用协议分析工具IRIS学习TCPIP.docx

用协议分析工具学习 TCP/IP 目录 前言 试验环境 测试过程 过程分析 一、前言 目前，网络的速度发展非常快，学习网络的人也越来越多，稍有网络常识的人都知 道 TCP/IP 协议是网络的基础，是 Internet 的语言，可以说没有 TCP/IP 协议就没有互 联网的今天。目前号称搞网的人非常多，许多人就是从一把夹线钳，一个测线器联 网开始接触网络的，如果只是联网玩玩，知道几个 Ping 之类的命令就行了，如果想 在网络上有更多的发展不管是黑道还是红道，必须要把 TCP/IP 协议搞的非常明白。 学习过 TCP/IP 协议的人多有一种感觉，这东西太抽象了，没有什么数据实例，看完 不久就忘了。本文将介绍一种直观的学习方法，利用协议分析工具学习 TCP/IP，在 学习的过程中能直观的看到数据的具体传输过程。 为了初学者更容易理解，本文将搭建一个最简单的网络环境，不包含子网。 二、试验环境 1、网络环境 如图 1 所示 图 1 为了表述方便，下文中 208 号机即指地址为 08 的计算机，1 号机指地 址为 的计算机。 2、操作系统 两台机器都为 Windows 2000 ，1 号机机器作为服务器，安装 FTP 服务 3、协议分析工具 Windows 环境下常用的工具有：Sniffer Pro、Natxray、Iris 以及 windows 2000 自带的 网络监视器等。本文选用 Iris 作为协议分析工具。 在客户机 208 号机安装 IRIS 软件。 三、测试过程 测试例子：将 1 号机计算机中的一个文件通过 FTP 下载到 208 号机中。 IRIS 的设置。 由于 IRIS 具有网络监听的功能，如果网络环境中还有其它的机器将抓很多别的数据 包，这样为学习带来诸多不便，为了清楚地看清楚上述例子的传输过程首先将 IRIS 设置为只抓 208 号机和 1 号机之间的数据包。设置过程如下： 1)用热键 CTRL+B 弹出如图所示的地址表，在表中填写机器的 IP 地址，为了对抓的 包看得更清楚不要添主机的名字（name）,设置好后关闭此窗口。 图 2 2）用热键 CTRL+E 弹出如图所示过滤设置，选择左栏“IP address”，右栏按下图将 address book 中的地址拽到下面，设置好后确定，这样就这抓这两台计算机之间的包。 图 3 3、抓包 按下 IRIS 工具栏中 开始按钮。在浏览器中输入： FTP://，找到要下载 的文件 ，鼠标右键该文件，在弹出的菜单中选择“复制到文件夹”开始下载，下载完 后在 IRIS 工具栏中按 按钮停止抓包。图 4 显示的就是 FTP 的整个过程，下面我们 将详细分析这个过程。 图 4 说明：为了能抓到 ARP 协议的包，在 WINDOWS 2000 中运行 arp –d 清除 arp 缓存。 四、过程分析 1、TCP/IP 的基本原理 本文的重点虽然是根据实例来解析 TCP/IP，但要讲明白下面的过程必须简要讲一下 TCP/IP 的基本原理。 A．网络是分层的，每一层分别负责不同的通信功能。 TCP/IP 通常被认为是一个四层协议系统，TCP/IP 协议族是一组不同的协议组合在一 起构成的协议族。尽管通常称该协议族为 TCP/IP，但 TCP 和 IP 只是其中的两种协 议而已，如表 1 所示。每一层负责不同的功能： 表 1 分层的概念说起来非常简单，但在实际的应用中非常的重要，在进行网络设置和排 除故障时对网络层次理解得很透，将对工作有很大的帮助。例如：设置路由是网络 层 IP 协议的事，要查找 MAC 地址是链路层 ARP 的事，常用的 Ping 命令由 ICMP 协议来做的。 图 5 显示了各层协议的关系，理解它们之间的关系对下面的协议分析非常重要。 图 5 b.数据发送时是自上而下，层层加码；数据接收时是自下而上，层层解码。 当应用程序用 TCP 传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被 当作一串比特流送入网络。其中每一层对收到的数据都要增加一些首部信息（有时 还要增加尾部信息），该过程如图 6 所示。TCP 传给 IP 的数据单元称作 TCP 报文段 或简称为 TCP 段。I P 传给网络接口层的数据单元称作 IP 数据报。 通过以太网传输 的比特流称作帧(Frame)。 数据发送时是按照图 6 自上而下，层层加码；数据接收时是自下而上，层层解码。 图 6 c. 逻辑上通讯是在同级完成的 垂直方向的结构层次是当今普遍认可的数据处理的功能流程。每一层都有与其相邻 层的接口。为了通信，两个系统必须在各层之间传递数据、指令、地址等信息，通 信的逻辑流程与真正的数据流的不同。虽然通信流程垂直通过各层次，但每一层都 在逻辑上能够直接与远程计算机系统