用协议分析工具学习TCPIP.docx

用协议分析工具学习 TCP/IP 目录 前言 试验环境测试过程过程分析 一、前言 目前，网络的速度发展非常快，学习网络的人也越来越多，稍有网络常识的人都知道 TCP/IP 协议是网络的基础，是 Interne的t 语言，可以说没有 TCP/IP 协议就没有互联 网的今天。目前号称搞网的人非常多，许多人就是从一把夹线钳，一个测线器联网开始接触网络的，如果只是联网玩玩，知道几个 Ping之类的命令就行了，如果想在网络上有更多的发展不管是黑道还是红道，必须要把 TCP/IP 协议搞的非常明白。 学习过 TCP/IP 协议的人多有一种感觉，这东西太抽象了，没有什么数据实例，看完不久就忘了。本文将介绍一种直观的学习方法，利用协议分析工具学习 TCP/IP，在学习的过程中能直观的看到数据的具体传输过程。 为了初学者更容易理解，本文将搭建一个最简单的网络环境，不包含子网。二、试验环境 1、网络环境如图 1 所示 图 1 为了表述方便，下文中 208 号机即指地址为 08的计算机，1 号机指地址 为 192.168.113.的1计算机。 2、操作系统 两台机器都为 Windows 2000 ，1 号机机器作为服务器，安装 FTP 服务3、协议分析工具 Windows 环境下常用的工具有：Sniffer P、roNatxray、Iris以及 windows 2000 自带的网络监视器等。本文选用 Iris作为协议分析工具。 在客户机 208 号机安装 IRIS软件。三、测试过程 1、测试例子：将 1 号机计算机中的一个文件通过 FTP 下载到 208 号机中。 2、IRIS的设置。 由于 IRIS具有网络监听的功能，如果网络环境中还有其它的机器将抓很多别的数据包，这样为学习带来诸多不便，为了清楚地看清楚上述例子的传输过程首先将 IRIS 设置为只抓 208 号机和 1 号机之间的数据包。设置过程如下： 用热键 CTRL+B 弹出如图所示的地址表，在表中填写机器的 IP地址，为了对抓的包看得更清楚不要添主机的名字（name ）,设置好后关闭此窗口。 图 2 2）用热键 CTRL+E 弹出如图所示过滤设置，选择左栏―IP addres，s‖右栏按下图将 address boo中k 的地址拽到下面，设置好后确定，这样就这抓这两台计算机之间的包。 图 3 3、抓包 按下 IRIS工具栏中 开始按钮。在浏览器中输入：FTP://192.168.113，.1找到要下载的文件 ，鼠标右键该文件，在弹出的菜单中选择―复制到文件夹‖开始下载，下载完后 在 IRIS工具栏中按 按钮停止抓包。图 4 显示的就是 FTP 的整个过程，下面我们将详细分析这个过程。 图 4 说明：为了能抓到ARP 协议的包，在WINDOWS 2000 中运行 arp–d 清除 arp缓存。四、过程分析 1、TCP/IP 的基本原理 本文的重点虽然是根据实例来解析 TCP/IP，但要讲明白下面的过程必须简要讲一下TCP/IP 的基本原理。 A ．网络是分层的，每一层分别负责不同的通信功能。 TCP/IP 通常被认为是一个四层协议系统，TCP/IP 协议族是一组不同的协议组合在一起构成的协议族。尽管通常称该协议族为TCP/IP，但TCP 和 IP只是其中的两种协议而已，如表 1 所示。每一层负责不同的功能： 表 1 分层的概念说起来非常简单，但在实际的应用中非常的重要，在进行网络设置和排除故障时对网络层次理解得很透，将对工作有很大的帮助。例如：设置路由是网络层IP 协议的事，要查找 MAC 地址是链路层 ARP 的事，常用的 Ping命令由 ICMP 协议来做的。 图 5 显示了各层协议的关系，理解它们之间的关系对下面的协议分析非常重要。 图 5 b.数据发送时是自上而下，层层加码；数据接收时是自下而上，层层解码。 当应用程序用 TCP 传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对收到的数据都要增加一些首部信息（有时还要增加尾部信息），该过程如图 6 所示。TCP 传给 IP的数据单元称作 TCP 报文段或简称为 TCP 段。I P传给网络接口层的数据单元称作 IP数据报。 通过以太网传输的比特流称作帧(Frame)。 数据发送时是按照图 6 自上而下，层层加码；数据接收时是自下而上，层层解码。 图 6 c. 逻辑上通讯是在同级完成的 垂直方向的结构层次是当今普遍认可的数据处理的功能流程。每一层都有与其相邻层的接口。为了通信，两个系统必须在各层之间传递数据、指令、地址等信息，通信的逻辑流程与真正的数据流的不同。虽然通信流程垂直通过各层次，但每一层都在逻辑上能够直接与远程计算机系统的相应层直接通信。 从图 7 可以看出，通讯实际上是按垂直方向进