计算机网络课程设计---基于Wireshark的网络数据包内容解析
Wireshark网络分析的艺术课程设计 (2)
Wireshark网络分析的艺术课程设计课程简介本课程面向计算机网络相关专业的本科生开设,旨在培养学生对网络分析工具Wireshark的熟练应用能力及对网络协议的深入理解。
课程将介绍Wireshark的基本操作、协议分析方法、协议的交互过程解读以及网络攻防技术应用等内容,力求让学生掌握一定的网络技能和解决常见网络问题的思路。
课程目标•掌握Wireshark基本操作及网络抓包技术;•理解网络协议的基本原理;•了解常见的协议交互过程;•能够分析网络问题并提供有效解决方案;•掌握基本的网络攻防技术。
课程安排第一周:Wireshark基础操作•Wireshark安装及配置;•抓包的基本原理;•抓包过程中遇到的问题及解决方案。
第二周:网络协议分析•OSI七层协议模型及其特点;•TCP/IP协议栈及其关系;•五元组的概念及其在网络分析中的应用。
第三周:协议交互过程解读•不同协议之间的交互过程;•常见协议报文格式分析;•协议栈分析及一些有效的分析技巧。
第四周:网络问题分析及解决方案•常见网络问题的分析方法;•分析网络故障的关键指标;•提供有效解决方案的思路。
第五周:基本的网络攻防技术•常见的网络攻击形式及其特点;•网络防御的基本原则;•简单实现网络攻击检测和预防。
课程设计实验内容•使用Wireshark工具进行协议分析;•分析并解决常见的网络问题;•实现一个简单的网络攻击检测和预防。
实验环境•Windows或Linux操作系统;•Wireshark网络分析工具。
报告要求•针对实验内容编写实验报告;•报告中需包含抓包数据、分析过程及结论等内容;•报告需以Markdown格式输出并提交。
评分标准•实验报告质量,占总分40%;•分析过程的准确性,占总分30%;•实验操作的熟练程度,占总分20%;•实验成果的实用性,占总分10%。
结语本门课程内容较贴近实践,希望同学们重视平时课堂实验的操作以及课下任务的完成,课程结束后还可以自己动手探索Wireshark中更深入的技术应用。
网络安全专业毕业设计基于Wireshark的网络流量分析与入侵检测系统研究
网络安全专业毕业设计基于Wireshark的网络流量分析与入侵检测系统研究一、引言随着互联网的快速发展,网络安全问题日益突出,网络攻击事件频繁发生,给个人和组织带来了巨大的损失。
因此,网络安全专业毕业设计成为了重要的课题之一。
本文将基于Wireshark工具,探讨网络流量分析与入侵检测系统的研究。
二、Wireshark简介Wireshark是一款开源的网络协议分析工具,能够实时捕获和分析网络数据包。
它支持多种操作系统,并提供丰富的插件和过滤器,方便用户进行深入的网络流量分析。
三、网络流量分析1. 网络流量分析的重要性网络流量分析是指对网络中传输的数据包进行监控、捕获和分析,通过对流量数据的解读可以及时发现异常行为和潜在威胁,有助于提高网络安全性。
2. Wireshark在网络流量分析中的应用Wireshark作为一款功能强大的抓包工具,可以帮助用户实时监控网络流量、分析协议报文、检测异常流量等。
通过Wireshark的使用,可以更好地理解网络通信过程,及时发现潜在风险。
四、入侵检测系统研究1. 入侵检测系统的定义与分类入侵检测系统(Intrusion Detection System,IDS)是一种安全管理设备,用于监视网络或系统中的恶意活动或异常行为。
根据部署位置和工作原理不同,IDS可分为主机型IDS和网络型IDS。
2. 基于Wireshark的入侵检测系统设计结合Wireshark工具进行入侵检测系统设计,可以利用其强大的抓包功能获取网络数据包,并通过自定义规则和算法实现对恶意行为的检测和响应。
这种基于Wireshark的IDS设计方法具有灵活性高、实时性强等优点。
五、研究成果与展望本文基于Wireshark工具,探讨了网络流量分析与入侵检测系统的研究。
通过对网络流量进行深入分析,并结合入侵检测技术,设计了一套有效的安全防护方案。
未来可以进一步完善系统功能,提高检测准确率和响应速度,以应对日益复杂多变的网络安全威胁。
wireshark抓包分析2篇
wireshark抓包分析2篇第一篇:Wireshark抓包分析HTTP协议Wireshark是一款网络分析工具,可用于抓取网络传输过程中的数据包,方便分析瓶颈和故障。
本文将以抓取HTTP协议为例,演示Wireshark的使用方法,并分析数据包内容。
1. 抓取HTTP协议数据包启动Wireshark,选择网络接口和捕获过滤器。
为了抓取HTTP协议的数据包,可以输入"tcp port 80"作为过滤器,表示只抓取端口为80的TCP数据包,即HTTP协议的数据包。
2. 分析HTTP协议数据包抓取到的HTTP协议数据包可通过Wireshark的命令行界面或图形界面进行分析,下面分别介绍。
(1) 命令行界面在Wireshark的命令行界面中,可以查看每个数据包的详细信息,并按需提取关键信息。
例如,输入"frame.number"命令可显示数据包编号,输入"ip.src"命令可显示源IP地址,输入"http.request.full_uri"命令可显示请求的URL地址等。
(2) 图形界面在Wireshark的图形界面中,可以以树形结构或表格形式查看每个数据包的详细信息。
在HTTP协议的数据包中,关键信息如下:- HTTP Request:包括请求方法(GET/POST等)、请求头、请求正文等。
- HTTP Response:包括状态码、响应头、响应正文等。
- 源IP地址和目的IP地址:代表客户端和服务器的IP 地址。
- 源端口号和目的端口号:代表客户端和服务器的TCP 端口号。
通过分析HTTP协议数据包,可以查看请求和响应信息,了解应用程序和服务器的交互过程。
也可以检查请求/响应是否存在异常,例如请求头或响应正文长度异常、响应状态码为4xx或5xx等。
本文仅介绍了抓取和分析HTTP协议数据包的基本方法,Wireshark还可以用于分析其他协议的数据包,例如TCP、DHCP、DNS等。
基于Wireshark的网络数据包内容解析
基于Wireshark的网络数据包内容解析摘要本课程设计是利用抓包软件Wireshark,对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取,然后对所抓取的包进行分析,并结合的协议进行分析,达到了解各种数据包结构的目的。
设计过程中对各种包进行抓取分析,各种包之间比较,了解每种包的传输过程与结构,通过本次课程设计,能很好的运用Wireshark对数据包分析和Wireshark各种运用,达到课程设计的目的。
关键词IP协议;TCP协议;UDP协议;ARP协议;Wireshark;计算机网络;1 引言本课程设计主要是设计一个基于Wireshark的网络数据包内容解析,抓取数据包,然后对所抓取的包进行分析,并结合的协议进行分析,达到了解各种数据包结构的目的1.1 课程设计目的Wireshark是一个网络封包分析软件。
可以对网络中各种网络数据包进行抓取,并尽可能显示出最为详细的网络封包资料,计算机网络课程设计是在学习了计算机网络相关理论后,进行综合训练课程,其目的是:1.了解并会初步使用Wireshark,能在所用电脑上进行抓包;2.了解IP数据包格式,能应用该软件分析数据包格式。
1.2 课程设计要求(1)按要求编写课程设计报告书,能正确阐述设计结果。
(2)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。
(3)学会文献检索的基本方法和综合运用文献的能力。
(4)在老师的指导下,要求每个学生独立完成课程设计的全部内容。
1.3 课程设计背景一、Wireshark(前称Ethereal)是一个网络封包分析软件。
网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。
在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。
wireshark抓包原理解析
wireshark抓包原理解析Wireshark是一款功能强大的网络协议分析软件,可以帮助用户查看和分析网络数据包。
它能够从网络接口上捕获数据包,还可以根据不同的协议对数据包进行解析和分析。
那么,Wireshark是如何实现抓包的呢?下面,我们就从网络以及软件两个方面来解析Wireshark的抓包原理。
一、网络方面那么,数据包是如何到达我们的计算机的呢?它是通过网络线路、路由器等物理设备传输到各个计算机的网络接口上的。
当计算机收到数据包时,它会通过网络接口把数据包交给操作系统进行处理。
这个时候,Wireshark就可以通过在操作系统的网络接口处进行数据包捕获,从而实现对网络数据包的抓包。
当数据包进入网络接口时,它首先会被操作系统进行缓存。
这时,Wireshark就可以通过网络接口的混杂模式来抓取数据包。
混杂模式是指,网络接口会将所有经过它的数据包都传递给操作系统的缓存区,不管这些数据包是否是针对这台机器的。
这就使得Wireshark可以捕获所有经过这个网络接口的数据包。
二、软件方面Wireshark实现抓包主要是通过软件技术来实现的。
它使用了一种叫做「WinPcap」的软件包来实现对网络接口的监控和数据包的捕获。
WinPcap是一种针对Windows平台的网络接口抓包工具,它可以实现对网络接口的数据包进行捕获和过滤。
而Wireshark则是通过对WinPcap进行二次开发,来实现了更加丰富和强大的抓包功能。
当Wireshark收到从WinPcap传递来的数据包时,它首先会对数据包进行解析和过滤。
这个过程实际上就是Wireshark进行抓包和分析的核心部分。
它会根据数据包的协议类型和格式来进行解析,还可以根据用户的需求进行数据包的过滤,从而确保只抓取到用户所关心的数据包。
经过这些处理之后,Wireshark就可以在界面上展示出这些数据包的详细信息。
总结:Wireshark的抓包原理是通过在网络接口处捕获数据包,使用软件进行解析和过滤,并将结果呈现在界面上的方式实现的。
计算机网络练习之使用WireShark捕获和分析数据包
以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一:运行wireshark开始捕获数据包,如图所示点击第二行的start开始捕获数据包。
启动界面:抓包界面的启动是按file下的按钮(或capture下的interfaces)之后会出现这个是网卡的显示,因为我有虚拟机所以会显示虚拟网卡,我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包。
(捕捉本地连接对应的网卡,可用ipconfig/all 查看)二:几分钟后就捕获到许多的数据包了,主界面如图所示:如上图所示,可看到很多捕获的数据。
第一列是捕获数据的编号;第二列是捕获数据的相对时间,从开始捕获算为0.000秒;第三列是源地址,第四列是目的地址;第五列是数据包的信息。
选中第一个数据帧,然后从整体上看看Wireshark的窗口,主要被分成三部分。
上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据。
三:开始分析数据1.打开“命令提示符”窗口,使用“arp -a”命令查看本地计算机ARP高速缓存。
2.使用“arp -d”命令清除本地计算机ARP高速缓存,再使用“arp -a”命令查看。
此时,本地计算机ARP高速缓存为空。
3.在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮将计算机与数据设备相连(3928或路由器),参见静态路由配置。
3.此时,网络协议分析软件开始捕获数据,在“命令提示符”窗口中PING同一子网中的任意主机。
(计算机Aping计算机B)因为PING命令的参数为IP地址,因此使用PING命令前,需要使用ARP机制将IP地址转换为MAC地址,这个过程用户是无法感知的。
因为我们在使用PING命令前已经开始网络数据包捕获,因此,此时网络协议分析软件将捕获到ARP解析数据包。
计算机网络课程wireshark
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载计算机网络课程wireshark地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容封面略...(仅供参考)一、实验目的和要求1.学会使用wireshark抓包工具捕获网络数据包。
2.学会分析抓包结果,加深对网络数据包结构的认识。
二、实验内容和原理安装wireshark工具,利用wireshark抓取局域网中的数据包并分析。
(还做了什么都写上去)三、实验过程1.安装wireshark网络抓包工具,以及winpcap开源库。
2.构建局域网。
3.局域网间通信,并利用wireshark抓取数据包。
4.分析数据包。
四、实验结果与分析1.Wireshark抓取结果界面如下图:2.抓到的帧的信息如下图第2567个帧(线上传输66bytes, 抓到66bytes)到达时间上一个抓到的帧到这一个的时间上一个显示的帧到这一个的时间从第一个抓到的帧开始的时间帧序号帧长度该帧没有被标记该帧内的协议有: ethernet II /internet protocol/tcp protocol 该帧的规则名:TCP该帧的规字符串:tcp3.使用三个协议的包的信息ethernet IIsource源地址名(网卡物理地址)destination目的地址(网上物理地址)Internet ProtocolThe IPv4 (Internet Protocol) header 的内容:source源地址名(ip 地址)destination目的地址(ip 地址)版本:4首部长度:20bytes总长度:52bytesFlags里1代表Don’t fragment 因为只有一个报文所以more fragments \fragment offset 都为0可以经过的router数为128里面封闭的报文协议是 tcp头的检验和,检验正确TCP源端口:49162 目的端口:microsoft-ds(445)TCP首部介绍Seq:本报文的序号Ack:已经接到的报文号首部长度:32bytesFlags:只有acknowledgement是1,表示Acknowledgement number是有意义的检验和:正确(抓取结果不一样,分析也不一样)五、心得体会通过这次实验我充分理解并掌握了wireshark抓包工具的使用,并对网络数据包结构有了更深一步的了解,同时让我在课上学到的知识得到进一步巩固。
实验四使用Wireshark网络分析器分析数据包
实验四、使用Wireshark网络分析器分析数据包一、实验目的1、掌握Wireshark工具的安装与使用方法2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构3、掌握ICMP协议的类型与代码二、实验内容1、安装Wireshark2、捕捉数据包3、分析捕捉的数据包三、实验工具1、计算机n台(建议学生自带笔记本)2、无线路由器n台四、相关预备知识1、熟悉win7操作系统2、Sniff Pro软件的安装与使用(见Sniff Pro使用文档)五、实验步骤1、安装WiresharkWireshark 就是网络包分析工具。
网络包分析工具的主要作用就是尝试捕获网络包, 并尝试显示包的尽可能详细的情况。
网络包分析工具就是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 就是最好的开源网络分析软件。
Wireshark的主要应用如下:(1)网络管理员用来解决网络问题(2)网络安全工程师用来检测安全隐患(3)开发人员用来测试协议执行情况(4)用来学习网络协议(5)除了上面提到的,Wireshark还可以用在其它许多场合。
Wireshark的主要特性(1)支持UNIX与Windows平台(2)在接口实时捕捉包(3)能详细显示包的详细协议信息(4)可以打开/保存捕捉的包(5)可以导入导出其她捕捉程序支持的包数据格式(6)可以通过多种方式过滤包(7)多种方式查找包(8)通过过滤以多种色彩显示包(9)创建多种统计分析五、实验内容1.了解数据包分析软件Wireshark的基本情况;2.安装数据包分析软件Wireshark;3.配置分析软件Wireshark;4.对本机网卡抓数据包;5.分析各种数据包。
六、实验方法及步骤1.Wireshark的安装及界面(1)Wireshark的安装(2)Wireshark的界面启动Wireshark之后,主界面如图:主菜单项:主菜单包括以下几个项目:File包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于Wireshark的网络数据包内容解析摘要本课程设计是利用抓包软件Wireshark,对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取,然后对所抓取的包进行分析,并结合的协议进行分析,达到了解各种数据包结构的目的。
设计过程中对各种包进行抓取分析,各种包之间比较,了解每种包的传输过程与结构,通过本次课程设计,能很好的运用Wireshark对数据包分析和Wireshark各种运用,达到课程设计的目的。
关键词IP协议;TCP协议;UDP协议;ARP协议;Wireshark;计算机网络;1 引言本课程设计主要是设计一个基于Wireshark的网络数据包内容解析,抓取数据包,然后对所抓取的包进行分析,并结合的协议进行分析,达到了解各种数据包结构的目的1.1 课程设计目的Wireshark是一个网络封包分析软件。
可以对网络中各种网络数据包进行抓取,并尽可能显示出最为详细的网络封包资料,计算机网络课程设计是在学习了计算机网络相关理论后,进行综合训练课程,其目的是:1.了解并会初步使用Wireshark,能在所用电脑上进行抓包;2.了解IP数据包格式,能应用该软件分析数据包格式。
1.2 课程设计要求(1)按要求编写课程设计报告书,能正确阐述设计结果。
(2)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。
(3)学会文献检索的基本方法和综合运用文献的能力。
(4)在老师的指导下,要求每个学生独立完成课程设计的全部内容。
1.3 课程设计背景一、Wireshark(前称Ethereal)是一个网络封包分析软件。
网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。
在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。
Wireshark的出现改变了这一切。
在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。
Wireshark是目前全世界最广泛的网络封包分析软件之一。
二、网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。
网络嗅探是网络监控系统的实现基础。
网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。
嗅探器也是很多程序人员在编写网络程序时抓包测试的工具,因为我们知道网络程序都是以数据包的形式在网络中进行传输的,因此难免有协议头定义不对的。
网络嗅探的基础是数据捕获,网络嗅探系统是并接在网络中来实现对于数据的捕获的,这种方式和入侵检测系统相同,因此被称为网络嗅探。
网络嗅探是网络监控系统的实现基础,首先就来详细地介绍一下网络嗅探技术,接下来就其在网络监控系统的运用进行阐述。
2 网络协议基础知识2.1 IP协议(1) IP协议介绍IP是英文Internet Protocol(网络互连的协议)的缩写,中文简称为“网协”,也就是为计算机网络相互连接进行通信而设计的协议。
在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。
任何厂家生产的计算机系统,只要遵守 IP协议就可以与因特网互连互通。
(2)IP协议的网络互连实现各个厂家生产的网络系统和设备,如以太网、分组交换网等,它们相互之间不能互通,不能互通的主要原因是因为它们所传送数据的基本单元(技术上称之为“帧”)的格式不同。
IP协议实际上是一套由软件程序组成的协议软件,它把各种不同“帧”统一转换成“IP数据包”格式,这种转换是因特网的一个最重要的特点,使所有各种计算机都能在因特网上实现互通,即具有“开放性”的特点。
(3)IP数据报TCP/IP协议定义了一个在因特网上传输的包,称为IP数据报(IP Datagram)。
这是一个与硬件无关的虚拟包, 由首部和数据两部分组成,其格式如图2.1所示:图2-1 IP数据报一般格式IP数据报的详细格式如图2.2所示:图2-2 IP数据报的详细格式IP数据报固定部分各字段含义:(1)版本占4位,指IP协议的版本。
通信双方使用的IP协议版本必须一致。
目前广泛使用的IP协议版本号为4(即IPv4)。
关于IPv6,目前还处于草案阶段。
(2)首部长度占4位,可表示的最大十进制数值是15。
请注意,这个字段所表示数的单位是32位字长(1个32位字长是4字节),因此,当IP的首部长度为1111时(即十进制的15),首部长度就达到60字节。
当IP分组的首部长度不是4字节的整数倍时,必须利用最后的填充字段加以填充。
因此数据部分永远在4字节的整数倍开始,这样在实现IP协议时较为方便。
首部长度限制为60字节的缺点是有时可能不够用。
但这样做是希望用户尽量减少开销。
最常用的首部长度就是20字节(即首部长度为0101),这时不使用任何选项。
(3)区分服务占8位,用来获得更好的服务。
这个字段在旧标准中叫做服务类型,但实际上一直没有被使用过。
1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。
只有在使用区分服务时,这个字段才起作用。
(4)总长度总长度指首部和数据之和的长度,单位为字节。
总长度字段为16位,因此数据报的最大长度为216-1=65535字节。
在IP层下面的每一种数据链路层都有自己的帧格式,其中包括帧格式中的数据字段的最大长度,这称为最大传送单元MTU(Maximum Transfer Unit)。
当一个数据报封装成链路层的帧时,此数据报的总长度(即首部加上数据部分)一定不能超过下面的数据链路层的MTU值。
(5)标识(identification) 占16位。
IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。
但这个“标识”并不是序号,因为IP是无连接服务,数据报不存在按序接收的问题。
当数据报由于长度超过网络的MTU而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。
相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。
(6)标志(flag) 占3位,但目前只有2位有意义。
标志字段中的最低位记为MF(More Fragment)。
MF=1即表示后面“还有分片”的数据报。
MF=0表示这已是若干数据报片中的最后一个。
标志字段中间的一位记为DF(Don’t Fragment),意思是“不能分片”。
只有当DF=0时才允许分片。
(7)片偏移占13位。
片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。
也就是说,相对用户数据字段的起点,该片从何处开始。
片偏移以8个字节为偏移单位。
这就是说,每个分片的长度一定是8字节(64位)的整数倍。
(8)生存时间占8位,生存时间字段常用的的英文缩写是TTL(Time To Live),表明是数据报在网络中的寿命。
由发出数据报的源点设置这个字段。
其目的是防止无法交付的数据报无限制地在因特网中兜圈子,因而白白消耗网络资源。
最初的设计是以秒作为TTL的单位。
每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一段时间。
若数据报在路由器消耗的时间小于1秒,就把TTL值减1。
当TTL值为0时,就丢弃这个数据报。
(9)协议占8位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。
(10)首部检验和占16位。
这个字段只检验数据报的首部,但不包括数据部分。
这是因为数据报每经过一个路由器,路由器都要重新计算一下首部检验和(一些字段,如生存时间、标志、片偏移等都可能发生变化)。
不检验数据部分可减少计算的工作量。
(11)源地址占32位。
(12)目的地址占32位。
IP数据报可选部分字段含义:IP首部的可变部分就是一个可选字段。
选项字段用来支持排错、测量以及安全等措施,内容很丰富。
此字段的长度可变,从1个字节到40个字节不等,取决于所选择的项目。
某些选项项目只需要1个字节,它只包括1个字节的选项代码。
但还有些选项需要多个字节,这些选项一个个拼接起来,中间不需要有分隔符,最后用全0的填充字段补齐成为4字节的整数倍。
2.2 ARP协议(一)ARP协议简介:ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
ARP是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC 地址,以保证通信的顺利进行。
ar_hrd(ARPHRD_ETHER)ar_pro(ETHERTYPE_IP)ar_hln(6)协议地址长度,ar_pln(4)6 bytes 6 2 2 2 1 1 2 6 4 6 4图2-3 ARP请求回答格式(二)ARP协议的利用和相关原理介绍:一、交换网络的嗅探ARP协议并不只在发送了ARP请求才接收ARP应答。
当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。
因此,在上面的假设网络中,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。
当A接收到B伪造的ARP应答,就会更新本地的ARP缓存,将本地的IP-MAC对应表更换为接收到的数据格式,由于这一切都是A的系统内核自动完成的,A可不知道被伪造了。
ARP欺骗的主要用途就是进行在交换网络中的嗅探。
有关交换网络的嗅探不是本文的讨论内容。
二、IP地址冲突在网络连接的时候,如果网络中存在相同IP地址的主机的时候,就会报告出IP地址冲突的警告。
假设某主机B规定IP地址为192.168.0.1,如果它处于开机状态,那么其他机器A 更改IP地址为192.168.0.1就会造成IP地址冲突。
其原理就是:主机A在连接网络(或更改IP地址)的时候就会向网络发送ARP包广播自己的IP地址,也就是freearp。