5.网络层分析

广东交通职业技术学院计算机工程学院网络优化与故障检测--sniffer许兴鹍广东交通职业技术学院计算机工程学院网络层分析广东交通职业技术学院计算机工程学院IP数据报格式版本头部长度服务类型总长度标识分段标志分段偏移量生存时间协议校验和源地址目标地址选项填充数据广东交通职业技术学院计算机工程学院IP数据报格式版本：用于传输数据的IP版本，占4位。头部长度：用于规定报头长度，占4位，单位为4字节，最大60字节。服务类型：用于设置数据传输的优先级，占8位。总长度：指出数据报的总长，数据报总长=报头长度+数据长度，占16位，单位为1字节，IP包最大长度为65535字节。标识：用于唯一标识IP包，占16位。分段标志：确定一个数据报是否可以分段，同时也指出当前分段后面是否还有更多分段，占3位。广东交通职业技术学院计算机工程学院IP数据报格式分段标志占3比特，只用到低位的两个比特MF（MoreFragment）MF=1，后面还有分片的数据包MF=0，分片数据包的最后一个DF（Don'tFragment）DF=1，不允许分片DF=0，允许分片分段偏移量：用于确定IP分段在整个数据报中的位置，占13位，单位为8字节。生存时间：设置数据报可以经过的最多路由器数，占8位，TTL（TimeToLive）丢弃TTL=0的报文。广东交通职业技术学院计算机工程学院IP数据报格式协议：指定荷载中的数据的上层协议，占8位，1：ICMP6：TCP17：UDP89：OSPF校验和：检查所传输数据的完整性，占16位，对IP协议首部的校验和。（校验和小工具的使用）源地址：源IP地址，占32位；目标地址：目标IP地址，占32位；广东交通职业技术学院计算机工程学院IP数据报格式选项：不是一个必须的字段，字段长度具体取决于所选择的IP选项；数据：包含网络中传输的数据，IP数据报还包括上层协议的报头信息；广东交通职业技术学院计算机工程学院Sniffer过滤器使用1、三种过滤器的含义及应用分析监视过滤器捕获过滤器显示过滤器2、过滤器配置详解广东交通职业技术学院计算机工程学院实践IP分片传输实验。。。过滤器配置Ping目的IP–n1-l2000物理环路实验。。。路由环路实验。。。广东交通职业技术学院计算机工程学院练习1、填空：建立一个捕获所有去往网络130.56.x.x的流量的过滤器广东交通职业技术学院计算机工程学院练习2、填空：创建一个过滤器捕获所有的ARP通讯(请求和回应)广东交通职业技术学院计算机工程学院练习3、在PC1上用数据包发生器创建一个数据包并发送到网络上。在PC2上截获此数据包并确认。目的IP：172.16.1.254源IP：172.16.1.1目的MAC：自行设计源MAC：自行设计其他字段信息：自行设计IP荷载：全部是A广东交通职业技术学院计算机工程学院ICMP协议分析ICMP(InternetControlMessageProtocol)网络层协议，主要用于在网络设备与网络设备之间传递控制信息，包括报告错误、查询信息等。两种形式：差错数据报文和查询数据报文。ICMP数据报文封装在IP数据报文里传输。ICMP头标ICMP数据IP报头IP数据区IP数据报ICMP报文广东交通职业技术学院计算机工程学院ICMP协议分析信息不可到达报告IP协议IP数据报IP数据报传输协议差错与控制报文协议ICMP差错报告报文超时报告参数出错报告控制报文源抑制报文重定向报文请求/应答报文时戳请求/应答报文地址模请求/应答报文回应请求/应答报文广东交通职业技术学院计算机工程学院ICMP协议分析0124n（字节）类型代码校验和数据区头标ICMP报文格式ICMP类型和代码字段：8位的类型字段有15个不同值，它与8位代码字段共同决定各种类型的ICMP报文。校验和字段：对ICMP整个报文中每个16bit进行二进制反码求和。广东交通职业技术学院计算机工程学院ICMP协议分析类型(type):查询报文差错报告报文类型域ICMP报文类型类型域ICMP报文类型8回应请求3目的地不可到达0回应应答4源抑制13时戳请求11数据报超时14时戳应答12数据报参数错17子网掩码请求5重定向18子网掩码响应代码(code):提供报文类型的进一步信息;具体请查看word参考文档。类型和代码共同组合，确定ICMP报文的具体含义广东交通职业技术学院计算机工程学院ICMP协议分析数据区：类型不同，数据区的内容不同1、差错报文：包括出错数据报报头及该数据报前64bit的数据；这些信息可以帮助信源机确定出错数据报；2、查询报文：标识码和顺序号广东交通职业技术学院计算机工程学院ICMP协议分析ICMP请求/应答报文（查询报文）以请求/应答对形式双向传输的报文；1、回应请求/回应应答2、时戳请求/时戳应答3、地址模请求/地址模应答（子网掩码）广东交通职业技术学院计算机工程学院ICMP协议分析1.回应请求与应答广东交通职业技术学院计算机工程学院ICMP协议分析2.时戳请求与应答目的:同步互连网中各个主机的时钟;计算报文在源主机与目标主机之间往返时间081631类型（13或14）码（0）校验码标识符序号初始时戳接收时戳发送时戳广东交通职业技术学院计算机工程学院ICMP协议分析3.地址模（子网掩码）请求与应答报文目的：为了正确的解释子网地址，主机需要发出地址模请求报文，网关发回相应的应答；081631类型（8或0）码（0）校验码标识符序号地址模广东交通职业技术学院计算机工程学院ICMP协议分析ICMP差错报文类型：1、信宿不可到达报告2、超时报告3、参数出错报告广东交通职业技术学院计算机工程学院ICMP协议分析1、信宿不可到达报告网关在以下情况下发出信宿不可到达报告:*信宿机硬件出现故障或关机;*发送者指定的地址不存在;*网关不知道去往信宿的路径;广东交通职业技术学院计算机工程学院ICMP协议分析2、超时报告当路由器收到一个生存时间字段值为0的数据报时（可能是路由环路），就丢弃这个数据报，并向源端发送超时报文。（代码为0）一个IP报文被分片后，所有的分片没有能够在一定时间内到达目的主机时，目的主机就将所有分片都丢弃掉，并向源端发送超时报文。（代码为1）广东交通职业技术学院计算机工程学院ICMP协议分析3、参数出错报告参数出错报文报告错误的数据报报头与错误的数据报选项参数；网关或信宿机对出现参数错的报文并丢弃时，将向信源机发出参数出错报文；0码--数据报某个参数错，指针域指向出错的字节；1码--数据报缺少某个选项，无指针域；广东交通职业技术学院计算机工程学院ICMP协议分析ICMP控制报文类型：1、源抑制2、重定向广东交通职业技术学院计算机工程学院ICMP协议分析2、重定向（路由重定向）含义：网关将最优路由信息通知主机。（网络内有多个路由器）优点：保证主机有一个动态、小而优的路由表；缺点：只能用于同一网络内的网关与主机之间的路由信息交换，而不能用于网关之间的路由信息交换；码值：1--对主机重定向报文；3--对服务类型和主机的重定向报文；广东交通职业技术学院计算机工程学院ICMP协议分析实例演示：1、回应请求与应答2、信宿不可到达报告ping网关不知道的地址3、超时报告a、通过ping的i选项设置TTL值为1b、通过构造数据包（使用已有数据包来改造）来设置TTL值（要注意IP的校验和必须正确）广东交通职业技术学院计算机工程学院ICMP协议分析—重定向重定向实例分析网络中可能会出现icmp重定向欺骗！所以要掌握分析icmp数据包的方法！广东交通职业技术学院计算机工程学院ICMP协议分析—重定向广东交通职业技术学院计算机工程学院