第三篇網(wǎng)絡(luò)安全理論與技術(shù)實驗篇第八章網(wǎng)絡(luò)協(xié)議基礎(chǔ)實驗8.2TCP和UDP協(xié)議分析實驗網(wǎng)絡(luò)空間安全技術(shù)實踐教程18.2TCP和UDP協(xié)議分析實驗實驗?zāi)康模罕敬螌嶒炛饕肳ireshark，Charles，F(xiàn)iddler等抓包軟件，抓取TCP和UDP協(xié)議數(shù)據(jù)包，截取抓包結(jié)果，分析TCP協(xié)議包結(jié)構(gòu)，TCP協(xié)議機(jī)制，如：TCP協(xié)議中“三次握手”，“四次揮手”流程；分析UDP協(xié)議包結(jié)構(gòu)，從而進(jìn)一步理解UDP協(xié)議運行流程。網(wǎng)絡(luò)空間安全技術(shù)實踐教程28.2TCP和UDP協(xié)議分析實驗實驗原理：在簡化的OSI模型中，TCP協(xié)議和UDP協(xié)議完成第四層傳輸層所指定的功能，但是它們功能與結(jié)構(gòu)都不相同：TCP是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議；UDP是一種無連接的傳輸層協(xié)議，提供面向事務(wù)的簡單不可靠信息傳送服務(wù)

。我們通過實驗抓包，分析TCP協(xié)議與UDP協(xié)議的具體流程與不同點。網(wǎng)絡(luò)空間安全技術(shù)實踐教程38.2TCP和UDP協(xié)議分析實驗實驗要點說明：（實驗難點說明）抓取TCP協(xié)議數(shù)據(jù)包并分析抓取UDP協(xié)議數(shù)據(jù)包并分析網(wǎng)絡(luò)空間安全技術(shù)實踐教程48.2TCP和UDP協(xié)議分析實驗實驗準(zhǔn)備：（實驗環(huán)境，實驗先有知識技術(shù)說明）操作系統(tǒng)windowsXP及以上Wireshark、Charles和Fiddler等抓包工具網(wǎng)絡(luò)空間安全技術(shù)實踐教程58.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（1）抓取TCP協(xié)議數(shù)據(jù)包

我們使用wireshark抓包軟件抓取數(shù)據(jù)包，具體操作步驟如下：

首先，打開瀏覽器，輸入即將瀏覽的網(wǎng)頁（如圖8-2-1所示），同時打開wireshark抓包軟件，點擊“

”，啟動抓包，進(jìn)行數(shù)據(jù)捕獲（如圖8-2-2所示）。網(wǎng)絡(luò)空間安全技術(shù)實踐教程68.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（1）抓取TCP協(xié)議數(shù)據(jù)包

接著，在圖8-2-1中點擊回車（enter），瀏覽網(wǎng)頁，我們可以得到wireshark捕獲的數(shù)據(jù)如圖8-2-3所示。網(wǎng)絡(luò)空間安全技術(shù)實踐教程78.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（1）抓取TCP協(xié)議數(shù)據(jù)包

我們雙擊第6個和第7個數(shù)據(jù)包，可以看到TCP協(xié)議的具體包結(jié)構(gòu)（如圖8-2-4和圖8-2-5所示）。網(wǎng)絡(luò)空間安全技術(shù)實踐教程88.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（2）分析TCP數(shù)據(jù)包信息及包結(jié)構(gòu)

我們抓取的TCP數(shù)據(jù)包，通過分析，我們可以看到TCP包有以下結(jié)構(gòu)：

1>SourcePort（源端口號）：53805

源端口號標(biāo)識了發(fā)送主機(jī)的進(jìn)程。

2>DestinationPort（目的端口號）：80

目標(biāo)端口號標(biāo)識接受方主機(jī)的進(jìn)程。

3>Sequencenumber（序列號）：2c3ccaeb（16進(jìn)制表示）

序列號用來標(biāo)識從

TCP源端向

TCP目的端發(fā)送的數(shù)據(jù)字節(jié)流，它表示在這個報文段中的第一個數(shù)據(jù)包的順序號。如果將字節(jié)流看作在兩個應(yīng)用程序間的單向流動，則

TCP用順序號對每個數(shù)據(jù)包進(jìn)行計數(shù)。網(wǎng)絡(luò)空間安全技術(shù)實踐教程98.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（2）分析TCP數(shù)據(jù)包信息及包結(jié)構(gòu)

4>Acknowledgenumber（確認(rèn)號）：2c3ccaec（16進(jìn)制表示）

確認(rèn)號包含發(fā)送確認(rèn)的一端所期望收到的下一個數(shù)據(jù)包順序號。因此，確認(rèn)序號應(yīng)當(dāng)是上次已成功收到數(shù)據(jù)包順序號加

1（此處2c3ccaeb+1=2c3ccaec）。只有

ACK標(biāo)志為

1時確認(rèn)序號字段才有效。

5>HeaderLength（頭長度）：44bytes

頭長度是TCP首部的長度，最大為15*4=60字節(jié)。網(wǎng)絡(luò)空間安全技術(shù)實踐教程108.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（2）分析TCP數(shù)據(jù)包信息及包結(jié)構(gòu)

6>Flags（標(biāo)志）：0x002（SYN）

在TCP首部中有6個標(biāo)志比特。他們中的多個可同時被置為1。

URG：緊急指針(urgentpointer)有效

ACK：確認(rèn)序號有效

PSH：指示接收方應(yīng)該盡快將這個報文段交給應(yīng)用層而不用等待緩沖區(qū)裝滿

RST：一般表示斷開一個連接

SYN：同步序號用來發(fā)起一個連接

FIN：發(fā)送端完成發(fā)送任務(wù)(即斷開連接)網(wǎng)絡(luò)空間安全技術(shù)實踐教程118.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（2）分析TCP數(shù)據(jù)包信息及包結(jié)構(gòu)

7>Window（窗口）：65535

窗口的大小，表示源端主機(jī)一次最多能接受的字節(jié)數(shù)。

8>Checksum（校驗和）：0x6a2a

校驗和覆蓋了整個的TCP報文段:TCP首部和TCP數(shù)據(jù)。這是一個強(qiáng)制性的字段，一定是由發(fā)送端計算和存儲，并由收端進(jìn)行驗證。

9>Urgentpointer（緊急指針）：0

只有當(dāng)URG標(biāo)志置為1時緊急指針才有效。緊急指針是一個正的偏移量，和序號字段中的值相加表示緊急數(shù)據(jù)最后一個字節(jié)的序號。TCP的緊急方式是發(fā)送端向另一端發(fā)送緊急數(shù)據(jù)的一種方式。網(wǎng)絡(luò)空間安全技術(shù)實踐教程128.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（2）分析TCP數(shù)據(jù)包信息及包結(jié)構(gòu)

10>Options（選項）：24bytes

選項主要有以下內(nèi)容：

Maximumsegmentsize（最大報文段長度）:用于在連接開始時確定MSS的大小。

Windowscale（窗口擴(kuò)大因子）:當(dāng)通信雙方認(rèn)為首部的窗口值還不夠大的時候，在連接開始時用這個來定義更大的窗口。僅在連接開始時有效。一經(jīng)定義，通信過程中無法更改。

無操作字段（NOP,0x01），占1B，也用于填充，放在選項的開頭網(wǎng)絡(luò)空間安全技術(shù)實踐教程138.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（2）分析TCP數(shù)據(jù)包信息及包結(jié)構(gòu)

10>Options（選項）：24bytes

選項結(jié)束字段（EOL，0x00），占1B，一個報文段僅用一次。放在末尾用于填充，用途是說明首部已經(jīng)沒有更多的消息，應(yīng)用數(shù)據(jù)在下一個32位字開始處。

Timestamps（時間戳）：應(yīng)用測試RTT和防止序號繞回。

允許SACK選項：提供了在RFC2018中描述的支持功能，以便解決與擁擠和多信息包丟失有關(guān)的問題。假如是一個沒有帶SACK的TCP，那么接收TCP應(yīng)用程序只能確認(rèn)按順序接收數(shù)據(jù)包，而丟棄最后一個未確認(rèn)包之后的其他數(shù)據(jù)包，這可能導(dǎo)致大量的數(shù)據(jù)包重傳；但是一個帶SACK的TCP，則可以只重傳丟失的數(shù)據(jù)包，以保證更好的傳輸效率。網(wǎng)絡(luò)空間安全技術(shù)實踐教程148.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（3）分析TCP協(xié)議“三次握手”過程

TCP協(xié)議通過“三次握手”過程來確認(rèn)連接，我們抓取了三次握手的數(shù)據(jù)包（如圖8-2-6），分別點擊第6個、第7個和第8個數(shù)據(jù)包，分析“三次握手”具體流程：

網(wǎng)絡(luò)空間安全技術(shù)實踐教程158.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（3）分析TCP協(xié)議“三次握手”過程

1>第一次握手（如圖8-2-7）：客戶端發(fā)送一個TCP，標(biāo)志位為[SYN]，序列號Seq（Sequencenumber）相對值為0，F(xiàn)lags中Syn為1。代表用戶請求建立連接。網(wǎng)絡(luò)空間安全技術(shù)實踐教程168.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（3）分析TCP協(xié)議“三次握手”過程

2>第二次握手（如圖8-2-8）：服務(wù)器發(fā)回確認(rèn)包，標(biāo)志位為[SYN]、[ACK]，將確認(rèn)序號ACK（Acknowledgenumber）設(shè)為Seq+1（即為1），F(xiàn)lags中Acknowledgement為1，Syn為1。網(wǎng)絡(luò)空間安全技術(shù)實踐教程178.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（3）分析TCP協(xié)議“三次握手”過程

3>第三次握手（如圖8-2-9）：客戶端再次發(fā)送確認(rèn)包（ACK），序列號（Sequencenumber）、確認(rèn)序號（Acknowledgementnumber）均為1，F(xiàn)lags中Acknowledgement為1，Syn為0。

通過三次握手，TCP建立成功，然后雙方可以進(jìn)行通信。網(wǎng)絡(luò)空間安全技術(shù)實踐教程188.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（4）分析TCP協(xié)議“四次揮手”過程

TCP協(xié)議通過“四次揮手”過程來斷開連接，我們抓取了四次揮手的數(shù)據(jù)包（如圖8-2-10），分別點擊第639個、第640個、第641個和第642個數(shù)據(jù)包，分析“四次揮手”具體流程：

網(wǎng)絡(luò)空間安全技術(shù)實踐教程198.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（4）分析TCP協(xié)議“四次揮手”過程

1>第一次揮手（如圖8-2-11）：客戶端發(fā)送一個標(biāo)志位為[FINACK]的數(shù)據(jù)包，序列號（Sequencenumber）為1340，F(xiàn)lags中Acknowledgement為1，F(xiàn)in為1。請求關(guān)閉客戶端到服務(wù)器的數(shù)據(jù)傳送。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程208.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（4）分析TCP協(xié)議“四次揮手”過程

2>第二次揮手（如圖8-2-12）：服務(wù)器收到客戶端的Fin，它發(fā)回一個ACK，確認(rèn)序號為收到的序號+1，即ACK=Seq+1=1341。Flags中Acknowledgement為1。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程218.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（4）分析TCP協(xié)議“四次揮手”過程

3>第三次揮手（如圖8-2-13）：客戶端收到服務(wù)器發(fā)送的Fin=1，用來關(guān)閉服務(wù)器到客戶端的數(shù)據(jù)傳送。Flags中Acknowledgement為1，F(xiàn)in為1。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程228.2TCP和UDP協(xié)議分析實驗實驗步驟：1）抓取TCP協(xié)議數(shù)據(jù)包并分析

（4）分析TCP協(xié)議“四次揮手”過程

4>第四次揮手（如圖8-2-14）：客戶端收到Fin后，發(fā)送一個ACK給服務(wù)器，確認(rèn)序號（Acknowledgementnumber）為收到的序列號（Sequencenumber）+1，即ACK=Seq+1=4998，F(xiàn)lags中Acknowledgement為1。

服務(wù)器關(guān)閉，四次揮手完成。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程238.2TCP和UDP協(xié)議分析實驗實驗步驟：2）抓取UDP協(xié)議數(shù)據(jù)包并分析

（1）抓取UDP協(xié)議數(shù)據(jù)包

我們仿照“1）抓取TCP協(xié)議數(shù)據(jù)包并分析中的（1）抓取TCP協(xié)議數(shù)據(jù)包”的流程，可以抓取到DNS數(shù)據(jù)包（如圖8-2-15），因為DNS屬于應(yīng)用層協(xié)議，其傳輸層是UDP協(xié)議，故我們可以分析UDP數(shù)據(jù)包如下。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程248.2TCP和UDP協(xié)議分析實驗實驗步驟：2）抓取UDP協(xié)議數(shù)據(jù)包并分析

（1）抓取UDP協(xié)議數(shù)據(jù)包

我們雙擊第18個數(shù)據(jù)包，可以看到UDP協(xié)議的數(shù)據(jù)包結(jié)構(gòu)（如圖8-2-16）：

網(wǎng)絡(luò)空間安全技術(shù)實踐教程258.2TCP和UDP協(xié)議分析實驗實驗步驟：2）抓取UDP協(xié)議數(shù)據(jù)包并分析

（2）分析UDP數(shù)據(jù)包信息及包結(jié)構(gòu)

我們抓取的UDP數(shù)據(jù)包，通過分析，我們可以看到UDP包有以下結(jié)構(gòu)：

1>SourcePort（源端口號）：64677

源端口號標(biāo)識了發(fā)送主機(jī)的進(jìn)程。

2>DestinationPort（目的端口號）：53

目標(biāo)端口號標(biāo)識接受方主機(jī)的進(jìn)程。

3>Length（長度）占用2個字節(jié)，標(biāo)識UDP整個數(shù)據(jù)包的長度。

4>Checksum（校驗和）:包含UDP頭和數(shù)據(jù)部分。

網(wǎng)絡(luò)空間安全技術(shù)實踐教程