浙江大学：《网络系统设计与工程》第三章 TCP/P协议分析

网络系统设计与工程 (三)TcP/P协议分析 浙江大学计算机学院 邱劲松

网络系统设计与工程 （三）TCP/IP协议分析 浙江大学计算机学院 邱劲松

TCP/P协议分析 ·本节内容 Etherea软件介绍 通过 Ethereal捕获网络包 分析捕获数据,深入探查TCP/P协议

TCP/IP协议分析 • 本节内容 – Ethereal软件介绍 – 通过Ethereal捕获网络包 – 分析捕获数据，深入探查TCP/IP协议

Ethereal软件介绍 免费的开源产品,可捕获和分析局域网的数据包 下载地址:www.ethereal.com ·本课件使用的版本:099 ·运行环境 Windows Linux Solaris 需要的组件 - Winpcap运行库(自动安装)

Ethereal软件介绍 • 免费的开源产品，可捕获和分析局域网的数据包 • 下载地址：www.ethereal.com • 本课件使用的版本：0.99 • 运行环境 – Windows – Linux – Solaris • 需要的组件 – Winpcap运行库（自动安装）

捕获 Ethernet包 No,Time Source Destination ProtocolIInfo Transact ion ID o 20.00143310.211.160.19 11.164.53 Transaction ID 0X89132204 30.0403480.0.0.0 255.255.255.255 DHCP DHCP Discover-Transaction ID 0xaa234300 40.071472207.46.2.92 220.191.115.176 MSNMS NLN BSY luming03721cn,cm351262\201\346\230\216357274\2 5 0.132541 cisco af: 9f: 1e PVst+ 60.185410220.191.115.176207.46.2.92 70.295461207.46.2.92 220.191.115.176 ASW13001863,[ACK]5q=4008161724ck=5005701417=6555n NLNNLNluming37e2lcn.com\351262201\346\230\216\357274\2 80.485837220.191,115.176207,46.2.92 cP1300>1863[ACK]seq=4005816172Ack=500547377win=65172Len= 90.5138290.0.0.0 255.255.255.255 DHCPDHCP Discover - Transaction ID oxacff1201 10 0.782084 cisco af: 9f: 1e PVsT+ STP Conf. Root = 32768/00: 03: e3: db: 16: 94 Cost 12 Port 0x8016 110.830947220.184,121.203220.184,161.174TCP3338> microsoft-ds[ SYN] Seq=1915889027Len=0MsS=1414 120.974195192.168,0.1 255.255.255.255 DHCP DHCP offer Transaction ID 0x4b594 700 D Frame 1(342 bytes on wire, 342 bytes captured Ethernet II, src: Jetcell-ac: 21: 1b(00: do: 2b: ac: 21: 1b), Dst: HuaweiTe_4a: Od: a4 (00: e0: fc: 4a: 0d: a4) y Destination: HuaweiTe_4a: 0d: a4 (00: e0: fc: 4a: od: a4) Address: HuaweiTe_a: ou. a4 too.ee: fc. 4a: ed: a4) 目的网卡地址 Multicast: This is a UNICAST frame Locally Administrated Address: This is a FACTORY DEFAULT address 9 Source: Jetcell_ac: 21: 1b(00: d0: 2b: ac: 21: 1b) Address:jetceTl_ac: 21: 1b(00: do: 2b: ac: 21:IbT 源网卡地址 Multicast: This is a UNICaST fr Local ly Adm ated Address: This is a FACTORY DEFaULt address 网络层协议类型(值>1500) Internet protocol,src:10.211.160.19(10.211.160.19),Dst:10.211.175.153(10.211.175.153) b User Datagram protocol, Src port: bootps (67), Dst port: bootpc (68) 000000e0千c4a 10da400d02bac211b08004500 2090643004942228: C.D.4 41 D: 41 M: 0 Drops: 0

捕获Ethernet包 目的网卡地址 源网卡地址 网络层协议类型（值>1500）

捕获LLc帧 No.Time Source Destination Protocol"Info CIsco at 1e PVST+ STP0Rot=3276800393:06:9ost= Frame 4 (64 bytes on wire, 64 bytes captured) ieEE 802.3 Ethernet Destination PVST+(01: 00: 0c: cc: cc: cd) dress: PVST+(01: 00: 0c: cc: cc: ed). 目的MAC(网卡)地址 1............=Multicast: This is a MULtIcast frame s-Leeanly Administrated Address: This is a FACTORY DEFAULT addres source: cisco_af: 9f: le(00: 0d: ed: af: 9f: le) s: Cisco_af: 9f:le(00: od:ed af: 9f:1e 源MAC(网卡)地址 Multicast: This is a UNICAST frame -O,A.,....,,.Locally Administrated Address: This is a FACTORY DEFAULT address Length: 50 数据长度(<1500,表示是8023帧) ogical-Link Control /DSAP: SNAP (oxaal IG Bit. indiuieluaf 目的SAP地址 AP: SNAP (Xaa 源SAP地址 ER Bit. command 7 Control field: U, func=UI (0x03) 000. 00..= Command Unnumbered Information (ooo) ∴.11= Frame type: Unnumbered frame(0×03) or ganization Code: cisco (oxo0oooc) PID: PVSTP+(ox010b) 高层协议为生成树协议 spanning Tree Protocol 0000 o1 00 oc cc cc cd o0 od ed af of le oo 0010 000c0100000000000800000 0020 6940000000c83c3000 d ed af9f 00301e0300140002000f000000000002 8品 LC帧格式:[ GI DSAP C/RSAP 控制(1或2 bytes) 工数据(变长)

捕获LLC帧 目的MAC（网卡）地址 源MAC（网卡）地址 数据长度（<1500，表示是802.3帧） 目的SAP地址 源SAP地址 LLC帧格式： I/G| DSAP C/R| SSAP 控制（1或2bytes） 数据（变长） 高层协议为生成树协议