组网技术与配置(第3版)-(第6章)7-302-34697-5.ppt

服务器返回331号响应报文 客户端发送PASS命令 服务器返回230号响应报文 客户端发送PASV命令 服务器返回227号响应报文 数据连接的TCP三次握手过程中的第35、36、37行 数据连接关闭过程 6.4运输层网络协议分析 6.4.1 TCP协议格式 6.4.2 UDP协议格式 6.4.1 TCP协议格式 通过分析一个Ethereal应用界面给出的具体实例来使读者对TCP报文段的格式有一个更加直观的理解 6.4.2 UDP协议格式 UDP只在IP分组提供的服务上增加了很少的功能。因为UDP是无连接的 6.5 网络层网络协议分析 6.5.1 IPv4协议分析 6.5.2 ARP协议分析 6.5.3 ICMPv4协议分析 6.5.1 IPv4协议分析 一个IP分组由首部和数据两部分组成，首部的固定部分为20字节，首部的可选部分长度是可变的，最长为40字节 8位的区分服务字段 IP数据报标识字段 Flags（标志）字段展开 Reserved bit保留位，目前还没有使用。 DF(Don`t fragment)标识分组是否可以分片。该位置为1时表示不能分片，该位置为0时表示可以分片。这里DF=1表示不能分片。 MF(More fragments)表示是否为最后一个分片。如果DF=0即允许分片的情况下，该位置为1时表示后面还有分片，该位置为0时表示这是最后一个分片。如果DF=1即不允许分片的情况下，该位置为0。这里DF=1，MF=0不允许分片 6.5.2 ARP协议分析 ARP完成从IP地址到MAC地址转换的协议 6.5.3 ICMPv4协议分析 1．ICMP协议 2．ICMP协议格式 1）ICMP回送请求报文 2）ICMP回送应答报文 ICMP回送请求、应答报文 通过ping命令应用来分析ICMP回送请求和应答报文 6.6 数据链路层网络协议分析 6.6.1 捕获的以太网II帧协议 6.6.2 以太网II帧协议格式分析 6.6.1 捕获的以太网II帧协议 这是一个封转ARP报文的以太网帧 6.6.2 以太网II帧协议格式分析 Destination，以太网II协议帧封装的是一个ARP请求报文，是一个广播帧，给出的目的MAC地址为广播地址Broadcast(ff:ff:ff:ff:ff:ff)。 Source，发出ARP请求报文的源主机的MAC地址是：00:16:17:ab:f8:44。 Type，用来标识上一层采用的协议的值为：0x0806，表示该帧封装的是ARP报文。 以太网II协议帧中的数据为ARP请求报文。 以太网II协议帧中的帧校验序列FCS字段内容，由CRC校验生成 计算机网络 组网技术与配置 （第3版） 清华大学出版社 ISBN 978-7-302-34697-5 第6章 网络协议分析工具 清华大学出版社 ISBN 978-7-302-34697-5 第6章 网络协议分析工具 6.1 网络协议分析工具概述 6.2 Ethereal的应用界面及参数设置 6.3 应用层网络协议分析 6.4运输层网络协议分析 6.5 网络层网络协议分析 6.6 数据链路层网络协议分析 6.1 网络协议分析工具概述 6.1.1 网络协议分析方法 6.1.2 Ethereal/Wireshark网络协议分析工具 6.1.3 Ethereal/Wireshark在Windows上的安装 6.1.1 网络协议分析方法 网络协议分析已成为网络配置、网络安全、网络管理的重要应用工具 网络协议分析系统可以是一个独立的，配合专业软件的硬件设备，也可以是安装在台式计算机或笔记本计算机上的软件 网络协议分析软件是一类基于被动侦听原理的网络监听程序 TcpDump、WinDump、Sniffer、Ethereal (Wireshark) 6.1.2 Ethereal/Wireshark网络协议分析工具 Ethereal是当前较为流行的一种计算机网络调试和数据包嗅探、分析软件 Ethereal能够运行在所有流行的操作系统平台上 Wireshar继续开放源代码，任何人都可自由下载，也可共同开发，其主要功能和使用方法都高度秉承Ethereal 6.1.3 Ethereal/Wireshark在Windows上的安装 可以在其官方下载站点/download.html下载到ethereal-setup-0.99.0.exe的安装文件 当然也可以从Wireshark的官方网站上下载必威体育精装版版本的wireshark-win32-1.2.8.exe安装文件 Ethereal的安装提供人机对话过程 如果在Windows平台系统还没有安装Winpcap，安装向导会提示安装Winpcap 基于Linux平台下的网络数据包捕获驱动程序是Libpcap 6.2 Ethe