各协议报文格式介绍PPT课件.pptxVIP

各协议报文格式介绍;

以太网的两个标准;1.MAC帧的格式;;;;;;;;数据字段的长度与长度字段的值不一致；

帧的长度不是整数个字节；

用收到的帧检验序列FCS查出有差错；

数据字段的长度不在46~1500字节之间。

有效的MAC帧长度为64~1518字节之间。

对于检查出的无效MAC帧就简单地丢弃。以太网不负责重传丢弃的帧。;2.IP地址与硬件地址;IP数据报的格式;固

定

部

分;;;;;;;;;;;;;;;;5.1运输层协议概述

5.1.1进程之间的通信;;应用进程之间的通信;;运输层的主要功能;两种不同的运输协议;TCP/IP的运输层有两个不同的协议：

(1)用户数据报协议UDP (UserDatagramProtocol)

(2)传输控制协议TCP (TransmissionControlProtocol);两个对等运输实体在通信时传送的数据单位叫作运输协议数据单元TPDU(TransportProtocolDataUnit)。

TCP传送的数据单位协议是TCP报文段(segment)

UDP传送的数据单位协议是UDP报文或用户数据报。;TCP/IP体系中的运输层协议;TCP与UDP;还要强调两点;5.1.3运输层的端口;需要解决的问题;端口号(protocolportnumber)

简称为端口(port);软件端口与硬件端口;TCP的端口;三类端口;5.2用户数据报协议UDP

5.2.1UDP概述;UDP的主要特点;面向报文的UDP;UDP是面向报文的;;UDP基于端口的分用;5.3传输控制协议TCP概述

5.3.1TCP最主要的特点;;应当注意;5.3.2TCP的连接;TCP可靠通信的具体实现;;;;;;;;;;;;;;;;;其他选项;;TCP的流量控制

利用滑动窗口实现流量控制;以字节为单位的滑动窗口;;允许发送但尚未发送;不允许

发送;发送缓存;;发送缓存与接收缓存的作用;需要强调三点;TCP的运输连接管理

1.运输连接的三个阶段;客户服务器方式;;;;;;;;;;;;常见端口号;Wireshark抓包工具的使用;;(1)Wireshark的启动界面和抓包界面;抓包界面的启动

;;这个就是抓包的界面了（也是主界面）;(2)Wireshark主窗口由如下部分组成：;抓包列表;;(3).封包详细信息;16进制数据;(3)我们还要学会在大量的信息中过滤和分析我们需要的信息;1.捕捉过滤器;;Protocol（协议）:

可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.

如果没有特别指明是什么协议，则默认使用所有支持的协议。

Direction（方向）:

可能的值:src,dst,srcanddst,srcordst

如果没有特别指明来源或目的地，则默认使用srcordst作为关键字。

例如，host与srcordsthost是一样的。

Host(s):

可能的值：net,port,host,portrange.

如果没有指定此值，则默认使用host关键字。

例如，src与srchost相同。

LogicalOperations（逻辑运算）:

可能的值：not,and,or.

否(not)具有最高的优先级。或(or)和与(and)具有相同的优先级，运算时从左至右进行。

例如，

nottcpport3128andtcpport23与(nottcpport3128)andtcpport23相同。

nottcpport3128andtcpport23与not(tcpport3128andtcpport23)不同。;例子：

tcpdstport3128显示目的TCP端口为3128的封包。

ipsrchost显示来源IP地址为的封包。

host显示目的或来源IP地址为的封包。

srcportrange2000-2500显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包。

notimcp显示除了icmp以外的所有封包。（icmp通常被ping工具使用）

srchost2andnotdstnet/16显示来源IP地址为2，但目的地不是/16的封包。

(srchost2orsrc