的html文件2023/4/1844第四十四頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）FTP協(xié)議：基于客戶|服務(wù)器模式Internet文件傳送的基礎(chǔ)；FTP完成兩臺(tái)計(jì)算機(jī)之間的拷貝，從遠(yuǎn)程計(jì)算機(jī)拷貝文件至本地計(jì)算機(jī)上，稱之為“下載（download）”文件，若將文件從本地計(jì)算機(jī)中拷貝至遠(yuǎn)程計(jì)算機(jī)上，則稱之為“上載（upload）”文件；在TCP/IP協(xié)議中，F(xiàn)TP標(biāo)準(zhǔn)命令TCP端口號(hào)為21，Port方式數(shù)據(jù)端口為20?？刂七B接在整個(gè)會(huì)話期間一直保持連接狀態(tài)。數(shù)據(jù)連接則是臨時(shí)建立的，在文件傳送結(jié)束后即被關(guān)閉。2023/4/1845第四十五頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）FTP結(jié)構(gòu)圖2023/4/1846第四十六頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）FTP支持的模式：區(qū)別在于數(shù)據(jù)連接是由誰發(fā)起；Standard模式（PORT方式，主動(dòng)方式），

FTP的客戶端發(fā)送PORT命令到FTP服務(wù)器；Passive模式（

PASV，被動(dòng)方式），F(xiàn)TP的客戶端發(fā)送PASV命令到FTP服務(wù)器；2023/4/1847第四十七頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）Port模式FTP客戶端首先和FTP服務(wù)器的TCP21端口建立連接，通過這個(gè)通道發(fā)送命令；客戶端需要接收數(shù)據(jù)的時(shí)候在這個(gè)通道上發(fā)送PORT命令，PORT命令包含了客戶端用什么端口接收數(shù)據(jù)；在傳送數(shù)據(jù)的時(shí)候，服務(wù)器端通過自己的TCP20端口連接至客戶端的指定端口發(fā)送數(shù)據(jù)；

FTP服務(wù)器必須和客戶端建立一個(gè)新的連接用來傳送數(shù)據(jù)；2023/4/1848第四十八頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）Passive模式在建立控制通道的時(shí)候和Standard模式類似，但建立連接后發(fā)送的不是Port命令，而是Pasv命令；FTP服務(wù)器收到Pasv命令后，隨機(jī)打開一個(gè)高端端口（端口號(hào)大于1024。主要原因是1024以前的端口都已經(jīng)預(yù)先被定義，由一些典型的服務(wù)使用或保留給以后會(huì)用到這些端口的資源服務(wù)）并且通知客戶端在這個(gè)端口上傳送數(shù)據(jù)的請(qǐng)求；客戶端連接FTP服務(wù)器端口，然后FTP服務(wù)器將通過這個(gè)端口進(jìn)行數(shù)據(jù)的傳送，這個(gè)時(shí)候FTP服務(wù)器不再需要建立一個(gè)新的和客戶端之間的連接。2023/4/1849第四十九頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）Windows有自帶的FTP命令和IE瀏覽器來作為FTP的客戶端。后者在IE的地址欄上輸入

服務(wù)器地址來訪問，前者可以在命令窗口下通過ftp命令來使用；使用FTP命令登錄成功遠(yuǎn)程FTP服務(wù)器后即進(jìn)入FTP子環(huán)境，在這個(gè)子環(huán)境下，用戶可以使用FTP的內(nèi)部命令完成相應(yīng)的文件傳輸操作；2023/4/1850第五十頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）FTP的命令格式ftp[-v][-d][-i][-n][-g][-w:windowsize][主機(jī)名/IP地址]；參數(shù)-v：不顯示遠(yuǎn)程服務(wù)器的所有響應(yīng)信息；-n：限制ftp的自動(dòng)登錄；-i：在多個(gè)文件傳輸期間關(guān)閉交互提示；-d：允許調(diào)試、顯示客戶機(jī)和服務(wù)器之間傳遞的全部ftp命令；-g：不允許使用文件名通配符；-w：windowsize忽略默認(rèn)的4096傳輸緩沖區(qū)。2023/4/1851第五十一頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TELNET協(xié)議：基于客戶|服務(wù)器模式Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議；應(yīng)用Telnet協(xié)議能夠把本地用戶所使用的計(jì)算機(jī)變成遠(yuǎn)程主機(jī)系統(tǒng)的一個(gè)終端。2023/4/1852第五十二頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TELNET協(xié)議的基本服務(wù)Telnet定義一個(gè)網(wǎng)絡(luò)虛擬終端為遠(yuǎn)端系統(tǒng)提供一個(gè)標(biāo)準(zhǔn)接口，客戶機(jī)程序不必詳細(xì)了解遠(yuǎn)端系統(tǒng)，只需構(gòu)造使用標(biāo)準(zhǔn)接口的程序；Telnet包括一個(gè)允許客戶機(jī)和服務(wù)器協(xié)商選項(xiàng)的機(jī)制，而且它還提供一組標(biāo)準(zhǔn)選項(xiàng)；Telnet對(duì)稱處理連接的兩端，即Telnet不強(qiáng)迫客戶機(jī)從鍵盤輸入，也不強(qiáng)迫客戶機(jī)在屏幕上顯示輸出。2023/4/1853第五十三頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TELNET協(xié)議的應(yīng)用Windows

XP自帶了Telnet客戶機(jī)和服務(wù)器程序，分別是Telnet.exe（客戶機(jī)程序）和tlntsvr.exe（服務(wù)器程序）；TELNET客戶程序?yàn)橛脩籼峁┟罱涌?。可通過：控制面板-管理工具-服務(wù)-啟動(dòng)TELNET服務(wù)器程序；一旦連接到TELNET服務(wù)器，用戶即可使用任何遠(yuǎn)程計(jì)算機(jī)上基于字符的應(yīng)用程序，查看TELNET服務(wù)器的信息，和TELNET服務(wù)器進(jìn)行數(shù)據(jù)傳輸。2023/4/1854第五十四頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）常見TELNET的命令open：使用“open主機(jī)名/IP地址”可以建立到主機(jī)的Telnet連接；close：關(guān)閉現(xiàn)有的Telnet連接；display：查看Telnet客戶的當(dāng)前設(shè)置；quit：退出Telnet客戶程序。2023/4/1855第五十五頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）QQ協(xié)議：基于客戶|服務(wù)器模式QQ好友間消息傳送原理基于UDP協(xié)議來實(shí)現(xiàn)的，UDP數(shù)據(jù)具有固定端口8000，這些數(shù)據(jù)都通過加密的形式在網(wǎng)絡(luò)中轉(zhuǎn)輸；QQ選擇UDP協(xié)議的主要原因：UDP的速度比TCP要快，由于TCP協(xié)議中植入了各種安全保障功能，在實(shí)際執(zhí)行的過程中會(huì)占用大量的系統(tǒng)開銷，無疑使速度受到影響，而UDP由于排除了信息可靠傳遞機(jī)制，將安全和排序等功能移交給上層應(yīng)用來完成，降低了執(zhí)行時(shí)間，使速度得到了保證；2023/4/1856第五十六頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）QQ的文件傳輸建立在TCP連接之上的，其格式是包頭為0x04包尾為0x03?；赨DP可以用端口再根據(jù)協(xié)議特征方式識(shí)別；而基于TCP的HTTP方式可以根據(jù)數(shù)據(jù)包的特征識(shí)別QQ數(shù)據(jù)；QQ除了使用UDP通信，還與TCPF服務(wù)器通信，而且與TCPF服務(wù)器的通信量遠(yuǎn)遠(yuǎn)大于UDP通信量。2023/4/1857第五十七頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TCPF文本聊天協(xié)議簇TCPF（TextChattingProtocolFamily）文本聊天協(xié)議族，主要支持與其它QQ端進(jìn)行文字聊天；TCPF是建立在UDP協(xié)議上的協(xié)議簇；TCPF是以請(qǐng)求－響應(yīng)模式工作的，也就是說，客戶端發(fā)出一個(gè)請(qǐng)求，服務(wù)器端會(huì)給出一個(gè)相應(yīng)的響應(yīng)；服務(wù)器向客戶端發(fā)送信息，客戶端也會(huì)給服務(wù)器相應(yīng)的響應(yīng)。請(qǐng)求和響應(yīng)通過相同的序列號(hào)來進(jìn)行配對(duì)（請(qǐng)求代碼也應(yīng)該相同）。而且每種請(qǐng)求的發(fā)起方都是相同的。2023/4/1858第五十八頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TCPF格式：包頭+數(shù)據(jù)+包尾包頭：QQ協(xié)議有多種包頭，分別代表一類用途的包，所有的TCPF包的前七個(gè)字節(jié)是包頭，從包頭可以識(shí)別包的內(nèi)容；第0個(gè)字節(jié)：TCPF

包標(biāo)示：0x02；第1-2個(gè)字節(jié)：發(fā)送者標(biāo)識(shí)，如果是0x010x00，表明是由服務(wù)器發(fā)送，客戶端的標(biāo)識(shí)與所使用的QQ版本有關(guān)；第3-4個(gè)字節(jié)：命令編號(hào)；第5-6個(gè)字節(jié)：命令序列號(hào)；包尾：所有的TCPF包都以0x03作為包尾；2023/4/1859第五十九頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）TCPF數(shù)據(jù)登錄請(qǐng)求包LIP（LogInPacket）：由客戶端向服務(wù)器發(fā)出登錄請(qǐng)求的數(shù)據(jù)包；登錄應(yīng)答包LRP（LoginReplyPacket）：由服務(wù)器響應(yīng)客戶端登錄請(qǐng)求的數(shù)據(jù)包；注銷請(qǐng)求包LOP（LogOutPacket）：由客戶端向服務(wù)器發(fā)出注銷登錄請(qǐng)求的數(shù)據(jù)包，服務(wù)器對(duì)此包不作應(yīng)答；客戶端其它包CSP（ClientSentPacket）：客戶端向服務(wù)器發(fā)送的其它包；服務(wù)器其它包SSP（ServerSentPacket）：由服務(wù)器向客戶端發(fā)送的其它包。2023/4/1860第六十頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）迅雷下載協(xié)議：基于P2SP技術(shù)的下載軟件S指的是SERVER，就是在P2P的基礎(chǔ)上增加了對(duì)SERVER的資源下載，也就是說P2SP是一種能同時(shí)從多個(gè)服務(wù)器和多個(gè)節(jié)點(diǎn)進(jìn)行下載的技術(shù)；迅雷的下載速度會(huì)比只從服務(wù)器下載（P2S）或只從節(jié)點(diǎn)下載（P2P）的軟件速度要更快；P2SP下載是一種多資源多協(xié)議下載方式，全稱是PeertoServer＆Peer，即用戶對(duì)服務(wù)器和用戶；2023/4/1861第六十一頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）P2SP有效地把原本孤立的服務(wù)器和其鏡像資源以及P2P資源整合到了一起；P2P的下載概念，就是下載不再象傳統(tǒng)方式那樣只能依賴服務(wù)器，內(nèi)容的傳遞可以在網(wǎng)絡(luò)上的各個(gè)終端機(jī)器中進(jìn)行；在傳統(tǒng)的傳輸技術(shù)中用戶一次只能連接一個(gè)服務(wù)器進(jìn)行下載，而P2SP技術(shù)能搜索某一內(nèi)容在其他服務(wù)器上鏡像并將其存儲(chǔ)于數(shù)據(jù)庫中，用戶能同時(shí)從多個(gè)服務(wù)器上下載內(nèi)容；在P2SP中通過引入服務(wù)器作為資源數(shù)據(jù)來源的方法，避免了P2P中資源提供不穩(wěn)定的問題。2023/4/1862第六十二頁，共83頁。12.3實(shí)驗(yàn)原理（續(xù)）迅雷的核心技術(shù)：智能資源選擇用戶使用迅雷下載某個(gè)文件的同時(shí)，迅雷會(huì)自動(dòng)收集用戶的下載地址，并以MD5值判斷是否為同一個(gè)文件，從而形成一個(gè)龐大的下載鏈接庫，這樣就在迅雷服務(wù)器端進(jìn)行了資源的整合；當(dāng)后面的用戶下載同一個(gè)文件時(shí)，迅雷就會(huì)根據(jù)用戶具體的網(wǎng)速而去一個(gè)速度最快的服務(wù)器上面下載同一個(gè)文件；由于選擇通常是最優(yōu)化的結(jié)果，因此用戶感覺下載速度的確非?？?。2023/4/1863第六十三頁，共83頁。12.4實(shí)驗(yàn)內(nèi)容12.4.1安裝Winpcap和WireShark應(yīng)用軟件12.4.2運(yùn)行WireShark，捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包12.4.3分析ARP、ICMP、TCP、IP、DNS、TELNET、HTTP、FTP等協(xié)議工作過程12.4.4分析QQ協(xié)議、迅雷下載協(xié)議2023/4/1864第六十四頁，共83頁。12.5實(shí)驗(yàn)環(huán)境12.5.1網(wǎng)絡(luò)嗅探背景描述：某公司LAN的主機(jī)連接交換機(jī)，并由路由器接入Internet，因業(yè)務(wù)擴(kuò)展，公司決定進(jìn)行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析以公司網(wǎng)關(guān)為嗅探對(duì)象；截獲網(wǎng)絡(luò)數(shù)據(jù)并分析。2023/4/1865第六十五頁，共83頁。12.5實(shí)驗(yàn)環(huán)境（續(xù)）12.5.2TCP/IP協(xié)議分析背景描述：某公司LAN的主機(jī)連接交換機(jī)，并由路由器接入Internet，因業(yè)務(wù)擴(kuò)展，公司決定進(jìn)行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析以公司網(wǎng)關(guān)為嗅探對(duì)象；截獲網(wǎng)絡(luò)IP、UDP和TCP數(shù)據(jù)包并分析相關(guān)協(xié)議。2023/4/1866第六十六頁，共83頁。12.5實(shí)驗(yàn)環(huán)境（續(xù)）12.5.3HTTP協(xié)議分析背景描述：某公司LAN的主機(jī)連接交換機(jī)，并由路由器接入Internet，因業(yè)務(wù)擴(kuò)展，公司決定進(jìn)行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析設(shè)置過濾條件：notbroadcastandnotmulticast，過濾無關(guān)信息；以

為嗅探對(duì)象，截獲網(wǎng)絡(luò)HTTP數(shù)據(jù)包并分析HTTP協(xié)議。2023/4/1867第六十七頁，共83頁。12.5實(shí)驗(yàn)環(huán)境（續(xù)）12.5.4FTP協(xié)議分析背景描述：某公司LAN的主機(jī)連接交換機(jī)，并由路由器接入Internet，因業(yè)務(wù)擴(kuò)展，公司決定進(jìn)行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析設(shè)置過濾條件，過濾無關(guān)信息；在客戶端命令行窗口登錄FTP服務(wù)器，截獲網(wǎng)絡(luò)FTP數(shù)據(jù)包并分析FTP協(xié)議。2023/4/1868第六十八頁，共83頁。12.5實(shí)驗(yàn)環(huán)境（續(xù)）12.5.5TELNET協(xié)議分析背景描述：某公司LAN的主機(jī)連接交換機(jī)，并由路由器接入Internet，因業(yè)務(wù)擴(kuò)展，公司決定進(jìn)行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析設(shè)置過濾條件，過濾無關(guān)信息；在客戶端命令行窗口登錄TELNET服務(wù)器，截獲網(wǎng)絡(luò)TELNET數(shù)據(jù)包并分析TELNET協(xié)議。2023/4/1869第六十九頁，共83頁。12.5實(shí)驗(yàn)環(huán)境（續(xù)）12.5.6DNS協(xié)議分析背景描述：某公司LAN的主機(jī)連接交換機(jī)，并由路由器接入Internet，因業(yè)務(wù)擴(kuò)展，公司決定進(jìn)行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析選擇偵聽網(wǎng)卡，開始抓包；在cmd窗口輸入相關(guān)命令，利用WireShark截獲網(wǎng)絡(luò)DNS數(shù)據(jù)包并分析DNS協(xié)議。2023/4/1870第七十頁，共83頁。12.5實(shí)驗(yàn)環(huán)境（續(xù)）12.5.7ARP協(xié)議分析背景描述：某公司LAN的主機(jī)連接交換機(jī)，并由路由器接入Internet，因業(yè)務(wù)擴(kuò)展，公司決定進(jìn)行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析選擇偵聽網(wǎng)卡，開始抓包；在cmd窗口輸入相關(guān)命令，利用WireShark截獲網(wǎng)絡(luò)ARP數(shù)據(jù)包并分析ARP協(xié)議。2023/4/1871第七十一頁，共83頁。12.5實(shí)驗(yàn)環(huán)境（續(xù)）12.5.8QQ協(xié)議分析背景描述：某公司LAN的主機(jī)連接交換機(jī)，并由路由器接入Internet，因業(yè)務(wù)擴(kuò)展，公司決定進(jìn)行網(wǎng)絡(luò)嗅探，為此需要安裝Winpcap和WireShark應(yīng)用軟件，嗅探網(wǎng)絡(luò)類型；需求分析選擇偵聽網(wǎng)卡，開始抓包；利用WireShark截獲網(wǎng)絡(luò)