資源描述:
《實驗二用協(xié)議分析器分析IP包格式1》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1����、實驗二用協(xié)議分析器分析IP包格式1計算機科學(xué)與科學(xué)實驗報告課程名稱:實驗名稱:用協(xié)議分析器分析IP包格式班級:計算機學(xué)號:40姓名:朱報龍2013年1月3H實驗二用協(xié)議分析器分析IP包格式一實驗冃的1.熟悉網(wǎng)絡(luò)協(xié)議分析的原理�。2?熟悉網(wǎng)絡(luò)協(xié)議分析軟件Ethereal的使用。3.掌握IP包的構(gòu)成���。4.分析IP包的分片重組機制���。二實驗內(nèi)容1?繼續(xù)學(xué)習(xí)使用網(wǎng)絡(luò)協(xié)議分析軟件Etherealo2?捕捉任何主機發(fā)出的IP包并進行結(jié)構(gòu)分析。3.捕捉具有分組情況的IP包����,并分析IP包的分片重組機制。三實驗原理1?網(wǎng)絡(luò)協(xié)議分析原理網(wǎng)絡(luò)協(xié)議分析是截獲網(wǎng)絡(luò)上正在傳輸?shù)臄?shù)據(jù)報文�,并對數(shù)據(jù)報文的
2�、內(nèi)容進行分析。網(wǎng)絡(luò)協(xié)議分析需要截獲網(wǎng)絡(luò)上的所有報文�,根據(jù)上面對網(wǎng)卡接收模式的分析�����,只耍將網(wǎng)卡的接收模式置于混雜模式即可實現(xiàn)����。在接收到網(wǎng)絡(luò)上所有的數(shù)據(jù)報文后�,通過相應(yīng)的網(wǎng)絡(luò)協(xié)議分析軟件進行處理,可以實時分析這些數(shù)據(jù)的內(nèi)容��,進而分析網(wǎng)絡(luò)狀態(tài)和整體布局����。網(wǎng)絡(luò)協(xié)議分析技術(shù)主耍用來幫助網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)進行管理。通過網(wǎng)絡(luò)協(xié)議分析技術(shù)�����,網(wǎng)絡(luò)管理員可以了解目前網(wǎng)絡(luò)中正在應(yīng)用的協(xié)議種類,每種協(xié)議所占的比例���,及哪些設(shè)備應(yīng)用哪些協(xié)議進行通訊�;同時可以分析協(xié)議應(yīng)用的合理性與有效性�,從而合理的選擇協(xié)議,節(jié)約有限的網(wǎng)絡(luò)寬帶,提高網(wǎng)絡(luò)傳輸效率�����;另外,可以診斷出大量的不可見模糊問題�,為管理員管理網(wǎng)絡(luò)區(qū)
3、域提供了非常寶貴的信息����。1.IP包格式分析IP包結(jié)構(gòu)如圖3-1所示。圖3-1IP數(shù)據(jù)報格式及首部中的各字段分析圖中的首部���。最高位在左邊��,記為Obit�;最低位在右邊���,記為31bito4個字節(jié)的32bit值以下面的次序傳輸:首先是0?7bit,其次8~15bit,然后16?23bit,最后是24~31bit��。這種傳輸次序稱作bigendian字節(jié)序����。由于TCP/IP首部中所有的二進制整數(shù)在網(wǎng)絡(luò)中傳輸時都要求以這種次序,因此它又稱作網(wǎng)絡(luò)字節(jié)序�����。以其他形式存儲二進制整數(shù)的機器�,如littleendian格式,則必須在傳輸數(shù)據(jù)Z前把首部轉(zhuǎn)換成網(wǎng)絡(luò)字節(jié)序�。目前的協(xié)議版本號是4,因此
4、IP有時也稱作IPv4o首部長度指的是首部占32bit字的數(shù)目���,包括任何選項�����。由于它是一個4比特字段���,因此首部最長為60個字節(jié)。普通IP數(shù)據(jù)報(沒有任何選擇項)字段的值是5���。服務(wù)類型(TOS)字段包括一個3bit的優(yōu)先權(quán)子字段(現(xiàn)在已被忽略)��,4bit的TOS子字段和lbit未用位但必須置0���。4bit的TOS分別代表:最小時延、最大吞吐量���、最高可靠性和最小費用����。4bit屮只能置其屮lbit。如果所有4bit均為0,那么就意味著是一般服務(wù)���?����?傞L度字段是指整個IP數(shù)據(jù)報的長度�����,以字節(jié)為單位�����。利用首部長度字段和總長度字段�����,就可以知道IP數(shù)據(jù)報中數(shù)據(jù)內(nèi)容的起始位置和長度��。由于該
5����、字段長16比特,所以IP數(shù)據(jù)報最長可達65535字節(jié)�����。當數(shù)據(jù)報被分片時�����,該字段的值也隨著變化�?����?傞L度字段是IP首部中必要的內(nèi)容��,因為一些數(shù)據(jù)鏈路(如以太網(wǎng))需要填充一些數(shù)據(jù)以達到最小長度���。盡管以太網(wǎng)的最小幀長為46字節(jié)�,但是IP數(shù)據(jù)可能會更短���。如果沒有總長度字段���,那么IP層就不知道46字節(jié)中冇多少是IP數(shù)據(jù)報的內(nèi)容���。標識字段唯一地標識主機發(fā)送的每一份數(shù)據(jù)報。通常每發(fā)送一份報文它的值就會加loRFC791[Postel1981a]認為標識字段應(yīng)該由讓IP發(fā)送數(shù)據(jù)報的上層來選擇����。假設(shè)有兩個連續(xù)的IP數(shù)據(jù)報,其中一個是由TCP生成的�,而另一個是由UDP生成的,那么它們可能具有
6�����、相同的標識字段�。盡管這也可以照常工作(由重組算法來處理),但是在大多數(shù)從伯克利派生出來的系統(tǒng)中����,每發(fā)送一個IP數(shù)據(jù)報,IP層都耍把一個內(nèi)核變量的值加1,不管交給IP的數(shù)據(jù)來自哪一層�。內(nèi)核變量的初始值根據(jù)系統(tǒng)引導(dǎo)時的時間來設(shè)置。TTL(time-to-live)生存時間字段設(shè)置了數(shù)據(jù)報可以經(jīng)過的最多路由器數(shù)�����。它指定了數(shù)據(jù)報的生存時間。TTL的初始值由源主機設(shè)置��,一旦經(jīng)過一個處理它的路由器�,它的值就減去當該字段的值為0時,數(shù)據(jù)報就被丟棄�,并發(fā)送ICMP報文通知源主機。首部檢驗和字段是根據(jù)IP首部計算的檢驗和碼����。它不對首部后面的數(shù)據(jù)進行計算�。ICMP、IGMP����、UDP和TCP
7、在它們各自的首部中均含有同時覆蓋首部和數(shù)據(jù)檢驗和碼��。為了計算一份數(shù)據(jù)報的IP檢驗和�,首先把檢驗和字段置為0。然后,對首部中每個16bit進行二進制反碼求和(整個首部看成是由一串16bit的字組成)���,結(jié)果存在檢驗和字段中����。當收到一份IP數(shù)據(jù)報后,同樣對首部中每個16bit進行二進制反碼的求和��。由于接收方在計算過程中包含了發(fā)送方存在首部中的檢驗和�����,因此��,如果首部在傳輸過程中沒有發(fā)生任何差錯��,那么接收方計算的結(jié)果應(yīng)該為全1���。如果結(jié)果不是全1(即檢驗和錯誤)�����,那么IP就丟棄收到的數(shù)據(jù)報���。但是不生成差錯報文,由上層去發(fā)現(xiàn)丟失的數(shù)據(jù)報并進行重傳���。協(xié)議
