IP数据包的捕获与解析
- 格式:ppt
- 大小:428.00 KB
- 文档页数:27


网络IP地址的扫描与嗅探技术
网络IP地址的扫描与嗅探技术是网络安全领域中常用的一种技术手段,主要用于获取网络设备的信息、发现网络中的漏洞以及进行入侵检测。本文将介绍网络IP地址的扫描与嗅探技术的基本原理和常见用途。
一、网络IP地址扫描技术
网络IP地址扫描技术是指通过扫描网络中的IP地址范围,探测目标网络设备的存活情况和开放端口信息。通过扫描可以获取目标主机的操作系统类型、服务、应用程序等信息,为网络安全防护与维护提供基础数据。
1.1 主机存活扫描
主机存活扫描是网络扫描的核心功能之一,它通过发送计算机网络上的探测数据包,来检测网络中的主机是否处于活跃状态。常用的主机存活扫描技术包括Ping扫描、ARP扫描、TCP ACK扫描等。
1.1.1 Ping扫描
Ping扫描是最常见的主机存活扫描方法,它利用Internet控制报文协议(ICMP)的Echo Request和Echo Reply消息来判断网络中的主机是否存活。发送一个Ping请求到目标主机,如果目标主机响应了一个Ping回应消息,则说明目标主机处于活跃状态。
1.1.2 ARP扫描 ARP扫描是通过查询网络中主机的地址解析协议(ARP)缓存表来判断主机是否存活。ARP是一种用于在局域网内解决IP地址与物理地址(MAC地址)对应关系的协议,ARP表中存储了已经解析过的主机信息。通过查询ARP表,可以判断目标主机是否处于活跃状态。
1.1.3 TCP ACK扫描
TCP ACK扫描利用TCP协议的ACK(确认应答)消息来判断主机存活状态。发送一个TCP ACK消息到目标主机的某个开放端口,如果目标主机返回了一个RST(复位)消息,则表明目标主机处于活跃状态。
1.2 端口扫描
端口扫描是网络扫描中的另一个重要部分,它用于探测目标主机的开放端口信息。通过端口扫描可以判断目标主机上正在运行的服务和应用程序,从而发现潜在的安全漏洞。
1.2.1 SYN扫描
任务三计算机网络实验IP数据报捕获与分析
一、实验目的
本实验的目的是通过使用网络抓包工具捕获IP数据报,了解IP协议的工作过程,分析数据报的结构和内容。
二、实验设备和工具
1.计算机
2.网络抓包工具:Wireshark
三、实验原理
IP(Internet Protocol)是网络层的核心协议,在互联网中承担着数据包的传输任务。IP协议负责将数据包从源主机传输到目标主机,保证数据在不同主机之间的正确传输。
IP数据报是IP协议传输的基本单位,由IP头和数据部分组成。
IP头部包含以下重要字段:
1.版本(4位):表示IP协议的版本号,IPv4为4,IPv6为6
2.首部长度(4位):表示IP头部的长度,以32位的字节为单位。
3.区分服务(8位):用于标识优先级和服务质量等信息。
4.总长度(16位):指明整个IP数据报的长度。
5.标识(16位):用于标识同一个数据报的分片。
6.标志位(3位):标记是否进行数据报的分片。 7.片偏移(13位):表示数据报组装时的偏移量。
8.生存时间(8位):表示数据报在网络中的存活时间。
9.协议(8位):指明IP数据报中携带的数据部分所使用的协议,如TCP、UDP等。
10.头部校验和(16位):用于对IP头部的校验。
11.源IP地址(32位):指明数据报的发送者的IP地址。
12.目的IP地址(32位):指明数据报的目标IP地址。
四、实验步骤
1.安装Wireshark软件。
2.打开Wireshark软件,选择需要进行抓包的网络接口。
3.点击“开始”按钮,开始抓包。
4.进行相关网络操作,产生数据包。
5.停止抓包。
6.选中其中一个数据包,进行分析。
五、数据包分析
Wireshark软件可以对捕获到的数据包进行详细的分析,提供了丰富的信息和统计数据。以下是对数据包的一些常规分析内容:
1.源IP地址和目的IP地址:根据协议规定,每个IP数据报必须携带源IP地址和目的IP地址,通过分析这两个字段可以确定数据包的发送方和接收方。 2.协议类型:根据协议字段可以确定数据包携带的数据部分所使用的协议类型,如TCP、UDP等。根据协议类型可以进一步分析数据包的用途和特征。
sniffer工作原理
Sniffer是一种网络数据包捕捉工具,用于监控和分析网络通信的内容。其工作原理如下:
1. 网络数据包捕获:Sniffer通过在网络接口上设置混杂模式(promiscuous mode),接收并记录通过网络传输的数据包。在这种模式下,网卡将接收到的所有数据包都传递给操作系统,而不仅仅是针对该网卡的目的地地址或广播地址的数据包。
2. 数据包过滤与捕获:Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理,只保留满足规则要求的数据包。这些规则可以是源/目的IP地址、端口号、协议类型等。
3. 数据包解析:Sniffer对捕获到的数据包进行解析,将网络数据包的各个部分进行拆解,并生成能够被阅读和分析的格式。解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。
4. 数据包分析:Sniffer对解析后的数据包进行进一步的分析,包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。通过分析这些信息,可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。
需要注意的是,由于Sniffer在网络上实时监控和捕获数据包,因此在使用过程中需要遵守法律法规,确保合法使用,并保护用户隐私与数据安全。
任务三 网络编程
一、实验目的
捕获本机网卡的IP包,对捕获的IP包进行解析.要求必须输出以下字段:版本号、总长度、标志位、片偏移、协议、源地址和目的地址。
二、实验环境
平台:Windows
编程环境:VC 6。0
语言:C++
三、实验原理
3.1 数据报格式
以太帧由一个包含三个字段的帧头开始,前两个字段包含了物理地址,各六个字节,头部的第三个字段包含了 16 位的以太帧类型,帧头后面是数据区。根据帧类型可以判断是哪种数据包,一般常用的有 0X0080(IP 数据包)、 0X0806(ARP 请求/应答)和 0X8035(RARP 请求/应答)三种类型.TCP/IP 协议簇中位于网络层的协议,也是最为核心的协议。所有的 TCP, UDP, ICMP及 IGMP 数据都以 IP 数据报格式传输。IP 协议提供了无连接的、不可靠的数据传输服务。同时IP 协议的一个重要功能是为网络上的包传递提供路由支持。TCP/IP 协议使用 IP 数据报这个名字来指代一个互联网数据包。IP 数据报由两部分组成,前面的头部和后面的数据区,头部含有描述该数据报的信息,包括源 IP 地址和目的 IP 地址等。在 IP 数据报的报头中的众多信息可根据协议类型字段区分出该数据包的类型,常用的有TCP 包、 UDP 包、 ICMP 包等,各格式分别如下所示:
IP数据报格式
TCP数据报格式
ICMP数据报格式
UDP数据报格式 3。2 捕获数据包方法
目前常用的捕获数据包的方法有原始套接字、LibPcap、WinPcap和JPcap等方法.本次实验选用套接字方法。套接字是网络应用编程接口。应用程序可以使用它进行网络通信而不需要知道底层发生的细节。有时需要自己生成一些定制的数据包或者功能并希望绕开Socket提供的功能,原始套接字(RawSocket)满足了这样的要求。原始套接字能够生成自己的数据报文,包括报头和数据报本身的内容。通过原始套接字,可以更加自如地控制Windows下的多种协议,而且能够对网络底层的传输机制进行控制.