书签分享收藏举报版权申诉 / 82

立即下载加入VIP免费专享

当前位置：首页 > 生活休闲 > 在线阅读 > 实验12网络嗅探与协议分析.ppt

实验12网络嗅探与协议分析.ppt

上传人：牧羊曲112

文档编号：6270144

上传时间：2023-10-12

格式：PPT

页数：82

大小：856.50KB

《实验12网络嗅探与协议分析.ppt》由会员分享，可在线阅读，更多相关《实验12网络嗅探与协议分析.ppt（82页珍藏版）》请在三一办公上搜索。

1、2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,2,12.1 实验目的,12.1.1 通过网络嗅探了解网络数据类型，了解网络工作原理；12.1.2 通过实验理解并掌握网络嗅探工具 Wireshark 的使用；通过实验理解并掌握 TCP/IP 体系结构及其协议分析方法；12.1.4 通过实验理解并掌握 FTP 协议的工作原理；12.1.5 通过实验理解并掌握 Telnet 协议的工作原理；,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,3,

2、12.1 实验目的（续）,12.1.6 通过实验理解并掌握 HTTP 协议的工作原理；12.1.7 通过实验理解并掌握 DNS 协议的工作原理；12.1.8 通过实验理解并掌握 ARP 协议的工作原理；12.1.9 通过实验理解并掌握 QQ 协议的工作原理12.1.10 通过实验理解并掌握迅雷下载协议的工作原理；12.1.11 通过实验加深对协议格式、协议层次及协议交互过程的理解。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,4,12.2 实验要求,12.2.1 预习实验原理；12.2.2 熟悉实验设备；12.2

3、.3 熟悉实验环境；12.2.4,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,5,12.3 实验原理,12.3.1 网络嗅探基础概述网络嗅探：利用计算机的网络接口截获目的地为其它计算机的数据报文；网络嗅探器：一种监控网络数据的工具，又称 Sniffer 抓包，它工作在网络底层，通过对局域网上传输的各种关键信息进行窃听，从而获取重要信息；一个信息包嗅探器向我们展示出正在网络上进行的活动；,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,6

4、,12.3 实验原理（续）,嗅探借助于网络接口，在正常的情况下，一个网络接口应该只响应：目的 MAC 地址为本机硬件地址的数据帧、向所有设备发送的广播数据帧；网络接口使用网卡的接收模式广播方式：网卡能够接收网络中的广播信息；组播方式：网卡能够接收组播数据；直接方式：只有目的网卡才能接收该数据；混杂模式：网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,7,12.3 实验原理（续）,嗅探的基本原理：如果在编程时将网卡的工作模式设置为“混杂模式”，那么网卡将接受所

5、有传递给它的数据包。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,8,12.3 实验原理（续）,12.3.2 协议分析基础概述协议分析：通过程序分析网络数据包的协议头和尾，从而了解信息和相关的数据包在产生和传输过程中的行为；在典型的网络结构中，网络协议和通信采用的是分层式设计方案，在 OSI 网络结构参考模型中，同层协议之间能相互进行通信；协议分析器的主要功能：分析各层协议头部和尾部，通过多层协议头尾和其相关信息来识别网络通信过程中可能出现的问题的方法，称之为专家分析。,2023/10/12,实验 12 网络嗅探

6、与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,9,12.3 实验原理（续）,网络体系结构,FTP,TCP,IP,Ethernet,Telnet,HTTP,UDP,X.25,PPP,TCP/IP 协议族,TCP/IP 模型,OSI 参考模型,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,10,12.3 实验原理（续）,TCP/IP 的主要协议-协议簇,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,11

7、,12.3 实验原理（续）,数据封装一台计算机要发送数据到另一台计算机，数据首先必须打包，打包的过程称为封装；封装就是在数据前面加上特定的协议头部；,数据,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,12,12.3 实验原理（续）,TCP/IP 协议的封装,TCP头,应用层数据,应用层数据,TCP头,应用层数据,IP头,帧头,TCP头,应用层数据,IP头,帧尾,应用层,传输层,网际层,数链层,网卡地址,IP地址,应用地址（80）,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12

8、网络嗅探与协议分析12 网络嗅探与协议分析,13,12.3 实验原理（续）,12.3.3 常见协议原理IP 协议TCP/IP 协议栈中重要的网际层协议；向高层提供无连接的服务；网际层传输的数据单元是分组，一般称为 IP 数据报；主要功能：从源端经互连网到目的端尽最大努力传输数据报。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,14,12.3 实验原理（续）,固定部分,可变部分,0,4,8,16,19,24,31,版本,标志,生存时间,协议,标识,区分服务,总长度,片偏移,填充,首部

9、检验和,源地址,目的地址,可选字段（长度可变）,位,首部长度,数据部分,数据部分,首部,IP 数据报,IP 数据报格式,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,15,12.3 实验原理（续）,ICMP 协议：Internet Control Message ProtocolIP 协议本身提供无连接的服务，不包括流量控制与差错控制功能；检测网络状态（路由、拥塞、服务质量等问题）；提供多种形式的报文，每个 ICMP 消息报文都被封装于 IP 分组中；PING 是一个典型的基

10、于 ICMP 协议的实用程序。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,16,12.3 实验原理（续）,ICMP 报文格式,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,17,12.3 实验原理（续）,ICMP 报文类型差错报告（网关主机信息传输）信宿（网络、主机、协议、端口）不可达报告超时报告（TTL=0）参数差错报告IP 校验和错误重组失败控制报文（网关主机）源抑制报文重定向报文请求|应答报文(主机主机信息传输)ECHO请求|

11、应答时间戳请求|应答地址掩码请求|应答,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,18,12.3 实验原理（续）,ICMP 回声请求|应答,A,B,B 可以到达吗？,ICMP 回声请求,可以，我在这里。,ICMP 回声应答,用 PING 命令产生的回声及其应答示意图,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,19,12.3 实验原理（续）,ARP 协议地址解析协议；把 IP 地址转换成 MAC 地址。,2023/10/12,实验

12、 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,20,12.3 实验原理（续）,ARP 工作过程每个主机都有一个 ARP 缓存，一旦收到 ARP 应答，主机就将获得的 IP 地址和物理地址存入缓存，发送报文时，首先到缓存中查找相应项，若找不到，再利用 ARP 进行地址解析；在 ARP 请求中填上自己的 IP 地址和硬件地址，以避免其它主机过后再发 ARP 请求；,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,21,12.3 实验原理（续）,当广播 ARP 请求时，

13、网上所有的计算机都能收到该报文，此时各站应更新 A 的 IP 地址到物理地址之间的映射；当网上出现一个新的计算机时，该新的计算机尽可能主动广播它的 IP 地址和物理地址，以避免其它站都运行 ARP。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,22,12.3 实验原理（续）,ARP 数据报格式,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,23,12.3 实验原理（续）,TCP 协议：传输控制协议面向连接；可靠；在源端将上层的数据流划

14、分成段的形式，在目的端将段重新整合成数据流；重传机制；流控制。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,24,12.3 实验原理（续）,TCP首部,20 字节的固定首部,目的端口,数据偏移,检验和,选项（长度可变）,源端口,序号,紧急指针,窗口,确认号,保留,FIN,32 位,SYN,RST,PSH,ACK,URG,位 0 8 16 24 31,填充,TCP 数据部分,TCP 首部,TCP 报文段,IP 首部,发送在前,IP 数据部分,TCP 数据报格式,2023/10

15、/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,25,12.3 实验原理（续）,TCP 选项域,end of options,NOPno operation,MaximumSegment Size,WindowScale Factor,Time Stamp,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,26,12.3 实验原理（续）,建立 TCP 连接：通过三次握手建立一个 TCP 连接，协商一些参数（双方的初始序列号、分段大小等）；,客户机（发起者）

16、,服务器（提供者）,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,27,12.3 实验原理（续）,释放 TCP 连接：通过四次握手释放一个 TCP 连接。,客户机（发起者）,服务器（提供者）,FIN,FIN-ACK,FIN,FIN-ACK,发送数据,Data ack,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,28,12.3 实验原理（续）,UDP 协议：用户数据报协议无连接；不可靠；以用户数据报形式传送信息，在目标端不需要重组数据；

17、不提供确认与流量控制。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,29,12.3 实验原理（续）,UDP 数据报格式,伪首部,源端口,目的端口,长度,检验和,数据,首部,UDP长度,源 IP 地址,目的 IP 地址,0,17,IP 数据报,字节,4,4,1,1,2,12,2,2,2,2,字节,发送在前,数据,首部,UDP 用户数据报,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,30,12.3 实验原理（续）,DNS 协议

18、：域名解析协议，提供域名到主机IP地址的映射；域名服务的三大要素域（Domain）和域名（Domain name）：域指由地理位置或业务类型而联系在一起的一组计算机构成；主机：由域名来标识，域名是由字符和（或）数字组成的名称，用于替代主机的数字化地址（IP 地址）；域名服务器：提供域名解析服务的主机，通常由其 IP 地址标识。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,31,12.3 实验原理（续）,域名解析过程,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分

19、析12 网络嗅探与协议分析,32,12.3 实验原理（续）,DNS 报文格式,报文首部标识：16 bit#用于查询，应答报文使用同样的#标志查询或应答；希望递归；可以递归；授权应答。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,33,12.3 实验原理（续）,DNS 消息格式头部（Header）：包含关于消息性质方面的信息；查询问题（Question）：包含目的服务器请求访问的信息；回答（Answer）：包含用于提供 Question 部分所要求的信息的资源记录；授权（Authority）：包含指向 Questi

20、on 部分所要求信息的权威服务器资源记录；额外信息（Additional）：包含用于回答 Question 部分的其他信息。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,34,12.3 实验原理（续）,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,35,12.3 实验原理（续）,说明：每个 DNS 消息都有一个 Header 部分，只有当 DNS 消息包含数据时，DNS 消息才包含其他 4 个部分。,2023/10/12,实验 12

21、网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,36,12.3 实验原理（续）,DNS 消息的 Question 部分包含首标的 QDCOUNT 字段中设定的项目的数量；大多数情况下，该部分中只有一个选项。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,37,12.3 实验原理（续）,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,38,12.3 实验原理（续）,HTTP 协议：基于客户|服务器

22、模式；客户机的操作GET：检索 URL(用得最多)；HEAD：只检索响应头；POST：向服务器发送数据；PUT：puts page on server（在服务器上放页面）；DELETE：从服务器上删除页面。HTTP 消息请求；响应。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,39,12.3 实验原理（续）,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,40,12.3 实验原理（续）,HTTP 操作客户机发送请求服务器发送响应HTTP

23、-Version:HTTP/1.0 200 OKContent-Length:3012Content-Type:text/html,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,41,12.3 实验原理（续）,HTTP 请求报文格式,消息报头,请求行,HTTP 请求报文结构Crlf：cr 表示回车，lf 表示换行,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,42,12.3 实验原理（续）,HTTP 响应报文格式,消息报头,请求行,HT

24、TP 响应报文结构Crlf：cr 表示回车，lf 表示换行,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,43,12.3 实验原理（续）,HTTP 请求消息格式,Http 请求报文：ASCII（可读格式）,GET/somedir/page.html HTTP/1.0 User-agent:Mozilla/4.0 Accept:text/html，image/gif，image/jpeg Accept-language:fr（extra carriage return，line feed）,2023/10/12,实验

25、 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,44,12.3 实验原理（续）,HTTP 响应消息格式,HTTP/1.0 200 OK Date:Thu，06 Aug 1998 12:00:15 GMT Server:Apache/1.3.0（Unix）Last-Modified:Mon，22 Jun 1998.Content-Length:6821 Content-Type:text/html data data data data data.,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议

26、分析12 网络嗅探与协议分析,45,12.3 实验原理（续）,FTP 协议：基于客户|服务器模式Internet 文件传送的基础；FTP 完成两台计算机之间的拷贝，从远程计算机拷贝文件至本地计算机上，称之为“下载（download）”文件，若将文件从本地计算机中拷贝至远程计算机上，则称之为“上载（upload）”文件；在 TCP/IP 协议中，FTP 标准命令 TCP 端口号为 21，Port 方式数据端口为 20。控制连接在整个会话期间一直保持连接状态。数据连接则是临时建立的，在文件传送结束后即被关闭。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅

27、探与协议分析12 网络嗅探与协议分析,46,12.3 实验原理（续）,FTP 结构图,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,47,12.3 实验原理（续）,FTP 支持的模式：区别在于数据连接是由谁发起；Standard 模式（PORT 方式，主动方式），FTP 的客户端发送 PORT 命令到 FTP 服务器；Passive 模式（PASV，被动方式），FTP 的客户端发送 PASV 命令到 FTP 服务器；,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分

28、析12 网络嗅探与协议分析,48,12.3 实验原理（续）,Port 模式 FTP 客户端首先和 FTP 服务器的 TCP 21 端口建立连接，通过这个通道发送命令；客户端需要接收数据的时候在这个通道上发送 PORT 命令，PORT 命令包含了客户端用什么端口接收数据；在传送数据的时候，服务器端通过自己的 TCP 20 端口连接至客户端的指定端口发送数据；FTP 服务器必须和客户端建立一个新的连接用来传送数据；,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,49,12.3 实验原理（续）,Passive 模式在建立

29、控制通道的时候和 Standard 模式类似，但建立连接后发送的不是 Port 命令，而是 Pasv 命令；FTP 服务器收到 Pasv 命令后，随机打开一个高端端口（端口号大于 1024。主要原因是 1024 以前的端口都已经预先被定义，由一些典型的服务使用或保留给以后会用到这些端口的资源服务）并且通知客户端在这个端口上传送数据的请求；客户端连接 FTP 服务器端口，然后 FTP 服务器将通过这个端口进行数据的传送，这个时候 FTP 服务器不再需要建立一个新的和客户端之间的连接。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅

30、探与协议分析,50,12.3 实验原理（续）,Windows 有自带的 FTP 命令和 IE 浏览器来作为 FTP 的客户端。后者在 IE 的地址栏上输入服务器地址来访问，前者可以在命令窗口下通过 ftp 命令来使用；使用 FTP 命令登录成功远程 FTP 服务器后即进入 FTP 子环境，在这个子环境下，用户可以使用 FTP 的内部命令完成相应的文件传输操作；,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,51,12.3 实验原理（续）,FTP 的命令格式 ftp-v-d-i-n-g-w:windowsize 主

31、机名/IP 地址；参数-v：不显示远程服务器的所有响应信息；-n：限制 ftp 的自动登录；-i：在多个文件传输期间关闭交互提示；-d：允许调试、显示客户机和服务器之间传递的全部 ftp 命令；-g：不允许使用文件名通配符；-w：windowsize 忽略默认的 4096 传输缓冲区。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,52,12.3 实验原理（续）,TELNET 协议：基于客户|服务器模式Telnet 协议是 TCP/IP 协议族中的一员，是 Internet 远程登陆服务的标准协议；应用 Telne

32、t 协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,53,12.3 实验原理（续）,TELNET 协议的基本服务Telnet 定义一个网络虚拟终端为远端系统提供一个标准接口，客户机程序不必详细了解远端系统，只需构造使用标准接口的程序；Telnet 包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项；Telnet 对称处理连接的两端，即 Telnet 不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输出。,2023/10/12,实验 12

33、网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,54,12.3 实验原理（续）,TELNET 协议的应用Windows XP 自带了 Telnet 客户机和服务器程序，分别是 Telnet.exe（客户机程序）和tlntsvr.exe（服务器程序）；TELNET 客户程序为用户提供命令接口。可通过：控制面板-管理工具-服务-启动 TELNET 服务器程序；一旦连接到 TELNET 服务器，用户即可使用任何远程计算机上基于字符的应用程序，查看 TELNET 服务器的信息，和 TELNET 服务器进行数据传输。,2023/10/12,实验 12 网络嗅探

34、与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,55,12.3 实验原理（续）,常见 TELNET 的命令open：使用“open 主机名/IP 地址”可以建立到主机的 Telnet 连接；close：关闭现有的 Telnet 连接；display：查看 Telnet 客户的当前设置；quit：退出 Telnet 客户程序。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,56,12.3 实验原理（续）,QQ 协议：基于客户|服务器模式QQ 好友间消息传送原理基于 UDP 协议来实

35、现的，UDP 数据具有固定端口 8000，这些数据都通过加密的形式在网络中转输；QQ 选择 UDP 协议的主要原因：UDP 的速度比 TCP 要快，由于 TCP 协议中植入了各种安全保障功能，在实际执行的过程中会占用大量的系统开销，无疑使速度受到影响，而 UDP 由于排除了信息可靠传递机制，将安全和排序等功能移交给上层应用来完成，降低了执行时间，使速度得到了保证；,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,57,12.3 实验原理（续）,QQ 的文件传输建立在 TCP 连接之上的，其格式是包头为 0 x04 包

36、尾为 0 x03。基于 UDP 可以用端口再根据协议特征方式识别；而基于 TCP 的 HTTP 方式可以根据数据包的特征识别 QQ 数据；QQ 除了使用 UDP 通信，还与 TCPF 服务器通信，而且与 TCPF 服务器的通信量远远大于 UDP 通信量。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,58,12.3 实验原理（续）,TCPF 文本聊天协议簇TCPF（Text Chatting Protocol Family）文本聊天协议族，主要支持与其它 QQ 端进行文字聊天；TCPF 是建立在 UDP 协议上的协

37、议簇；TCPF 是以请求响应模式工作的，也就是说，客户端发出一个请求，服务器端会给出一个相应的响应；服务器向客户端发送信息，客户端也会给服务器相应的响应。请求和响应通过相同的序列号来进行配对（请求代码也应该相同）。而且每种请求的发起方都是相同的。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,59,12.3 实验原理（续）,TCPF 格式：包头+数据+包尾包头：QQ 协议有多种包头，分别代表一类用途的包，所有的 TCPF 包的前七个字节是包头，从包头可以识别包的内容；第 0 个字节：TCPF 包标示：0 x02；第

38、 1-2 个字节：发送者标识，如果是 0 x01 0 x00，表明是由服务器发送，客户端的标识与所使用的 QQ 版本有关；第 3-4 个字节：命令编号；第 5-6 个字节：命令序列号；包尾：所有的 TCPF 包都以 0 x03 作为包尾；,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,60,12.3 实验原理（续）,TCPF 数据登录请求包 LIP（LogIn Packet）：由客户端向服务器发出登录请求的数据包；登录应答包 LRP（Login Reply Packet）：由服务器响应客户端登录请求的数据包；注销请

39、求包 LOP（LogOut Packet）：由客户端向服务器发出注销登录请求的数据包，服务器对此包不作应答；客户端其它包 CSP（Client Sent Packet）：客户端向服务器发送的其它包；服务器其它包 SSP（Server Sent Packet）：由服务器向客户端发送的其它包。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,61,12.3 实验原理（续）,迅雷下载协议：基于 P2SP 技术的下载软件S 指的是 SERVER，就是在 P2P 的基础上增加了对 SERVER 的资源下载，也就是说 P2SP

40、是一种能同时从多个服务器和多个节点进行下载的技术；迅雷的下载速度会比只从服务器下载（P2S）或只从节点下载（P2P）的软件速度要更快；P2SP 下载是一种多资源多协议下载方式，全称是Peer to ServerPeer，即用户对服务器和用户；,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,62,12.3 实验原理（续）,P2SP 有效地把原本孤立的服务器和其镜像资源以及 P2P 资源整合到了一起；P2P 的下载概念，就是下载不再象传统方式那样只能依赖服务器，内容的传递可以在网络上的各个终端机器中进行；在传统的传输技

41、术中用户一次只能连接一个服务器进行下载，而 P2SP 技术能搜索某一内容在其他服务器上镜像并将其存储于数据库中，用户能同时从多个服务器上下载内容；在 P2SP 中通过引入服务器作为资源数据来源的方法，避免了P2P 中资源提供不稳定的问题。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,63,12.3 实验原理（续）,迅雷的核心技术：智能资源选择用户使用迅雷下载某个文件的同时，迅雷会自动收集用户的下载地址，并以 MD5 值判断是否为同一个文件，从而形成一个庞大的下载链接库，这样就在迅雷服务器端进行了资源的整合；当后面

42、的用户下载同一个文件时，迅雷就会根据用户具体的网速而去一个速度最快的服务器上面下载同一个文件；由于选择通常是最优化的结果，因此用户感觉下载速度的确非常快。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,64,12.4 实验内容,安装 Winpcap 和 WireShark 应用软件12.4.2 运行 WireShark，捕获网络上的数据包12.4.3 分析 ARP、ICMP、TCP、IP、DNS、TELNET、HTTP、FTP 等协议工作过程12.4.4 分析 QQ 协议、迅雷下载协议,2023/10/12,实验

43、12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,65,12.5 实验环境,12.5.1 网络嗅探背景描述：某公司 LAN 的主机连接交换机，并由路由器接入 Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装 Winpcap 和 WireShark 应用软件，嗅探网络类型；需求分析以公司网关为嗅探对象；截获网络数据并分析。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,66,12.5 实验环境（续）,12.5.2 TCP/IP 协议分析背景描述：某公司

44、LAN 的主机连接交换机，并由路由器接入 Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装 Winpcap 和 WireShark 应用软件，嗅探网络类型；需求分析以公司网关为嗅探对象；截获网络 IP、UDP 和 TCP 数据包并分析相关协议。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,67,12.5 实验环境（续）,12.5.3 HTTP 协议分析背景描述：某公司 LAN 的主机连接交换机，并由路由器接入 Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装 Winpcap 和 W

45、ireShark 应用软件，嗅探网络类型；需求分析设置过滤条件：not broadcast and not multicast，过滤无关信息；以为嗅探对象，截获网络 HTTP 数据包并分析 HTTP 协议。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,68,12.5 实验环境（续）,12.5.4 FTP 协议分析背景描述：某公司 LAN 的主机连接交换机，并由路由器接入 Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装 Winpcap 和 WireShark 应用软件，嗅探网络类型；需求分析设置

46、过滤条件，过滤无关信息；在客户端命令行窗口登录 FTP 服务器，截获网络 FTP 数据包并分析 FTP 协议。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,69,12.5 实验环境（续）,12.5.5 TELNET 协议分析背景描述：某公司 LAN 的主机连接交换机，并由路由器接入 Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装 Winpcap 和 WireShark 应用软件，嗅探网络类型；需求分析设置过滤条件，过滤无关信息；在客户端命令行窗口登录 TELNET 服务器，截获网络 TELNET

47、数据包并分析 TELNET 协议。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,70,12.5 实验环境（续）,12.5.6 DNS 协议分析背景描述：某公司 LAN 的主机连接交换机，并由路由器接入 Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装 Winpcap 和 WireShark 应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；在 cmd 窗口输入相关命令，利用 WireShark 截获网络 DNS 数据包并分析 DNS 协议。,2023/10/12,实验 12 网络嗅探与协议

48、分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,71,12.5 实验环境（续）,12.5.7 ARP 协议分析背景描述：某公司 LAN 的主机连接交换机，并由路由器接入 Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装 Winpcap 和 WireShark 应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；在 cmd 窗口输入相关命令，利用 WireShark 截获网络 ARP 数据包并分析 ARP 协议。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,72,1

49、2.5 实验环境（续）,12.5.8 QQ 协议分析背景描述：某公司 LAN 的主机连接交换机，并由路由器接入 Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装 Winpcap 和 WireShark 应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；利用 WireShark 截获网络 QQ 数据包并分析 QQ 协议。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,73,12.5 实验环境（续）,12.5.9 迅雷下载协议分析背景描述：某公司 LAN 的主机连接交换机，并由路由器接入 Inte

50、rnet，因业务扩展，公司决定进行网络嗅探，为此需要安装 Winpcap 和 WireShark 应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；利用 WireShark 截获网络迅雷下载数据包并分析迅雷下载协议。,2023/10/12,实验 12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析12 网络嗅探与协议分析,74,12.6 实验步骤,12.6.1 网络嗅探的步骤12.6.2 TCP/IP 协议分析的步骤12.6.3 HTTP 协议分析的步骤12.6.4 FTP 协议分析的步骤12.6.5 TELNET 协议分析的步骤12.6.6 DNS 协议分析的步骤1