计算机网络网络抓包的研究分析

计算机网络网络抓包的研究 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 网络抓包的有关研究及实验分析 一(网络抓包有关工具 现在使用比较普遍的有Sniffer(嗅探器)，iptool等抓包工具。本次实验使用了MiniSniffer和iptool两种工具，具体分析经查阅了相关资料和阅读了有关教程后得到的。 二(Sniffer基础知识 Sniffer(嗅探器)是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义:Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢，而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。在合理的网络中，Sniffer的存在对系统管理员是致关重要的，系统管理员通过Sniffer可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助于Sniffer系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间 等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。 嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。 三(有关专业术语解释 Sscopmce:多连接和无连接环境中的业务特定面向连接协议。 IGMP:Internet Group Management Protocol (Internet组管理协议)。Internet 组管理协议(IGMP)是因特网协议家族中的一个组播协议，用于 IP 主机向任一个直接相邻的路由器 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 他们的组成员情况。IGMP 信息封装在 IP 报文中，其 IP 的协议号为 2。 Checksum:总和检查码。 Fragment offset(分段偏移):说明分段在当前数据报的什么位置。除了数据报的最后一个分段外，所有分段都要乘以8字节。 SSDP:Simple Sever Discovery Protocol,简单服务发现协议，此协议为网络客户提供一种无需任何配置、管理和维护网络设备服务的机制。 四(SSDP协议介绍 此协议采用基于通知和发现路由的多播发现方式实现。协议客户端在保留的多播地址:239.255.255.250:1900(IPV4)发现服务，(IPv6 是:FF0x::C)同时每个设备服务也在此地址上上监听服务发现请求。如果服务监听到的发现请求与此服务相匹配，此服务会使用单播方式响应。 常见的协议请求消息有两种类型，第一种是服务通知，设备和服务使用此类通知消息声明自己存在;第二种是查询请求，协议客户端用此请求查询某种类型的 设备和服务。请求消息中包含设备的特定信息或者某项服务的信息，例如设备类型、标识符和指向设备描述文档的URL地址。下图显示这两类通知消息和HTTP 协议的关系: 设备发现过程允许控制点使用一个设备类型或标识，或者是服务类型进行查询。这要求 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 设备或服务类型，或者设备特定实例的发现和广告消息基于一个独一无二的标识，UPnP设备和服务类型的定义是UPnP论坛工作委员会的责任。从设备获得响应的内容基本上与多址传送的设备广播相同，只是采用单址传送方 式。 SSDP 协议消息 1、设备查询消息 当一个控制点加入到网络中时，设备发现过程允许控制点寻找网络上感兴趣的设备。发现消息包括设备的一些特定信息或者某项服务的信息，例如它的类型、标识 符、和指向XML设备描述文档的指针。从设备获得响应从本质上说，内容与多址传送的设备广播相同，只是采用单址传送方式。设备查询通过HTTP协议扩展 M-SEARCH方法实现的。典型的设备查询请求消息格式: M-SEARCH * HTTP/1.1 HOST: 239.255.255.250:1900 MAN: "ssdp:discover" MX: seconds to delay response ST: search target 各HTTP协议头的含义简介: HOST:设置为协议保留多播地址和端口，必须是:239.255.255.250:1900(IPv4)或FF0x::C(IPv6) MAN:设置协议查询的类型，必须是:ssdp:discover MX:设置设备响应最长等待时间，设备响应在0和这个值之间随机选择响应延 迟的值。这样可以为控制点响应平衡网络负载。 ST:设置服务查询的目标，它必须是下面的类型: ssdp:all 搜索所有设备和服务 upnp:rootdevice 仅搜索网络中的根设备 uuid:device-UUID 查询UUID标识的设备 urn:schemas-upnp-org:device:device-Type:version 查询device-Type字段指定的设备类型，设备类型和版本由UPNP组织定义。 urn:schemas-upnp-org:service:service-Type:version 查询service-Type字段指定的服务类型，服务类型和版本由UPNP组织定义。 在设备接收到查询请求并且查询类型(ST字段值)与此设备匹配时，设备必须向多播地址239.255.255.250:1900回应响应消息。典型: HTTP/1.1 200 OK CACHE-CONTROL: max-age = seconds until advertisement expires DATE: when reponse was generated EXT: LOCATION: URL for UPnP description for root device SERVER: OS/Version UPNP/1.0 product/version ST: search target USN: advertisement UUID 各HTTP协议头的含义简介: max-age指定通知消息存活时间，如 CACHE-CONTROL 果超过此时间间隔，控制点可以认为 设备不存在 DATE 指定响应生成的时间 向控制点确认MAN头域已经被设备EXT 理解 LOCATION 包含根设备描述得URL地址 饱含操作系统名，版本，产品名和产SERVER 品版本信息 内容和意义与查询请求的相应字段ST 相同 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 示不同服务的统一服务名，它提供USN 了一种标识出相同类型服务的能力。 2、设备通知消息 在设备加入网络，UPnP发现协议允许设备向控制点广告它的服务。它使用向一个标准地址和端口多址传送发现消息来实现。控制点在此端口上侦听是否有 新服务加入系统。为了通知所有设备，一个设备为每个其上的嵌入设备和服务发送一系列相应的发现消息。每个消息也包含它表征设备或服务的特定信息。 3、ssdp:alive消息 在设备加入系统时，它采用多播传送方式发送发现消息，包括告知设备包含的根设备信息，所有嵌入设备以及它包含的服务。每个发现消息包含四个主要对象: 在NT头中包含的潜在搜索目标。 在USN头中包含的复合发现标识 在LOCATION头中关于设备信息的URL地址 在CACHE-CONTROL头中表示的广告消息的合法存在时间。 对于根设备，存在三种发现消息: NT USN 根设备的UUID 根设备的UUID 设备类型:设备根设备的UUID，设备 版本 类型:设备版本 根设备的UUID，设备upnp:rootdevice 类型和upnp:rootdevice 对于根设备，存在两种发现消息: NT USN 嵌入设备的嵌入设备的UUID UUID 设备类型:设嵌入设备的UUID，设备 备版本 类型和设备版本 对于每个服务: NT USN 服务类型:服相关设备的UUID，服务类 务版本 型和服务版本 如果一个根设备有n个嵌入设备，m个嵌入服务，而且包含k个不同的服务类型，这将会发出3 + 2n + k次请求。这些广告消息像控制点描述了设备的所有信息。这些消息必须作为一系列一起发出，发送的顺序无关紧要，但是不能对单个消息进行刷新或取消的操作。选择一个适当的持续期是在最小化网络通讯和最大化设备状态及时更新之间求得一个平衡，相对较短的持续时间可以保证控制点在牺牲网络流量的前提下获得设备的 当前状态;持续期越长可以大大减少设备刷新造成的网络流量。一般而言，设备制造商应该选择一个适当的持续时间值。 由于UDP协议是不可信的，设备应该发送多次设备发现消息。而且为了降低控制点无法收到设备或服务广告消息的可能性，设备应该定期发送它的广告消息。在设备加入网络时，它必须用NOTIFY方法发送一个多播传送请求。NOTIFY方法发送的请求没有回应消息，典型的设备通知消息格式如下: NOTIFY * HTTP/1.1 HOST: 239.255.255.250:1900CACHE-CONTROL: max-age = seconds until advertisement expires LOCATION: URL for UPnP description for root device NT: search target NTS: ssdp:alive USN: advertisement UUID 各HTTP协议头的含义简介: 设置为协议保留多播地址和端口，必HOST 须是239.255.255.250:1900。 max-age指定通知消息存活时间，如 CACHE-CONTROL果超过此时间间隔，控制点 可以认为 设备不存在 LOCATION 包含根设备描述得URL地址 在此消息中，NT头必须为服务的服NT 务类型。 表示通知消息的子类型，必须为NTS ssdp:alive 表示不同服务的统一服务名，它提供USN 了一种标识出相同类型服务的能力。 一个发现响应可以包含0个、1个或者多个服务类型实例。为了做出分辨，每个服务发现响应包括一个USN:根设备的标识。在同样的设备里，一个服务类 型的多个实例必须用包含USN:ID的服务标识符标识出来。例如，一个灯和电源共用一个开关设备，对于开关服务的查询可能无法分辨出这是用于灯的。UPNP论坛工作组通过定义适当的设备层次以及设备和服务的类型标识分辨出服务的应用程序场景。这么做的缺点是需要依赖设备的描述URL。 4、ssdp:byebye消息 在设备和它的服务将要从网络中卸载时，设备应该对于每个未超期的ssdp:alive消息多播方式传送ssdp:byebye消息。但如果设备突然从网络卸载，它可能来不及发出这个通知消息。因此，发现消息必须在CACHE-CONTROL包含超时值，如果不重新发出广告消息，发现消息最后超时并从 控制点的缓存中除去。典型的设备卸载消息格式如下: NOTIFY * HTTP/1.1 HOST: 239.255.255.250:1900NT: search target NTS: ssdp:byebye USN: advertisement UUID各HTTP协议头的含义简介: HOST 设置为协议保留多播地址和端口，必须是239.255.255.250:1900 NT 在此消息中，NT头必须为服务的服务类型。 NTS 表示通知消息的子类型，必须为ssdp:alive USN 表示不同服务的统一服务名，它提供了一种标识出相同类型服务的能力 专有设备或服务可以不遵循标准的UPNP模版。但如果设备或服务提供UPNP发现、描述、控制和事件过程的所有对象，它的行为就像一个标准的 UPNP设备或服务。为了避免命名冲突，使用专有设备命名时除了UPNP域之外必须包含一个前缀"urn:schemas-upnp-org"。在与标准模版相同时，应该使用整数版本号。但如果与标准模版不同，不可以使用设备复用和徽标。 简单设备发现协议不提供高级的查询功能，也就是说，不能完成某个具有某种服务的设备这样的复合查询。在完成设备或者服务发现之后，控制点可以通过设备或服务描述的URL地址完成更为精确的信息查询。 五(实验截图及相关分析 5.1 MiniSniffer截图 图1 图2 图3 5.2 MiniSniffer分析 MiniSniffer相比Sniffer Pro版本功能弱得多，只有如上图中的一些简单分析，比如源地址，目的地址等，就不详细论述了。 它只能分析TCP/UDP两种协议，但也可以反应出SSDP中基本的设备查询与响应消息，如图2与图3(格式均符合第四部分的SSDP协议消息)，图2向多播地址和端口(239.255.255.250:1900)发送了设备查询消息，图3中我个人的无线路由器(Wireless N Router FW150R)成功回应了此查询消息。 5.3 iptool截图 图4 图5 图6 图7 图8 图9 5.4 iptool分析 Iptool与Sniffer Pro比较相像，生成的数据报告以树表的形式展现。主要有这几个部分:MAC header，Address Resolution Protocol，IPv4 header，Tcp/Udp Header，Data等。如下所示: 图10 图11 图12 显然，不同数据类型的数据包展示出的树表不同，SSCOPMCE只有MAC header(图4)，IGMP含MAC header和IPv4 header(图5)，UDP/TCP包含了MAC header，IPv4 header，Tcp/Udp Header和Data等(图6和图7)，ARP包含MAC header和Address Resolution Protocol(Request/Reply)(图8和图9)。 对网络中的数据包进行抓取和分析有利于更好地掌握计算机网络的数据通信部分和TCP/IP协议等，所以这次实验还是比较有意义的。