- 1、本文档共11页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
IP及IPSEC协议数据包的捕获与分析讲述
IP及IPSEC协议数据包的捕获与分析
为了掌握掌握IP和IPSEC协议的工作原理及数据传输格式,熟悉网络层的协议。我进行了以下实验:首先用两台PC互ping并查看其IP报文,之后在两台PC上设置IPSEC互ping并查看其报文。最终分析两者的报文了解协议及工作原理。
一、用两台PC组建对等网:
将PC1与PC2连接并分别配置10.176.5.119和10.176.5.120的地址。如图1-1所示。
图1-1
二、两PC互ping:
IP数据报结构如图1-2所示。
图1-2
我所抓获的报文如图1-3,图1-4所示:
图1-3 请求包
图1-4 回应包
分析抓获的IP报文:
版本:IPV4
首部长度:20字节
服务:当前无不同服务代码,传输忽略CE位,当前网络不拥塞
报文总长度:60字节
标识该字段标记当前分片为第1367分片
三段标志分别指明该报文无保留、可以分段,当前报文为最后一段
片偏移:指当前分片在原数据报(分片前的数据报)中相对于用户数据字段 的偏移量,即在原数据报中的相对位置。?
生存时间:表明当前报文还能生存64
上层协议:1代表ICMP
(10) 首部校验和:用于检验IP报文头部在传播的过程中是否出错
(11)报文发送方IP:10.176.5.120
(12)报文接收方IP:10.176.5.119
(13)之后为所携带的ICMP协议的信息:类型0指本报文为回复应答,数据部分则指出该报文携带了32字节的数据信息,通过抓获可看到内容为:abcdefghijklmnopqrstuvwabcdefghi
三、IPSec协议配置:
1、新建一个本地安全策略。如图1-5。
图1-5
2、添加IP安全规则。如图1-6.
图1-6
3、添加IP筛选器。如图1-7,图1-8,图1-9
图1-7
图1-8 图1-9
4、设置筛选器操作,如图1-10,图1-11所示
图1-10
图1-11
5、设置身份验证方法,预共享密钥:123456789,如图1-12所示
图1-12
6、将设置好的本地安全策略分配,如图1-13所示
图1-13
四、两PC配置IPSEC互ping,并抓获报文分析:
所抓取报文如下图1-14所示
图1-14
下图1-15为协议协商部分报文:
图1-15
分析:
发起方的SPI为:1cfe1a3响应方的SPI为:未知
本报文作用为协商IKE策略
交换模式为主模式
有效载荷类型:策略协商
载荷长度:56
解释域为IPSEC协议
第二段有效载荷类型为建议部分
第二段有效载荷类型为传输,内容是IKE策略
下图1-16为KEY交换部分报文:
图1-16
分析:作用为通过协商DH产生第一阶段的密码。
本报文作用为密钥交换
交换模式为主模式
说明了所用到的RFC及加密后的数据
下图1-17为认证部分报文:
图1-17
分析:
本报文作用为认证
交换模式为主模式
标志位说明:1当前加密,0未提交状态,0未完成认证
三部进行完后发送方会把IPSEC策略发给对方,有对方选择合适的策略,报文如下图1-18所示:
图1-18
分析:
有效载荷类型为HASH载荷
交换模式为快速模式
表示当前已经是安全环境了
完成IPSEC的交互后,后面的报文变为了ESP报文:如图1-19所示
图1-19
分析:
所加ESP头中的SPI和Sequence分别为1793543626和1
上层协议为ESP(50)说明其为一个IPSEC报文
五、实验中的问题
抓获ISAKMP包时用科来网络分析系统所抓获的报文如下图1-20所示。可以看出少了一段Internet Security Association and Key Management Protocol的解析,导致无法看到IPSEC的协商过程。最终改用wireshark抓包,顺利的解决了这个问题,找到了该过程。
图1-20
文档评论(0)