返回
数据包的截获与网络协议分析.pdf

数据包的截获与网络协议分析.pdf

ID:52703553

大小:114.79 KB

页数:2页

时间:2020-03-29

数据包的截获与网络协议分析.pdf_第1页
数据包的截获与网络协议分析.pdf_第2页
资源描述:

《数据包的截获与网络协议分析.pdf》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、计算机技术重庆三峡学院学报——JOURNALOFCHONGQINGTHREEGORGESUNIVERSITY2006年第3期第22卷——No.3.2006Vol.22.数据包的截获与网络协议分析蒋波李方军郝军(中国工程物理研究院职工工学院,四川绵阳621900)摘要:在网络测试、故障诊断及计算机网络教学实验中都需要从网上截获数据包并对其进行网络协议分析,作者通过实例介绍了用Ethereal从网上俘获数据包并对其进行TCP/IP协议研究的方法。关键词:Winpcap;Ethereal;TCP/IP协议;数据包中图分类号:TP393文献

2、标识码:A文章编号:1009-8135(2006)03-0026-021引言在数据包的截获方面,Winpcap是一个可在Windows环境下运行的包俘获结构,它由三部分组成:一个数据包截获驱动程序、一个底层动态链接库(Packet.dll)和一个高层静态链接库(wpcap.lib)。它的核心部分是数据包俘获驱动程序,在WindowsNT/2000系统中,它实现为一个内核驱动程序(packet.sys),在Windows95/98系统中是一个虚拟设备驱动程序(packet.vxd),包俘获驱动程序通过NDIS(NetworkDrive

3、rInterfaceSpecification)同网络适配器的驱动程序进行通信,NDIS是网络代码的一部分,它负责管理各种网络适配器以及在适配器和网络协议软件之间的通信。在库的高层是一个动态链接库(packet.dll)和一个静态链接库(wpcap.lib),这两个库的作用是将俘获应用程序同包俘获驱动程序相隔离,屏蔽低层的实现细节,避免在程序中直接使用系统调用或IOCTL命令,为应用程序提供系统独立的高层接口(API函数),从而在Windows9x、Windows2000/XP系统下,对驱动程序的系统调用都是相同的。使用Winpca

4、p,我们可以编写出用于网络协议实验分析、故障诊断、网络安全和监视等各种应用程序,这方面的一个典型例子就是可在Windows系统下运行的Ethereal,Ethereal和Winpcap都可从网上下载,通过Ethereal我们可以从网上拦截数据包并对数据包进行网络协议分析,下面介绍一个分析实例。2数据包的截获与链路层协议分析Ethereal安装完成后,单击它的Capture→Start菜单,打开俘获选项对话框,在这些选项中比较重要的是设置混杂模式(Promiscuousmode)选项,选中这个选项使得网卡并不检验数据帧的目的地址,从而

5、它可以截获网上的任何帧,其他选项可用默认设置,再单击OK按钮即可进行数据包截获,图1显示出了被截获的一个以太网数据帧。图1被截获的以太网数据帧收稿日期:2005-11-18作者简介:蒋波(1963-),男,四川三台人,中国工程物理研究院职工工学院讲师。-26-重庆三峡学院学报2006年第3期截获的数据帧分别在Ethereal的包列表(Packet协议的TCP段内容。List)、包细节(PacketDetails)和包字节(PacketBytes)4传输层协议的分析三个窗口中显示。图1依次显示了这三个窗口的部TCP/IP的传输层协议包

6、括用户数据报协议分内容,最上面的包列表窗口按俘获的顺序显示出(UDP)、传输控制协议(TCP)等,TCP要在IP帧的一般信息,如被俘获的时间、包的协议类型等。服务上提供可靠的、面向连接的字节流传输,它是当应用层的数据通过网络协议栈(如TCP/IP协议以数据段(segment)的形式交换数据,忽略选项后栈)到达物理层传输时,各层协议都要在数据包上的数据段格式封装一个报头,而中间的包细节窗口就从低层到高从包细节窗口可看出,TCP源端口号1140,目层显示出数据包的各层协议信息,在下面的包字节的端口号80,其中80是HTTP协议的保留端口

7、号,窗口上,则以十六进制和ASCII码显示了被截获数在包字节窗口中显示出序列号的实际值是据包的详细内容。0x000af00b,但它等于本次连接的初始序号加上报我们先分析网络协议的数据链路层,它一般采文第一个字节在整个数据流中的序号,因此包细节用以太网的IEEE802.3标准。其中数据部分包括了窗口显示了相对于建立连接的初始握手序列号的相更高层的协议内容,由于前导码被网络硬件用于接对值1,图中的下一序列号847就意味着数据区长收信号的同步,因此Ethereal已从数据帧中去掉了度是846字节。同理确认号的相对值也为1,头部前导码,在图

8、1的包细节窗口中,显示出帧的头部长度20字节,标志位0x0018指示ACK标志为1,信息,可以读出这个帧的目的物理地址为表明确认号有效,PSH为1表示接收方将数据不做00:90:1a:40:2a:d0,源物理地址为00:e0:4c:8

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。