网络工程设计与实践（西电第二版）第9章 网络数据报的捕获与分析.ppt

第9章网络数据报的捕获与分

析

第9章网络数据报的捕获与分析

9.1基本原理

9.2常见的IP数据报

9.3Wireshark的使用

9.4数据采集与分析

第9章网络数据报的捕获与分

析

9.1基本原理

9.1.1TCP/IP体系结构

开放系统互连(OSI)模型将网络划分为七层，在各层上

实现不同的功能，这七层分别为应用层、表示层、会话层、

传输层、网络层、数据链路层及物理层。而TCP/IP体系也同

样遵循这七层标准，只不过在某些OSI功能上进行了压缩。

与OSI参考模型不同，TCP/IP模型更侧重于互联设备间的数

据传送，而不是严格的功能层次划分，它通过解释功能层次

分布的重要性来做到这一点，但仍为设计者具体实现协议留

下很大的余地。因此，OSI参考模型在解释互联网络通信机

制上比较适合，而TCP/IP却是互联网络协议的市场标准。

TCP/IP参考模型比OSI模型更灵活，参照图9.1(a)。

第9章网络数据报的捕获与分

析

图9.1OSI参考模型和TCP/IP参考模型比较

(a) TCP/IP参考模型与OSI参考模型；(b) TCP/IP协议族

第9章网络数据报的捕获与分

析

1.进程/应用层

应用层协议提供远程访问和资源共享，常见的应用包括

Telnet、FTP、SMTP、HTTP等，很多其他应用程序也驻留

运行在此层，并且依赖于底层的功能。相似的，在IP网络上

要求通信的任何应用也在模型的这一层中描述。

第9章网络数据报的捕获与分

析

2.运输层

运输层又称主机到主机层，大致对应于OSI参考模型的

会话层和传输层。为了在网络传输中对应用数据进行分段，

该层必须执行数学检查来保证所接收数据的完整性，以便为

多个应用同时传输数据多路复用数据流(传输和接收)。这意

味着主机到主机层能识别特殊应用，对乱序收到的数据进行

重新排序。

当前的主机到主机层包括两个协议实体：传输控制协议

(TCP)和用户数据报协议(UDP)。还有一个协议正在定义中，

是针对不断增长的面向事务的需要，该协议称为事务/传输

控制协议(T/TCP，Transaction/TransmissionControlProtocol)。

第9章网络数据报的捕获与分

析

3.网际层

网际层又称网络层，该层由两个主机之间通信所必须的

协议和过程组成。这意味着数据报文必须是可路由的，网际

层(IP)负责数据报文路由。

网际层也必须支持其他的路由管理功能，必须提供第二

层地址到第三层地址的解析功能及反向解析功能。这些功能

由对应的IP协议提供。

第9章网络数据报的捕获与分

析

网际层的路由和路由管理功能由外部对等协议提供，这

些协议被称为路由协议。路由协议包括内部网关协议(IGP，

InterorGatewayProtocol)、外部网关协议(EGP，Enterior

GatewayProtocol)。因为它们驻留在网络层中，但却不是IP

协议组件与生俱来的部分，所以标识为对等。实际上，许多

路由协议能够在多路由协议地址结构中发现、计算路由。用

于其他地址结构的路由协议例子包括IPX和AppleTalk。

4.网络访问层

网络访问层又称链路层，该层提供用于物理连接、传输

的所有功能。OSI模型把这一层功能分为两层：物理层和数

据链路层。TCP/IP参考模型把两层合在一起。IP协议假设所

有底层功能由局域网或串口连接提供。

第9章网络数据报的捕获与分

析

9.1.2TCP/IP组件

虽然上节所述的协议一般标识为“TCP/IP”，但实质上

在IP协议组件内还有好几个不同的协议。主要协议之间的关

系如图9.1(b)所示。

TCP和UDP是两种最为著名的运输层协议，二者都使用

IP作为网络层协议。

虽然TCP使用不可靠的IP服务，但可以提供一种可靠的

运输层服务。UDP可为应用程序发送和接收数据报。数据报

是指从发送方传输到接收方的信息单元。与TCP不同的是，

UDP不可靠，它不能保证数据报能安全无误地到达最终目的

地。

第9章网络数据报的捕获与分

析

IP是网络层上的主要协议，同时被TCP和UDP使用。

TCP和U