第3章 网络数据包结构与安全

3.2 数据包的捕获与分析
3.2.1数据包截获的原理 3.2.2数据截获的方法 3.2.3 Sniffer Portable软件介绍 3.2.4数据的捕获与过滤
3.2.1数据包截获的原理
以太网接口卡可以被设置成如下4种工作模式： 广播：数据帧可以发向网络中所有计算机。任何 设置为广播模式的网卡都接收目的地址为广播地 址的数据帧。通常所有的网卡被配置为接收广播 帧 多播：发往一组计算机的帧称为多播帧，使用特 定的多播地址作为目的地址。这些计算机的组构 成了多播组。这样，多播组里的任何一个成员计 算机将会接收具有多播目的地址的帧
DLC帧实例




在DLC头部：共显示6行信息，其中第3-5行显示内容是 DLC真实内容，其它行是Sniffer Portable添加的状态信 息 第一行：Sniffer Portable添加的DLC起始标志 第二行：Sniffer Portable添加的帧序号、捕获日期、时 间、帧的长度等信息。以上2行内容在数据包中是没有的 第三行：DLC真实内容。目标主机的MAC地址。占6个字 节，帧内地址00-05H 第四行：DLC真实内容。源主机的MAC地址。占6个字节， 帧内地址06-0BH

Sniffer Portable的启动
数据包的捕获
开始按钮：启动捕获程序，开始捕获数据包。 暂停按钮：暂时停止捕获数据。 停止按钮：停止捕获工作。 停止和显示按钮：停止捕获工作，自动转到显示 捕获数据包窗口。 显示按钮：显示捕获数据包的内容。 定义过滤器按钮：设置过滤条件，有选择的进行 捕获。
3.1 分组交换与数据包的结构
3.1.1 什么是分组交换和数据包 3.1.2 信息传输过程与数据包的结构 3.1.3 学习网络协议在网络安全中的意义
3.1.1 什么是分组交换和数据包
计算机网络将要传输的报文分割成一个个小的数 据片段，称为“分组”，在每一个分组的数据前 加上传输数据所必需的信息“报头”，就构成了 网络数据传输的基本部件“数据包” 在计算机网络中，传输的信息是以数据包为基本 传输单位的，数据包的内容是被分割后的信息块， 在每个数据包上附加了多层包头。在一个数据包 里，信息内容往往是不完整的，而在每一个数据 包头部，完整地包含了传送此数据包所需的全部 来源及目标的地址信息

在一个数据包最里层是被传输的数据。在数据的外面首先 由处理此数据的应用程序将数据片断外包裹上应用层的协 议，然后交给网络通信系统软件，网络通信系统软件根据 此数据包的传输方式，为数据包裹上传输层协议，交给下 一层协议。下面的网络层协议根据数据包的路由地址，为 其包裹上网络层协议，并交给下一层协议。下面的链路层 协议为数据包加上来源和目标物理地址的链路层协议后交 给下一层协议。在物理层，由网络通信硬件系统按照通信 设备的要求将数据包转换成一个个符合物理层协议的电脉 冲，通过网络接口电路发送的网络传输媒介上

3.3.2 利用Sniffer Portable分析网络协 议
窗口工作区被分成三个窗格
上面的窗格显示数据包列表。每一行代表一个数 据包。可以看到每一个数据包在这批数据中的编 号、此数据包的来源与目标地址，数据包内容摘 要等 下面窗格显示当前选中的数据包中的具体内容。 用十六进制和ASCII码显示 中间窗格显示出当前选中的数据包中包含哪些网 络协议，及各协议报头在数据包中的位置。用鼠 标选中窗格中的一个协议后，在下面窗格中就会 用灰色底纹将此与协议相关的内容突出显示出来

3.3 数据的分析
3.3.1 3.3.2 3.3.3 3.3.4 TCP/IP协议 利用Sniffer Portable分析网络协议 网络层协议报头结构 传输层协议报头结构
3.3.1 TCP/IP协议
应用层 运输层 网络层 链路层
第一层链路层，也被称为网络接口层。定义了数 据传输设备和传输媒体或网络间的接口。这一层 涉及到对于传输媒介的特性、信号的特性、数据 传输率和相关内容的确定。本层主要网络有DLC 帧协议（数据链路控制）。 第二层网络层，也被称作互连网层，处理分组在 网络中的活动，例如分组的路由选择。在TCP/IP 协议组件中，网络层协议包括IP协议（网际协 议），ICMP协议（Internet互连网控制报文协 议），以及IGMP协议（Internet组管理协议）。


这一串串电脉冲沿着传输媒介到达下一个网络节点。在每 一个网络节点上，节点设备将收到的电脉冲还原为数字信 号，并对数字信号进行判读和分析，了解此数据包的最终 目的地，并根据节点上的路由表为此数据包选择一个到达 目的地的最佳路由，并对此数据包进行必要的修改和签章 后再次发送到网络传输媒介上 数据包就这样通过一个个网络节点，最终到达了信息传输 的目的地 在目标主机上，依据网络协议，逐层地对数据包进行签收 和校验，如果数据包未出现差错，则剥除此层的协议，将 数据向上层递交。通过如此逐层剥除与递交，最终在应用 层由应用软件系统将一个个还原后的数据包拼接还原为原 始的状态，完成了数据的传输过程

3.1.2 信息传输过程与数据包的结构


数据包的结构通常是按照不同的网络协议分层套接的。在 OSI协议层次中，高层协议面向被传输的对象，低层协议 面向传输的过程 应用层的主要任务是将被传输的信息转换成符合网络传输 规范的二进制数据块。常用的应用层协议有：超文本传输 协议HTTP、文件传送协议FTP、远程登录协议TELNET、 简单邮件传送协议SMTP、域名解析协议DNS、简单网络 管理协议SNMP、动态主机配置协议DHCP、以及微软媒 体服务器协议MMS… … 等 传输层的主要任务是将数据包传输到目的地，为此，传输 层为应用层上的应用提供两类截然不同的服务：第一类服 务是可靠的面向连接服务，确保正确无误地把消息从源端 传送到目的地，使用的协议是TCP协议。第二类服务是不 可靠的无连接服务，使用的协议是用户数据包协议UDP
3.2.2数据截获的方法

在网络监听情况下，要想监听到被监听主机之间的通信 信息，也要满足以上的两点基本要求 要将监听计算机与被监听主机使用集线器相连 要将监听计算机上网卡的工作模式设置为混杂模式 通常情况下，当使用专用嗅探软件进入监听模式时会 自动将网卡设为混杂模式 网络监听可以使用Windows2000Server自带的《网 络监视器》程序，也可以使用专用的网络监视软件。通 常专用的网络监视软件具有更强的数据捕获与过滤功能， 是网络管理员手中的重要工具软件

数据包的读取与分析
Sniffer Portable捕获到的数据包被暂存在内存 里，点击“显示”或“停止和显示”按钮可以把 捕获的数据包内容显示出来 在数据显示窗口中，通过窗口标签可以选择多种 显示模式

专家模式
解码显示模式
矩阵显示模式
主机列表显示模式
捕获过滤
点击Sniffer Portable捕获工具栏上的“定义过 滤器”按钮，可以打开“定义过滤器”对话框 在对话框中可以设置按制定的地址及在制定地址 上数据传输方向进行过滤

DLC帧
1.前导码：8个字节，用于同步和起始标志。在Sniffer Portable中不显示 2.目的地址：6个字节，目的主机MAC地址 3.源地址：6个字节，源主机MAC地址 4.类型域：2个字节，标识了在以太网上运行的客户端协议。 即表明上层（网络层）的协议。如IP、IPX等网络层协议 5.数据：46～1500字节，这里是真正要传输的数据。如果 长度不够46字节则由DLC协议自动补齐为46字节 6.帧校验序列：4个字节，利用的是CRC循环冗余校验法， 在Sniffer Portable中不显示。 其中2～4称为帧头，6称为帧尾。




第五行：DLC真实内容。数据包的类型（即上层协议的类 型）。占2个字节，帧内地址0C-0DH。上层协议的类型 主要有0800为IP协议，0806为ARP协议等 第六行：Sniffer Portable添加的DLC结束标志 DLC结束标志之后是此帧的所要传输信息的真实内容。此 帧内容包括IP和TCP协议2部分。其中IP协议内容长度为 20字节，TCP协议内容长度为20字节。内容总长度40字 节 帧的最后一行是DLC填充段。因为此数据帧内容长度不足 46字节，DLC自动添加了6个字节的“00”将其补足为46 字节
显示菜单：显示捕获数据的内容。可以对显示内 容进行搜索与过滤 工具菜单：包含了一些系统工具。如系统配置选 项，监视对象地址簿，数据包自动发送工具等 数据库菜单：对保存数据的数据库进行整理维护 窗口菜单：按不同的工作需要显示或隐藏不同的 窗口 帮助菜单：提供系统帮助

3.2.4数据的捕获与过滤

源自文库


网络层的任务是将源主机发出的信息经过适当的路径送到 目的主机。在Internet上网络层协议使用的是IP协议。IP 协议允许不同种类的操作系统和计算机使用网络并选择最 佳的传输途径。 数据链路层的任务是将在网络层交下来的IP数据报组装成 帧，在两个相邻结点间的链路上传送以帧为单位的数据。 主要功能有链路管理、差错控制、流量控制等。根据不同 的传输媒介和传输方式，使用不同的链路层协议，这些协 议被统称为数据链路控制（DLC）协议。 物理层是OSI参考模型的最低层，其任务就是为它的上一 层提供一个传输数据的物理连接。在这一层，数据仅作为 原始的比特流进行处理
第3章 网络数据包结构 与安全
本章要求
了解分组交换与数据包的结构 掌握数据包截获的原理 熟悉Sniffer软件的使用 了解数据的分析方法 掌握提高网络安全性防止网络嗅探的措施

本章主要内容
3.1 3.2 3.3 3.4 分组交换与数据包的结构 数据包的捕获与分析 数据的分析 数据的安全

第三层运输层，主要为两台主机上的应用程序提供端到端 的通信。在TCP/IP协议中，有两个互不相同的传输协议： 即面向连接的TCP协议和非连接的UDP协议。 第四层应用层，由不同的应用程序实现特定的应用目的。 如： Telnet 远程登录协议 FTP 文件传输协议 SMTP 简单邮件传输协议 SNMP 简单网络管理协议 ……


直接：发往特定计算机的帧具有特定计算机的物理地址。 具有特定物理地址的计算机将接收特定的帧，丢弃其它的 帧。网卡可以设置为仅仅接收直接帧。 混杂：设置为这个模式的网卡接收所有收到的数据包，任 何到达此网卡的信息都不丢弃。这个模式是网络监测应用 程序的关键模式。 网卡的缺省工作模式包含广播模式和直接模式，即它只接 收广播帧和发给自己的帧。如果采用混杂模式，网卡将接 受所有到达本网卡网络端口的信号。
3.2.3 Sniffer Portable软件介绍
Windows中的网络监视器出于安全考虑，仅允许 捕获进出本机的数据包，禁止捕获与本机无关的 主机间数据报 Sniffer Portable是一款专用网络监视软件，可 以捕获一切到达本机网络端口的数据报 Sniffer Portable是NETWORK GENERAL公司 推出的功能强大的协议分析软件。可以工作于 Windows2000及Windows XP系统中。它以被 动的方式默默的监视和捕获每一个在网络中广播 的数据包，并可对数据包的内容进行过滤、分析、 存储

Sniffer Portable的主要功能
捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等

Sniffer Portable主界面


Sniffer Portable共有8个下拉菜单，其主要功能是： 文件菜单：打开和保存各种记录数据文件；软件系统工作 模式的设定；打印各种报表或报告；运行脚本程序等 监视器菜单：选择设定系统监视对象和监视的任务，可以 定义过滤器对监视的对象有选择的做出显示，也可以察看 报警日志 捕获菜单：可以启动或停止捕获操作。可以按照不同的工 作需求设置捕获过滤器，也可以为捕获操作设置触发条件。 这些功能可以极大地提高捕获工作效率
3.1.3 学习网络协议在网络安全中的 意义
有针对性的对网络入侵或安全威胁进行有效的防 范 可以对数据包上的信息进行分析和判断，对合法 的数据包放行，而对非法的数据包进行阻拦 可以通过拦截网络数据包的方法对网络工作状态 进行有效监控，发现网络异常行为，及时地采取 应对措施，保证网络系统安全高效地运行