网络安全-利用sniffer抓包软件,分析IP头的结构(详解)
利用sniffer抓包软件,分析IP头的结构
注:以下使用的Windows XP系统是安装在VMware虚拟机上的
(1)分别查看两台主机的IP地址
步骤:在cmd窗口中输入ipconfig ,回车。
- 主机1:
- 主机2:
(2)打开sniffer软件,并设置过滤器。
步骤:点击菜单栏Capture→Define Filter,再选择Advance,勾选IP选项。点击确定。
再在Address中选则IP,输入Station1和Station2,点击确定。
(3)在主机2上打开Quick Easy FTP Server 软件,开启服务器。
(4)在Sniffer中下图开始按钮,准备抓包。
(5)在主机1的cmd中输入ftp 172.20.62.17 ,(注意:ftp 后面跟的ip地址以自己机器上在cmd命令行中用ipconfig命令查询出来的为准)回车,输入连接服务器的用户名,回车,输入密码,回车。显示连接成功。
(6)在Sniffer中点击下图的停止并显示按钮。然后在显示结果的页面选择Decode。查看抓包的情况。
(7)分析IP头结构
首先看一下IPv4的头部结构:
再看一下抓包的情况:
这里以第一次向服务请求时的IP头部为例分析: - 版本号(Version):4,即使用的IP协议为Ipv4。
- 头部长度(header length):20 bytes,即占20个字节。
- 区分服务(Type of service):只有在使用区分服务时,这个字段才起作用,这里没有使用到这个字段。
- 总长度(Total length):指首部和数据之和的长度,这里为48 bytes,即48个字节。
- 标识(Identification):IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。
- 标志(Flags):为分片存在。标志字段中最低位=1,表示后面“还有分片”的数据报,最低位=0,表示这是最后一个;标志字段中间的一位=0,表示允许分片,否则表示不能分片。
- 片偏移(Fragment offset):较长的分组在分片后,某片在原分组中的相对位置。这里为0 bytes,表示还没有偏移。
- 生存时间(Time to live):表示数据报在网络中的寿命。现在通常表示“跳数限制”,数据报到达目的地之前允许经过的路由跳跳数。跳一下减1,得0丢弃。
- 协议(Protocol):为6,表示使用的是TCP协议。这里的不同取值表示不同的协议,具体可上网搜索。
- 首部检验和(Header checksum):这个字段只检验数据报的首部,但不包括数据部分。这里括号中有显示correct,表示检验正确。
- 源地址(Source address):表示请求发送方,这里为172.20.62.18,即主机1。
- 目的地址(Destination address):表示请求的接收方,这里为172.20.62.18,即主机2。
- 可选字段(Options):这里为No options,表示可选字段没有内容。
本文通过图文详细演示了利用Sniffer抓包软件进行抓包的操作,同时,根据实际抓包的情况详细分析了IP的头结构。
如果需要本次实验相关软件的欢迎给我评论留言!