比特派最新版下载|使用ethernet进行协议分析

作者：比特派最新版下载

2024-03-14 19:15:07

入门工业通讯之EtherNet/IP协议分析 - 知乎

入门工业通讯之EtherNet/IP协议分析 - 知乎首发于智能制造之家切换模式写文章登录/注册入门工业通讯之EtherNet/IP协议分析智能制造之家化学制品制造业从业人员写在前面前面我们系统得说了工业控制系统的通讯，大家肯定会想到PROFINET、ETHERNET/IP、ETHERCAT等工业以太网：技术解读PROFINET、Ethernet/IP等7种主流工业以太网最全整理工业通讯上的领域各种总线+协议+规范+接口—数据采集与控制但是说到协议的分析，我们不得不提到安全问题，前面我们系统的介绍过关于工业控制系统的架构、安全等：工业控制系统安全入门与实践—从五层架构和安全标准说起工业控制系统安全入门与实践——工控安全入门分析也聊了西门子、施耐德、罗克韦尔等国际大厂的相关安全漏洞：基于S7协议对西门子PLC S7-1500的漏洞分析与复现（附演示视频）施耐德PLC漏洞历险记—一次与施耐德PLC的非正常接触罗克韦尔 MicroLogix PLC漏洞的复现及解决方案西门子、施耐德、罗克韦尔PLC程序设计漏洞探秘今天来解析下由罗克韦尔主导的ETHERNET/IP协议~作者 | 长扬科技（北京）有限公司汪义舟梁泽张国栋来源：关键基础设施安全应急响应中心一、Ethernet/IP协议 EtherNet/IP是一个现代化的标准协议。由控制网国际有限公司（ControlNet International）的一个技术工作组与ODVA（开放式DeviceNet供应商协会）在20世纪90年代合作设计。EtherNet/IP是基于通用工业协议（Common Industrial Protocol，CIP）的。CIP是一种由ODVA支持的开放工业协议，它被使用在诸如 DeviceNet 和 ControlNet 以及 EtherNet/IP 等串行通信协议中。美国的工控设备制造商Rockwell/Allen-Bradley已经围绕EtherNet/IP进行了标准化，其他厂商如Omron也在其设备上支持了EtherNet/IP。EtherNet/IP已经变得越来越受欢迎，特别是在美国。尽管EtherNet/IP比Modbus更现代化，但仍然存在协议层面的安全问题。EtherNet/IP通常通过TCP/UDP端口44818运行。此外，EtherNet/IP还有另一个端口 TCP/UDP端口2222。使用这个端口的原因是 EtherNet/IP实现了隐式和显示两种消息传递方式。显式消息被称为客户端/服务器消息，而隐式消息通常被称为I/O消息。EtherNet/IP是为了在以太网中使用CIP协议而进行的封装。EtherNet/IP的 CIP帧封装了命令、数据点和消息等信息。CIP帧包括CIP设备配置文件层、应用层、表示层和会话层四层。数据包的其余部分是EtherNet/IP帧，CIP帧通过它们在以太网上传输。EtherNet/IP分组结构如图CIP规范对数据包结构有很多的规定，这意味着每个使用 EtherNet/IP的设备必须实现符合规范的命令。下面是EtherNet/IP首部中封装的CIP帧字段：• 命令两字节整数，对应一个 CIP 命令。通用工业协议规范标准要求，设备必须能接收无法识别的命令字段，并处理这种异常。• 长度两字节整数，代表数据包中数据部分的长度。对于没有数据部分的请求报文，该字段为0。• 会话句柄会话句柄（session handle）由目标设备生成，并返回给会话的发起者。该句柄将用于后续与目标设备的通信。• 状态码Status字段存储了目标设备执行命令返回的状态码。状态码“0”代表命令执行成功。所有的请求报文中，状态码被置为“0”。其它的状态码还包括：0x0001 无效或不受支持的命令0x0002 目标设备资源不足，无法处理命令0x0003 数据格式不正确或数据不正确0x0065 接收到无效的数据长度• 发送方上下文命令的发送者生成这六字节值，接收方将原封不动的返回该值。• 选项该值必须始终为0，如果不为零，数据包将被丢弃。• 命令相关数据该字段根据接收/发送的命令进行修改。如果请求发送方是工程师站，大多数会话中执行的第一条命令是“ListIdentity”命令。如下所示的数据包，命令字段是0x63，代表“List Identity”命令，上下文是“0x00006a0ebe64”。这个命令与Modbus功能码43非常相似，可以查询设备信息，如供应商、产品、序列号、产品代码、设备类型和版本号等。使用在Github项目pyenip中找到的Python 脚本ethernetip.py，你可以查询Ethernrt/IP 设备的信息。默认情况下，这个脚本不会解析一些响应，你需要取消脚本底部的 testENIP() 函数的注释后，它才会发送和接收“List Identity”命令。在执行脚本的同时，你可以使用Wireshark查看请求和响应的数据包。二、EtherNet/IP协议身份鉴别请求攻击 Digital Bond 在项目 Redpoint 中实现了一个脚本，可以用来从远程设备中获取信息。Redpoint 脚本使用了 “List Identity”命令字，并使用Nmap中的信息进行解析。它的“Conmmand Specific Data”部分包含了一个套接字地址（ip 地址和端口号）。这是暴露的远程设备的真实 ip 地址和端口号，即使它位于NAT设备之后。我们发现大量的设备暴露的IP字段和实际扫描的IP地址不同。所以我们得出结论，大多数的Ethernet/IP设备部署在内部网络中，而不是直接暴露在互联网上。如下图所示的是使用Nmap扫描CompactLogix控制系统的扫描结果，可以看到暴露的设备ip和扫描ip不匹配，说明目标系统位于路由器或防火墙之后。上图显示了一些信息，包括设备的制造商“Rockwell”。设备的制造商在响应中是一个两字节的制造商 ID，它映射了一组支持 Ethernet/IP 的厂商名单。但是，这个厂商名单不是公开的。我们在深入研究 Wireshark 捕获的数据包后，发现数据包被 Wireshark 解析后，制造商 ID 被替换成了制造商名称。这说明 Wireshark 拥有如何映射制造商ID和名称的信息。通过对Github上Wireshark源代码的一些搜索，我们发现了如下代码片段，它告诉我们该如何解析制造商 ID。在解析工控协议的时候，Wireshark 常常是一个强大而好用的资源。使用像“List Identity”这样的命令，你可以简单的重放数据包，几乎不用修改数据包。会话句柄将被设置为0，意味着没有会话生成，因为该命令只是简单的发送命令和接收系统响应。为了进一步与设备进行通信，需要发送注册会话命令（0x65）。这个命令会设置会话句柄ID，这个ID将用于后续会话的通信。如下图所示，注册会话的请求使用标准ID“0x00000000”，目标设备返回了它生成的会话句柄“0x03A566BB”。三、Ethernet/IP中间人攻击简单的数据包重放对Ethernet/IP的某些指令无效。这使得攻击变得稍微复杂了一些。然而，对于大多数攻击者而言，只要对 Ethernet/IP 的协议稍有了解，这点困难将是微不足道的。一旦会话句柄通过协商被确定，只要通过手动改变序列号，就可以实现像中间人攻击。攻击实例：网络拓扑：网络环境：• 虚拟机• Ettercap工具• Wireshark• 交换机• PLC控制器攻击测试：使用VM-Linux中的嗅探工具ettercap对目标主机进行嗅探。单击Hosts选项，选择Scan for host，待扫描完成之后再选择Scan for host，然后选择Host list，此时可以看到已经扫描的主机列表，如图所示：然后就可以选择要攻击的目标了，选择192.168.210.200的IP地址，如图所示：明确攻击方式之后，我们选择"Sniff remoteconnections" — "确定"。点击确定攻击之后，过滤攻击修改Ethernet/ip特定的数据包字段，高级序列号5，通过添加4（十进制）修改数据值。攻击示意图：此时使用Wireshark抓包工具可以发现，被攻击PLC的所有流量都是通过攻击者的VM主机发送出去的。通过此操作可直接给PLC下发指令。四、EtherNet/IP协议终止CPU运行攻击有些Ethernet/IP设备是支持终止CPU命令的。Metasploit模块，可以被用来终止一个Allen-Bradley ControlLogix控制系统中的大量 PLC，还可以引发其他恶意攻击事件比如令以太网卡崩溃。只要了解 Session Handle 即可轻松攻击 Ethernet/IP。是这个攻击奏效的另一个关键是Allen-Bradley实现的一个命令字。Allen-Bradley在NOP（0x00）命令中实现了终止 CPU 的功能。如下图这个命令在CIP或Ethernet/IP的规范中没有记录，是Allen-Bradley/Rockwell控制器的私有实现。通过对大量设备的测试，我们发现，在一些旧的固件中，不仅 ControlLogix CPU 被终止，而且设备崩溃，需要重新启动硬盘。对于当前的型号，PLC 必须拔下并重新插入才能再次运行。极少数情况下，PLC需要重新编程。五、结束语上述的攻击都是非常危险的攻击形式，时常与钓鱼网站、挂马网站等攻击形式结合，不仅造成信息的泄漏，还可能被借用于病毒木马的传播。更重要的是，这类攻击可能将我们认为绝对安全的网络连接变成完全被人监听控制的连接，使得网络连接的私密性得不到保障，造成重要数据轻易落入攻击者之手。由于网络环境的复杂性，我们有必要对各类攻击进行了解，具备初步判断网络连接安全性的能力。防护手段：使用专业的工控防火墙系统，能智能识别和防护各类恶意攻击，结合工控协议的深度解析和黑、白名单策略相结合的防护机制，可有效的阻止针对工控系统的已知和未知的恶意攻击行为，极大的降低了工控系统受损的风险。硬核专辑工业热点 | 数据采集 | 应用与库（西门子、罗克韦尔、倍福等）WinCC技术 | 工业网络 | MES技术相关| 工业巨头战略布局 | 工业通讯案例仿真与虚拟调试 | 职业感悟、认知提升 | 自动化控制标准合集西门子TIA Portal+库卡机器人+VNCK实现数字化机床虚拟调试2020-12-06超炫酷的西门子TIA Portal的大神级操作~2020-11-27自动化+信息化：徐工传动数字化工厂实施方案2020-11-24基于TIA Portal V15的动态加密计时催款程序2020-11-16软件定义制造：五层架构下数字化工厂的信息系统2020-11-13智能自动化物流系统AGV基础知识（完整介绍）2020-11-14机床数字化通信三大标准-OPCUA、MTConnect、NC-Link2020-11-07一文讲透PROFINET组态调试、编程、应用等最重要的文档和知识点2020-11-08数字化工业，IT大佬与工业自动化巨头的IT\OT融合之旅2020-11-02PLC高级编程-西门子SCL结构化控制语言官方培训.pptx2020-10-29MES、SCADA下的数据采集—C#实现扫码器的串口通讯实例2020-10-28IT融合OT：数据、网络与WMS、MES如何贯穿五层自动化金字塔？2020-10-20发布于 2020-12-24 12:22以太网（Ethernet）通信协议工业控制赞同 25添加评论分享喜欢收藏申请转载文章被以下专栏收录智能制造之家微信公众号:智能制造之家，10W+朋友共话智

计算机网络实验三：使用网络协议分析器捕捉和分析协议数据包_数据抓包和网络协议分析实验-CSDN博客

计算机网络实验三：使用网络协议分析器捕捉和分析协议数据包

最新推荐文章于 2024-03-07 09:29:49 发布

Ssuki1

最新推荐文章于 2024-03-07 09:29:49 发布

阅读量2.1w

156

点赞数

分类专栏：

计算机网络

文章标签：

c++

本文链接：https://blog.csdn.net/qq_44038899/article/details/106732475

版权

计算机网络

专栏收录该内容

4 篇文章

4 订阅

订阅专栏

一、实验目的 (1) 熟悉 ethereal 的使用 (2) 验证各种协议数据包格式 (3) 学会捕捉并分析各种数据包。

二、使用仪器、器材

Wireshark软件，window10系统计算机

三、实验内容及原理（1）安装 ethereal 软件（2）捕捉数据包，验证数据帧、IP 数据报、TCP 数据段的报文格式。（3）捕捉并分析 ARP 报文。（4）捕捉 ping 过程中的 ICMP 报文，分析结果各参数的意义。（5）捕捉 tracert 过程中的 ICMP 报文，分析跟踪的路由器 IP 是哪个接口的。（6）捕捉并分析 TCP 三次握手建立连接的过程。（7）捕捉整个 FTP 工作工程的协议包对协议包进行分析说明，依据不同阶段的协议分析，画出 FTP 工作过程的示意图 a… 地址解析 ARP 协议执行过程 b. FTP 控制连接建立过程 c . FTP 用户登录身份验证过程 d. FTP 数据连接建立过程 e. FTP 数据传输过程 f. FTP 连接释放过程（包括数据连接和控制连接）（8）捕捉及研究 WWW 应用的协议报文，回答以下问题： a. .当访问某个主页时，从应用层到网络层，用到了哪些协议？ b. 对于用户请求的百度主页（www.baidu.com），客户端将接收到几个应答报文？具体是哪几个？假设从本地主机到该页面的往返时间是 RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间？ c. 两个存放在同一个服务器中的截然不同的 Web 页（例如， http://www.gzhu.edu.cn/index.jsp，和 http://www.gzhu.edu.cn/cn/research/index.jsp 可以在同一个持久的连接上发送吗？ d. 假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么？ e. 当点击一个万维网文档时，若该文档除了有文本外，还有一个本地.gif 图像和两个远地.gif 图像，那么需要建立几次 TCP 连接和有几个 UDP 过程？

四、实验过程原始数据记录（1）安装 ethereal 软件安装wireshark （2）捕捉数据包，验证数据帧、IP 数据报、TCP 数据段的报文格式。版本是ipv4

首部长度是20字节总长度是41字节源地址是192.168.3.2 目的地址是203.208.41.122，契合我电脑打开谷歌浏览器的操作，数据帧、IP 数据报、TCP 数据段的报文格式也正确（3）捕捉并分析 ARP 报文。请求报文源MAC地址为C0-B5-CD-CD-6B-55 源IP地址192.168.3.1 目的MAC地址为00-00-00-00-00-00 目的IP地址为192.168.3.2 电脑通过广播，寻找默认网关的IP地址，获得默认网关的MAC地址收到回复报文（4）捕捉 ping 过程中的 ICMP 报文，分析结果各参数的意义。（5）捕捉 tracert 过程中的 ICMP 报文，分析跟踪的路由器 IP 是哪个接口的。每个报文发三次，时间为一下图片，与CMD吻合路由器接口为137 （6）捕捉并分析 TCP 三次握手建立连接的过程。第一次握手：本地主机发出连接请求，SYN=1，seq=0 第二次握手：目的主机收到请求连接的请求，同意连接ACK=seq+1 第三次握手：本地主机收到同意连接的报文，向目的主机回复确认收到。ACK置为1，ACK=SYN， seq+1=1 （7）捕捉整个 FTP 工作工程的协议包对协议包进行分析说明，依据不同阶段的协议分析，画出 FTP 工作过程的示意图 a… 地址解析 ARP 协议执行过程 1、根据客户端上的ARP缓存内容检查TCP服务器的MAC地址 2、如果客户端在缓存中找不到映射，将会发送ARP请求帧广播到本地上所有主机 3、TCP服务器确定请求帧的IP地址与自己的IP地址匹配，将客户端的IP地址和MAC地址添加到ARP缓存 4、TCP将客户端MAC地址发回客户端 5、客户端收到TCP的ARP回复，更新ARP缓存 b.FTP 控制连接建立过程三次握手建立连接 c . FTP 用户登录身份验证过程 220服务器就绪 User匿名登录允许331匿名访问 User@ pass 230登陆成功 CWD把服务器上指定的路径变成当前目录 250当前行为完成 c.FTP 数据连接建立过程主机的数据连接端口是49325+1，服务器数据连接端口为58757 TCP三次握手建立连接 d.FTP 数据传输过程 LIST列举目录中的所有文件 125服务器：开始传输 226 传输完成 e.FTP 连接释放过程（包括数据连接和控制连接）

（8）捕捉及研究 WWW 应用的协议报文，回答以下问题： a. .当访问某个主页时，从应用层到网络层，用到了哪些协议？应用层使用DNS解析出IP地址，然后使用http协议传输层使用tcp协议建立连接，网络层使用ip协议 b. 对于用户请求的百度主页（www.baidu.com），客户端将接收到几个应答报文？具体是哪几个？假设从本地主机到该页面的往返时间是 RTT，那么从请求该主页开始到浏览器上出现完整页面，一共经过多长时间？

一共113个应答报文往返时间RTT=0.42ms c. 两个存放在同一个服务器中的截然不同的 Web 页（例如， http://www.gzhu.edu.cn/index.jsp，和 http://www.gzhu.edu.cn/cn/research/index.jsp 可以在同一个持久的连接上发送吗？ TCP建立可以发送 d. 假定一个超链接从一个万维网文档链接到另一个万维网文档，由于万维网文档上出现了差错而使超链接指向一个无效的计算机名，这时浏览器将向用户报告什么？ 404 Not Found

e. 当点击一个万维网文档时，若该文档除了有文本外，还有一个本地.gif 图像和两个远地.gif 图像，那么需要建立几次 TCP 连接和有几个 UDP 过程？ 4次TCP，0次UDP

五、实验分析

1、捕获数据包时，选择自己当前使用的网络连接，不然捕捉不到数据 2、进行试验是要合理使用过滤器，可以节约大量时间(不使用过滤器的话，从成千上百个数据包中找自己想要找的数据包花费的时间成本太大) 3、搭建FTP服务器可以下载QuickEasy FTPServer快速搭建。同时也可以通过系统自身搭建控制面板->程序->启用或关闭windows功能，在Internet Information Services中打开FTP服务器功能

然后在电脑桌面，右键此电脑->管理->服务和应用程序->Internet Information Services->右键网站->添加FTP站点

在FTP服务器中，要拉入文件才能完成实验还需要除了本电脑外的IP进行操作才能完成实验。

六、实验心得通过这次实验，我学会如何使用wireshark进行抓包以及过滤，分析数据包。深刻的理解力客户端和服务器之间数据的传输过程。同时也意识到，互联网并不安全，我们发送和接受的许多数据包会有被截断以及修改的可能，所以防火墙必须开启，平时不要随便下载一些不安全的文件

优惠劵

Ssuki1

关注

踩

156

觉得还不错?

一键收藏

知道了

计算机网络实验三：使用网络协议分析器捕捉和分析协议数据包

一、实验目的(1) 熟悉 ethereal 的使用(2) 验证各种协议数据包格式(3) 学会捕捉并分析各种数据包。二、使用仪器、器材Wireshark软件，window10系统计算机三、实验内容及原理（1）安装 ethereal 软件（2）捕捉数据包，验证数据帧、IP 数据报、TCP 数据段的报文格式。（3）捕捉并分析 ARP 报文。（4）捕捉 ping 过程中的 ICMP 报文，分析结果各参数的意义。（5）捕捉 tracert 过程中的 ICMP 报文，分析跟踪的路由器

复制链接

扫一扫

专栏目录

计算机网络实验三.docx

06-21

广州大学计算机网络实验3 使用网络协议分析器捕捉和分析协议数据包 2020版本，使用网络协议分析器捕捉和分析协议数据包 2020版本，使用网络协议分析器捕捉和分析协议数据包 2020版本

计算机网络-使用网络协议分析器捕捉和分析协议数据包.pdf

11-14

。。。

参与评论

您还未登录，请先

后发表或查看评论

计算机网络-使用网络协议分析器捕捉和分析协议数据包.docx编程资料

04-17

计算机网络-使用网络协议分析器捕捉和分析协议数据包.docx

计算机网络实验3-使用网络协议分析器捕捉和分析协议数据包

weixin_56487494的博客

02-27

976

两个存放在同一个服务器中的截然不同的Web页（例如， http://www.gzhu.edu.cn/index.jsp，和http://www.gzhu.edu.cn/cn/research/index.jsp可以在同一个持久的连接上发送吗？当点击一个万维网文档时，若该文档除了有文本外，还有一个本地.gif图像和两个远地.gif图像，那么需要建立几次TCP连接和有几个UDP过程？在实验过程中，捕捉数据包会有各种各样的，学会了通过ip地址和协议类型快速的找到自己想要的数据包，极大方便了自己在实验中的速度。

计算机网络-实验三：使用网络协议分析器捕捉和分析协议数据包

打工人的博客

07-29

1万+

一、实验目的

(1) 熟悉ethereal的使用

(2) 验证各种协议数据包格式

(3) 学会捕捉并分析各种数据包。

二、实验环境

安装了TCP/IP协议的Windows系统，包含实用的网络工具。

三、实验内容

（1）安装ethereal软件

（2）捕捉数据包，验证数据帧、IP数据报、TCP数据段的报文格式。

（3）捕捉并分析ARP报文。

（4）捕捉ping过程中的ICMP报文，分析结果各参数的意义。

（5）捕捉tracert过程中的ICMP报文，分析跟踪的路由器IP是哪个接口的

（6）捕捉

计算机网络实验一：应用协议与数据包分析实验(Wireshark)

海棠的博客

05-31

1230

实验步骤

步骤1：在PC 机上运行Wireshark，开始截获报文；

步骤2：从浏览器上访问Web 界面http://www.163.com/。打开网页，待浏览器的状态栏出现 “完毕”信息后关闭网页。

步骤3：停止截获报文，将截获的报文命名为http-学号保存。

分析截获的报文，回答以下几个问题：

1）综合分析截获的报文，查看有几种HTTP 报文？

HTTP请求报文

HTTP响应报文

2）在截获的HTTP 报文中，任选一个HTTP 请求报文和对应的 HTTP 应答报文，仔细分析它们的格式，填写表1

网络层协议IP/ICMP/DHCP/ARP/TCP数据的捕获与分析

P.H.S

06-10

8980

计算机网络实验二实验报告网络层协议数据的捕获与分析计算机网络实验二实验报告

实验任务内容环境

实验任务

实验环境

实验步骤

IP协议分析

找出IP包头个字段并分析

描述IP包校验原理并对上述IP包头进行校验

描述IP包分段原理并验证

ICMP协议分析

理解ICMP协议的功能

记录各字段的格式

DHCP协议分析

DHCP协议的功能

DHCP ACK消息

DHCP提供的额外配置参数

DHCP分配过程示意

广州大学计算机网络实验3 使用网络协议分析器捕捉和分析协议数据包 2020.12

安洁莉娅丶的博客

12-15

2459

本文在这篇文章的基础上进行修改，属于转载型文章，如果想要完整的实验流程，请观看上述文章。

其中主要针对的是上述文章的第6点，建立TCP三次握手的实验过程，原文中是“使用的是老师提供的，不便给出ftp服务器”，本文给出一种没有ftp服务器的同学的一种解决方案。

1、在本机建立FTP服务器

博主的机子是win10系统。

1.1 打开控制面板，找到程序并打开

1.2 程序界面找到“启用或关闭Windows功能”并打开

1.3 从“启用或关闭Windows功能”弹窗中找到Internet Information

广州大学计算机网络实验3 使用网络协议分析器捕捉和分析协议数据包 2020版

鸭绒的博客

06-21

9145

一、安装 ethereal 软件

使用wireshark

二、捕捉数据包，验证数据帧、IP 数据报、TCP 数据段的报文格式。

查看一条报文，格式如上图。

三、捕捉并分析 ARP 报文。

1.打开本机命令行输入：arp -d

2.在wireshark的过滤器输入:crp,捕抓到两条crp报文（注意在捕获前要清空crp缓存）

3.分析报文：

第二个报文：

四、捕捉 ping 过程中的 ICMP 报文，分析结果各参数的意义。

1.ping baidu.com以获得ICMP报文

2.筛选报文

计算机网络实验一：应用协议与数据包分析

进阶中的程序员吃吃的博客

05-13

1万+

2、实验步骤1、ping命令Ping是一个测试程序，运行正确就可以排除网络访问层、网卡、modem的输入输出线路、电缆和路由器等存在的故障，减小了问题的范围。Ping IP地址2、ipconfig用于检查网络TCP/IP配置的信息。比如IP地址、MAC地址、DNS等。MAC（Media Access Control或者Medium Access Control）地址，意译为媒体访问控制，或称为物...

使用网络协议分析器捕捉和分析协议数据包-计算机网络实验报告.docx

12-25

使用网络协议分析器捕捉和分析协议数据包_计算机网络实验报告.docx

计算机网络实验报告-使用网络协议分析器捕捉和分析协议数据包.docx

12-25

计算机网络实验报告-使用网络协议分析器捕捉和分析协议数据包.docx

网络入门-ARP

不定期分享一些自己的学习笔记

10-19

1487

网络入门-ARP

计算机网络课程设计——发送和接收TCP数据包以及发送和捕获ARP数据包

诶你爱我吗的博客

12-27

7965

1.课程设计要求：

发送和接收TCP数据包：TCP是一种面向连接的、可靠的传输层协议。TCP协议工作在网络层IP协议的基础上。本课程设计的目的是设计一个发送和接收TCP数据包的程序，其功能是填充一个TCP数据包，发送给目的主机，并在目的主机接收此TCP数据包，将数据字段显示在标准输出上。

2.设计原理

TCP位于IP层之上，应用层之下的传输层。不同主机的应用层之间经常需要可靠的、像管道一样的连接。...

计算机网络实验三数据包抓取与分析

LZM_SZU的博客

07-21

2122

DNS（Domain Name System，域名系统）协议是一个分布式的命名系统，它用于将域名转换为IP地址。DNS协议在网络协议栈中位于应用层，一般使用UDP协议在传输层进行通信。当返回的数据量较大时，为确保数据的可靠性，就需要使用TCP协议进行通信。DNS在应用层添加DNS头部，使其成为DNS消息进行传输，头部长度一般为12字节，包括以下字段：1、标识（16 bit）：用于标识查询消息和响应消息之间的关系。2、标志（16 bit）：包括查询/响应标志、操作码、授权回答标志、递归查询标志等。

使用wireshark抓包并进行网络协议分析

最新发布

qiuyehuanghun的博客

03-07

588

然后尝试将 ptr1 转换为 Derived2* 类型，转换失败，因为 ptr1 指向的不是 Derived2 类型的对象。如果转换失败，dynamic_cast 返回空指针（对指针进行转换）或引发 std::bad_cast 异常（对引用进行转换）。typeid 运算符接受一个表达式作为参数，并返回一个 std::type_info 对象，该对象包含有关表达式的类型信息。C++ 中的 RTTI（Run-Time Type Information）是一种机制，用于在运行时获取对象的实际类型信息。

使用网络协议分析器捕捉和分析协议数据包

06-28

### 回答1：

使用网络协议分析器可以捕捉和分析协议数据包。网络协议分析器可以监控网络流量，并将数据包分解成各个协议层，以便分析和诊断网络问题。通过分析协议数据包，可以了解网络中的通信情况，找出网络故障的原因，并进行网络优化和安全防护。

### 回答2：

网络协议分析器是一种软件工具，它可以捕捉并分析通信设备之间交互的网络数据包。这些数据包包含了网络协议的所有信息，包括数据大小、分组方式、源地址、目的地址、端口号等等。使用网络协议分析器可以了解网络间的交互情况、诊断网络故障、以及学习网络协议的工作原理。

捕捉数据包是网络协议分析器的第一步操作。为了捕获网络数据包，通常需要先选择要捕获的网络接口，如以太网、无线局域网等，然后启动捕获过程。在捕获的过程中，网络协议分析器会记录每个数据包的详细信息，如时间戳、源、目的地址、协议类型、数据大小等等。

分析数据包是网络协议分析器的下一步操作，通过分析捕获的数据包，可以了解到网络设备之间的交互情况。网络协议分析器通常提供了多种分析方式，如过滤器、统计信息、报告生成等。

过滤器是网络协议分析器中最重要的功能之一，可以帮助用户快速定位过滤感兴趣的数据包。通过设置过滤器，用户可以根据不同的消息特征进行筛选，如源地址、目的地址、协议类型、端口号等等。

统计信息是另外一个网络协议分析工具，用于收集和分析捕获的数据包的信息，例如网络流量利用率，数据包的数量，协议类型比例，以及最大和最小数据包大小。这些统计信息可以帮助用户了解网络设备之间交互的状态，并诊断网络故障。

报告生成是一个关键特性，可以生成捕获的数据包的详细信息，如主机名、端口号、协议类型、数据包的大小、时间戳等。这些报告可以作为用户在日常维护、故障排除和安全审计方面的指南。

总之，网络协议分析器是诊断网络故障、了解网络设备之间交互情况的有用工具。通过捕捉和分析协议数据包，用户可以精确地了解网络的运行状态，并快速响应任何故障或安全问题。

### 回答3：

网络协议分析器（Network Protocol Analyzer）是一种用于捕获、解码、分析网络数据包的工具。它可以帮助我们深入分析网络通信的细节，找出网络故障、安全漏洞或者优化性能等问题。

使用网络协议分析器进行协议数据包的捕捉和分析，可以在以下几个方面提高我们的能力：

1. 故障排除：当网络出现故障时，我们可以通过捕捉和分析网络数据包，定位出现故障的位置。比如，当某个主机无法访问某个网站时，我们可以使用网络协议分析器捕捉两者之间的数据包，分析其中的通信过程，通过定位故障点，有针对性的解决问题。

2. 安全监控：网络协议分析器可以详细地记录网络通信的细节，通过分析数据包可以发现一些可能存在的安全隐患，比如，恶意软件或者黑客攻击等。我们可以使用网络协议分析器监控网络流量，及时发现安全问题，保护网络安全。

3. 性能优化：网络协议分析器分析数据包的过程中，能够捕捉到网络通信的详细信息，包括层级的分组数据、传输速度、延迟等信息。通过分析这些信息，我们可以找到网络瓶颈，提高网络性能。

当使用网络协议分析器时，需要掌握一些基本的技巧：

1. 熟悉网络协议：网络协议分析器分析数据包的过程中，需要对网络通信协议有深入的理解。熟悉TCP/IP协议以及其他协议的传输规则，才能更好地发现问题。

2. 熟练使用网络协议分析器：网络协议分析器有多种工具，例如Wireshark、Tcpdump等。需要掌握不同的工具的使用方法，并能够充分发挥工具的功能。

3. 注重细节：网络协议分析器分析数据包的过程中，需要注重细节，包括时间戳、端口信息、单个数据包内容等，只有充分细心的分析，才能找出问题的根本原因。

总之，使用网络协议分析器捕捉和分析协议数据包是网络管理和安全解决方案的关键工具之一。它可以让我们更好的了解网络通信的过程，并通过分析数据包的细节，发现网络故障和安全问题，提高网络性能。

“相关推荐”对你有帮助么？

非常没帮助

没帮助

一般

有帮助

非常有帮助

提交

Ssuki1

CSDN认证博客专家

CSDN认证企业博客

码龄5年

暂无认证

原创

9万+

周排名

163万+

总排名

8万+

访问

等级

918

积分

粉丝

100

获赞

794

私信

关注

热门文章

计算机网络实验三：使用网络协议分析器捕捉和分析协议数据包

21417

数据结构课程设计：算术表达式的求值

10520

操作系统实验四：文件系统

9302

数字通信原理实验一：信号频谱分析实验

8134

计算机网络实验一：Windows 网络测试工具

7580

分类专栏

操作系统

4篇

计算机网络

4篇

数字通信原理

1篇

数据结构

1篇

最新评论

数据结构课程设计：算术表达式的求值

m0_74029336:

#includeiostream错为什么

计算机网络实验五：网络程序设计

绿色低碳（绿碳）:

GB2数据帧明明可以转发的，却显示不可以转发。

数据结构课程设计：算术表达式的求值

ZL06190321:

加上头文件 #include 应该就可以

设计一个按照时间片轮转法实现处理机调度的程序

m0_62693018:

你是我的神

数据结构课程设计：算术表达式的求值

想要学好计算机:

遇到浮点数怎么班

您愿意向朋友推荐“博客详情页”吗？

强烈不推荐

不推荐

一般般

推荐

强烈推荐

提交

最新文章

springMVC中的路径问题

设计一个按照时间片轮转法实现处理机调度的程序

计算机网络实验四：配置网络路由

2021年1篇

2020年10篇

分类专栏

操作系统

4篇

计算机网络

4篇

数字通信原理

1篇

数据结构

1篇

被折叠的条评论

为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

祝福语

请填写红包祝福语或标题

红包数量

个

红包个数最小为10个

红包总金额

元

红包金额最低5元

余额支付

当前余额3.43元

前往充值 >

需支付：10.00元

取消

确定

下一步

知道了

成就一亿技术人!

领取后你会自动成为博主和红包主的粉丝

规则

hope_wisdom 发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。

余额充值

哈工大计算机网络实验四利用 Wireshark 进行协议分析 - zsh1234 - 博客园

会员

周边

新闻

博问

AI培训

云市场

所有博客

当前博客

我的博客

我的园子

账号设置

简洁模式 ...

退出登录

zsh1234

博客园

首页

新随笔

联系

管理

哈工大计算机网络实验四利用 Wireshark 进行协议分析

利用 Wireshark 进行协议分析

计算机网络实验代码与文件可见github：计算机网络实验整理

实验名称利用 Wireshark 进行协议分析

实验目的：

本次实验的主要目的。

熟悉并掌握Wireshark的基本操作，了解网络协议实体间进行交互以及报文交换的情况。

实验内容：

概述本次实验的主要内容，包含的实验项等。

学习 Wireshark 的使用

利用 Wireshark 分析 HTTP 协议

利用 Wireshark 分析 TCP 协议

利用 Wireshark 分析 IP 协议

利用 Wireshark 分析 Ethernet 数据帧

选做内容：

a) 利用 Wireshark 分析 DNS 协议

b) 利用 Wireshark 分析 UDP 协议

c) 利用 Wireshark 分析 ARP 协议

实验过程：

学习 Wireshark 的使用

基本介绍：

Wireshark 是一种可以运行在 Windows，UNIX，Linux 等操作系统上的分组分析器。 Wireshark（前称 Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

使用简介：

(1) 启动 Wireshark 软件，打开浏览器，选择网络接口 WLAN；

(2) 浏览器输入网址，Wireshark 抓包，并筛选 HTTP 协议报文：

(3) 详细用户界面：命令菜单、俘获分组列表、分组头部明细、分组内容窗口、筛选俘获分组等信息与实验指导书中给出的基本一致，不再展示。

利用 Wireshark 分析 HTTP 协议

浏览器中输入的网址为：http://today.hit.edu.cn，Wireshark抓包结果如下：

HTTP GET/response 交互

a)浏览器运行的是HTTP1.1，服务器运行的HTTP版本号为HTTP1.1

HTTP请求报文——浏览器的HTTP协议版本

HTTP响应报文——服务器的HTTP协议版本

b)浏览器向服务器指出可接受的语言版本为zh_CN，也就是简体中文。

接受的语言版本

c)本机IP地址为：172.20.171.118，服务器的IP地址为：202.118.254.117

源IP地址与目的IP地址

d)浏览器返回的状态代码为200：

服务器返回状态码

HTTP 条件GET/response 交互

a) 第一个 GTE 请求在请求报文中无 IF-MODIFIED-SINCE。

无该请求行

b) 服务器明确返回了文件内容，可以通过状态码和数据段感知。

服务器返回的状态码

服务器返回的数据

c) 向发出的较晚 GET 请求中，有该行：IF-MODIFIED-SINCE，且该行后的信息是本地缓存文件中 Last-Modified 字段的最后修改时间；

响应报文中出现IF-MODIFIED-SINCE字段

d) 服务器对较晚的 HTTP GET 请求的响应中的 HTTP 状态代码是304。服务器并为返回了文件的内容。这是因为客户端在找到本地缓存之后，经过请求报文向服务器端确定这一份缓存是最新的，那么服务器端就不再向客户端发送这一份数据，客户端直接使用缓存的数据段。

利用 Wireshark 分析 TCP 协议

上传数据

浏览追踪信息：

a)向 gaia.cs.umass.edu 服务器传送文件的客户端主机的 IP 地址是172.20.171.118， TCP 端口号是3144。

b) Gaia.cs.umass.edu 服务器的 IP 地址是128.119.245.12。对这一连接，它用来发送和接收 TCP 报文的端口号是80。

服务器端与客户端IP地址与端口号

TCP 基础：

a)客户服务器之间用于初始化 TCP 连接的 TCP SYN 报文段的序号是0x01 62 09 a4，在该报文段中，是用SYN标志位是否为1标示该报文段是 SYN 报文段的。

SYN报文端序号

标志此报文段为SYN报文段

b)服务器向客户端发送的 SYNACK 报文段序号是0x03 e6 93 fa;该报文段中， Acknowledgement 字段的值是0x01 62 09 a5;Gaia.cs.umass.edu 服务器是将SYN报文段序号+1确定的这个值？在该报文段中，可以通过 SYN 和 ACK标志位都为1标识该报文段：

设置ACK以及SYN字段为1

c)可以分析出三次握手，具体信息如下：

三次握手具体信息

d)包含 POST 命令的 TCP 报文段序号为8f f9 76 67：

包含POST命令的TCP报文段

e)那么该 TCP 连接上的第六个报文段的序号是8f f9 8d de;发送时间：该报文段于 TCP 三次握手之后（作为第 9 个 TCP 报文段发送），四次挥手之前发送的；该报文段所对应的ACK是在第三次握手的时候接收的。

6个报文段

该报文段序号

该报文段发送时间

f)前六个 TCP 报文段的长度各是681,1414,1414,1414,1414,1414。

六个报文段长度

g)在整个跟踪过程中，接收端公示的最小的可用缓存空间是28960;限制发送端的传输以后，可以发现接收端的可用缓存空间在很多时候都是在递增的，最终可用缓存为132096。可以发现当限制了发送方的传输之后，接收端的缓存空间不断增大到132096。由此可见，接收端的缓存是足够的。

接收端公示的最小缓存空间为28960

最终可用缓存为132096

h)在跟踪文件中没有重传的报文段，进行判断的依据是通过观察客户端的分组序号，可以发现分组序号是一直在增长，没有出现过重复的序号的，因此可以判断没有重传的报文段。

部分序列号

i)TCP 连接的 throughput是：50083.59Bps;请写出你的计算过程：152935B/3.053595=50083.59Bps

连接开始创建时间

连接结束时间

利用 Wireshark 分析 IP 协议

通过执行traceroute执行捕获数据包：

使用www.hit.edu.cn作为分析的网站。

对捕获的数据包进行分析：

分析主机发出的第一个ICMP echo Request请求：

1)主机的IP地址是172.20.171.118

本主机IP地址

2)在IP数据包头中，上层协议字段的值是1，表示ICMP协议。

上层协议字段

3) IP头有20字节；该IP数据包的净载为36字节；确定方式为：IP 分组总长度-IP首部长度。

头部长度与总长度

4) 该IP数据包未分片；由于标志位全 0，表示允许分片但是未分片；

数据包未分片

分析源主机发出的一系列报文：

1)本主机发出的一系列ICMP消息中IP数据报中以下字段总在发生改变：标识ID，TTL，首部校验和，数据域。

2)除了上述四个数据段以外的数据必须保持常值。上述四个字段总要发生改变的原因：标识ID对于每个数据包来说唯一，因此每个数据包的这个字段都不一样；由于是ICMP的ping探测，因此TTL在不断变大；由于上述两个字段不断变化，因此首部校验和也需要变化；由于数据域中封装有ICMP的报文，而ICMP的头部信息不断变化，因此IP数据报的数据域也需要不断变化。

3)我看到的IP数据包Identification字段值的形式：每个报文有一个唯一的16字节的数值，且不断+1递增。

Identification字段

分析第一跳返回的ICMP消息：

1)Identification字段值为0x6a7a，TTL字段为124。

2)最近的路由器（第一跳）返回给你主机的ICMP Time-to-live exceeded消息中TTL保持不点，ID字段不断改变，原因是：第一跳路由器设置TTL字段为RFC指定的值，因此始终保持不变；而ID值标识每一个IP字段，是唯一的，因此不断改变。

分析将包改为2000字节之后主机发送的第一个ICMP Echo Request消息：

1)该消息被分解为2个数据包

2)标志位MF被置为1标识后面还有分片，该分片的数据域大小为1450B，IP总长度为1500B。

分为两个数据包

标志位MF被置为1

总长度1500B，头部长度20B，数据长度1480B

分析将包改为3500字节之后主机发送的第一个ICMP Echo Request消息：

1)原始数据包被分成了3片。

2)这些分片中IP数据报头部标志位MF变化、片偏移变化。第一个和第二个分片标志位MF为1标识后面还有分片，第一个分片的片偏移为0，第二个为185，第三个是370。

利用 Wireshark 分析 Ethernet 数据帧

1)访问的网页为www.hit.edu.cn

2)本主机IP：172.20.171.118，目的主机IP：61.167.60.70

本主机IP与目的主机IP

3)本主机发送的第一条HTTP报文的以太网帧结构等装了上层的IP数据，IP封装了上层的TCP数据报，TCP数据报封装了上层的HTTP数据。

4) 以太网帧结构如下：

目的MAC、源MAC地址(各6B):若网卡的MAC地址与收到的帧的目的MAC地址匹配，或者帧的目的 MAC 地址为广播地址(FF-FF-FF-FF-FF-FF)，则网卡接收该帧，并将其封装的网络层分组交给相应的网络层协议；否则，网卡丢弃(不接收)该帧；

类型 Type2B：指示帧中封装的是哪种高层协议的分组 (如，IP 数据报、Novell IPX 数据报、AppleTalk 数据报等)；

数据(Data)(46-1500B): 指上层协议载荷；

CRC(4B): 循环冗余校验码，丢弃差错帧

以太网帧结构

5)本主机MAC地址：50:eb:71:2d:e0:56，目的主机MAC地址：44:ec:ce:d2:ff:c2；类型是 IPv4

主机MAC地址

6)发送报文的数据域长度范围为46B-1500B，以太网帧MTU为1500B，所以数据域最大为1500B；数据域最小值计算过程：R=10Mbps，RTTmax=512us，Lmin/R=RTTmax，则Lmin=64B，则Datamin=Lmin-18=46B。

选做内容：

利用 Wireshark 分析 ARP 协议

(1)说明 ARP 缓存中每一列的含义是什么?

ARP缓存中第一列指的是ARP协议的缓存的IP地址，第二列是MAC地址，第三列是类型，即表示是动态类型还是静态类型。

ARP缓存内容

(2) ARP数据包的格式是怎样的？由几部分构成，各个部分所占的字节数是多少？

格式如下，9 部分组成，分别是：硬件类型 2B、协议类型 2B、硬件地址长度 1B、协议地址长度 1B、OP2B、源 MAC 地址 6B、源 IP 地址 4B、目的 MAC 地址 6B、目的 IP 地址 4B；

ARP请求和应答的分组格式

(3)如何判断一个ARP数据是请求包还是应答包？

当 OP 值为 1 时是请求包，当 OP 值为 2 时是应答包。

请求ARP

响应ARP

(4)为什么ARP查询要在广播帧中传送，而ARP响应要在一个有着明确目的局域网地址的帧中传送？

查询ARP不知道目的IP对应的MAC地址，因此需要广播查询；ARP响应的时候已经从查询ARP中找到了源MAC地址，因此ARP响应可以有一个明确的目的地址。

利用 Wireshark 分析 UDP 协议

1)消息是基于UDP的还是TCP的？UDP

2)你的主机ip地址是什么？目的主机ip地址是什么？

本主机IP：172.20.171.118，目的主机IP：202.118.224.100。

IP地址

3)你的主机发送QQ消息的端口号和QQ服务器的端口号分别是多少？

我主机发送消息的端口号为 4003，服务器端口号为 8000。

端口号信息

4)数据报的格式是什么样的？都包含哪些字段，分别占多少字节？

数据报格式：源端口号2B，目的端口号2B，UDP 段长度2B，校验和2B

5) 为什么你发送一个ICQ数据包后，服务器又返回给你的主机一个ICQ数据包？这UDP的不可靠数据传输有什么联系？对比前面的TCP协议分析，你能看出UDP是无连接的吗？

服务器返回ICQ用于确认。这是由于UDP提供的是不可靠的无连接的传输服务，客户端无法确认服务器是否接收到信息，因此需要一个ICQ报文表示收到。可以看出UDP是无连接的。这是因为TCP需要三次握手来建立连接，而UDP没有这个过程。同时UDP首部也没有标志位用于客户端与服务器端之间互相确认传输情况。

利用 Wireshark 分析 DNS 协议

1)本主机IP：172.20.171.118，目的主机IP：202.118.224.100。

IP地址

2)DNS消息包括消息头部中的ID，flags等和消息体，具体格式如下：

DNS消息格式

3) DNS 的下层协议是 UDP 协议，是不可靠无连接的传输服务

DNS基于UDP协议

4)DNS使用Transaction ID来标识一次查询和响应报文，长度是2B，可以发现请求和相应的响应报文的ID是一致的。

请求报文ID

响应报文ID

5)请求体内容：Name表示请求域名，Type表示请求类型，Class一般为IN。

请求体内容

6)DNS记录的不同形式如下图所示：

DNS记录类型

7) DNS查询分为递归查询与迭代查询。

实验结果：

实验结果在上一部分基本展示，这一部分展示对于上述实验中出现的协议的认识。

HTTP协议：

1.简介：HTTP协议(超文本传输协议)，它是基于TCP协议的应用层传输协议，简单来说就是客户端和服务端进行数据传输的一种规则。

2.HTTP特点：a)无连接: 每进行一次HTTP通信，都要断开一次TCP连接。b)无状态：HTTP 协议无法根据之前的状态进行本次的请求处理。c)灵活性：HTTP 允许传输任意类型的数据对象。正在传输的类型由 Content-Type加以标记d)简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有 GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于 HTTP 协议简单，使得 HTTP 服务器的程序规模小，因而通信速度很快。

3.HTTP请求状态行：请求行由请求Method, URL 字段和HTTP Version三部分构成, 总的来说请求行就是定义了本次请求的请求方式, 请求的地址, 以及所遵循的HTTP协议版本。

4.HTTP响应状态行：状态行由三部分组成，包括HTTP协议的版本，状态码，以及对状态码的文本描述。

HTTP请求报文

HTTP响应报文

TCP协议：

1.TCP 是面向连接的运输层协议。应用程序在使用 TCP 协议之前，必须先建立 TCP 连接。在传送数据完毕后，必须释放已经建立的 TCP 连接。

2.每一条 TCP 连接只能有两个端点，每一条 TCP 连接只能是点对点的(一对一)。

3.TCP 提供可靠交付的服务。通过 TCP 连接传送的数据，无差错、不丢失、不重复，并且按序到达。

4.TCP 提供全双工通信。TCP 允许通信双方的应用进程在任何时候都能发送数据。TCP 连接的两端都设有发送缓存和接受缓存，用来临时存放双向通信的数据。

5.面向字节流。TCP 中的“流”指的是流入到进程或从进程流出的字节序列。

TCP报文格式

IP协议：

1.主要内容：IP协议是TCP/IP协议族的核心协议，其主要包含两个方面：a)IP头部信息。IP头部信息出现在每个IP数据报中，用于指定IP通信的源端IP地址、目的端IP地址，指导IP分片和重组，以及指定部分通信行为。b)IP数据报的路由和转发。IP数据报的路由和转发发生在除目标机器之外的所有主机和路由器上。它们决定数据报是否应该转发以及如何转发。

2.特点：IP协议是TCP/IP协议族的动力，它为上层协议提供无状态、无连接、不可靠的服务。

3.任务：负责对数据包进行路由选择和存储转发。

4.IP协议：逐跳发送模式；根据数据包的目的地 IP 地址决定数据如何发送；如果数据包不能直接发送至目的地，IP 协议负责寻找一个合适的下一跳路由器，并将数据包交付给该路由器转发；

IP协议

Ethernet协议：

1.定义：Ethernet以太网协议，用于实现链路层的数据传输和地址封装（MAC），由DIX联盟（Digital、Intel、Xero）开发

2.任务：两个相邻节点之间传送数据时，数据链路层将网络层交下来的 IP 数据报组装成帧，在两个相邻的链路上传送帧（frame)。每一帧包括数据和必要的控制信息。

以太网帧格式

ARP协议：

简介：ARP协议是地址解析协议（Address Resolution Protocol）是通过解析IP地址得到MAC地址的，是一个在网络协议包中极其重要的网络传输协议，它与网卡有着极其密切的关系，在TCP/IP分层结构中，把ARP划分为网络层，为什么呢，因为在网络层看来，源主机与目标主机是通过IP地址进行识别的，而所有的数据传输又依赖网卡底层硬件，即链路层，那么就需要将这些IP地址转换为链路层可以识别的东西，在所有的链路中都有着自己的一套寻址机制，如在以太网中使用MAC地址进行寻址，以标识不同的主机，那么就需要有一个协议将IP地址转换为MAC地址，由此就出现了ARP协议。

ARP报文格式

UDP协议：

简介：UDP是一个简单的面向消息的传输层协议，尽管UDP提供标头和有效负载的完整性验证（通过校验和），但它不保证向上层协议提供消息传递，并且UDP层在发送后不会保留UDP 消息的状态。因此，UDP有时被称为不可靠的数据报协议。如果需要传输可靠性，则必须在用户应用程序中实现。UDP是基于IP的简单协议，不可靠的协议。

UDP的优点：简单，轻量化。

UDP的缺点：没有流控制，没有应答确认机制，不能解决丢包、重发、错序问题。

UDP报文格式

DNS协议：

简介：DNS 是一个应用层协议,域名系统 (DNS) 的作用是将人类可读的域名 (如， www.example.com) 转换为机器可读的 IP 地址 (如，192.0.2.44)。 DNS 协议建立在 UDP 或 TCP 协议之上，默认使用 53 号端口。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。DNS协议是用来将域名转换为IP地址（也可以将IP地址转换为相应的域名地址）。

DNS报文格式

问题讨论：

对实验过程中的思考问题进行讨论或回答。

实验过程中遇到了关于ICMP协议的相关内容，在此对ICMP协议进行一定的展示。ICMP（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

事实上ICMP是IP的一个组成部分，与 IP 协议、ARP 协议、RARP 协议及 IGMP 协议共同构成 TCP/IP 模型中的网络层。

心得体会：

结合实验过程和结果给出实验的体会和收获。

对于计算机网络模型有了更加深入的认识。

尤其是对于应用层、传输层、网络层、链路层的一些协议有了更加深入的了解。通过对这些协议报文的抓包分析，对于其结构与工作原理的认识更加深刻。

posted @

2022-02-02 19:16

zsh1234

阅读(5245)

编辑

会员力量，点亮园子希望

刷新页面返回顶部

公告

实验1 Ethernet协议分析_ethernetip协议分析-CSDN博客

实验1 Ethernet协议分析

最新推荐文章于 2023-11-28 15:00:55 发布

J0hnson666

最新推荐文章于 2023-11-28 15:00:55 发布

阅读量1.2k

点赞数

分类专栏：

# tcp/ip协议分析与应用

文章标签：

以太网

网络

网络通信

本文链接：https://blog.csdn.net/weixin_50464560/article/details/114901024

版权

tcp/ip协议分析与应用

专栏收录该内容

20 篇文章

7 订阅

订阅专栏

IEEE802.2/802.3和以太网的封装格式

实验

实验步骤

1. 利用GNS3搭建实验拓扑

2. 为路由器的接口配置IP

R1： R2：

3. 启动Wireshark抓包工具

4. 在R1上ping R2

5. 在Wireshark软件中捕获以太网II帧格式的数据帧，利用ARP协议和ICMP协议，结合以太网的封装格式来分析以太网II帧的结构。

6. 利用CDP协议，结合IEEE802.2/802.3的封装格式，来分析IEEE802.2/802.3的帧结构。

MAC地址

在24位OUI中，第一位（第一个字节的最低位，以太网传输中大端字节序小端比特序）是 Individual/Group(I/G)位，当它的值为0时，就可以认为这个地址实际上是设备的MAC地址，它可能出现在MAC报头的源地址部分。当它的值为1时，就可以认为这个地址表示以太网中的广播地址或组播地址，或者表示TR和FDDI中的广播地址或功能地址。第二位（第一个字节倒数第二个比特位）是G/L位(（Global/Local，也称U/L，这里的U表示Universal全局)。当它的值为0时，就表示一个全局管理地址(全球唯一地址)(由IEEE分配)。当它的值为1时，就表示一个在管理上通统治本地的地址(局部唯一地址)(就像在DECnet中一样)。第一位也称Group位（组播位），第二位称Local位（本地位），但是OUI分配时这些是0，非0位IEEE并不负责分配，所以实际网卡的第一个数字基本都是4的倍数。

具体分析以下几个字段：（这里是分析实验中的）（1）查看源MAC地址第一个字节的最后一位取值，表明它属于什么类型的地址（单播、组播还是广播？）

答：源MAC地址第一个字节的最后一位取值为0，表明它属于单播类型的地址。

（2）查看源MAC地址第一个字节的倒数第二位取值，表明它属于局部唯一还是全球唯一？

答：源MAC地址第一个字节的倒数第二位取值为1，表明它属于局部唯一的地址。

（3）查看目的MAC地址第一个字节的最后一位取值，表明它属于什么类型的地址（单播、组播还是广播？）

答：源MAC地址第一个字节的最后一位取值为1，表明它属于单播类型的地址。

（4）查看目的MAC地址第一个字节的倒数第二位取值，表明它属于局部唯一还是全球唯一？

答：目的MAC地址第一个字节的倒数第二位取值为0，表明它属于全球唯一的地址。

优惠劵

J0hnson666

关注

踩

觉得还不错?

一键收藏

打赏

知道了

实验1 Ethernet协议分析

IEEE802.2/802.3和以太网的封装格式实验实验步骤1. 利用GNS3搭建实验拓扑2. 为路由器的接口配置IPR1：R2：3. 启动Wireshark抓包工具4. 在R1上ping R25. 在Wireshark软件中捕获以太网II帧格式的数据帧，利用ARP协议和ICMP协议，结合以太网的封装格式来分析以太网II帧的结构。6. 利用CDP协议，结合IEEE802.2/802.3的封装格式，来分析IEEE802.2/802.3的帧结构。MAC地址在24位O

复制链接

扫一扫

专栏目录

ip协议分析实验报告_入门工业通讯之EtherNet/IP协议分析

weixin_33491377的博客

12-26

1774

写在前面前面我们系统得说了工业控制系统的通讯，大家肯定会想到PROFINET、ETHERNET/IP、ETHERCAT等工业以太网：技术解读PROFINET、Ethernet/IP等7种主流工业以太网最全整理工业通讯上的领域各种总线+协议+规范+接口—数据采集与控制但是说到协议的分析，我们不得不提到安全问题，前面我们系统的介绍过关于工业控制系统的架构、安全等：工业控制系统安全入门与实践—从五层架...

网络协议初识——Ethernet

weixin_42403044的博客

12-30

3918

网络协议初识之以太网协议

一、以太网协议简述

以太网是一种局域网，简而言之在该网络环境中，所有连接设备距离通常较近，设备间的通信基于各自对端MAC地址进行。ethernet协议通常处于七层的底层（链路层），用于链路层数据传输和地址封装。

DIX联盟（Digital、Intel、Xerox）开发

二、报文内容详解

ethernet包含三个字段

Destination/目的：标识目的通信方的MAC地...

参与评论

您还未登录，请先

后发表或查看评论

CDP协议pcap数据包；CDP协议报文解析

03-23

CDP协议pcap数据包下载，支持抓包软件（如：wireshark）打开并学习CDP协议报文解析。需要其他协议，请查看我发布的其他资源。

网络协议分析(二)（C语言实现---ethernet、arp、ip、icmp、udp、tcp 完整代码）

最新发布

qq_62169455的博客

11-28

779

代码实现：可以分析ethernet、arp、ip、icmp、udp、tcp六种协议的数据字段，以及识别应用层协议。这里我只输出了一些关键的信息，其他的字段信息，可以把下面的注释掉即可。注意这里配置文件里面的路径要设置为自己的。注意，里面涉及路径的都要改成自己的路径。注意这里导入的配置文件路径是否正确。

简述Ethernet协议

weixin_38980630的博客

04-05

3597

简述TCP/IP协议中的Ethernet协议

网络协议分析(一)（C语言实现---ethernet、arp、ip、icmp、udp、tcp）

qq_62169455的博客

06-27

2022

3）第三次握手：Client收到确认后，检查ack是否为x+1，ACK是否为1，如果正确则将标志位ACK置为1，ack=y+1，并将该数据包发送给Server，Server检查ack是否为y+1，ACK是否为1，如果正确则连接建立成功，Client和Server进入ESTABLISHED状态，完成三次握手，随后Client与Server之间可以开始传输数据了。发起请求的主机接收到响应包后，将目标IP地址和MAC地址添加到自己的ARP缓存中，并使用该MAC地址发送数据包到目标主机。以此来实现物理层数据传输。

工业以太网EtherNet/IP协议安全分析整理

weixin_43304436的博客

11-03

184

1、 EtherNet/IP :

设备可以用户数据报协议(UDP)的隐式报文传送基于IO的资料，用户传输控制协议(TCP)显示报文上传和下参数，设定值，程式，用户主站的轮询从站周期性的更新或是改变状态COS，方便主站监控从站的状态，讯息会使用UDP的报文发送出去

特性： EnterNet/IP 工业以太网组成的系统具有兼容性和互操作性，资源共享能力强和传输距离远，...

网络协议之以太网协议解析

热门文章

Windows远程连接3389端口开启/关闭方法

64751

针对Resin服务的攻击整理

36649

详解VMware虚拟机中添加新硬盘并挂载的方法

31315

“__MACOSX“是什么文件，这个文件可以删吗

22429

audio console 无法连接到 rpc 服务器问题解决

22384

分类专栏

端口渗透

21篇

社会工程学

3篇

web漏洞

63篇

通用漏洞

65篇

CRLF注入漏洞(HTTP响应拆分攻击)

4篇

SSRF漏洞

10篇

信息泄露漏洞

17篇

文件上传漏洞

13篇

SQL注入漏洞

25篇

文件包含漏洞

4篇

XSS漏洞

28篇

网络信息安全

31篇

提权

5篇

靶场

19篇

工具

57篇

Burp Suite工具

22篇

信息采集及其工具

26篇

CTF

9篇

V M ware

5篇

DNS

8篇

编码

6篇

Base64

2篇

语言

8篇

Python

19篇

正则表达式

4篇

php

3篇

C++

37篇

JavaScript

5篇

做实验

11篇

tcp/ip协议分析与应用

20篇

数据通信

8篇

记笔记

19篇

Github

6篇

MarkDown

2篇

杂七杂八的解决

22篇

最新评论

burp 日志Logger++插件从原理到实践

H-l1:

您好为什么在 view logs下输入规则会报错

CodeQL自动化代码审计工具

桃生万物以养人:

大佬，图是不是炸了

linux里root用户权限下chmod修改文件却报错：Operation not permitted的解决方法

CSDN-Ada助手:

推荐 CS入门技能树：https://edu.csdn.net/skill/gml?utm_source=AI_act_gml

“__MACOSX“是什么文件，这个文件可以删吗

我小名叫壮壮呀:

配享太庙

“有未能满足的依赖关系。请尝试不指明软件包的名字来运行“apt --fix-broken install”(也可以指定一个解决办法）“的问题解决

喵喵~呦:

为啥我用了你的代码，ubuntu直接没了，修了一天

您愿意向朋友推荐“博客详情页”吗？

强烈不推荐

不推荐

一般般

推荐

强烈推荐

提交

最新文章

linux里root用户权限下chmod修改文件却报错：Operation not permitted的解决方法

删除QQ占用的C盘空间

在secureCRT当中解决中文乱码，永久设置全局默认编码格式为UTF8

2024年1篇

2023年2篇

2022年86篇

2021年525篇

2020年1篇

分类专栏

端口渗透

21篇

社会工程学

3篇

web漏洞

63篇

通用漏洞

65篇

CRLF注入漏洞(HTTP响应拆分攻击)

4篇

SSRF漏洞

10篇

信息泄露漏洞

17篇

文件上传漏洞

13篇

SQL注入漏洞

25篇

文件包含漏洞

4篇

XSS漏洞

28篇

网络信息安全

31篇

提权

5篇

靶场

19篇

工具

57篇

Burp Suite工具

22篇

信息采集及其工具

26篇

CTF

9篇

V M ware

5篇

DNS

8篇

编码

6篇

Base64

2篇

语言

8篇

Python

19篇

正则表达式

4篇

php

3篇

C++

37篇

JavaScript

5篇

做实验

11篇

tcp/ip协议分析与应用

20篇

数据通信

8篇

记笔记

19篇

Github

6篇

MarkDown

2篇

杂七杂八的解决

22篇

被折叠的条评论

为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

祝福语

请填写红包祝福语或标题

红包数量

个

红包个数最小为10个

红包总金额

元

红包金额最低5元

余额支付

当前余额3.43元

前往充值 >

需支付：10.00元

取消

确定

下一步

知道了

成就一亿技术人!

领取后你会自动成为博主和红包主的粉丝

规则

hope_wisdom 发出的红包

打赏作者

J0hnson666

你的鼓励将是我创作的最大动力

¥1

¥2

¥4

¥6

¥10

¥20

扫码支付：¥1

获取中

扫码支付

您的余额不足，请更换扫码支付或充值

打赏作者

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。

余额充值

计算机网路实验五 Ethernet和ARP协议分析_头歌以太网与arp协议分析答案-CSDN博客

计算机网路实验五 Ethernet和ARP协议分析

最新推荐文章于 2024-03-13 15:48:54 发布

一起学习丫

最新推荐文章于 2024-03-13 15:48:54 发布

阅读量1.3w

143

点赞数

分类专栏：

计算机网路实验

文章标签：

网络

本文链接：https://blog.csdn.net/weixin_47366786/article/details/110197326

版权

计算机网路实验

专栏收录该内容

5 篇文章

19 订阅

订阅专栏

计算机网路实验五 Ethernet和ARP协议分析

一、实验目的及任务 1、熟悉IP协议的基本原理 2、利用Wireshark对IP进行协议分析二、实验环境与Internet连接的计算机网络系统；操作系统为windows；Wireshark、IE等软件。三、实验步骤 1、捕获并分析以太帧（1）清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。（2）启动Wireshark，开始分组捕获。（3）在浏览器的地址栏中输入： http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-lab-file3.html 浏览器将显示美国权力法案。（4）停止分组捕获。首先，找到你的主机向服务器gaia.cs.umass.edu发送的HTTP GET消息的Segment序号，以及服务器发送到你主机上的HTTP 响应消息的序号。其中，窗口大体如下。

选择“Analyze->Enabled Protocols”，取消对IP复选框的选择，单击OK。窗口如下。

（5）选择包含HTTP GET消息的以太网帧，在分组详细信息窗口中，展开Ethernet II部分。根据操作，回答“四、实验报告内容”中的1-4题（6）选择包含HTTP 响应消息第一个字节的以太网帧，根据操作，回答“四、实验报告内容”中的5-8题 2、 ARP （1）利用MS-DOS命令：arp查看主机上ARP缓存的内容。根据操作，回答“四、实验报告内容”中的9题。（2）利用MS-DOS命令：arp -d * 以清除主机中ARP缓存的内容。（3）清除浏览器缓存。（4）启动Wireshark，开始分组捕获。（5）在浏览器的地址栏中输入： http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-lab-file3.html 浏览器将显示美国权力法案。（6）停止分组捕获。选择“Analyze->Enabled Protocols”，取消对IP复选框的选择，单击OK。窗口如下。根据操作，回答“四、实验报告内容”中的10-13题。

四、实验内容在实验的基础上，回答以下问题： 1、你的主机的48位以太网地址(MAC地址)是多少？ b4:69:21:bd:bc:12

2、目标MAC地址是gaia.cs.umass.edu服务器的MAC地址吗？如果不是，该地址是什么设备的MAC地址？不是，是网关地址

3、给出Frame头部Type字段(2字节)的十六进制值。 IPV4(0x0800)

4、在包含“HTTP GET”的以太网帧中，字符“G”的位置(是第几个字节，假设Frame头部第一个字节的顺序为1)？第55个字节

5、以太Frame的源MAC地址是多少？该地址是你主机的MAC地址吗？是gaia.cs.umass.edu服务器的MAC地址吗？如果不是，该地址是什么设备的MAC地址？ 3c5d:98:9f:9c 不是，是gaia.cs.umass.edu服务器的MAC地址 6、以太网帧的目的MAC地址是多少？该地址是你主机的地址吗？ b4:69:21:bd:bc:12 是

7、给出Frame头部2-字节Type字段的十六进制值。 Ipv4(0x0800)

8、在包含“OK”以太网帧中，从该帧的第一个字节算起，”O”是第几个字节？第68个字节

9、写下你主机ARP缓存中的内容。其中每一列的含义是什么？

10、包含ARP请求报文的以太网帧的源地址和目的地址的十六进制值各是多少？ Src:3c5d:98:9f:9c Dst:b4:69:21:bd:bc:12

11、给出Frame头部Type字段的十六进制值。 ARP(0x0806)

12、从ftp://ftp.rfc-editor.org/innotes/std/std37.txt处下载ARP规范说明。在http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html处有一个关于ARP的讨论网页。根据操作回答：

形成ARP响应报文的以太网帧中，ARP-payload部分opcode字段的值是多少？ Reply(2)

2）在ARP报文中是否包含发送方的IP地址？包含

13、包含ARP响应(reply)报文的以太网帧中，源地址和目的地址的十六进制值各是多少？源地址十六进制值为b4:69:21:bd:bc:12 目的地址十六进制为3c5d:98:9f:9c

优惠劵

一起学习丫

关注

踩

143

觉得还不错?

一键收藏

知道了

计算机网路实验五 Ethernet和ARP协议分析

计算机网路实验五 Ethernet和ARP协议分析一、实验目的及任务1、熟悉IP协议的基本原理2、利用Wireshark对IP进行协议分析二、实验环境与Internet连接的计算机网络系统；操作系统为windows；Wireshark、IE等软件。三、实验步骤1、捕获并分析以太帧（1）清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。（2）启动Wireshark，开始分组捕获。（3）在浏览器的地址栏中输入：http://gaia.cs

复制链接

扫一扫

专栏目录

以太网与ARP协议分析

Junds0的博客

10-13

1689

由于 ARP 命令和 ARP 协议具有相同的名称，因此很容易混淆它们。但它们是不同的：ARP 命令用于查看和操作 ARP 缓存内容，而 ARP 协议定义了发送和接收的消息的格式和含义，并定义了对消息传输和接收所采取的操作。以太网第二版或者称之为 Ethernet II 帧，DIX 帧，是最常见的帧类型。不同类型的帧具有不同的格式和 MTU 值。本关任务：在 Wireshark 下抓取 Ethernet 包。本关任务：对 ARP 协议进行分析。本关任务：抓取 ARP 命令的包。如何抓取 ARP 命令的包；

实验二使用Wireshark分析以太网帧与ARP协议

12-27

使用Wireshark分析以太网帧与ARP协议，上机实验操作与解答

参与评论

您还未登录，请先

后发表或查看评论

[计算机网络实验]头歌实验二以太网帧、IP报文分析（含部分分析）

m0_61709053的博客

11-21

1945

1、掌握wireshark工具的基本使用方法。

网络协议之ARP协议解析

tecoes的博客

04-18

1968

ARP协议简介　

ARP (Address Resolution Protocol) 是个地址解析协议。最直白的说法是：在IP以太网中，当一个上层协议要发包时，有了该节点的IP地址，ARP就能提供该节点的MAC地址。　

OSI 模式把网络工作分为七层，彼此不直接打交道，只通过接口(layre interface). IP地址在第三层, MAC地址在第二层。协议在发生数据包时，首先要封装第三层...

【头歌】——ARP协议分析（计算机网络）

公众号：风景邮递Yuan的博客

11-04

2908

本关任务：对 ARP 协议进行分析。

EduCoder 计算机网络实验以太网与ARP协议分析

qq_41975868的博客

12-10

8793

第1关：抓取Ethernet包

任务描述

最新发布

开源物联网项目商业化作者

03-13

528

Jamod是另一个开源的Modbus Java库。这个库的设计是完全面向对象的，基于抽象，应该支持易于理解、可重用性和可扩展性。它支持Modbus RTU和Modbus TCP，并且提供了主站和从站的功能。这是jamod Modbus库的一个分支，取自1.2.1版本，根据Apache 2许可证发布，包含在该项目的SVN存储库中。j2mod项目的目标是基于Java编程语言生成一个功能更全面的Modbus（tm）通信库。这是一个积极开发的项目，接受具有Modbus主站和从站开发经验的专业软件工程师提交的文件。

【网络层】IPv6引进的主要变化（湖科大慕课自学笔记）

2301_77185537的博客

03-08

457

我们知道因特网使用的是TCP/IP四层体系结构，其中网际层的网际协议IP是因特网的核心协议，目前常用的是版本4（IPv4）：IPv6引进的主要变化。下一代网际协议IPv6。：IPv6的诞生背景。

计算机网络-数据链路层

m0_61876562的博客

03-10

1478

到达对端时再将这些小包, 会按顺序重组, 拼装到⼀起返回给传输层（用到IP协议头中的13位片偏移）;⼀旦这些小包中任意⼀个小包丢失, 接收端的重组就会失败，但是IP层不会负责重新传输数据。2、MTU对UDP协议的影响回顾⼀下UDP协议:⼀旦UDP携带的数据超过1472(1500(MTU) - 20(IP⾸部) - 8(UDP⾸部)), 那么就会在网络层分成多个IP数据报.这多个IP数据报有任意⼀个丢失, 都会引起接收端网络层重组失败. 那么这就意味着, 如果UDP数据。

实验八 ethernet and arp

12-25

实验八主要是关于以太网和地址解析协议（ARP）的实验。以太网是一种局域网技术，它使用CSMA/CD协议来管理数据包在局域网中的传输。ARP是一种网络协议，用于根据IP地址获取物理地址（MAC地址）。在实验中，我们将...

“相关推荐”对你有帮助么？

非常没帮助

没帮助

一般

有帮助

非常有帮助

提交

一起学习丫

CSDN认证博客专家

CSDN认证企业博客

码龄4年

暂无认证

原创

72万+

周排名

148万+

总排名

8万+

访问

等级

775

积分

138

粉丝

149

获赞

858

私信

关注

热门文章

计算机网路实验一分析HTTP和DNS实验报告

19786

计算机网路实验三 TCP和UDP协议分析

19267

计算机网路实验四 IP协议分析

14812

计算机网路实验五 Ethernet和ARP协议分析

13526

python数字金字塔代码

10714

分类专栏

计算机网路实验

5篇

最新评论

计算机网路实验二多线程Web服务器的设计与实现

一起学习丫:

放在代码文件的目录下即可

计算机网路实验二多线程Web服务器的设计与实现

minimum，，，:

我也不知道啊同问

计算机网路实验二多线程Web服务器的设计与实现

kdcheck:

放在哪里啊

qql

计算机网路实验二多线程Web服务器的设计与实现

qq_54842417:

同是天涯沦落人

计算机网路实验二多线程Web服务器的设计与实现

WYKZD23:

sdjz

您愿意向朋友推荐“博客详情页”吗？

强烈不推荐

不推荐

一般般

推荐

强烈推荐

提交

最新文章

python数字金字塔代码

python乘法口诀表

计算机网路实验四 IP协议分析

2020年8篇

分类专栏

计算机网路实验

5篇

被折叠的条评论

为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

祝福语

请填写红包祝福语或标题

红包数量

个

红包个数最小为10个

红包总金额

元

红包金额最低5元

余额支付

当前余额3.43元

前往充值 >

需支付：10.00元

取消

确定

下一步

知道了

成就一亿技术人!

领取后你会自动成为博主和红包主的粉丝

规则

hope_wisdom 发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。

余额充值

网络协议分析-Ethernet_ethernet ii src-CSDN博客

网络协议分析-Ethernet

最新推荐文章于 2022-03-24 21:16:05 发布

_abcdef

最新推荐文章于 2022-03-24 21:16:05 发布

阅读量1.9k

点赞数

分类专栏：

网络协议分析

文章标签：

网络协议

本文链接：https://blog.csdn.net/qq_38626043/article/details/103532749

版权

网络协议分析

专栏收录该内容

9 篇文章

7 订阅

订阅专栏

一 . 以太网（Ethernet）二 . Ethernet II帧格式三 . IEEE802.3 一般帧格式四 . 实例化

一 . 以太网（Ethernet）

以太网相关背景以太网这个术语通常是指由DEC，Intel和Xerox公司在1982年联合公布的一个标准，它是当今TCP/IP采用的主要的局域网技术，它采用一种称作CSMA/CD的媒体接入方法。几年后，IEEE802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络；此三种帧的通用部分由802.2标准来定义，也就是我们熟悉的802网络共有的逻辑链路控制（LLC）。由于目前CSMA/CD的媒体接入方式占主流，因此在此仅对以太网和IEEE 802.3的帧格式作详细的分析。在TCP/IP世界中，以太网IP数据报文的封装在RFC 894中定义，IEEE802.3网络的IP数据报文封装在RFC 1042中定义。标准规定：

以太网是今TCP/IP采用的主要的局域网技术 IEEE802发布标准： 802.3（整个网络） 802.4（令牌总线网络）//基本淘汰 802.5（令牌环网络）//基本淘汰

TCP/IP中以太网IP数据报文的封装在RFC 894中定义，IEEE802.3网络的IP数据报文封装在RFC 1042中定义。

最常用的就是RFC 894，俗称Ethernet II 或者 Ethernet DIX

二 . Ethernet II帧格式

|前序||目的地址|源地址|类型 | 数据 | F C S | |8 byte| 6 byte|6byte|2byte|46-1500byte|4byte|

三 . IEEE802.3 一般帧格式

|前序 |帧起始定界符|目的地址|源地址|长度 |数据

四 . 实例化

导入scapy库

找到以太网

实例化查看Ether的属性 dst = 目的地址 src = 源地址 type = 长度

源主机对应本地MAC

sendp(ytw)

优惠劵

_abcdef

关注

踩

觉得还不错?

一键收藏

打赏

知道了

网络协议分析-Ethernet

以太网（Ethernet）以太网是今TCP/IP采用的主要的局域网技术IEEE802发布标准：802.3（整个网络）802.4（令牌总线网络）802.5（令牌环网络）TCP/IP中以太网IP数据报文的封装在RFC 894中定义，IEEE802.3网络的IP数据报文封装在RFC 1042中定义。最常用的就是RFC 894，俗称Ethernet II 或者 Ethernet DIXEt...

复制链接

扫一扫

专栏目录

二三层转发原理详解

05-08

二三层转发原理，写的比较详细，网络基础必学，讲述二三层转发过程中的每个步骤

wireshark分析（传输层，网络层，链路层）

最新发布

thlzjfefe的博客

09-18

983

wireshark抓包软件总是友善地帮包分层...

参与评论

您还未登录，请先

后发表或查看评论

抓包前的各种基础复习-Ethernet协议,ARP协议，IP协议，ICMP协议，UDP协议，TCP协议...

测试

09-03

1180

如果要使用wireshark或其他工具抓包，那么必须对各个协议有一个深刻的理解，否则即使抓包了也无法分析和定位问题。这里通过看书，网上看视频和百度百科，写了这么一篇笔记，便于后期快速理解以及查询。

1，以太网Ethernet协议

Ethernet II, Src: BiostarM_ff:04:67 (00:30:67:ff:04:67), Dst: XiaomiCo_6e:b6...

网络：抓包分析ping的原理

OceanStar的博客

10-22

1万+

控制报文协议（Internet Control Message Protocol，ICMP）是 TCP/IP 协议族的一个子协议。ICMP 协议用于在 IP 主机和路由器之间传递控制消息，描述网络是否通畅、主机是否可达、路由器是否可用等网络状态。

由于IP协议简单，数据传输天然存在不可靠，无连接等特点，为了解决数据传输出现的问题，人们引入了ICMP协议。虽然ICMP协议的数据包并不传输用户数据，但是对于用户数据的传递有着重要的作用

ping一下

ping是基于ICMP协议工作的，所以要明白ping的..

wireshark_帧信息

weixin_34189116的博客

04-17

382

手头上有个嵌入网页的flash数据交互报表要做性能测试，单纯的F12开发者工具，或者Fiddler抓取的http或https协议的包是无法使用的。只能使用wireshark来解决该问题。实际上很早以前接触过wireshark(读书的时候)，感觉比较复杂，就用Fiddler来替换W工具来解决。看来还是得以解决问题为主。

从抓包的内容信息来分析：

　　每一帧数据...

网络协议学习之Ethernet II协议（二层）

weixin_43580872的博客

07-23

1万+

网络协议学习之Ethernet II协议简介一、协议1、协议结构2、二、抓包分析总结

简介

Ethernet II协议位于五层OSI模型中的第二层，属于链路层的协议。

一、协议

1、协议结构

前导包

目的mac地址（DMac）

源mac地址 (SMac)

类型(Type)

数据(Playload)

校验（CRC）

6 Byte 目的地址

6 Byte 源地址

2 Byte

46 ~ 1500 Byte

2、

二、抓包分析

总结

Ethereal网络协议分析及介绍

weixin_34195546的博客

06-30

298

Ethereal是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。

Ethereal起初由Gerald Combs开发，随后由一个松散的Etheral团队组织进行维护开发。它目前所提供的强大的协议分析功能完全可以媲美商业的网络分析系统，自从1998年发布最早的0.2版本至今，大量的志愿者为Ethereal添加新...

工业以太网EtherNet/IP协议安全分析整理

weixin_34221332的博客

11-03

2495

1、 EtherNet/IP :

设备可以用户数据报协议（UDP）的隐式报文传送基于IO的资料，用户传输控制协议（TCP）显示报文上传和下参数，设定值，程式，用户主站的轮询从站周期性的更新或是改变状态COS，方便主站监控从站的状态，讯息会使用UDP的报文发送出去

特性： EnterNet/IP 工业以太网组成的系统具有兼容性和互操作性，资源共享能力强和传输距离远...

UDP协议学习记录

小白爱学习的博客

12-15

972

1.什么是UDP

Internet 协议集支持一个无连接的传输协议，该协议称为用户数据报协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。

Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。面向连接的是 TCP，该协议几乎做了所有的事情。

UDP协议全称是用户数据报协议，在网络中它与TCP协议一样用

以太网网络协议Ethernet II 帧分析

yetugeng的专栏

09-03

2万+

目前主要有两种格式的以太网帧：Ethernet II（DIX 2.0）和IEEE 802.3。

IP、ARP、EAP和QICQ协议使用Ethernet II帧结构，而STP协议则使用IEEE 802.3帧结构。

Ethernet II是由Xerox与DEC、Intel（DIX）在1982年制定的以太网标准帧格式，后来被定义在RFC894中。

IEEE 802.3是IEEE 802委员会在19...

关于以太网(Ethernet II)这个网络的个人理解以及应用（1）

@角色扮演#

09-25

9131

这些年，关于‘网络通信’的特性描述，听过最多的拟合场景就是：一个人在讲话，哪些人(们)可以听得到？最近有机会进一步的琢磨这些事，这里做个总结。单播、多播、广播：在tcpi/ip四层模型中，

网络层(ip层)的节点通信方式可以分为：单播、多播、广播三类；

网络接口层的节点通信方式只能够划分为：单播、广播两类；(个人理解)

先大概说下因特网中节点通信方式：单播、多播、广播：

让在场的特定某一个人

关于以太网(Ethernet II)这个网络的个人理解以及应用（2）

@角色扮演#

09-26

1万+

在stm32f107环境下实现如下功能：

- 以太网接口用作串口使用(区别于C/S模型)；

- 以太网接口接收全部的网内数据；

- 对网内数据包过滤，仅接收本机相关数据包及广播包；工具：anysend.exe：Anysend是基于Winpcap驱动开发的，实现以太网接口发送任意自组数据包的工具，各位请自行查找下载；

wireshark.exe：网络抓包工具

如果你是一个嵌入式开发人员，

Ethernet II 帧格式介绍及示例

weixin_34375251的博客

10-08

3705

1.以太网

以太网这个术语一般是指数字设备公司（ Digital Equipment Corp.）、英特尔公司（I n t e l C o r p .）和X e r o x公司在1 9 8 2年联合公布的一个标准。它是当今 T C P / I P采用的主要的局域网技术。

采用 C S M A / C D的接入方法:带冲突检测的载波侦听多路接入（Carrier Sense...

五分钟读懂TCP 协议——TCP协议简介

热门文章

Windows10仿mac-os主题

19585

1024

17266

域控-笔记二（域权限，域组，域管理，Kerberso 协议）

14874

2020年中职组网络空间安全福建省赛题解析

12387

2018年全国职业院校技能大赛（中职组）网络空间安全赛题解析

11757

分类专栏

网络安全赛项赛题解析

付费

16篇

Web安全

8篇

Python 开发

5篇

渗透测试工具

22篇

Linux运维与服务搭建配置

13篇

信息安全

20篇

Docker+k8s

13篇

日常

14篇

应用层协议分析

8篇

网络协议分析

9篇

安全运维

16篇

PHP 开发

15篇

最新评论

一篇文章解决你对子网（变长子网）的所有问题

2301_81954816:

为啥总共浪费IP数量最后还要多加3个2和4*2

Docker 容器应急

征途黯然.:

这篇文章对于Docker容器应急的解释非常生动，更深入的了解。

一篇文章解决你对子网（变长子网）的所有问题

zy453891268:

看了你说的一个结论，"乱七八糟"我就知道找对了，之前我也看了很多，每次看了觉得会了，过段时间又忘了，这种状况应该有自身的原因，也有资料的原因

思科模拟器配置-ACL配置实训

A3330609541:

每句后面解释注明一下就更好了，要不然新手看不懂是什么，其他都挺好的

域控-笔记二（域权限，域组，域管理，Kerberso 协议）

madefuck:

我自己弄的域控账户登陆后不能保存网盘账号密码

文件夹\\10.10.10.10登录输入账号后正常

重启后就需要重新输入账号密码记住账号也不行

您愿意向朋友推荐“博客详情页”吗？

强烈不推荐

不推荐

一般般

推荐

强烈推荐

提交

最新文章

Docker 容器应急

第二届陇剑杯2023线上wp

一次fuzz

2023年5篇

2022年16篇

2021年55篇

2020年102篇

2019年22篇

分类专栏

网络安全赛项赛题解析

付费

16篇

Web安全

8篇

Python 开发

5篇

渗透测试工具

22篇

Linux运维与服务搭建配置

13篇

信息安全

20篇

Docker+k8s

13篇

日常

14篇

应用层协议分析

8篇

网络协议分析

9篇

安全运维

16篇

PHP 开发

15篇

被折叠的条评论

为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

祝福语

请填写红包祝福语或标题

红包数量

个

红包个数最小为10个

红包总金额

元

红包金额最低5元

余额支付

当前余额3.43元

前往充值 >

需支付：10.00元

取消

确定

下一步

知道了

成就一亿技术人!

领取后你会自动成为博主和红包主的粉丝

规则

hope_wisdom 发出的红包

打赏作者

_abcdef

你的鼓励将是我创作的最大动力

¥1

¥2

¥4

¥6

¥10

¥20

扫码支付：¥1

获取中

扫码支付

您的余额不足，请更换扫码支付或充值

打赏作者

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。

余额充值

网络安全入门教程：WireShark抓包及常用协议分析 - 知乎

网络安全入门教程：WireShark抓包及常用协议分析 - 知乎切换模式写文章登录/注册网络安全入门教程：WireShark抓包及常用协议分析侠盗安全本节所讲内容：5.1 WireShark简介和抓包原理及过程5.2 实战：WireShark抓包及快速定位数据包技巧5.3 实战：使用WireShark对常用协议抓包并分析原理5.4 实战：WireShark抓包解决服务器被黑上不了网5.1 WireShark简介和抓包原理及过程5.1.1 WireShark简介Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。5.1.2 WireShark的应用网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协议除错，普通使用者使用Wireshark来学习网络协议的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……5.1.3 WireShark 快速分析数据包技巧（1）确定Wireshark的物理位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。（2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。（3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获数据。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。（4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。（5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。（6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。（7）重组数据。当传输较大的图片或文件时，需要将信息分布在多个数据包中。这时候就需要使用重组数据的方法来抓取完整的数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是重组一个完整的图片或文件。5.2 实战：WireShark抓包及快速定位数据包技巧5.2.1 常见协议包本节课主要分析以下几种协议类型。ARP协议ICMP协议TCP协议UDP协议DNS协议HTTP协议linux视频学习资料网盘链接；这份Linux实战内容火了，完整版5.2.2 使用WireShark进行抓包启动WireShark选择我们的网卡双击网卡之后就会自动进行抓包5.2.3 混杂模式介绍1、混杂模式概述：混杂模式就是接收所有经过网卡的数据包，包括不是发给本机的包，即不验证MAC地址。普通模式下网卡只接收发给本机的包（包括广播包）传递给上层程序，其它的包一律丢弃。一般来说，混杂模式不会影响网卡的正常工作，多在网络监听工具上使用。2、关闭和开启混杂模式方法关闭和开启混杂模式前，需要停止当前抓包。如下，停止捕获。在程序的工具栏中点击“ 捕获 ”---》“ 选项 ”在选项设置界面中的“ 输出 ”设置栏的左下方勾选“ 在所有接口上使用混杂模式 ”这样就开启了。默认就是开启混杂模式。5.2.4 WireShark的过滤器使用我们开启混淆模式来做一下感受，我们再次捕获---在所有接口上使用混杂模式就可以直接进行抓包下面我们打开浏览器访问以下百度。访问完成后点击停止抓包即可，我们不需要抓太多的数据包。我们可以看到有很多数据包但是我们怎么才能找到对应的数据包类型呢？这里就是我们的过滤器，我们可以根据自己的条件筛选自己想要的数据包。例1：使用过滤器筛选TCP的数据包注意：筛选条件我们都使用小写就好了，大写的话会不识别。例2：使用过滤器筛选arp的数据包例3：使用过滤器筛选udp的数据包我们使用过滤器输入“udp”以筛选出udp报文。但是为什么输入udp之后出现那么多种协议呢？原因就是oicq以及dns都是基于udp的传输层之上的协议扩展：客户端向DNS服务器查询域名，一般返回的内容都不超过512字节，用UDP传输即可。不用经过三次握手，这样DNS服务器负载更低，响应更快。理论上说，客户端也可以指定向DNS服务器查询时用TCP，但事实上，很多DNS服务器进行配置的时候，仅支持UDP查询包。例4：使用过滤器筛选http的数据包例5：使用过滤器筛选dns的数据包其实我们不仅可以对协议类型进行筛选，我们还有跟多的筛选条件，比如源地址目的地址等等。。。例6：筛选源地址是192.168.1.53或目的地址是192.168.1.1在终端ping 192.168.1.1然后修改筛选器条件为：ip.src_host == 192.168.1.53 or ip.dst_host == 192.168.1.1这个判断条件是什么意思呢？ip.src_host == 192.168.1.53 表示源IP地址ip.dst_host == 192.168.1.1 表示目的地址我们中间用or进行了拼接，表示或当然我们也可以使用and表示与，or表示满足左右其中一个条件就会显示符合条件的数据包，and表示左右2个条件都满足才会显示。orand我们可以很直观的看到结果的不同。5.3 实战：使用WireShark对常用协议抓包并分析原理协议分析的时候我们关闭混淆模式，避免一些干扰的数据包存在。5.3.1 常用协议分析-ARP协议地址解析协议（英语：Address Resolution Protocol，缩写：ARP）是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议，它在IPv4中极其重要。ARP是通过网络地址来定位MAC地址。开始抓包---过滤arp我们使用nmap来基于ARP协议进行扫描┌──(root xuegod53)-[~]└─# nmap -sn 192.168.1.1我们看一下我们抓取到的数据包分析第一个请求包查看Address Resolution Protocol (request) ARP请求包内容：Address Resolution Protocol (request) #ARP地址解析协议 request表示请求包Hardware type: Ethernet (1) #硬件类型Protocol type: IPv4 ( 0x0800 ) #协议类型Hardware size: 6 #硬件地址Protocol size: 4 #协议长度Opcode:_ request ( 1 ) #操作码，该值为1表示ARP请求包Sender MAC address: VMware_f1:35:ee (00:0c:29:f1:35:ee) #源MAC地址Sender IP address: 192.168.1.53 . #源IP地址Target MAC address: 00:00:00_ 00: 00:00 (00: 00: 00 :00: 00:00) #目标MAC地址Target IP address: 192.168.1.1 #目标IP地址我们来分析第二个数据包ARP的应答数据包查看： Address Resolution Protocol (reply) ARP地址解析协议Address Resolution Protocol (reply) #ARP地址解析协议 reply表示回复包Hardware type: Ethernet (1) #硬件类型Protocol type: IPv4 ( 0x0800 ) #协议类型Hardware size: 6 #硬件地址Protocol size: 4 #协议长度Opcode:_ reply ( 2 ) #操作码，该值为2表示ARP回复包Sender MAC address: XXXXXXXXXXXX (9c:61:21:75:55:50) #源MAC地址Sender IP address: 192.168.1.1 #源IP地址Target MAC address: VMware_f1:35:ee (00:0c:29:f1:35:ee) #目标MAC地址Target IP address: 192.168.1.53 #目标IP地址总结：我们可以看到到应答包补全了自己的MAC地址，目的地址和源地址做了替换我们再来看两个数据包的请求和过程192.168.1.53 广播：谁有192.168.1.1 的MAC地址？192.168.1.1 应答：192.168.1.1 的MAC地址是 xxxxxxxxxxx很有趣的一个过程不是吗？5.3.2 常用协议分析-ICMP协议我们把之前的数据包清空掉然后筛选ICMP协议的数据包打开一个终端┌──(root xuegod53)-[~]└─# ping http://xuegod.cn -c 1我们只发送一个ping包，方便我们分析发送完之后停止抓包即可。我们先看请求包的内容我们可以看到这是个4层的协议包下面我们开始分析ICMP协议包：ICMP协议分析请求包ICMP协议分析应答包工作过程：本机发送一个ICMP Echo Request的包接收方返回一个ICMP Echo Reply，包含了接受到数据拷贝和一些其他指令5.3.3 常用协议分析-TCP协议首先是清空数据包然后筛选tcp开始抓包我们模拟一下tcp会话建立，那最简单的方式是什么呢？我们通过Xshell远程连接Kali Linux就会捕获到完整的TCP3次握手的链接。抓完数据包之后我们就停止抓包，接下来我们开始分析TCP的数据包TCP协议最核心的概念无非就是3次握手4次断开，我们先讲TCP的3次握手查看TCP协议：我们先来看第一个数据包SYN数据包下面这样图是打开标志位的详细信息我们从以上信息就可以看出这是一个SYN数据包，SYN=1 表示发送一个链接请求。这时Seq和ACK都是0我们分析第二个数据包Flags位信息我们可以看到服务端收到SYN连接请求返回的数据包SYN=1,ACK=1 表示回应第一个SYN数据包。我们看第三个数据包到这里三次握手过程就结束了。我们生成一个图表来观察数据交互的过程点击显示过滤器前面3个就是TCP建立链接的过程，后面的就是相互通信的过程了这个时候seq就会根据数据包的大小改变。我们清空一下数据包来看一下断开链接是一个什么样的过程.我们在Xshell窗口中输入exit退出我们重新到WireShark生成图标我们分析一下过程，我们在终端输入EXIT 实际上是在我们Kali上执行的命令，表示我们SSHD的Server端向客户端发起关闭链接请求。第一次挥手：服务端发送一个[FIN+ACK]，表示自己没有数据要发送了，想断开连接，并进入FIN_WAIT_1状态第二次挥手：客户端收到FIN后，知道不会再有数据从服务端传来，发送ACK进行确认，确认序号为收到序号+1（与SYN相同，一个FIN占用一个序号），客户端进入CLOSE_WAIT状态。第三次挥手：客户端发送 [FIN+ACK] 给对方，表示自己没有数据要发送了，客户端进入LAST_ACK状态，然后直接断开TCP会话的连接，释放相应的资源。第四次挥手：服务户端收到了客户端的FIN信令后，进入TIMED_WAIT状态，并发送ACK确认消息。服务端在TIMED_WAIT状态下，等待一段时间，没有数据到来，就认为对面已经收到了自己发送的ACK并正确关闭了进入CLOSE状态，自己也断开了TCP连接，释放所有资源。当客户端收到服务端的ACK回应后，会进入CLOSE状态并关闭本端的会话接口，释放相应资源。5.3.4 常用协议分析-HTTP协议我们还是筛选TCP协议因为HTTP是TCP的上层协议，所以我们过滤TCP的数据会包含HTTP协议的数据包我们打开一个终端输入下面命令。┌──(root xuegod53)-[~]└─# curl -I http://baidu.com curl 是一个在命令行下工作的文件传输工具，我们这里用来发送http请求-I 大写的i 表示仅返回头部信息。我们可以看到我们抓到了TCP的3次握手4次断开第4个和第6个是我们的HTTP数据包第一步：我们我们发送了一个HTTP的HEAD请求第二步：服务器收到我们的请求返回了一个Seq/ACK进行确认第三步：服务器将HTTP的头部信息返回给我们客户端状态码为200 表示页面正常第四步：客户端收到服务器返回的头部信息向服务器发送Seq/ACK进行确认发送完成之后客户端就会发送FIN/ACK来进行关闭链接的请求。5.4 实战：WireShark抓包解决服务器被黑上不了网场景：服务器被黑上不了网，可以ping通网关，但是不能上网。模拟场景修改主机TTL值为1，下面的方式是我们临时修改内核参数。┌──(root xuegod53)-[~]└─# echo "1" > /proc/sys/net/ipv4/ip_default_ttl拓展：TTL ：数据报文的生存周期。默认linux操作系统值：64，每经过一个路由节点，TTL值减1。TTL值为0时，说明目标地址不可达并返回：Time to live exceeded作用：防止数据包，无限制在公网中转发。我们测试结果└─# ping 192.168.1.1 -c 1└─# ping http://xuegod.cn -c 1我们可以看到提示我们 Time to live exceeded 这表示超过生存时间，我们判断和目标之间经过多少个网络设备是根据目标返回给我们的TTL值来判断的，因为我们发送的数据包是看不到的。下面我们来实战抓包分析数据包开启抓包，过滤icmp协议└─# ping http://xuegod.cn -c 1然后回到WireShark中查看数据包由于图片较长下面给大家截取重要部分的信息提示截图的是info字段内容我们可以看到第一个包是发送了一个ping请求包ttl=1然后呢我们收到了192.168.1.1返回给我们的数据包告诉我们超过数据包生存时间，数据包被丢弃。那我们把TTL值修改成2会有什么效果呢？└─# echo "2" > /proc/sys/net/ipv4/ip_default_ttl└─# ping http://xuegod.cn -c 1我们对比数据包发现返回我们数据包被丢弃的源地址变成了112.103.140.1，这证明了数据包在网络中已经到达了下一个网络设备才被丢弃，由此我们还判断出我们的运营商网关地址为112.103.140.1但是我们并没有到达目标主机。我们恢复系统内核参数└─# echo "64" > /proc/sys/net/ipv4/ip_default_ttl└─# ping http://xuegod.cn -c 1目标返回给我们的TTL值为52，这表示我们的TTL值需要大于64-52=12才可以访问http://xuegod.cnMTR可以检测我们到达目标网络之间的所有网络设备的网络质量，默认系统是没有安装MTR工具的我们手动安装一下└─# apt install -y mtr例：检测到达http://xuegod.cn所有节点的通信质量└─# mtr http://xuegod.cn 我们可以看到从我当前主机到目标主机之间经过12跳。更多学习资料请移步至公众号【学神来啦】编辑于 2021-12-17 15:36LinuxWiresharkLinux 运维赞同 5添加评论分享喜欢收藏申请

计算机网络——Wireshark软件使用与协议分析(ARP协议、IP与ICMP分析)-阿里云开发者社区

产品解决方案文档与社区权益中心定价云市场合作伙伴支持与服务了解阿里云联系我们4008013260售前咨询售后服务其他服务我要建议我要投诉备案控制台开发者社区首页探索云世界探索云世界云上快速入门，热门云上应用快速查找了解更多问产品动手实践考认证TIANCHI大赛活动广场活动广场丰富的线上&线下活动，深入探索云世界任务中心做任务，得社区积分和周边高校计划让每位学生受益于普惠算力训练营资深技术专家手把手带教话题畅聊无限，分享你的技术见解开发者评测最真实的开发者用云体验乘风者计划让创作激发创新阿里云MVP遇见技术追梦人直播技术交流，直击现场下载下载海量开发者使用工具、手册，免费下载镜像站极速、全面、稳定、安全的开源镜像技术资料开发手册、白皮书、案例集等实战精华插件为开发者定制的Chrome浏览器插件探索云世界新手上云云上应用构建云上数据管理云上探索人工智能云计算弹性计算无影存储网络倚天云原生容器serverless中间件微服务可观测消息队列数据库关系型数据库NoSQL数据库数据仓库数据管理工具PolarDB开源向量数据库热门Modelscope模型即服务弹性计算云原生数据库物联网云效DevOps龙蜥操作系统平头哥钉钉开放平台大数据大数据计算实时数仓Hologres实时计算FlinkE-MapReduceDataWorksElasticsearch机器学习平台PAI智能搜索推荐人工智能机器学习平台PAI视觉智能开放平台智能语音交互自然语言处理多模态模型pythonsdk通用模型开发与运维云效DevOps钉钉宜搭支持服务镜像站码上公益

开发者社区

开发与运维

文章

正文

计算机网络——Wireshark软件使用与协议分析(ARP协议、IP与ICMP分析)

2022-10-18

1667

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《

阿里云开发者社区用户服务协议》和

《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写

侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

Wireshark软件使用与协议分析ARP协议分析使用 Wireshark 抓取局域网的数据包并进行分析：1. 学习 Wireshark 基本操作：重点掌握捕获过滤器和显示过滤器。2. 观察 MAC 地址：了解 MAC 地址的组成，辨识 MAC 地址类型。3. 分析以太网帧结构：观察以太网帧的首部和尾部，了解数据封装成帧的原理。4. 分析 ARP 协议：抓取 ARP 请求和应答报文，分析其工作过程。IP与ICMP分析启动 Wireshark，捕捉网络命令执行过程中本机接受和发送的数据报。

56bnlrbj3zqum

热门文章

最新文章

为什么选择阿里云什么是云计算全球基础设施技术领先稳定可靠安全合规分析师报告产品和定价全部产品免费试用产品动态产品定价价格计算器云上成本管理解决方案技术解决方案文档与社区文档开发者社区天池大赛培训与认证权益中心免费试用高校计划企业扶持计划推荐返现计划支持与服务基础服务企业增值服务迁云服务官网公告健康看板信任中心关注阿里云关注阿里云公众号或下载阿里云APP，关注云资讯，随时随地运维管控云服务联系我们：4008013260法律声明Cookies政策廉正举报安全举报联系我们加入我们阿里巴巴集团淘宝网天猫全球速卖通阿里巴巴国际交易市场1688阿里妈妈飞猪阿里云计算AliOS万网高德UC友盟优酷钉钉支付宝达摩院淘宝海外阿里云盘饿了么© 2009-2024 Aliyun.com 版权所有增值电信业务经营许可证：浙B2-20080101 域名注册服务机构许可：浙D3-20210002 京D3-20220015浙公网安备 33010602009975号浙B2-20080101-4

Ethernet协议分析局域网通信的基础协议解密 - 百度文库

新建

上传

Wireshark网络协议分析 - 知乎

Wireshark网络协议分析 - 知乎首发于分享原创Kali Linux与编程技巧！切换模式写文章登录/注册Wireshark网络协议分析Kali与编程+老师: ihaha12

专注Kali，禁止废话，只讲干货！第一章：Wireshark基础及捕获技巧1.1 Wireshark基础知识回顾1.2 高级捕获技巧：过滤器和捕获选项1.3 Wireshark与其他抓包工具的比较第二章：网络协议分析2.1 网络协议分析：TCP、UDP、ICMP等2.2 高级协议分析：HTTP、DNS、SSH等2.3 高级协议分析：VoIP、视频流嗅探等第三章：Wireshark插件开发3.1使用Lua编写自定义插件3.2使用Python编写自定义插件3.3使用C编写自定义插件第四章：Wireshark统计和可视化4.1使用Wireshark进行网络流量分析4.2使用Wireshark进行网络性能分析4.3使用Wireshark进行网络安全分析第五章：高级网络安全分析5.1检测和分析网络攻击5.2检测和分析网络威胁5.3 使用Wireshark进行入侵检测和响应第六章：Wireshark与其他工具的整合6.1使用Wireshark与Nmap、Metasploit等工具进行综合渗透测试6.2使用Wireshark与ELK、Zeek等工具进行网络分析第七章：Wireshark在网络性能调优中的应用7.1如何使用Wireshark诊断网络性能问题7.2如何使用Wireshark优化网络性能7.3如何使用Wireshark进行带宽管理和流量控制第八章：Wireshark在移动网络中的应用8.1如何使用Wireshark进行移动网络分析8.2如何使用Wireshark进行移动应用性能分析8.3如何使用Wireshark进行移动安全分析第九章：Wireshark在物联网中的应用9.1如何使用Wireshark分析CoAP、MQTT、ZigBee等物联网协议9.2如何使用Wireshark分析智能家居设备的通信和优化网络性能第十章：Wireshark在云计算中的应用10.1如何使用Wireshark分析云计算网络性能问题和优化网络性能10.2如何使用Wireshark监控云环境的网络安全，并进行事件响应和安全审计第二章：网络协议分析2.1 网络协议分析：TCP、UDP、ICMP等2.2 高级协议分析：HTTP、DNS、SSH等2.3 高级协议分析：VoIP、视频流嗅探等网络协议分析：TCP、UDP、ICMP等网络协议分析计算机网络中，不同的协议扮演着不同的角色，TCP、UDP、ICMP等是最常见的网络协议。本文将详细介绍TCP、UDP、ICMP等协议的特点、功能和应用场景。一、TCP协议TCP协议是传输控制协议（Transmission Control Protocol）的简称，是一种面向连接的、可靠的、基于字节流的传输协议。TCP协议提供了流量控制、拥塞控制、错误恢复等功能，是Internet上最常用的传输协议。特点1.1 面向连接TCP协议是面向连接的协议，通信双方在传输数据之前需要建立连接，传输完成后需要释放连接。TCP协议通过三次握手建立连接，四次挥手释放连接，确保通信双方的可靠性和安全性。1.2 可靠传输TCP协议是一种可靠的传输协议，通过流量控制、拥塞控制、错误恢复等机制，保证数据的正确性和完整性。在传输数据过程中，TCP协议会对每个数据包进行序列号和确认号的标记，以确保数据的顺序和完整性，并能够重传丢失的数据包。1.3 基于字节流TCP协议是一种基于字节流的传输协议，传输的数据被分成一个个数据段进行传输。TCP协议会对数据段进行分片，然后将每个片段打上序列号和确认号，确保数据的可靠传输。功能2.1 三次握手建立连接TCP协议通过三次握手建立连接，确保通信双方的可靠性和安全性。握手过程如下：第一步，客户端向服务器发送连接请求（SYN）包，其中会包含一个随机序列号。第二步，服务器收到连接请求后，向客户端回复一个连接确认（SYN+ACK）包，其中会包含自己的随机序列号和确认号。第三步，客户端收到服务器的连接确认包后，向服务器回复一个连接确认（ACK）包，其中确认号是服务器发送的序列号+1。2.2 四次挥手释放连接TCP协议通过四次挥手释放连接，确保通信双方的可靠性和安全性。挥手过程如下：第一步，客户端向服务器发送连接释放（FIN）包，表示要关闭连接。第二步，服务端会发送一个确认（ACK）包，表示已经收到客户端的释放请求。第三步，服务器向客户端发送连接释放（FIN）包，表示已经准备好关闭连接。第四步，客户端发送一个确认（ACK）包，表示已经收到服务器的释放请求。2.3 流量控制TCP协议通过流量控制机制，保证数据的可靠传输。TCP协议会根据接收方的接收窗口大小，控制发送方的发送速率，避免数据包的拥塞和丢失。2.4 拥塞控制TCP协议通过拥塞控制机制，避免网络拥塞。TCP协议会根据网络负载情况，动态调整拥塞窗口大小，控制发送方的发送速率，避免数据包的拥塞和丢失。2.5 错误恢复TCP协议通过错误恢复机制，保证数据的正确性和完整性。TCP协议会对每个数据包进行序列号和确认号的标记，以确保数据的顺序和完整性，并能够重传丢失的数据包。应用场景TCP协议适用于需要可靠传输的场景，如电子邮件、文件传输、网页浏览等。在这些场景下，数据的正确性和完整性非常重要，因此需要使用TCP协议来保证数据的可靠传输。二、UDP协议UDP协议是用户数据报协议（User Datagram Protocol）的简称，是一种无连接的、不可靠的、基于数据包的传输协议。UDP协议没有流量控制、拥塞控制、错误恢复等功能，但具有传输速度快、实时性好的优点。特点1.1 无连接UDP协议是一种无连接的协议，通信双方在传输数据之前不需要建立连接，传输完成后也不需要释放连接。UDP协议通常用于一次性传输少量数据的场景，如DNS查询、SNMP监测等。1.2 不可靠UDP协议是一种不可靠的协议，不保证数据的正确性和完整性。UDP协议没有流量控制、拥塞控制、错误恢复等机制，传输的数据包可能会丢失、重复、乱序。1.3 基于数据包UDP协议是一种基于数据包的传输协议，传输的数据被分成一个个数据包进行传输。UDP协议不会对数据包进行分片，也不会对每个数据包打上序列号和确认号。功能2.1 传输速度快UDP协议没有流量控制、拥塞控制、错误恢复等机制，传输速度比TCP协议更快。UDP协议适用于需要实时传输的场景，如音视频传输、实时游戏等。2.2 实时性好UDP协议适用于需要实时传输的场景，传输的数据包可以立即发出，不需要等待确认。UDP协议适用于需要快速响应的场景，如实时游戏、视频会议等。2.3 简单易用UDP协议相对于TCP协议来说，实现简单、使用方便。UDP协议不需要建立连接、释放连接等复杂的操作，适用于一次性传输少量数据的场景。应用场景UDP协议适用于需要实时传输、速度要求较高的场景，如音视频传输、实时游戏、实时监测等。在这些场景下，实时性和速度比可靠性更加重要，因此需要使用UDP协议来满足需求。三、ICMP协议ICMP协议是Internet控制消息协议（Internet Control Message Protocol）的简称，是一种在TCP/IP协议族中的协议，用于网络设备之间传递控制消息和错误报告。特点1.1 控制消息ICMP协议主要用于发送控制消息，如ping命令就是基于ICMP协议实现的。ICMP协议可以用来检测网络是否正常、网络质量如何等。1.2 错误报告ICMP协议还可以用来传递错误报告，当发生网络故障或数据包丢失等情况时，ICMP协议可以向发送端发送错误报告，以便及时调整网络配置。1.3 不可靠ICMP协议是一种不可靠的协议，不保证数据的正确性和完整性。ICMP协议发送的控制消息和错误报告可能会丢失、重复、乱序，但这并不影响网络的正常运行。功能2.1 网络诊断ICMP协议可以用来进行网络诊断，如ping命令就是基于ICMP协议实现的。通过向目标主机发送ICMP数据包，可以检测网络是否正常、网络质量如何等。2.2 错误报告ICMP协议可以用来传递错误报告，当发生网络故障或数据包丢失等情况时，ICMP协议可以向发送端发送错误报告，以便及时调整网络配置。2.3 路由选择ICMP协议可以用来进行路由选择，当网络中出现多条路径时，ICMP协议可以根据网络质量等因素选择最优路径，以提高网络的传输效率。应用场景ICMP协议适用于网络诊断、错误报告、路由选择等场景，对于网络管理员来说，ICMP协议是一个非常重要的工具，可以帮助他们及时发现和解决网络故障。在实际应用中，常用的ICMP命令包括ping、traceroute等。四、HTTP协议HTTP协议是超文本传输协议（Hypertext Transfer Protocol）的缩写，是一种用于传输超媒体文档的应用层协议。HTTP协议常被用于万维网（World Wide Web）中，是Web浏览器和Web服务器之间进行数据交换的标准协议。特点1.1 基于请求/响应模型HTTP协议是一种基于请求/响应模型的协议，客户端向服务器发送请求，服务器接收请求并返回响应。HTTP协议使用URL（Uniform Resource Locator）来标识资源，客户端通过URL来向服务器请求资源。1.2 无状态HTTP协议是一种无状态的协议，即服务器不会保存客户端的状态信息。每个请求都是独立的，服务器无法知道这个请求是不是来自同一个客户端。因此，HTTP协议需要使用Cookie等技术来维护客户端的状态信息。1.3 明文传输HTTP协议是一种明文传输的协议，即传输的数据不加密。因此，HTTP协议存在安全风险，容易被黑客窃取、篡改等。1.4 简单易用HTTP协议相对来说比较简单易用，容易实现和调试。HTTP协议使用的是ASCII码，可以通过Telnet等工具手动发送HTTP请求和接收HTTP响应，方便调试和测试。功能2.1 资源请求HTTP协议的主要功能是资源请求，客户端通过HTTP协议向服务器请求资源，服务器返回资源的内容。HTTP协议使用URL来标识资源，客户端通过URL来向服务器请求资源。2.2 状态码HTTP协议使用状态码来表示服务器对请求的响应结果，常见的状态码有200（请求成功）、404（资源未找到）、500（服务器内部错误）等。2.3 CookieHTTP协议使用Cookie来维护客户端的状态信息。客户端发送请求时，可以将Cookie信息发送到服务器，服务器在响应中返回新的Cookie信息，通过这种方式来维护客户端的状态信息。应用场景HTTP协议广泛应用于Web浏览器和Web服务器之间的数据交换，常见的应用场景包括Web页面的请求和响应、表单提交、文件上传和下载等。HTTP协议也被用于Web服务的开发，如RESTful API等。HTTP协议是Web技术的基础，对Web开发人员来说是必须掌握的技术之一。五、HTTPS协议HTTPS协议是基于HTTP协议的安全传输协议，是一种通过加密和认证来保护网络通信安全的协议，常用于敏感数据的传输，如用户的登录信息、银行卡号等。特点1.1 加密传输HTTPS协议通过加密来保护网络通信的安全，使用SSL/TLS协议对数据进行加密，使得黑客无法窃取和篡改传输的数据。1.2 服务器认证HTTPS协议使用数字证书来对服务器进行认证，确保客户端与服务器之间的通信是安全的。客户端在连接服务器时，会验证服务器的数字证书，如果验证通过，则可以建立安全的连接。1.3 双向认证HTTPS协议支持双向认证，即客户端和服务器都可以验证对方的身份。客户端和服务器都需要拥有数字证书，通过互相验证对方的数字证书来确保通信的安全性。1.4 速度较慢HTTPS协议的加密和认证会增加通信的开销，使得通信速度比HTTP协议慢一些。功能2.1 加密传输HTTPS协议通过加密来保护网络通信的安全，使用SSL/TLS协议对数据进行加密，使得黑客无法窃取和篡改传输的数据。2.2 服务器认证HTTPS协议使用数字证书来对服务器进行认证，确保客户端与服务器之间的通信是安全的。客户端在连接服务器时，会验证服务器的数字证书，如果验证通过，则可以建立安全的连接。2.3 双向认证HTTPS协议支持双向认证，即客户端和服务器都可以验证对方的身份。客户端和服务器都需要拥有数字证书，通过互相验证对方的数字证书来确保通信的安全性。应用场景HTTPS协议常用于敏感数据的传输，如用户的登录信息、银行卡号等。HTTPS协议也被广泛应用于电子商务、在线支付、社交网络等领域，保障了用户的隐私和安全。对于开发人员来说，掌握HTTPS协议的原理和使用方法是必不可少的技能。高级协议分析：HTTP、DNS、SSH等一、HTTP协议HTTP协议是超文本传输协议（Hypertext Transfer Protocol）的缩写，是一种用于传输超媒体文档的应用层协议。HTTP协议常被用于万维网（World Wide Web）中，是Web浏览器和Web服务器之间进行数据交换的标准协议。特点1.1 基于请求/响应模型HTTP协议是一种基于请求/响应模型的协议，客户端向服务器发送请求，服务器接收请求并返回响应。HTTP协议使用URL（Uniform Resource Locator）来标识资源，客户端通过URL来向服务器请求资源。1.2 无状态HTTP协议是一种无状态的协议，即服务器不会保存客户端的状态信息。每个请求都是独立的，服务器无法知道这个请求是不是来自同一个客户端。因此，HTTP协议需要使用Cookie等技术来维护客户端的状态信息。1.3 明文传输HTTP协议是一种明文传输的协议，数据在传输过程中不会被加密，容易被黑客窃取和篡改。因此，HTTP协议不适合传输敏感的数据，如用户的登录信息、银行卡号等。功能2.1 请求方法HTTP协议定义了多种请求方法，常用的包括GET、POST、PUT、DELETE等。其中，GET方法用于请求资源，POST方法用于提交数据，PUT方法用于上传文件，DELETE方法用于删除资源。2.2 响应状态码HTTP协议定义了多种响应状态码，常见的有200、404、500等。其中，200表示请求成功，404表示请求的资源不存在，500表示服务器内部错误。2.3 头部信息HTTP协议使用头部信息来传递请求和响应的附加信息，如请求的方法、请求的资源、响应的状态码等。2.4 CookieCookie是一种用于在客户端存储状态信息的技术，可以在客户端保存一些信息，并在后续的请求中将这些信息发送给服务器。服务器可以根据这些信息来识别客户端，并维护客户端的状态信息。应用场景HTTP协议被广泛应用于Web浏览器和Web服务器之间的数据交换中，常用于传输HTML页面、图片、视频等静态资源。HTTP协议也被用于Web API接口的设计和实现，使得客户端可以通过HTTP协议来访问服务器上的数据。二、DNS协议DNS协议是域名系统（Domain Name System）的缩写，是一种用于将域名转换为IP地址的协议。DNS协议使得用户可以通过域名来访问网站，而不需要记住IP地址。特点1.1 分布式架构DNS协议采用分布式架构，将全球的域名服务器分为多个层次，每个层次负责管理一部分域名。这种分布式架构使得DNS系统具有高度的可扩展性和鲁棒性。1.2 层次结构DNS协议采用层次结构的命名方式，将域名分为多个层次，每个层次由一个标识符和一个后缀组成。顶级域名由国际域名服务器管理，下一级域名由区域域名服务器管理，最后一级域名由本地域名服务器管理。1.3 缓存机制DNS协议使用缓存机制来提高域名解析的效率。当本地域名服务器解析一个域名时，如果该域名已经被其他服务器解析过，那么本地域名服务器就可以直接从缓存中获取解析结果，而不需要再次向其他服务器发送请求。功能2.1 域名解析DNS协议主要用于域名解析，将域名转换为IP地址。当用户在浏览器中输入一个域名时，浏览器会向本地域名服务器发送一个域名解析请求，本地域名服务器会逐层向上查询，最终找到负责该域名的服务器并返回IP地址给浏览器。2.2 域名注册DNS协议还可以用于域名注册。当用户想要注册一个域名时，需要向域名注册机构提交申请，注册机构会将该域名信息添加到域名数据库中，其他服务器就可以通过DNS协议查询到该域名的IP地址。2.3 域名转发DNS协议还可以用于域名转发。当某个域名的IP地址发生变化时，DNS服务器可以将请求转发到新的IP地址，以保证用户能够正常访问该域名。应用场景DNS协议被广泛应用于互联网中，使得用户可以通过域名来访问网站，而不需要记住IP地址。DNS协议也被用于负载均衡和高可用性的实现，通过将请求转发到不同的服务器来提高系统的性能和可靠性。三、SSH协议SSH协议是安全壳协议（Secure Shell）的缩写，是一种用于加密远程登录和文件传输的协议。SSH协议可以在不安全的网络环境下进行安全的数据传输，保证数据的机密性和完整性。特点1.1 加密传输SSH协议使用加密技术来保证数据的机密性和完整性。传输的数据在传输过程中被加密，黑客无法窃取和篡改数据。1.2 安全认证SSH协议使用公钥加密技术来进行安全认证，客户端和服务器之间的通信需要进行身份验证。客户端在第一次连接服务器时，会将自己的公钥发送给服务器，服务器将该公钥保存在本地，以便后续的认证。1.3 端口转发SSH协议支持端口转发，可以将本地端口映射到远程服务器上，使得本地应用程序可以访问远程服务器上的服务。功能2.1 远程登录SSH协议可以用于远程登录，用户可以通过SSH协议连接到远程服务器，执行命令或操作远程文件。2.2 文件传输SSH协议可以用于安全的文件传输，客户端可以通过SCP或SFTP协议将文件传输到远程服务器上，或者从远程服务器上下载文件到本地。2.3 端口转发SSH协议支持端口转发，可以将本地端口映射到远程服务器上，使得本地应用程序可以访问远程服务器上的服务。应用场景SSH协议被广泛应用于远程管理和文件传输中。在Linux服务器中，SSH协议是远程管理的主要方式，管理员可以通过SSH协议连接到远程服务器，执行命令和管理系统。在文件传输中，SCP和SFTP协议是常用的文件传输协议，可以通过SSH协议进行安全传输。高级协议分析：VoIP、视频流嗅探等一、 VoIP协议VoIP（Voice over Internet Protocol）是一种在互联网上实现音频通信的技术，也被称为网络电话。VoIP协议将语音信号数字化并通过互联网传输，使得用户可以通过网络实现实时语音通信。下面我们来分析VoIP协议的具体实现。VoIP通信过程VoIP通信的过程可以分为信令传输和媒体传输两个部分。信令传输主要是进行呼叫控制和会话管理，媒体传输则是进行音频数据的传输和接收。1.1 信令传输VoIP协议使用SIP（Session Initiation Protocol）作为信令协议，SIP是一种用于呼叫控制和会话管理的协议。SIP协议主要包括以下步骤：1.1.1 注册SIP客户端首先需要向SIP服务器注册，以便在需要时能够被其他用户找到。客户端向服务器发送一个REGISTER请求，服务器返回一个200 OK响应，客户端的注册就完成了。1.1.2 呼叫当用户想要与另一个用户进行通话时，需要使用SIP协议发起呼叫。客户端向SIP服务器发送一个INVITE请求，请求与另一个用户建立通话。服务器将INVITE请求转发给被呼叫方，被呼叫方返回一个180 Ringing响应，表示正在响铃。当被呼叫方接听之后，会返回一个200 OK响应，表示通话已经建立。1.1.3 会话管理一旦通话建立，SIP协议会负责会话管理。如果需要暂停通话，客户端可以发送一个BYE请求，服务器返回一个200 OK响应，通话就结束了。1.2 媒体传输VoIP协议使用RTP（Real-time Transport Protocol）作为媒体传输协议，RTP是一种用于实时传输音视频数据的协议。RTP协议主要包括以下步骤：1.2.1 媒体协商在通话建立之前，客户端需要进行媒体协商，以确定音频编码格式和传输参数。客户端使用SDP（Session Description Protocol）协议向对方发送媒体协商请求，对方返回媒体协商响应，协商完成后，双方就可以开始进行音频传输。1.2.2 数据传输一旦媒体协商完成，客户端就可以开始进行音频传输。客户端会将音频数据打包成RTP包，并通过UDP协议进行传输。接收方收到RTP包后，会将其解包，并使用RTP头部中的时间戳进行同步，以保证音频数据的实时性和连续性。VoIP协议的安全性VoIP协议在传输过程中可能会面临一些安全问题，例如窃听和欺骗攻击。为了保护VoIP通信的安全性，VoIP协议需要采取一些安全措施，例如：2.1 加密VoIP协议可以使用加密技术将音频数据加密，在传输过程中保证数据的机密性。加密技术可以使用对称加密或公钥加密，对称加密速度快，但需要预先共享密钥，公钥加密可以避免密钥泄漏的问题，但速度较慢。2.2 鉴别VoIP协议可以使用鉴别技术，以确保通信的身份验证。鉴别技术可以使用数字证书或口令验证，数字证书可以确保通信双方的身份，口令验证可以防止未经授权的用户接入通信。使用鉴别技术可以有效防止欺骗攻击。2.3 防火墙和NAT穿透由于VoIP通信需要通过互联网进行传输，因此可能会遇到防火墙和NAT等网络设备的限制。为了解决这个问题，VoIP协议可以使用STUN（Session Traversal Utilities for NAT）和TURN（Traversal Using Relay NAT）等技术，以实现NAT穿透和防火墙穿透。二、视频流嗅探视频流嗅探是一种网络安全攻击技术，攻击者可以在网络中截获视频流，窃取视频流中的信息，并在未经授权的情况下观看视频内容。视频流嗅探的实现过程如下：网络嗅探攻击者通过网络嗅探工具，如Wireshark等，在网络中截获视频流。嗅探工具可以通过监听网络流量，捕获视频数据包，从而实现对视频流的截获。解码视频流一旦截获了视频流，攻击者就需要解码视频流，以获取视频内容。攻击者可以使用视频播放器或解码器软件，对视频流进行解码。同时，攻击者还可以使用视频编辑软件，对视频流进行编辑和处理。窃取信息攻击者可以通过视频流嗅探，窃取视频中的敏感信息。例如，在视频流中窃取用户名、密码等信息，或者窃取视频中的商业机密或个人隐私信息。为了防止视频流嗅探攻击，可以采取以下措施：使用加密技术视频流加密可以有效防止视频流嗅探攻击。使用加密技术可以将视频流加密，并在传输过程中保证数据的机密性。加密技术可以使用对称加密或公钥加密，对称加密速度快，但需要预先共享密钥，公钥加密可以避免密钥泄漏的问题，但速度较慢。网络隔离网络隔离可以有效防止视频流嗅探攻击。通过物理隔离或逻辑隔离，将视频流和其他网络数据分开传输，以确保视频流的安全性。使用数字签名数字签名可以确保视频流的完整性和真实性。使用数字签名技术可以对视频流进行签名，并在传输过程中验证签名，以确保视频流未被篡改。安全传输协议安全传输协议可以保证视频流的安全传输。例如，HTTPS协议可以使用SSL/TLS加密技术，保证数据在传输过程中的机密性和完整性。总结：VoIP协议和视频流嗅探是网络通信和安全领域的两个重要话题。VoIP协议使用SIP和RTP协议实现音频通信，同时需要采取安全措施，以确保通信的安全性。视频流嗅探是一种网络安全攻击技术，采取加密、网络隔离、数字签名或安全传输协议等措施可以有效防止视频流嗅探攻击。发布于 2023-10-06 23:02・IP 属地福建Wireshark赞同 1添加评论分享喜欢收藏申请转载文章被以下专栏收录分享原创Kali Linux与编程技巧！分享原创Kali Linux与编程

Follow

比特派最新版下载|使用ethernet进行协议分析

比特派最新版下载|使用ethernet进行协议分析

入门工业通讯之EtherNet/IP协议分析 - 知乎

计算机网络实验三：使用网络协议分析器捕捉和分析协议数据包_数据抓包和网络协议分析实验-CSDN博客

哈工大 计算机网络 实验四 利用 Wireshark 进行协议分析 - zsh1234 - 博客园

实验1 Ethernet协议分析_ethernetip协议分析-CSDN博客

计算机网路实验五 Ethernet和ARP协议分析_头歌以太网与arp协议分析答案-CSDN博客

网络协议分析-Ethernet_ethernet ii src-CSDN博客

网络安全入门教程：WireShark抓包及常用协议分析 - 知乎

计算机网络——Wireshark软件使用与协议分析(ARP协议、IP与ICMP分析)-阿里云开发者社区

Ethernet协议分析局域网通信的基础协议解密 - 百度文库

Wireshark网络协议分析 - 知乎

最近的新闻

您可能喜欢的文章

imtoken钱包app苹果版|ethernet物理地址长度

bitpie|ethernet audio videobridging

如何将TP钱包提现到欧易？

TP钱包显示获取代币列表失败：原因与解决方法

TP钱包代币提交后多久会显示？

比特币钱包取消同步：简单易懂的解决方案

数字货币短线牛人，成为数字货币交易中的佼佼

哈工大计算机网络实验四利用 Wireshark 进行协议分析 - zsh1234 - 博客园