1、项目项目7 7分析网络数据报分析网络数据报CONTENTS 任务一:安装Wireshark 任务二:分析基础的网络数据 任务三:分析ARP和IP 任务四:分析TCP 任务五:分析HTTP项目情景零学习目标零【知识目标知识目标】l 了解计算机网络的概念及发展历史l 掌握计算机网络的分类;l 掌握ARP缓存表和报文格式l 掌握TCP三次握手的流程l 掌握TCP数据报的格式l 了解HTTP概述及工作原理l 掌握HTTP请求和响应报文的格式【技能目标技能目标】l 熟悉Wireshark下载地址并安装Wiresharkl 能够使用Wireshark分析ARPl 能够使用Wireshark分析 IPl 能
2、够使用Wireshark分析TCPl 能够使用Wireshark分析HTTP从浏览器地址栏输入后敲下回车,直到浏从浏览器地址栏输入后敲下回车,直到浏览器呈现信息,这个过程到底发生了什么?览器呈现信息,这个过程到底发生了什么?任务一:安装Wireshark 任务描述壹使用Wireshark分析网络数据,使用Wireshark的前提是安装该软件。本任务是下载安装Wireshark。安装Wireshark软件的思路如下:(1)打开Wireshark官网,找到需要下载的软件版本进行下载。(2)安装Wireshark软件并验证是否成功安装。任务一:安装Wireshark 知识储备壹1.1.计算机网络的概
3、念及发展计算机网络的概念及发展历史历史(1 1)计算机网络的概念)计算机网络的概念计算机网络是将分布在的多个计算机系统通过通信线路通信线路进行连接,共同遵循某个网络协议,从而实现信息互通和资源共享的系统。(2 2)计算机发展历史)计算机发展历史由于计算技术、通信技术、光电技术等迅速的发展,形成了计算机网络。计算机网络经过40多年的发展,已经成为现代社会不可或缺的重要技术。计算机网络的发展经历了4代。分别是:l 第一代计算机网络(面向终端的计算机通信网)l 第二代计算机网络(自主功能的主机互联的计算机网络)l 第三代计算机网络(遵循国际标准化协议的计算机网络)l 第四代计算机网络(互联、高速和智
4、能化的网络)任务一:安装Wireshark 知识储备壹(1 1)第一代计算机网络)第一代计算机网络在20世纪50至60年代计算机网络处于第一代,也被称为面向终端的计算机通信网,主要特点为以主机为中心,面向终端;分时访问和使用中央服务器上的信息资源;中央服务器的性能和运算速度决定连接终端用户的数量。第一代的计算机网络结构如图所示。2.2.计算机网络的概念及发展历史计算机网络的概念及发展历史任务一:安装Wireshark 知识储备壹(2 2)第二代计算机网络第二代计算机网络在20世纪60年代至70年代计算机网络属于第二代,采用存储转发存储转发的方式与交换分组交换分组技术实现计算机间的通信。该阶段计
5、算机网络有如下特点:以通信子网为中心,实现了“计算机计算机”的通信。ARPAnet的出现,为Internet以及网络标准化建设打下了坚实的基础。大批公用数据网的出现。局域网的成功研制。2.2.计算机网络的概念及发展历史计算机网络的概念及发展历史任务一:安装Wireshark 知识储备壹(3 3)第三代计算机网络第三代计算机网络20世纪80年代计算机网络术语第三代,即计算机网络的标准化标准化时代。国际标准化组织(International Organization for Standardization,ISO)经过多年努力,制定了“开放系统互联参考模型”(Open System Interco
6、nnection Reference Model,OSI/RM),即ISO国际电工委员会IEO制定和公布的ISO/IEC7498国际标准。2.2.计算机网络的概念及发展历史计算机网络的概念及发展历史任务一:安装Wireshark 知识储备壹(4 4)第四代计算机网络)第四代计算机网络现阶段处于第四代计算机网络,即Internet网络。InternetInternet是全球最大的计算机网络,目前共有180多个国家与Internet相连,4亿多台计算机接入INTERNET,已经超过15亿的用户。Internet是由全球第一个分组交换网络ARPANET发展起来。2.2.计算机网络的概念及发展历史计算
7、机网络的概念及发展历史任务一:安装Wireshark 知识储备壹3.3.计算机网络计算机网络的的功能功能计算机网络给人们的生活带来了丰富多彩的体验,通过网络,可以进行文字、语音、视频和语音聊天等,同时还可以上网查询资料,在线学习等。计算机网络的基本功能分为 资源共享 数据通信 分布式处理 网络综合服务任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类计算机网络可以根据不同的标准进行分类,已经出现的分类方式有4种,分别是l 按照网络的覆盖范围分类l 按照网络的拓扑结构分类l 按照传输技术分类l 按照交换方式分类任务一:安装Wireshark 知识储备壹4 4.计算机网
8、络计算机网络分类分类 按照网络的覆盖范围按照网络的覆盖范围分类分类按照网络的覆盖范围可以分为四种类型分别是局域网、城域网、广域网和互联网,是目前网络分类中最为常用的一种分类方式。局域网局域网是计算机通过高速线路相连组成的网络,通常由一个单位或组织自行建设和拥有,覆盖范围从几米到几公里不等。局域网地理覆盖范围较小、局域网结构示例图。特点:有限的举例,具有较好的性能(范围小),易于维护。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照网络的覆盖范围按照网络的覆盖范围分类分类城域网城域网是对局域网的延伸,用来连接局域网,在传输介质和布线结构方面牵涉范围较广,介于局
9、域网和广域网之间的一种高速网络,规模局限在一座城市的范围。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照网络的覆盖范围按照网络的覆盖范围分类分类广域网(广域网(Wide Area Network,WAN)广域网也称远程网,其覆盖的地理范围从数百公里至数千公里,甚至上万公里。可以是一个地区或一个国家,甚至世界几大洲,故称远程网。特点:接入广域网需要申请。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照网络的覆盖范围按照网络的覆盖范围分类分类互联网互联网在网络应用迅猛发展的今天,互联网已成为现代人每天都要打交道的一种网络。无
10、论从地理范围,还是从网络规模来讲,互联网最大的一种网络。从地理范围来说,互联网可以是全球计算机的互连。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照按照网络的拓扑结构分类网络的拓扑结构分类计算机网络的拓扑结构就是用网络的站点与连接线的几何关系来表示网络的结构,主要分为总线型、星型、树型、环型和网状型。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照网络的拓扑结构分类按照网络的拓扑结构分类总总线型线型拓扑结构中的所有连网设备共用一条物理传输线路共用一条物理传输线路,所有的数据发往同一条线路,并能够由连接在线路上的所有设备感
11、知。(广播式网络)任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照网络的拓扑结构分类按照网络的拓扑结构分类星型星型拓扑结构拓扑结构星型拓扑结构是以一台中心处理机(通信设备)为主中心处理机(通信设备)为主而构成的网络,星型拓扑结构如图。例如:主机客户机统一连接在交换机,应用比较广泛。星型拓扑结构的特点如下。网络结构简单,便于管理(集中式)。网络结构简单,便于管理(集中式)。每台计算机均需物理线路与处理机互连,线路利用率低。处理机负载重(需处理所有的服务),处理机负载重(需处理所有的服务),因为任何连网设备之间交换信息,都必须通过中心处理机。联网主机故障不影响整
12、个网络的正常工作,中心处理机的故障将导致网络的瘫痪。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照网络的拓扑结构分类按照网络的拓扑结构分类树型树型拓扑结构拓扑结构树型拓扑结构是以上两种网络结构的综合,是一种分层结构分层结构,可以看做是星型拓扑的一种扩展,适用于分级管理和控制的网络系统。它将网络中的所有站点按照一定的层次关系连接起来,就像一棵树一样,由根节点、叶节点和分支节点组成。树型拓扑结构如图所示。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照网络的拓扑结构分类按照网络的拓扑结构分类环型环型拓扑结构拓扑结构环型拓扑结
13、构中连网设备通过转发器接入网络,每个转发器仅与两个相邻的转发器有直接的物理链路。环型拓扑结构如图所示。在环型拓扑中,各节点和通信线路连接形成的一个闭合的环。环中的数据按照一个方向沿环逐个节点传输,或顺时针方向,或逆时针方向。环型拓扑结构的特点如下。环型拓扑结构的特点如下。(1)实时性较好(信息在网中传输的最大时间固定)。(2)每个节点只与相邻两个节点有物理链路。(3)传输控制机制比较简单(4)某个节点的故障将导致物理瘫痪。(5)单个环网的节点数有限。环型拓扑结构适用场合:LAN、实时性要求较高的环境。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照网络的拓扑
14、结构分类按照网络的拓扑结构分类网状网状拓扑结构拓扑结构在网状拓扑结构中,网络的每台设备之间均有点到点的链路连接均有点到点的链路连接,这种连接不经济,只有每个站点都要频繁发送信息时才使用这种方法。它的安装也复杂,但系统可靠性高,容错能力强。有时也称为分布式结构。网状结构节点特点网状结构节点特点优点:优点:可靠性高,易于扩充,组网灵活缺点:缺点:费用高,结构复杂,维护困难任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照网络的拓扑结构分类按照网络的拓扑结构分类混合混合拓扑结构拓扑结构任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按
15、照传输技术按照传输技术分类分类计算机网络根据传输任务不同分为广播式网络和点对点网络。广播广播式式网络网络若某个分组发出以后,共享一个通信信道,网络上的每一台机器都接收并处理它,则称这种方式广播(Broadcasting),若分组是发送给网络中的某些计算机,则被称为多点播送或组播(Multicasting),若分组只发送给网络中的某一台计算机,则称为单播(Unicasting)。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照传输技术按照传输技术分类分类计算机网络根据传输任务不同分为广播式网络和点对点网络。点对点网络(点对点网络(Piont-to-Piont
16、Network)点对点网络和广播式网络相反,两条计算机之间通过一条物理线路连接。只有目的节点是能收到的,其他节点收不到。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照交换方式按照交换方式分类分类计算机网络按照交换方式分类可以分为分组交换网、报文交换网、电路交换网和混合交换网4种。(1)电路交换网:由通信双方共同建立连接,进行通信。回话过程中双方共同占有通信线路。(2)分组交换网:传输的数据单元是数据报,发送方将数据拆分后封装打包进行发送,接收方进行数据解包。(3)报文交换网:和分组交换网类似,但传输数据的单元没有最大长度限制。(4)混合交换网:集合了前3种
17、交换技术的优点,实际应用更为广泛。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照交换方式按照交换方式分类分类电路交换网电路交换网由通信双方共同建立连接,进行通信。回话过程中双方共同占有通信线路。最典型电路交换网络:电话网络。电路交换在通信之前,要在通信双方之间建立一条被双方独占双方独占的物理通路。优点优点:通信线路双方专用,数据直达,传输时延非常小 通路一旦建立,双方可以随时通信,实时性强 双方按发送顺序传送数据,不存在失序问题 既适用于传输模拟信号,也适用于传输数字信号 交换设备及控制简单任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机
18、网络分类分类 按照交换方式按照交换方式分类分类报文交换报文交换报文:源(应用)发送信息整体。比如要发送一个文件,那么这个文件的信息就是要发送的报文。以报文为数据交换的单位报文为数据交换的单位,报文携带有目标地址、源地址等信息,在交换结点采用存储转发的传输方式。优点:优点:不需建立专用的通信线路,用户可随时发送随时发送报文 通信双方不固定占有不固定占有一条通路,线路利用率高任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照交换方式按照交换方式分类分类分组交换分组交换分组:报文分拆报文分拆出来的一系列相对较小的数据包数据包分组交换需要报文的拆分与重组。分组交换相对
19、于报文交换会产生额外开销,因为要进行数据的拆分和重组。仍采用存储转发方式,将报文分割成若干个组,将这些组逐个发送出去。优点优点:加速了数据在网络中的传输简化了存储管理减少了出错几率和重发数据量混合交换混合交换网网集合了前3种交换技术的优点,实际应用更为广泛。任务一:安装Wireshark 知识储备壹4 4.计算机网络计算机网络分类分类 按照交换方式按照交换方式分类分类任务一:安装Wireshark 任务步骤壹下载Wireshark软件(此处以Windows为例)。打开Wireshark官网,下载对应版本的Wireshark软件。安装方式安装方式一一 根据安装向导完成安装。安装安装方式二方式二
20、直接解压Wireshark-win64-3.2.5.exe,将解压目录 Wireshark-win64-3.2.5_ 作为软件安装目录。运行这个目录里的Wireshark.exe,就可以启动Wireshark。任务二:分析基础的网络数据 任务描述贰安装Wireshark后,需要使用Wireshark进行数据的抓取和分析,本任务是使用Wireshark实现对网站数据的抓取。使用Wireshark实现网络数据分析思路如下:(1)打开Wireshark软件。(2)配置捕获接口。(3)打开CMD,ping 。(4)抓取ping 网站的数据。(5)分析ping 网站的数据有哪几个网络协议。任务二:分析基
21、础的网络数据 知识储备贰1.1.网络协议网络协议概念概念在计算机网络中,需要为了交换数据和控制信息能够有条不紊的进行,每个节点之间都要遵守一些事先约定约定好的规则规则,这些为网络数据交换而制定的规则规则、约定与标准约定与标准被称为网络协议网络协议(protocol)。对数据在机器之间传输时的表示方法进行定义定义和描述的标准描述的标准,规定规定了如何进行传输传输、如何检测错误检测错误以及如何传输确认信息确认信息。网络协议主要由语法、语义和时序3个元素组成。语法:语法:数据的控制信息的结构或格式 语义:语义:需要发生何种控制信息,完成何种动作以及做出何种应答 同步:同步:事件实现顺序的详细说明任务
22、二:分析基础的网络数据 知识储备贰2.OSI2.OSI模型模型OSI OSI 参考模型参考模型共划分为7 7层层,从下到上依次为:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。如图所示,图中虚线连接表示同层之间的协议,实线表示数据流。任务二:分析基础的网络数据 知识储备贰2.OSI2.OSI模型模型(1 1)物理层()物理层(Physical LayerPhysical Layer)物理层是OSI模型的第一层或最低层,这一层包括参与数据传输的物理设备物理设备,如电缆和交换机电缆和交换机。同时还负责将数据转换为位流数据转换为位流,也就是由 1 1 和和 0 0 构成的字符串,在这一
23、层,数据还没有被组织,仅作为初始的位流或电气电压处理,单位是单位是bit(bit(比特比特)。(2 2)数据链路层()数据链路层(Data Link LayerData Link Layer)数据链路层位于网络层和物理层之间,负责相邻节点间的数据传输,要解决将比特组合成帧将比特组合成帧(Frame)和差错控制等问题。帧是数据链路层的数据单元,即在数据链路层按帧进行传输。数据链路层中常用的设备有网卡、网桥和交换机网卡、网桥和交换机。(3 3)网络层()网络层(Network LayerNetwork Layer)网络层负责促进两个不同网络之间的数据传输。如果两台通信设备位于同一网络,则不需要使用
24、网络层。网络层在发送设备上将传输层发出的数据段分解更小的单元(称为数据报),数据段分解更小的单元(称为数据报),再在接收设备上重组这些数据报。网络层还要确定数据到达目标的最佳物理路径最佳物理路径,人们将此称为路由路由。网络层控制着通信子网,所谓通信子网就是实现路由和数据传输所必需的传输介质和交换组件的集合。典型的网络层协议是网络互连协议(Internet Protocol,IP)。任务二:分析基础的网络数据 知识储备贰2.OSI2.OSI模型模型(4 4)传输层()传输层(Transport LayerTransport Layer)传输层是0SI模型中最重要的一层,提供可靠有效的端到端的网络
25、连接。它是两台计算机经过网络进行数据通信时,第一个端到端的层次,起到缓冲作用。当网络层的服务质量不能满足要求时,它将提高服务,以满足高层的要求;而当网络层服务质量较好时,它只需进行很少的工作。另外,它还要处理端到端的差错控制和流量控制等问题,最终为会话提供可靠的可靠的,无误的数据传输无误的数据传输。(5 5)会话层()会话层(Session LayerSession Layer)会话层负责在网络中的两节点之间建立和维持通信建立和维持通信,并保持会话获得同步保持会话获得同步,它还决定通信是否被中断以及通信中断时决定从何处重新发送。在通信过程汇总数据流方向控制模式有三种,即单工、半双工单工、半双工
26、和全双工和全双工。单工半双工全双工任务二:分析基础的网络数据 知识储备贰2.OSI2.OSI模型模型(6 6)表示层()表示层(Presentation LayerPresentation Layer)表示层的作用是管理数据的解密与加密解密与加密,如常见的系统口令处理,当你的账户数据在发送前被加密,在网络的另一端,表示层将对接收到的数据解密。另外,表示层还需对图片和文件格式信息进行解码和解码和编码编码。(7 7)应用层()应用层(Application LayerApplication Layer)简单来说,应用层就是为操作系统操作系统或网络应用程序网络应用程序提供访问网络服务的接口网络服务的
27、接口,包括文件传输、文件管理以及电子邮件等的信息处理。应用层协议的代表包括:Telnet、FTP、HTTP、SNMP等。任务二:分析基础的网络数据 知识储备贰3.TCP/IP3.TCP/IPTCP/IP是一个协议系列,或称为协议簇,里面包含IP协议,IMCP协议,TCP协议,以及我们更加熟悉的http、ftp、pop3协议等等。对应OSI模型的层次结构,并且为了实现的简单性,TCP/IP将OSI部分层次的功能合并,合并后共有4层:网络接口层、网络层、传输层和应用层网络接口层、网络层、传输层和应用层。TCP/IP与OSI参考模型的对应关系如下图所示。任务二:分析基础的网络数据 知识储备贰3.TC
28、P/IP3.TCP/IP任务二:分析基础的网络数据 知识储备贰3.TCP/IP3.TCP/IP任务二:分析基础的网络数据 知识储备贰3.TCP/IP3.TCP/IP(1 1)应用层)应用层应用层决定了向用户提供应用服务时通信的任务。TCP/IP协议族内预存了各类通用的应用服务通用的应用服务。比如,FTP(File Transfer Protocol,文件传输协议)和DNS(Domain Name System,域名系统)服务就是其中两类。HTTP协议也处于该层。(2 2)传输层)传输层传输层对上层应用层,提供处于网络连接中的两台计算机之间的数据传输。在传输层有两个性质不同的协议:TCPTCP(
29、Transmission ControlProtocol,传输控制协议)和UDPUDP(User DataProtocol,用户数据报协议)。任务二:分析基础的网络数据 知识储备贰3.TCP/IP3.TCP/IP(3 3)网络层)网络层网络层用来处理在网络上流动的数据报。数据报是网络传输的最小数据单位数据报是网络传输的最小数据单位。该层规定了通过怎样的路径(所谓的传输路线传输路线)到达对方计算机,并把数据报传送给对方。与对方计算机之间通过多台计算机或网络设备进行传输时,网络层所起的作用就是在众多的选项内选择一条传输路线。(4 4)链路层(又名数据链路层,网络接口层)链路层(又名数据链路层,网络
30、接口层)用来处理连接网络的硬件部分硬件部分。包括控制操作系统、硬件的设备驱动、NIC(NetworkInterface Card,网络适配器,即网卡),及光纤等物理可见部分(还包括连接器等一切传输媒介)。硬件上的范畴均在链路层的作用范围之内。任务二:分析基础的网络数据 知识储备贰3.TCP/IP3.TCP/IP层次层次协议协议中文名称中文名称 作用作用应用层应用层HTTPHTTP超文本传输协议超文本传输协议实现实现HTML超文本传输超文本传输F FTP文件传输协议文件传输协议 用于实现两台主机之间文件的传输用于实现两台主机之间文件的传输TelnetTelnet远程登录协议远程登录协议远程登录并
31、控制主机远程登录并控制主机D DNS域名服务域名服务提供从域名到提供从域名到IPIP地址的转换地址的转换D DHCP动态主机分配动态主机分配 管理并助态分配管理并助态分配IPIP地址地址S SMTP简单邮件传输协议简单邮件传输协议 用于发送和传输邮件用于发送和传输邮件P POP/POP3邮局协议邮局协议用于接收邮件用于接收邮件传输层传输层T TCP传输控制协议传输控制协议可靠的、面向连接的端到端的传输可靠的、面向连接的端到端的传输U UDP用户数据报协议用户数据报协议 不可靠的、无连接的端到端的传输不可靠的、无连接的端到端的传输网络层网络层IPIP互联网协议互联网协议点到点的数据传输点到点的数
32、据传输I ICMP互联网控制报文协议互联网控制报文协议用于传输差错及控制报文用于传输差错及控制报文A ARP地址解析协议地址解析协议将将IPIP地址转换到物理地址地址转换到物理地址R RARP逆向地址解析协议逆向地址解析协议将物理地址转换到将物理地址转换到IPIP地址地址网络接口层网络接口层EthemetEthemet以太网协议以太网协议 实现实现CSMA/CSMA/CD和和MacMac寻址寻址TockenTocken Ring Ring 令牌环网协议令牌环网协议 实现令牌环介质访问实现令牌环介质访问FDDIFDDI光纤分布式接口协议光纤分布式接口协议 实现光纤分布式网实现光纤分布式网PPPP
33、PP点到点链路协议点到点链路协议 点到点链路的数据传输点到点链路的数据传输SLIPSLIP串行线路网际协议串行线路网际协议 WindowsWindows远程访问的一种旧工业标准远程访问的一种旧工业标准任务二:分析基础的网络数据 知识储备贰RFCRFCRequest for commentsRequest for comments 请求评论,是一系列以编号排定的文件。RFC文件格式最初作为ARPA网计划的基础起源于1969年。如今,它已经成为IETF、Internet Architecture Board(IAB)还有其他一些主要的公共网络研究社区的正式出版物发布途径。这是互联网标准化互联网标准
34、化的工作相关的文件文件。在Internet上,任何一个用户都可以对Internet某一领域的问题提出自己的解决方案自己的解决方案或规范规范,作为InternetInternet草案草案。目前有以下两个阶段:建议标准建议标准(Proposed Standard):从这个阶段开始就成为RFC文档。互联网标准互联网标准(Internet Standard):达到正式标准后,每个标准就分配到一个编号。RFC文件只有新增新增,不会不会有取消或中途停止发行取消或中途停止发行的情形。但是对于同一主题而言,新的RFC文件可以声明取代旧声明取代旧的RFC文件。简言之,RFC就是互联网标准的讨论以及最终确定的会议
35、记录。https:/www.ietf.org/rfc/https:/www.ietf.org/rfc/任务二:分析基础的网络数据 知识储备贰URI URI 的的 RFCRFChttps:/https:/www.ietf.org/rfc/www.ietf.org/rfc/rfc3986rfc3986foo:/:8042/over/there?name=ferret#nose_/_/_/_/_/|scheme authority path query fragment|_|_/urn:example:animal:ferret:nose“URIURI可以分为分为URL,URNURL,URN或同时具
36、备同时具备locatorslocators 和namesnames特性的一个东西。URN作用就好像一个人的名字,URL就像一个人的地址。换句话说:URN确定了东西的身份,URL提供了找到它的方式。”URIURI:Uniform Resource Identifier,统一资源标识符;URLURL:Uniform Resource Locator,统一资源定位符;URNURN:Uniform Resource Name,统一资源名称。任务二:分析基础的网络数据 任务步骤贰第一步:打开Wireshark3.2.2第二步:选择菜单栏中的“捕获”“选项”,勾选“WLAN”网卡,点击“开始”,启动抓包。
37、任务二:分析基础的网络数据 任务步骤贰第三步:Wireshark启动后,Wireshark处于抓包状态中。第四步:执行需要抓包的操作。比如ping 。任务二:分析基础的网络数据 任务步骤贰第五步:操作完成后相关数据报就抓取到了。第六步:可以在过滤栏设置过滤条件ip.addr=220.181.38.149,表示只显示ICPM协议且源主机IP或者目的主机IP为220.181.38.149的数据报。效果如图所示。任务二:分析基础的网络数据 任务步骤贰第七步:通过相关的数据报,可以看到TCP的三次握手数据。任务二:分析基础的网络数据 任务步骤贰任务三:分析ARP和IP 任务描述叁本任务是通过对ARP和
38、IP相关知识的学习,实现Wireshark分析ARP和IP。使用Wireshark分析ARP和IP思路如下:(1)准备两台物理机,两台物理机之间能够互相通信。(2)使用Wireshark抓取两台物理机通信过程中产生的ARP数据。(3)对数据包进行IP协议过滤。(4)对抓取的IP数据包进行分析。任务三:分析ARP和IP 知识储备叁1.ARP1.ARP(1 1)什么是)什么是ARPARPARP(Address Resolution Protocol,地址解析协议)可以通过IP地址获取对应主机的物理地址,是网络层协议。IP地址在OSI模型的第三层,MAC地址在第二层,彼此不直接通信。在通过以太网发送
39、IP数据报时,为了正确地向目的主机传送报文,必须把目的主机的3232位位IPIP地址地址转换成为目的主机4848位以太网的地址(位以太网的地址(MACMAC地址)地址),这就需要在互联层有一个服务或功能将IP地址转换为相应的物理地址(MAC地址),这个服务或者功能就是ARP协议。任务三:分析ARP和IP 知识储备叁1.ARP1.ARP(2)ARP报文报文格式格式在对ARP协议抓包之后,需要了解ARP报文格式以便清楚分析ARP报文,报文格式如表示。任务三:分析ARP和IP 知识储备叁2.IP2.IP(1)什么是)什么是IPIP协议为互联网协议,是Internet Protocol的缩写,中文缩写
40、为“网协”。IP协议是位于OSI模型中第三层的协议,其主要功能是在一个个IP模块间传送数据报。网络中每个计算机和网关上都有IP模块。(2)IP格式格式IP地址由3232位二进制数值位二进制数值组成(4 4字节字节),但为了方便用户的理解和记忆,通常采用点分十进制点分十进制标记法,即将4字节的二进制数值转换成4个十进制数值,每个数值小于等于255,数值中间用“.”隔开,表示成w.x.y.z的形式,如下图所示。任务三:分析ARP和IP 知识储备叁2.IP2.IP(3)IP地址的地址的分类分类按照IP规定,Internet上的地址共有A、B、C、D、E共5类,如图所示。任务三:分析ARP和IP 知识
41、储备叁2.IP2.IP(3)IP地址的地址的分类分类1)A类类IP地址地址A类IP地址网络占据8位,主机占据24位,A类网络个数为126,每个网络可容纳的主机数目是16777214(224-2),其首字节数值的范围为1126。起始为1-126,0、127特殊,127用于回传保留。2)B类类IP地址地址B类IP地址网络占据16位,主机占据16位。B类网络个数为16384(214),每个网络可容纳的主机数目是65534(216-2),其首字节数值的范围为128191。3)C类类IP地址地址C类IP地址网络占据24位,主机占据8位。C类网络个数为2097152(221),每个网络可容纳的主机数目是2
42、54(28-2),其首字节数值的范围为192223。4)D类类IP地址地址D类IP地址用于组播,其首字节数值的范围为224239。5)E类类IP地址地址E类IP地址用作试验,其首字节数值的范围为240247。任务三:分析ARP和IP 知识储备叁2.IP2.IP(3)IP地址的地址的分类分类任务三:分析ARP和IP 知识储备叁2.IP2.IP(4)IP数据报数据报TCP/IP协议定义了一个在因特网上传输的包,成为IP数据报。IP数据报是一个与硬件无关的虚拟包,由首部(header)和数据两部分组成,首部部分主要包括版本、长度和IP地址等信息。数据部分一般用来传送其他的协议,如TCP、UDP和IC
43、MP等。IP数据报首部格式如图所示。任务三:分析ARP和IP 任务步骤叁任务准备:任务准备:PC1:物理机Win10系统(IP地址:192-168.10.111)PC2:物理机Win7系统(IP地址:192-168.31.134)说明:此处PC2可以用虚拟机。任务三:分析ARP和IP 任务步骤叁第一步:打开Wireshark3.2.2,根据实验环境选择捕获选项。第二步:点击“开始”按钮,效果如图,此时没有捕获到任何包,因使用捕获过滤器,仅捕获ARP包。任务三:分析ARP和IP 任务步骤叁第三步:在PC2上执行以下命令,并输出如下信息。在Wireshark中查看抓包记录,如图所示。任务三:分析A
44、RP和IP 任务步骤叁第四步:查看捕获的ARP数据报,如图所示。1.第一行为ARP请求包,包含第一帧数据报的详细信息,其中包的大小为42字节。2.第二行为以太网帧头部信息,包括源MAC地址,目标地址,这里的目标地址为广播地址3.第三行表示地址解析协议内容具体infomation分析。任务三:分析ARP和IP 任务步骤叁具体infomation分析。任务三:分析ARP和IP 任务步骤叁第五步:选择作为目标地址。在命令提示符中输入代码,效果如图所示。第六步:在过滤栏设置过滤条件ip.addr=39.156.69.79任务三:分析ARP和IP 任务步骤叁第七步:分析过滤的IP数据,如图。任务四:分析
45、TCP 任务描述肆本任务是使用Wireshark分析TCP。使用Wireshark分析TCP思路如下:(1)在Wireshark找到TCP协议相关数据。(2)分析TCP数据报任务四:分析TCP 知识储备肆1.TCP(1)TCP简介简介TCP(Transmission Control Protocol,传输控制协议)是一种基于IP的传输层、面向连接的、可靠的协议,其主要作用是为应用层提供一个可靠的(保证传输的数据不重复、不丢失)、面向连接的、全双工的数据流传输服务。TCP的工作过程如图所示,使用IP传递信息。每一个TCPTCP信息被封装信息被封装在一个一个IPIP数据报数据报中并通过互联网传送。
46、任务四:分析TCP 知识储备肆1.TCP(2)TCP数据报数据报 源端口和目的端口:分别与源IP地址和目的IP地址一起标识TCP连接的两个端点。序号:TCP段中第一个字节的序号。确认序号:准备接收的下一个字节序号。头长:包括固定头和选项头。保留:保留为今后使用,目前设置为0。标识:包括紧急比特URG和确认比特ACK等一组位标识,用于识别当前信息传递的状态。窗口大小:TCP使用可变长度的滑动窗口进行流量控制,窗口大小表明发送方可以发送的字节数(从确认序号开始)。校验和:对TCP头、数据及伪头结构进行校验。紧急指针:指出紧急数据的位置(距当前序号的偏移值)。选项:选项可用来提供一些额外的功能。任务
47、四:分析TCP 知识储备肆1.TCP(2)TCP数据报数据报 在对捕获的TCP信息进行过滤时,需要了解TCP的数据报首部格式,TCP首部格式如图所示。任务四:分析TCP 知识储备肆1.TCP(3)TCP建立连接建立连接在TCP/IP协议中,TCP协议提供可靠的连接服务,通过使用三次握手建立一个连接。所有基于TCP的通信都需要以两台主机的握手开始。其“三次握手”原理如图所示任务四:分析TCP 知识储备肆1.TCP(3)TCP建立建立连接连接任务四:分析TCP 知识储备肆1.TCP(3)TCP建立建立连接连接任务四:分析TCP 知识储备肆1.TCP(4)TCP 结束连接结束连接 四次挥手任务四:分
48、析TCP 知识储备肆1.TCP(4)TCP 结束连接结束连接 四次挥手任务四:分析TCP 知识储备肆2.UDP(1)UDP简介简介UDP是User Datagram Protocol(用户数据报协议)的简称。它是OSI七层模型中一种无连接的传输层协议,处于IP协议的上一层协议。使用UDP传输与IP传输非常类似,可将UDP协议看作是IP协议暴露在传输层的一个接口。UDP协议的主要作用就是将网络数据流量压缩成数据报的形式。一个典型的数据报就是一个二进制数据的传输单位。每一个数据报的前前8 8字节用来包含包头信息字节用来包含包头信息,剩余字节则用来包含具体的传输数据剩余字节则用来包含具体的传输数据。
49、任务四:分析TCP 知识储备肆2.UDP(2)UDP首部格式首部格式UDP的数据报同样分为头部(header)和数据(payload)两部分。因UDP是传输层(transport layer)协议,所以UDP的数据报需要经过IP协议的封装encapsulation),然后通过IP协议传输到目的电脑,随后UDP包在目的电脑拆封,并将信息送到相应端口的缓存中。1)源端口:用来传输数据报的端口。2)目标端口:数据报将要被传输到的端口。3)数据报长度:数据报的字节长度。4)校验和:用来确保UDP首部和数据到达时的完整性。5)数据:被UDP封装进去的数据,包含应用层协议头部和用户发出的数据。任务四:分析
50、TCP 任务步骤肆第一步:对抓取的数据报进行TCP分析。如图所示,可知TCP经过三次握手。任务四:分析TCP 任务步骤肆第二步:分析TCP三次握手(1)点击第21行的数据,出现如图所示的数据,客户端发送一个TCP,标志位为SYN,序列号为0,代表客户端请求建立连接。此时TCP经过第一次握手。任务四:分析TCP 任务步骤肆第二步:分析TCP三次握手(2)第二次握手如图所示,服务器发回确认包,标志位为 SYN,ACK。将确认序号(Acknowledgement Number)设置为客户的ISN加1。即0+1=1。任务四:分析TCP 任务步骤肆第二步:分析TCP三次握手(3)第三次握手如图所示。客户