数据采集技术(初级)课件版项目7：分析网络数据报.pptx

《数据采集技术(初级)课件版项目7：分析网络数据报.pptx》由会员分享，可在线阅读，更多相关《数据采集技术(初级)课件版项目7：分析网络数据报.pptx（94页珍藏版）》请在三一办公上搜索。

1、项目7分析网络数据报,CONTENTS,任务一：安装Wireshark任务二：分析基础的网络数据任务三：分析ARP和IP任务四：分析TCP任务五：分析HTTP,项目情景,学习目标,【知识目标】了解计算机网络的概念及发展历史掌握计算机网络的分类；掌握ARP缓存表和报文格式掌握TCP三次握手的流程掌握TCP数据报的格式了解HTTP概述及工作原理掌握HTTP请求和响应报文的格式,【技能目标】熟悉Wireshark下载地址并安装Wireshark能够使用Wireshark分析ARP能够使用Wireshark分析 IP能够使用Wireshark分析TCP能够使用Wireshark分析HTTP,从浏览器地

2、址栏输入后敲下回车，直到浏览器呈现信息，这个过程到底发生了什么？,任务一：安装Wireshark 任务描述,使用Wireshark分析网络数据，使用Wireshark的前提是安装该软件。本任务是下载安装Wireshark。安装Wireshark软件的思路如下：（1）打开Wireshark官网，找到需要下载的软件版本进行下载。（2）安装Wireshark软件并验证是否成功安装。,任务一：安装Wireshark 知识储备,1.计算机网络的概念及发展历史（1）计算机网络的概念计算机网络是将分布在的多个计算机系统通过通信线路进行连接，共同遵循某个网络协议，从而实现信息互通和资源共享的系统。（2）计算机

3、发展历史由于计算技术、通信技术、光电技术等迅速的发展，形成了计算机网络。计算机网络经过40多年的发展，已经成为现代社会不可或缺的重要技术。计算机网络的发展经历了4代。分别是:第一代计算机网络（面向终端的计算机通信网）第二代计算机网络（自主功能的主机互联的计算机网络）第三代计算机网络（遵循国际标准化协议的计算机网络）第四代计算机网络（互联、高速和智能化的网络）,任务一：安装Wireshark 知识储备,（1）第一代计算机网络在20世纪50至60年代计算机网络处于第一代，也被称为面向终端的计算机通信网，主要特点为以主机为中心，面向终端；分时访问和使用中央服务器上的信息资源；中央服务器的性能和运算速

4、度决定连接终端用户的数量。第一代的计算机网络结构如图所示。,2.计算机网络的概念及发展历史,任务一：安装Wireshark 知识储备,（2）第二代计算机网络在20世纪60年代至70年代计算机网络属于第二代，采用存储转发的方式与交换分组技术实现计算机间的通信。该阶段计算机网络有如下特点：以通信子网为中心，实现了“计算机计算机”的通信。ARPAnet的出现，为Internet以及网络标准化建设打下了坚实的基础。大批公用数据网的出现。局域网的成功研制。,2.计算机网络的概念及发展历史,任务一：安装Wireshark 知识储备,（3）第三代计算机网络20世纪80年代计算机网络术语第三代，即计算机网络的

5、标准化时代。国际标准化组织（International Organization for Standardization，ISO）经过多年努力，制定了“开放系统互联参考模型”（Open System Interconnection Reference Model，OSI/RM），即ISO国际电工委员会IEO制定和公布的ISO/IEC7498国际标准。,2.计算机网络的概念及发展历史,任务一：安装Wireshark 知识储备,（4）第四代计算机网络现阶段处于第四代计算机网络，即Internet网络。Internet是全球最大的计算机网络，目前共有180多个国家与Internet相连，4亿多台计算

6、机接入INTERNET，已经超过15亿的用户。Internet是由全球第一个分组交换网络ARPANET发展起来。,2.计算机网络的概念及发展历史,任务一：安装Wireshark 知识储备,3.计算机网络的功能计算机网络给人们的生活带来了丰富多彩的体验，通过网络，可以进行文字、语音、视频和语音聊天等，同时还可以上网查询资料，在线学习等。计算机网络的基本功能分为 资源共享 数据通信 分布式处理 网络综合服务,任务一：安装Wireshark 知识储备,4.计算机网络分类计算机网络可以根据不同的标准进行分类，已经出现的分类方式有4种，分别是按照网络的覆盖范围分类按照网络的拓扑结构分类按照传输技术分类按

7、照交换方式分类,任务一：安装Wireshark 知识储备,4.计算机网络分类按照网络的覆盖范围分类按照网络的覆盖范围可以分为四种类型分别是局域网、城域网、广域网和互联网，是目前网络分类中最为常用的一种分类方式。局域网是计算机通过高速线路相连组成的网络，通常由一个单位或组织自行建设和拥有，覆盖范围从几米到几公里不等。局域网地理覆盖范围较小、局域网结构示例图。特点：有限的举例，具有较好的性能（范围小），易于维护。,任务一：安装Wireshark 知识储备,4.计算机网络分类按照网络的覆盖范围分类城域网是对局域网的延伸，用来连接局域网，在传输介质和布线结构方面牵涉范围较广，介于局域网和广域网之间的一

8、种高速网络，规模局限在一座城市的范围。,任务一：安装Wireshark 知识储备,4.计算机网络分类按照网络的覆盖范围分类广域网（Wide Area Network，WAN）广域网也称远程网，其覆盖的地理范围从数百公里至数千公里，甚至上万公里。可以是一个地区或一个国家，甚至世界几大洲，故称远程网。特点：接入广域网需要申请。,任务一：安装Wireshark 知识储备,4.计算机网络分类按照网络的覆盖范围分类互联网在网络应用迅猛发展的今天，互联网已成为现代人每天都要打交道的一种网络。无论从地理范围，还是从网络规模来讲，互联网最大的一种网络。从地理范围来说，互联网可以是全球计算机的互连。,任务一：安

9、装Wireshark 知识储备,4.计算机网络分类按照网络的拓扑结构分类计算机网络的拓扑结构就是用网络的站点与连接线的几何关系来表示网络的结构，主要分为总线型、星型、树型、环型和网状型。,任务一：安装Wireshark 知识储备,4.计算机网络分类按照网络的拓扑结构分类总线型拓扑结构中的所有连网设备共用一条物理传输线路，所有的数据发往同一条线路，并能够由连接在线路上的所有设备感知。（广播式网络）,任务一：安装Wireshark 知识储备,4.计算机网络分类按照网络的拓扑结构分类星型拓扑结构星型拓扑结构是以一台中心处理机（通信设备）为主而构成的网络，星型拓扑结构如图。例如：主机客户机统一连接在交

10、换机，应用比较广泛。,星型拓扑结构的特点如下。网络结构简单，便于管理（集中式）。每台计算机均需物理线路与处理机互连，线路利用率低。处理机负载重（需处理所有的服务），因为任何连网设备之间交换信息，都必须通过中心处理机。联网主机故障不影响整个网络的正常工作，中心处理机的故障将导致网络的瘫痪。,任务一：安装Wireshark 知识储备,4.计算机网络分类按照网络的拓扑结构分类树型拓扑结构树型拓扑结构是以上两种网络结构的综合，是一种分层结构，可以看做是星型拓扑的一种扩展，适用于分级管理和控制的网络系统。它将网络中的所有站点按照一定的层次关系连接起来，就像一棵树一样，由根节点、叶节点和分支节点组成。树型

11、拓扑结构如图所示。,任务一：安装Wireshark 知识储备,4.计算机网络分类按照网络的拓扑结构分类环型拓扑结构环型拓扑结构中连网设备通过转发器接入网络，每个转发器仅与两个相邻的转发器有直接的物理链路。环型拓扑结构如图所示。在环型拓扑中，各节点和通信线路连接形成的一个闭合的环。环中的数据按照一个方向沿环逐个节点传输，或顺时针方向，或逆时针方向。,环型拓扑结构的特点如下。（1）实时性较好（信息在网中传输的最大时间固定）。（2）每个节点只与相邻两个节点有物理链路。（3）传输控制机制比较简单（4）某个节点的故障将导致物理瘫痪。（5）单个环网的节点数有限。环型拓扑结构适用场合：LAN、实时性要求较高

12、的环境。,任务一：安装Wireshark 知识储备,4.计算机网络分类按照网络的拓扑结构分类网状拓扑结构在网状拓扑结构中，网络的每台设备之间均有点到点的链路连接，这种连接不经济，只有每个站点都要频繁发送信息时才使用这种方法。它的安装也复杂，但系统可靠性高，容错能力强。有时也称为分布式结构。,网状结构节点特点优点：可靠性高，易于扩充，组网灵活缺点：费用高，结构复杂，维护困难,任务一：安装Wireshark 知识储备,4.计算机网络分类按照网络的拓扑结构分类混合拓扑结构,任务一：安装Wireshark 知识储备,4.计算机网络分类按照传输技术分类计算机网络根据传输任务不同分为广播式网络和点对点网络

13、。广播式网络若某个分组发出以后，共享一个通信信道，网络上的每一台机器都接收并处理它，则称这种方式广播（Broadcasting），若分组是发送给网络中的某些计算机，则被称为多点播送或组播（Multicasting），若分组只发送给网络中的某一台计算机，则称为单播(Unicasting)。,任务一：安装Wireshark 知识储备,4.计算机网络分类按照传输技术分类计算机网络根据传输任务不同分为广播式网络和点对点网络。点对点网络（Piont-to-Piont Network）点对点网络和广播式网络相反，两条计算机之间通过一条物理线路连接。只有目的节点是能收到的，其他节点收不到。,任务一：安装Wi

14、reshark 知识储备,4.计算机网络分类按照交换方式分类计算机网络按照交换方式分类可以分为分组交换网、报文交换网、电路交换网和混合交换网4种。（1）电路交换网：由通信双方共同建立连接，进行通信。回话过程中双方共同占有通信线路。（2）分组交换网：传输的数据单元是数据报，发送方将数据拆分后封装打包进行发送，接收方进行数据解包。（3）报文交换网：和分组交换网类似，但传输数据的单元没有最大长度限制。（4）混合交换网：集合了前3种交换技术的优点，实际应用更为广泛。,任务一：安装Wireshark 知识储备,4.计算机网络分类按照交换方式分类电路交换网由通信双方共同建立连接，进行通信。回话过程中双方共

15、同占有通信线路。最典型电路交换网络：电话网络。电路交换在通信之前，要在通信双方之间建立一条被双方独占的物理通路。,优点：通信线路双方专用，数据直达，传输时延非常小 通路一旦建立，双方可以随时通信，实时性强 双方按发送顺序传送数据，不存在失序问题 既适用于传输模拟信号，也适用于传输数字信号 交换设备及控制简单,任务一：安装Wireshark 知识储备,4.计算机网络分类按照交换方式分类报文交换报文：源（应用）发送信息整体。比如要发送一个文件，那么这个文件的信息就是要发送的报文。以报文为数据交换的单位，报文携带有目标地址、源地址等信息，在交换结点采用存储转发的传输方式。,优点：不需建立专用的通信线

16、路，用户可随时发送报文 通信双方不固定占有一条通路，线路利用率高,任务一：安装Wireshark 知识储备,4.计算机网络分类按照交换方式分类分组交换分组：报文分拆出来的一系列相对较小的数据包分组交换需要报文的拆分与重组。分组交换相对于报文交换会产生额外开销，因为要进行数据的拆分和重组。仍采用存储转发方式，将报文分割成若干个组，将这些组逐个发送出去。,优点：加速了数据在网络中的传输简化了存储管理减少了出错几率和重发数据量,混合交换网集合了前3种交换技术的优点，实际应用更为广泛。,任务一：安装Wireshark 知识储备,4.计算机网络分类按照交换方式分类,任务一：安装Wireshark 任务步

17、骤,下载Wireshark软件（此处以Windows为例）。打开Wireshark官网，下载对应版本的Wireshark软件。安装方式一 根据安装向导完成安装。安装方式二 直接解压Wireshark-win64-3.2.5.exe，将解压目录 Wireshark-win64-3.2.5_ 作为软件安装目录。运行这个目录里的Wireshark.exe，就可以启动Wireshark。,任务二：分析基础的网络数据 任务描述,安装Wireshark后，需要使用Wireshark进行数据的抓取和分析，本任务是使用Wireshark实现对网站数据的抓取。使用Wireshark实现网络数据分析思路如下：（1

18、）打开Wireshark软件。（2）配置捕获接口。（3）打开CMD，ping。（4）抓取ping 网站的数据。（5）分析ping 网站的数据有哪几个网络协议。,任务二：分析基础的网络数据 知识储备,1.网络协议概念在计算机网络中，需要为了交换数据和控制信息能够有条不紊的进行，每个节点之间都要遵守一些事先约定好的规则，这些为网络数据交换而制定的规则、约定与标准被称为网络协议（protocol）。对数据在机器之间传输时的表示方法进行定义和描述的标准，规定了如何进行传输、如何检测错误以及如何传输确认信息。网络协议主要由语法、语义和时序3个元素组成。语法：数据的控制信息的结构或格式 语义：需要发生何种

19、控制信息，完成何种动作以及做出何种应答 同步：事件实现顺序的详细说明,任务二：分析基础的网络数据 知识储备,2.OSI模型OSI 参考模型共划分为7层，从下到上依次为：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。如图所示，图中虚线连接表示同层之间的协议，实线表示数据流。,任务二：分析基础的网络数据 知识储备,2.OSI模型（1）物理层（Physical Layer）物理层是OSI模型的第一层或最低层，这一层包括参与数据传输的物理设备，如电缆和交换机。同时还负责将数据转换为位流，也就是由 1 和 0 构成的字符串，在这一层，数据还没有被组织，仅作为初始的位流或电气电压处理，单位是

20、bit(比特)。（2）数据链路层（Data Link Layer）数据链路层位于网络层和物理层之间，负责相邻节点间的数据传输，要解决将比特组合成帧（Frame）和差错控制等问题。帧是数据链路层的数据单元，即在数据链路层按帧进行传输。数据链路层中常用的设备有网卡、网桥和交换机。（3）网络层（Network Layer）网络层负责促进两个不同网络之间的数据传输。如果两台通信设备位于同一网络，则不需要使用网络层。网络层在发送设备上将传输层发出的数据段分解更小的单元（称为数据报），再在接收设备上重组这些数据报。网络层还要确定数据到达目标的最佳物理路径，人们将此称为路由。网络层控制着通信子网，所谓通信子

21、网就是实现路由和数据传输所必需的传输介质和交换组件的集合。典型的网络层协议是网络互连协议（Internet Protocol,IP）。,任务二：分析基础的网络数据 知识储备,2.OSI模型（4）传输层（Transport Layer）传输层是0SI模型中最重要的一层，提供可靠有效的端到端的网络连接。它是两台计算机经过网络进行数据通信时，第一个端到端的层次，起到缓冲作用。当网络层的服务质量不能满足要求时，它将提高服务，以满足高层的要求；而当网络层服务质量较好时，它只需进行很少的工作。另外，它还要处理端到端的差错控制和流量控制等问题，最终为会话提供可靠的，无误的数据传输。（5）会话层（Sessio

22、n Layer）会话层负责在网络中的两节点之间建立和维持通信，并保持会话获得同步，它还决定通信是否被中断以及通信中断时决定从何处重新发送。在通信过程汇总数据流方向控制模式有三种，即单工、半双工和全双工。,单工,半双工,全双工,任务二：分析基础的网络数据 知识储备,2.OSI模型（6）表示层（Presentation Layer）表示层的作用是管理数据的解密与加密，如常见的系统口令处理，当你的账户数据在发送前被加密，在网络的另一端，表示层将对接收到的数据解密。另外，表示层还需对图片和文件格式信息进行解码和编码。（7）应用层（Application Layer）简单来说，应用层就是为操作系统或网络

23、应用程序提供访问网络服务的接口，包括文件传输、文件管理以及电子邮件等的信息处理。应用层协议的代表包括：Telnet、FTP、HTTP、SNMP等。,任务二：分析基础的网络数据 知识储备,3.TCP/IPTCP/IP是一个协议系列，或称为协议簇，里面包含IP协议，IMCP协议，TCP协议，以及我们更加熟悉的http、ftp、pop3协议等等。对应OSI模型的层次结构，并且为了实现的简单性，TCP/IP将OSI部分层次的功能合并，合并后共有4层：网络接口层、网络层、传输层和应用层。TCP/IP与OSI参考模型的对应关系如下图所示。,任务二：分析基础的网络数据 知识储备,3.TCP/IP,任务二：分

24、析基础的网络数据 知识储备,3.TCP/IP,任务二：分析基础的网络数据 知识储备,3.TCP/IP（1）应用层应用层决定了向用户提供应用服务时通信的任务。TCP/IP协议族内预存了各类通用的应用服务。比如，FTP（File Transfer Protocol，文件传输协议）和DNS（Domain Name System，域名系统）服务就是其中两类。HTTP协议也处于该层。（2）传输层传输层对上层应用层，提供处于网络连接中的两台计算机之间的数据传输。在传输层有两个性质不同的协议：TCP（Transmission ControlProtocol，传输控制协议）和UDP（User DataProt

25、ocol，用户数据报协议）。,任务二：分析基础的网络数据 知识储备,3.TCP/IP（3）网络层网络层用来处理在网络上流动的数据报。数据报是网络传输的最小数据单位。该层规定了通过怎样的路径（所谓的传输路线）到达对方计算机，并把数据报传送给对方。与对方计算机之间通过多台计算机或网络设备进行传输时，网络层所起的作用就是在众多的选项内选择一条传输路线。（4）链路层（又名数据链路层，网络接口层）用来处理连接网络的硬件部分。包括控制操作系统、硬件的设备驱动、NIC（NetworkInterface Card，网络适配器，即网卡），及光纤等物理可见部分（还包括连接器等一切传输媒介）。硬件上的范畴均在链路层

26、的作用范围之内。,任务二：分析基础的网络数据 知识储备,3.TCP/IP,任务二：分析基础的网络数据 知识储备,RFC,Request for comments 请求评论，是一系列以编号排定的文件。RFC文件格式最初作为ARPA网计划的基础起源于1969年。如今，它已经成为IETF、Internet Architecture Board(IAB）还有其他一些主要的公共网络研究社区的正式出版物发布途径。这是互联网标准化的工作相关的文件。在Internet上，任何一个用户都可以对Internet某一领域的问题提出自己的解决方案或规范，作为Internet草案。目前有以下两个阶段：建议标准(Prop

27、osed Standard)：从这个阶段开始就成为RFC文档。互联网标准(Internet Standard)：达到正式标准后，每个标准就分配到一个编号。RFC文件只有新增，不会有取消或中途停止发行的情形。但是对于同一主题而言，新的RFC文件可以声明取代旧的RFC文件。简言之，RFC就是互联网标准的讨论以及最终确定的会议记录。,https:/www.ietf.org/rfc/,任务二：分析基础的网络数据 知识储备,URI 的 RFC,https:/www.ietf.org/rfc/rfc3986,foo:/:8042/over/there?name=ferret#nose_/_/_/_/_/|

28、scheme authority path query fragment|_|_/urn:example:animal:ferret:nose,“URI可以分为URL,URN或同时具备locators 和names特性的一个东西。URN作用就好像一个人的名字，URL就像一个人的地址。换句话说：URN确定了东西的身份，URL提供了找到它的方式。”,URI：Uniform Resource Identifier，统一资源标识符；URL：Uniform Resource Locator，统一资源定位符；URN：Uniform Resource Name，统一资源名称。,任务二：分析基础的网络数据 任

29、务步骤,第一步：打开Wireshark3.2.2,第二步：选择菜单栏中的“捕获”“选项”，勾选“WLAN”网卡，点击“开始”，启动抓包。,任务二：分析基础的网络数据 任务步骤,第三步：Wireshark启动后，Wireshark处于抓包状态中。,第四步：执行需要抓包的操作。比如ping。,任务二：分析基础的网络数据 任务步骤,第五步：操作完成后相关数据报就抓取到了。,第六步：可以在过滤栏设置过滤条件ip.addr=220.181.38.149，表示只显示ICPM协议且源主机IP或者目的主机IP为220.181.38.149的数据报。效果如图所示。,任务二：分析基础的网络数据 任务步骤,第七步：

30、通过相关的数据报，可以看到TCP的三次握手数据。,任务二：分析基础的网络数据 任务步骤,任务三：分析ARP和IP 任务描述,本任务是通过对ARP和IP相关知识的学习，实现Wireshark分析ARP和IP。使用Wireshark分析ARP和IP思路如下：（1）准备两台物理机，两台物理机之间能够互相通信。（2）使用Wireshark抓取两台物理机通信过程中产生的ARP数据。（3）对数据包进行IP协议过滤。（4）对抓取的IP数据包进行分析。,任务三：分析ARP和IP 知识储备,1.ARP（1）什么是ARPARP（Address Resolution Protocol，地址解析协议）可以通过IP地址

31、获取对应主机的物理地址，是网络层协议。IP地址在OSI模型的第三层，MAC地址在第二层，彼此不直接通信。在通过以太网发送IP数据报时，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为目的主机48位以太网的地址（MAC地址），这就需要在互联层有一个服务或功能将IP地址转换为相应的物理地址（MAC地址），这个服务或者功能就是ARP协议。,任务三：分析ARP和IP 知识储备,1.ARP,（2）ARP报文格式在对ARP协议抓包之后，需要了解ARP报文格式以便清楚分析ARP报文，报文格式如表示。,任务三：分析ARP和IP 知识储备,2.IP,（1）什么是IPIP协议为互联网协议，是I

32、nternet Protocol的缩写，中文缩写为“网协”。IP协议是位于OSI模型中第三层的协议，其主要功能是在一个个IP模块间传送数据报。网络中每个计算机和网关上都有IP模块。（2）IP格式IP地址由32位二进制数值组成（4字节），但为了方便用户的理解和记忆，通常采用点分十进制标记法，即将4字节的二进制数值转换成4个十进制数值，每个数值小于等于255，数值中间用“.”隔开，表示成w.x.y.z的形式，如下图所示。,任务三：分析ARP和IP 知识储备,2.IP,（3）IP地址的分类按照IP规定，Internet上的地址共有A、B、C、D、E共5类，如图所示。,任务三：分析ARP和IP 知识储

33、备,2.IP,（3）IP地址的分类1)A类IP地址A类IP地址网络占据8位，主机占据24位，A类网络个数为126，每个网络可容纳的主机数目是16777214（224-2），其首字节数值的范围为1126。起始为1-126，0、127特殊，127用于回传保留。2)B类IP地址B类IP地址网络占据16位，主机占据16位。B类网络个数为16384（214），每个网络可容纳的主机数目是65534（216-2），其首字节数值的范围为128191。3)C类IP地址C类IP地址网络占据24位，主机占据8位。C类网络个数为2097152（221），每个网络可容纳的主机数目是254（28-2），其首字节数值的范围

34、为192223。4)D类IP地址D类IP地址用于组播，其首字节数值的范围为224239。5)E类IP地址E类IP地址用作试验，其首字节数值的范围为240247。,任务三：分析ARP和IP 知识储备,2.IP,（3）IP地址的分类,任务三：分析ARP和IP 知识储备,2.IP,（4）IP数据报TCP/IP协议定义了一个在因特网上传输的包，成为IP数据报。IP数据报是一个与硬件无关的虚拟包，由首部（header）和数据两部分组成，首部部分主要包括版本、长度和IP地址等信息。数据部分一般用来传送其他的协议，如TCP、UDP和ICMP等。IP数据报首部格式如图所示。,任务三：分析ARP和IP 任务步骤

35、,任务准备：PC1：物理机Win10系统（IP地址：192-168.10.111）PC2：物理机Win7系统（IP地址：192-168.31.134）说明：此处PC2可以用虚拟机。,任务三：分析ARP和IP 任务步骤,第一步：打开Wireshark3.2.2，根据实验环境选择捕获选项。,第二步：点击“开始”按钮，效果如图，此时没有捕获到任何包，因使用捕获过滤器，仅捕获ARP包。,任务三：分析ARP和IP 任务步骤,第三步：在PC2上执行以下命令，并输出如下信息。,在Wireshark中查看抓包记录，如图所示。,任务三：分析ARP和IP 任务步骤,第四步：查看捕获的ARP数据报，如图所示。,1.

36、第一行为ARP请求包，包含第一帧数据报的详细信息，其中包的大小为42字节。2.第二行为以太网帧头部信息，包括源MAC地址，目标地址，这里的目标地址为广播地址3.第三行表示地址解析协议内容,具体infomation分析。,任务三：分析ARP和IP 任务步骤,具体infomation分析。,任务三：分析ARP和IP 任务步骤,第五步：选择作为目标地址。在命令提示符中输入代码，效果如图所示。,第六步：在过滤栏设置过滤条件ip.addr=39.156.69.79,任务三：分析ARP和IP 任务步骤,第七步：分析过滤的IP数据，如图。,任务四：分析TCP 任务描述,本任务是使用Wireshark分析TC

37、P。使用Wireshark分析TCP思路如下：（1）在Wireshark找到TCP协议相关数据。（2）分析TCP数据报,任务四：分析TCP 知识储备,1.TCP（1）TCP简介TCP（Transmission Control Protocol，传输控制协议）是一种基于IP的传输层、面向连接的、可靠的协议，其主要作用是为应用层提供一个可靠的（保证传输的数据不重复、不丢失）、面向连接的、全双工的数据流传输服务。TCP的工作过程如图所示，使用IP传递信息。每一个TCP信息被封装在一个IP数据报中并通过互联网传送。,任务四：分析TCP 知识储备,1.TCP（2）TCP数据报,源端口和目的端口：分别与源

38、IP地址和目的IP地址一起标识TCP连接的两个端点。序号：TCP段中第一个字节的序号。确认序号：准备接收的下一个字节序号。头长：包括固定头和选项头。保留：保留为今后使用，目前设置为0。标识：包括紧急比特URG和确认比特ACK等一组位标识，用于识别当前信息传递的状态。窗口大小：TCP使用可变长度的滑动窗口进行流量控制，窗口大小表明发送方可以发送的字节数（从确认序号开始）。校验和：对TCP头、数据及伪头结构进行校验。紧急指针：指出紧急数据的位置（距当前序号的偏移值）。选项：选项可用来提供一些额外的功能。,任务四：分析TCP 知识储备,1.TCP（2）TCP数据报 在对捕获的TCP信息进行过滤时，需

39、要了解TCP的数据报首部格式，TCP首部格式如图所示。,任务四：分析TCP 知识储备,1.TCP（3）TCP建立连接在TCP/IP协议中，TCP协议提供可靠的连接服务，通过使用三次握手建立一个连接。所有基于TCP的通信都需要以两台主机的握手开始。其“三次握手”原理如图所示,任务四：分析TCP 知识储备,1.TCP（3）TCP建立连接,任务四：分析TCP 知识储备,1.TCP（3）TCP建立连接,任务四：分析TCP 知识储备,1.TCP（4）TCP 结束连接 四次挥手,任务四：分析TCP 知识储备,1.TCP（4）TCP 结束连接 四次挥手,任务四：分析TCP 知识储备,2.UDP（1）UDP简

40、介,UDP是User Datagram Protocol（用户数据报协议）的简称。它是OSI七层模型中一种无连接的传输层协议，处于IP协议的上一层协议。使用UDP传输与IP传输非常类似，可将UDP协议看作是IP协议暴露在传输层的一个接口。UDP协议的主要作用就是将网络数据流量压缩成数据报的形式。一个典型的数据报就是一个二进制数据的传输单位。每一个数据报的前8字节用来包含包头信息，剩余字节则用来包含具体的传输数据。,任务四：分析TCP 知识储备,2.UDP（2）UDP首部格式,UDP的数据报同样分为头部（header）和数据（payload）两部分。因UDP是传输层（transport laye

41、r）协议，所以UDP的数据报需要经过IP协议的封装encapsulation），然后通过IP协议传输到目的电脑，随后UDP包在目的电脑拆封，并将信息送到相应端口的缓存中。,1)源端口：用来传输数据报的端口。2)目标端口：数据报将要被传输到的端口。3)数据报长度：数据报的字节长度。4)校验和：用来确保UDP首部和数据到达时的完整性。5)数据：被UDP封装进去的数据，包含应用层协议头部和用户发出的数据。,任务四：分析TCP 任务步骤,第一步：对抓取的数据报进行TCP分析。如图所示，可知TCP经过三次握手。,任务四：分析TCP 任务步骤,第二步：分析TCP三次握手,（1）点击第21行的数据，出现如图

42、所示的数据，客户端发送一个TCP，标志位为SYN，序列号为0，代表客户端请求建立连接。此时TCP经过第一次握手。,任务四：分析TCP 任务步骤,第二步：分析TCP三次握手,（2）第二次握手如图所示，服务器发回确认包,标志位为 SYN，ACK。将确认序号（Acknowledgement Number）设置为客户的ISN加1。即0+1=1。,任务四：分析TCP 任务步骤,第二步：分析TCP三次握手,（3）第三次握手如图所示。客户端再次发送确认包（ACK）SYN标志位为0，ACK标志位为1。并且把服务器发来ACK的序号字段+1，放在确定字段中发送给对方.并且在数据段放写ISN的+1。,任务五：分析H

43、TTP 任务描述,本任务是使用Wireshark分析HTTP。使用Wireshark分析HTTP思路如下：（1）设置HTTP过滤条件。（2）获取HTTP数据包。（3）分析HTTP数据包。,任务五：分析HTTP 知识储备,1.HTTP工作原理HTTP是一个标准的B/S（浏览器服务器模型），由请求和响应构成，响应方式是由客户端发起，服务器回送响应。HTTP不需要浏览器和服务器之间建立持久的连接，也就是说浏览器（客户端）向服务器端发送请求后，一旦服务器返回响应，连接就进行关闭，所有HTTP连接都被构造成一套请求和应答，一次HTTP操作称为一次事务，其工作流程如图所示。,任务五：分析HTTP 知识储备

44、,1.HTTP工作原理,1)建立TCP连接为确保数据的可靠性传输，TCP要在进程间建立传输连接，用来确定通信双方都确定对方为自己的传输连接端点。2)Web浏览器向Web服务器发送请求命令Web浏览器向服务器发出请求，请求地址为一个URL地址，通过这个地址可以分解出协议名、主机名、端口、对象路径等相关信息。比如：http:/localhost:8080/index.html，对该地址解析如下：协议名：http。主机名：localhost，可以根据这个地址得出主机的IP地址。端口：8080。对象路径：/index.html。,任务五：分析HTTP 知识储备,1.HTTP工作原理,3)请求头文件在浏

45、览器输入URL回车后，DNS域名解析器解析到服务器的IP地址，之后再发送一个空请求，该请求用来添加user-agent，host等信息。4)服务器应答服务器接到请求后，先给出对应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息，包括服务器信息、实体信息和可能的内容。5）服务器发送数据实体消息是服务器向浏览器发送头信息后，它会发送一个空白行来表示头信息的发送到此为结束，接着它就以Content-Type应答头信息所描述的格式发送用户所请求的实际数据。6）服务器关闭TCP连接一般情况下，一旦Web服务器向浏览器发送了请求数据，它就要关闭TCP 连接，如

46、果浏览器或者服务器在其头信息加入了代码Connection:keep-alive，用来保持连接一直处于开启状态，其目的是节省每个请求建立新链接的时间，从而节约网络带宽。,任务五：分析HTTP 知识储备,2.HTTP请求报文,HTTP请求报文结构包含请求行、请求头部、空行和请求数据4部分，具体结构如图所示。,任务五：分析HTTP 知识储备,2.HTTP请求报文,HTTP协议在使用TCP传输过程中需要经过三次握手，在三次握手之后，服务器会接收到客户端发送的一个请求报文，请求报文的格式如图,任务五：分析HTTP 知识储备,3.HTTP响应报文,HTTP响应报文包含状态行、响应头、空行和请求数据4部分

47、，具体结构如图所示。,任务五：分析HTTP 知识储备,2.HTTP请求报文,当收到GET或POST等方法发来的请求后，服务器就要对报文进行响应。响应报文的格式如图,任务五：分析HTTP 知识储备,DNS,域名（Domain Name），简称域名、网域是由一串用点分隔的名字组成的，表示Internet上某一台计算机或计算机组的名称。计算机在网络中的通信需要借助于ip地址，但是ip地址即使是点分十进制，依然难以记忆。域名就是为了简化记忆，更加便于使用。域名解析服务，最早于1983年由保罗莫卡派乔斯发明；原始的技术规范在882号因特网标准草案（RFC 882）中发布。1987年发布的第1034和10

48、35号草案修正了DNS技术规范，并废除了之前的第882和883号草案。在此之后对因特网标准草案的修改基本上没有涉及到DNS技术规范部分的改动。,任务五：分析HTTP 知识储备,DNS,迭代查询-我不知道你找XXX去，一直踢皮球递归查询-我去帮你查，一直很仗义主机向本地域名服务器的查询一般都是采用递归查询本地域名服务器向根域名服务器的查询通常是采用迭代查询,任务五：分析HTTP 知识储备,从浏览器地址栏输入后敲下回车，直到浏览器呈现信息，这个过程到底发生了什么？,任务五：分析HTTP 任务步骤,第一步：对抓取的数据报设置过滤条件，进行HTTP分析。设置过滤条件，http and ip.addr=192.168.10.111【a】http：指定网络协议。【b】ip.addr=192.168.10.111：指定服务器IP地址。过滤得到两个数据报，分别是HTTP请求和HTTP响应,任务五：分析HTTP 任务步骤,第二步：查看TCP数据流。在任意数据报上右击，选择“追踪流”“TCP流”。该步骤可以过滤出和该HTTP数据报有关的TCP数据报，包含TCP的3次握手，TCP分片和组装。如图所示。,任务五：分析HTTP 任务步骤,第三步：选择“追踪流”“TCP流”效果如图所示。红色背景字体为HTTP请求，蓝色背景字体为HTTP响应。由图可知，HTTP请求状态和响应状态。,