【正文】 DP實(shí)驗(yàn)?zāi)康? 1．掌握使用 Ethereal 工具對(duì) UDP 協(xié)議進(jìn)行抓包分析的方法。 2．掌握 UDP 協(xié)議的報(bào)文格式。 3．掌握 UDP 協(xié)議校驗(yàn)和的計(jì)算方法。 4．理解 UDP 協(xié)議的優(yōu)缺點(diǎn)。 5．通過實(shí)驗(yàn)，進(jìn)一步了解 UDP 協(xié)議。實(shí)驗(yàn)環(huán)境1．安裝 Windows2022/2022Server/XP 操作系統(tǒng)的 PC 計(jì)算機(jī)一臺(tái)。2．每臺(tái) PC 具有一塊以太網(wǎng)卡，通過雙絞線與局域網(wǎng)相連。3．每臺(tái) PC 運(yùn)行網(wǎng)絡(luò)協(xié)議分析軟件 Ethereal。實(shí)驗(yàn)原理用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol，UDP)主要用來支持那些需要在計(jì)算機(jī)之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。包括網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)在內(nèi)的眾多的客戶/服務(wù)器模式的網(wǎng)絡(luò)應(yīng)用都需要使用 UDP。UDP 從問世至今已經(jīng)被使用了很多年，雖然其最初的光彩已經(jīng)被一些類似協(xié)議所掩蓋，但仍然不失為一項(xiàng)非常實(shí)用和可行的網(wǎng)絡(luò)傳輸層協(xié)議。與我們所熟悉的 TCP 一樣，UDP 協(xié)議直接位于 IP 的頂層。根據(jù) OSI(開放系統(tǒng)互聯(lián))參考模型，UDP 和 TCP 都屬于傳輸層協(xié)議。UDP 的主要作用是將網(wǎng)絡(luò)數(shù)據(jù)流量壓縮成數(shù)據(jù)報(bào)的形式。一個(gè)典型的數(shù)據(jù)報(bào)就是一個(gè)二進(jìn)制數(shù)據(jù)的傳輸單位。每一個(gè)數(shù)據(jù)報(bào)的前 8 個(gè)字節(jié)用來包含包頭信息，剩余的字節(jié)則用來包含具體的傳輸數(shù)據(jù)。UDP 報(bào)頭由 4 個(gè)部分組成：源端口號(hào)、目標(biāo)端口號(hào)、數(shù)據(jù)報(bào)長度和校驗(yàn)值，其中每個(gè)域各占用兩個(gè)字節(jié)。UDP 使用端口號(hào)為不同的應(yīng)用保留其各自的數(shù)據(jù)傳輸通道。UDP 和 TCP 正是采用這一機(jī)制實(shí)現(xiàn)對(duì)同一時(shí)刻內(nèi)多項(xiàng)應(yīng)用同時(shí)發(fā)送和接收數(shù)據(jù)的支持。數(shù)據(jù)發(fā)送一方(可以是客戶端或服務(wù)器端)將 UDP數(shù)據(jù)報(bào)通過源端口發(fā)送出去，而數(shù)據(jù)接收一方則通過目標(biāo)端口接收數(shù)據(jù)。有的網(wǎng)絡(luò)應(yīng)用只能使用預(yù)先為其預(yù)留或注冊的靜態(tài)端口；而另外一些網(wǎng)絡(luò)應(yīng)用則可以使用未被注冊的動(dòng)態(tài)端口。因?yàn)?UDP 報(bào)頭使用兩個(gè)字節(jié)存放端口號(hào)，所以網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn)指導(dǎo)書26端口號(hào)的有效范圍是從 0~65535。一般來說，大于 49151 的端口號(hào)都代表動(dòng)態(tài)端口。數(shù)據(jù)報(bào)的長度是指包括報(bào)頭和數(shù)據(jù)部分在內(nèi)的總的字節(jié)數(shù)。因?yàn)閳?bào)頭的長度是固定的，所以該域主要被用來計(jì)算可變長度的數(shù)據(jù)部分(又稱為數(shù)據(jù)負(fù)載)。數(shù)據(jù)報(bào)的最大長度根據(jù)操作環(huán)境的不同而各異。從理論上說，包含報(bào)頭在內(nèi)的數(shù)據(jù)報(bào)的最大長度為 65535 字節(jié)。不過，一些實(shí)際應(yīng)用往往會(huì)限制數(shù)據(jù)報(bào)的大小，有時(shí)會(huì)降低到 8192 字節(jié)。UDP 使用報(bào)頭中的校驗(yàn)值來保證數(shù)據(jù)的安全。校驗(yàn)值首先在數(shù)據(jù)發(fā)送方通過特殊的算法計(jì)算得出，在傳遞到接收方之后，還需要再重新計(jì)算。如果某個(gè)數(shù)據(jù)報(bào)在傳輸過程中被第三方篡改或者由于線路噪音等原因受到損壞，發(fā)送和接收方的校驗(yàn)計(jì)算值將不會(huì)相等，由此 UDP 可以檢測是否出錯(cuò)。這與 TCP是不同的，后者要求必須具有校驗(yàn)值。每個(gè) UDP 報(bào)文稱為一個(gè)用戶數(shù)據(jù)報(bào)（User Datagram） 。用戶數(shù)據(jù)報(bào)分為兩個(gè)部分：UDP 首部和 UDP 數(shù)據(jù)區(qū)。 源端口 目的端口 報(bào)文長度 校驗(yàn)和 數(shù)據(jù) … 圖 51 UDP 報(bào)文格式實(shí)驗(yàn)步驟抓取本機(jī)和遠(yuǎn)程計(jì)算機(jī)通訊使用的 UDP 數(shù)據(jù)報(bào)在本機(jī)上安裝并運(yùn)行騰訊 即時(shí)聊天工具(騰訊 即時(shí)聊天軟件采用UDP 的方式進(jìn)行數(shù)據(jù)傳輸)， 登陸以后，啟動(dòng) Ethereal 協(xié)議分析工具，并選擇“Capture”?“Start ”，開始數(shù)據(jù)包的抓取。然后使用 軟件和好友進(jìn)行聊天對(duì)話，等待一段時(shí)間后停止 Ethereal 的抓包工作。停止抓包后在Ethereal 窗口中除了希望的 UDP 數(shù)據(jù)包外，還會(huì)有其他一些數(shù)據(jù)包，所以需要在 Ethereal 中的“Filter ”域中輸入關(guān)鍵字“UDP” ，然后點(diǎn)擊“Apply”按鈕，將非 UDP 數(shù)據(jù)包過濾掉。如圖 51 所示。網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn)指導(dǎo)書27圖 51 Ethereal 捕獲的 UDP 協(xié)議數(shù)據(jù)包UDP 協(xié)議分析分析查看這些 UDP 協(xié)議數(shù)據(jù)包，回答以下問題：(1)這些 UDP 數(shù)據(jù)包的包頭分為多少個(gè)部分？每個(gè)部分代表什么含義？(2)這些 UDP 數(shù)據(jù)包的源地址、目的地址分別是多少？通訊使用的源端口和目的端口號(hào)又分別是多少？(3)觀察這些發(fā)送的 UDP 數(shù)據(jù)包，有沒有得到來自對(duì)方的回復(fù)？為什么？UDP 校驗(yàn)和的計(jì)算網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn)指導(dǎo)書28圖 52 UDP 校驗(yàn)和的計(jì)算根據(jù)圖 52 給出 UDP 計(jì)算校驗(yàn)和的步驟。思考題1．為什么說 UDP 是無連接的協(xié)議？2．UDP 和 IP 的不可靠程度是否相同？為什么是或?yàn)槭裁床皇?3．UDP 協(xié)議本身是否能確保數(shù)據(jù)報(bào)的發(fā)送和接收順序? 網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn)指導(dǎo)書29實(shí)驗(yàn)六 傳輸控制協(xié)議 TCP實(shí)驗(yàn)?zāi)康?．掌握使用 Ethereal 工具對(duì) TCP 協(xié)議進(jìn)行抓包分析的方法。 2．通過實(shí)驗(yàn)，進(jìn)一步了解 TCP 協(xié)議。實(shí)驗(yàn)環(huán)境1．安裝 Windows2022/2022Server/XP 操作系統(tǒng)的 PC 計(jì)算機(jī)一臺(tái)。2．每臺(tái) PC 具有一塊以太網(wǎng)卡，通過雙絞線與局域網(wǎng)相連。3．每臺(tái) PC 運(yùn)行網(wǎng)絡(luò)協(xié)議分析軟件 Ethereal。實(shí)驗(yàn)原理因特網(wǎng)在傳輸層有兩種主要的協(xié)議：一種是面向連接的協(xié)議(TCP)，另一種是無連接的協(xié)議(UDP)。傳輸控制協(xié)議(Transmission Control Protocol，TCP)是一種可靠的面向連接的傳送協(xié)議。它在傳送數(shù)據(jù)時(shí)是分段進(jìn)行的，主機(jī)之間交換數(shù)據(jù)必須建立一個(gè)會(huì)話。它用比特流通信，即數(shù)據(jù)被作為無結(jié)構(gòu)的字節(jié)流。通過每個(gè) TCP 傳輸?shù)淖侄沃付樞蛱?hào)，以獲得可靠性。它是在 OSI 參考模型的第 4 層，TCP 是使用 IP 的網(wǎng)際間互聯(lián)功能而提供可靠的數(shù)據(jù)傳輸， IP 不停地把報(bào)文放到網(wǎng)絡(luò)上，而 TCP 負(fù)責(zé)確信報(bào)文到達(dá)。在協(xié)同 IP 的操作中 TCP負(fù)責(zé)握手過程、報(bào)文管理、流量控制、錯(cuò)誤檢測和處理(控制)，并根據(jù)一定的編號(hào)順序?qū)Ψ钦ｍ樞虻膱?bào)文給予重新排列順序。TCP 是面向連接的協(xié)議。在面向連接的環(huán)境中，開始傳輸數(shù)據(jù)之前，在兩個(gè)終端之間必須先建立一個(gè)連接。對(duì)于一個(gè)要建立的連接，通信雙方必須用彼此的初始化序列號(hào) seq 和來自對(duì)方成功傳輸確認(rèn)的應(yīng)答號(hào) ack(指明希望收到的下一個(gè)八位組的編號(hào))來同步，習(xí)慣上將同步信號(hào)寫為 SYN，應(yīng)答信號(hào)寫為ACK。 整個(gè)同步的過程稱為三次握手，如圖 61 所示。網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn)指導(dǎo)書30圖 61 TCP 連接的建立 對(duì)于一個(gè)已經(jīng)建立的連接，TCP 使用四次握手來結(jié)束通話（使用一個(gè)帶有 FIN 附加標(biāo)記的報(bào)文段） 。 如圖圖 62 TCP 連接的釋放 TCP 每發(fā)送一個(gè)報(bào)文段，就對(duì)這個(gè)報(bào)文段設(shè)置一次計(jì)時(shí)器。只要計(jì)時(shí)器設(shè)置的重傳時(shí)間到期，但還沒有收到確認(rèn)，就要重傳這一報(bào)文段。圖 63 TCP 報(bào)文格式網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn)指導(dǎo)書31TCP 首部各字段分析TCP 的頭信息是： 04 28 00 15 3A DF 05 53 00 00 00 00 70 02 40 00 9A 8D 00 00 02 04 05 B4 01 01 04 02端口號(hào)：常說 FTP 占 21 端口、HTTP 占 80 端口、 TELNET 占 23 端口等，這里指的端口就是 TCP 或 UDP 的端口，端口就像通道兩端的門一樣，當(dāng)兩機(jī)進(jìn)行通訊時(shí)門必須是打開的。源端口和目的端口各占 16 位，2 的 16 次方等于65536，這就是每臺(tái)電腦與其它電腦聯(lián)系所能開的“門” 。一般作為服務(wù)一方每項(xiàng)服務(wù)的端口號(hào)是固定的。本例目的端口號(hào)為 00 15，換算成十進(jìn)制為 21，這正是 FTP 的默認(rèn)端口，需要指出的是這是 FTP 的控制端口，數(shù)據(jù)傳送時(shí)用另一端口，第三組的分析能看到這一點(diǎn)。客戶端與服務(wù)器聯(lián)系時(shí)隨機(jī)開一個(gè)大于1024 的端口，本例為 04 28，換算成十進(jìn)制為 1064。你的電腦中了木馬也會(huì)開一個(gè)服務(wù)端口。觀察端口非常重要，不但能看出本機(jī)提供的正常服務(wù)，還能看出不正常的連接。Windows 察看端口的命令時(shí) stat。 32 位序號(hào)：也稱為順序號(hào)（Sequence Number） ，簡寫為 SEQ，從上面三次握手的分析可以看出，當(dāng)一方要與另一方聯(lián)系時(shí)就發(fā)送一個(gè)初始序號(hào)給對(duì)方，意思是：“讓我們建立聯(lián)系吧？” ，服務(wù)方收到后要發(fā)個(gè)獨(dú)立的序號(hào)給發(fā)送方，意思是“消息收到，數(shù)據(jù)流將以這個(gè)數(shù)開始。 ”由此可看出，TCP 連接完全是雙向的，即雙方的數(shù)據(jù)流可同時(shí)傳輸。在傳輸過程中雙方數(shù)據(jù)是獨(dú)立的，因此每個(gè) TCP 連接必須有兩個(gè)順序號(hào)分別對(duì)應(yīng)不同方向的數(shù)據(jù)流。 32 位確認(rèn)序號(hào)：也稱為應(yīng)答號(hào)（Acknowledgment Number） ，簡寫為 ACK。在握手階段，確認(rèn)序號(hào)將發(fā)送方的序號(hào)加 1 作為回答，在數(shù)據(jù)傳輸階段，確認(rèn)序號(hào)將發(fā)送方的序號(hào)加發(fā)送的數(shù)據(jù)大小作為回答，表示確實(shí)收到這些數(shù)據(jù)。4 位首部長度。這個(gè)字段占 4 位，它的單位時(shí) 32 位（4 個(gè)字節(jié)） 。本例值為7，TCP 的頭長度為 28 字節(jié)，等于正常的長度 20 字節(jié)加上可選項(xiàng) 8 個(gè)字節(jié)。，TCP 的頭長度最長可為 60 字節(jié)（二進(jìn)制 1111 換算為十進(jìn)制為 15，15*4 字節(jié)=60 字節(jié)） 。 6 個(gè)標(biāo)志位。 URG 緊急指針，告訴接收 TCP 模塊緊要指針域指著緊要數(shù)據(jù) ACK 置 1 時(shí)表示確認(rèn)號(hào)（為合法，為 0 的時(shí)候表示數(shù)據(jù)段不包含確認(rèn)信息，確認(rèn)號(hào)被忽略。 PSH 置 1 時(shí)請(qǐng)求的數(shù)據(jù)段在接收方得到后就可直接送到應(yīng)用程序，而不必等到緩沖區(qū)滿時(shí)才傳送。 RST 置 1 時(shí)重建連接。如果接收到 RST 位時(shí)候，通常發(fā)生了某些錯(cuò)誤。 SYN 置 1 時(shí)用來發(fā)起一個(gè)連接。 FIN 置 1 時(shí)表示發(fā)端完成發(fā)送任務(wù)。用來釋放連接，表明發(fā)送方已經(jīng)沒有數(shù)據(jù)發(fā)送了。 16 位窗口大小：TCP 的流量控制由連接的每一端通過聲明的窗口大小來提供。窗口大小為字節(jié)數(shù)，起始于確認(rèn)序號(hào)字段指明的值，這個(gè)值是接收端正期望接網(wǎng)絡(luò)協(xié)議分析實(shí)驗(yàn)指導(dǎo)書32收的字節(jié)。窗口大小是一個(gè) 16 字節(jié)字段，因而窗口大小最大為 65535 字節(jié)。 16 位檢驗(yàn)和：檢驗(yàn)和覆蓋了整個(gè)的 TCP 報(bào)文段： TCP 首部和 TCP 數(shù)據(jù)。這是一個(gè)強(qiáng)制性的字段，一定是由發(fā)端計(jì)算和存儲(chǔ)，并由收端進(jìn)行驗(yàn)證。 16 位緊急指針：只有當(dāng) U R G 標(biāo)志置 1 時(shí)緊急指針才有效。緊急指針是一個(gè)正的偏移量，和序號(hào)字段中的值相加表示緊急數(shù)據(jù)最后一個(gè)字節(jié)的序號(hào)。 選項(xiàng)。最常見的可選字段是最長報(bào)文大小，又稱為 MSS (Maximum Segment Size)。每個(gè)連接方通常都在握手的第一步中指明這個(gè)選項(xiàng)。它指明本端所能接收的最大長度的報(bào)文段。實(shí)驗(yàn)步驟抓取本機(jī)和遠(yuǎn)程計(jì)算機(jī)進(jìn)行文件傳輸時(shí) TCP 數(shù)據(jù)包在分析 TCP 之前，先通過 HTTP POST 的方式(通過 HTTP 方式傳輸數(shù)據(jù)有 POST 和 GET 兩種方式，前者相對(duì)后者而言，更適合用于傳輸具有大量數(shù)據(jù)的文件) ，將本地的一個(gè)文件上傳到一個(gè)遠(yuǎn)程的 Web 服務(wù)器上，然后使用Ethereal 去捕獲該文件傳輸