1 实训目的和要求。
1)掌握sniffer的网络监视功能;
2)掌握常用协议数据报文解码详解方法。
7.2 实训内容和步骤。
1.实训内容。
1)sniffer的网络监视功能;
2)常用协议数据报文解码详解方法。
2.实训步骤。
1)网络监视功能。
网络监视功能能够时刻监视网络统计,网络上资源的利用率,并能够监视网络流量的异常状况,这里只介绍一下dashbord和art,其他功能可以参看**帮助,或直接使用即可,比较简单。
dashbord :dashbord可以监控网络的利用率,流量及错误报文等内容。通过应用软件可以清楚看到此功能,如图7-1所示。
图7-1::dashbord
2)数据报文解码详解。
数据报文分层:对于四层网络结构,其不同层次完成不通功能。每一层次有众多协议组成,如图7-2所示。
图7-2:四层结构协议。
如图7-3,所示在sniffer的解码表中分别对每一个层次协议进行解码分析。链路层对应“dlc”;网络层对应“ip”;传输层对应“udp”;应用层对对应的是“netb”等高层协议。sniffer可以针对众多协议进行详细结构化解码分析。
并利用树形结构良好的表现出来。
以太报文结构。
图7-3:sniffer的解码。
ethernetii以太网帧结构(图7-4)
图7-4:ethernetii以太网帧结构。
ethernet_ii以太网帧类型报文结构为:目的mac地址(6bytes)+源mac地址+(6bytes)上层协议类型(2bytes)+数据字段(46-1500bytes)+校验(4bytes)。
ip网络来说ethertype字段承载的时上层协议的类型主要包括0x800为ip协议,0x806为arp协议。
ieee802.3以太网报文结构。
图7-5:ieee802.3以太网报文结构。
图7-6:ieee802.3snap帧结构。
图7-5为ieee802.3snap帧结构,与ethernetii不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。并多了llc子层。图7-6为帧结构分析图。
ip协议。ip报文结构为ip协议头+载荷,其中对ip协议头部的分析,时分析ip报文的主要内容之一,关于ip报文详细信息请参考相关资料。这里给出了ip协议头部的一个结构。
版本:4——ipv4
首部长度:单位为4字节,最大60字节。
tos:ip优先级字段。
总长度:单位字节,最大节。
标识:ip报文标识字段。
标志:占3比特,只用到低位的两个比特。
mf(more fragment)
mf=1,后面还有分片的数据包。
mf=0,分片数据包的最后一个。
df(don't fragment)
df=1,不允许分片。
df=0,允许分片。
段偏移:分片后的分组在原分组中的相对位置,总共13比特,单位为8字节。
寿命:ttl(time to live)丢弃ttl=0的报文。
协议:携带的是何种协议报文。
1 :icmp
6 :tcp
17:udp
89:ospf
头部检验和:对ip协议首部的校验和。
源ip地址:ip报文的源地址。
目的ip地址:ip报文的目的地址。
图7-7:ip协议首部的解码分析结构。
图7-7为sniffer对ip协议首部的解码分析结构,和ip首部各个字段相对应,并给出了各个字段值所表示含义的英文解释。如上图报文协议(protocol)字段的编码为0x11,通过sniffer解码分析转换为十进制的17,代表udp协议。其他字段的解码含义可以与此类似,只要对协议理解的比较清楚对解码内容的理解将会变的很容易。
arp协议。
以下为arp报文结构。
图7-8:arp报文结构。
arp分组具有如下的一些字段:
htype(硬件类型)。这是一个16比特字段,用来定义运行arp的网络的类型。每一个局域网基于其类型被指派给一个整数。例如,以太网是类型1。arp可使用在任何网络上。
ptype(协议类型)。这是一个16比特字段,用来定义协议的类型。例如,对ipv4协议,这个字段的值是0800。arp可用于任何高层协议。
hlen(硬件长度)。这是一个8比特字段,用来定义以字节为单位的物理地址的长度。例如,对以太网这个值是6。
plen(协议长度)。这是一个8比特字段,用来定义以字节为单位的逻辑地址的长度。例如,对ipv4协议这个值是4。
oper(操作)。这是一个16比特字段,用来定义分组的类型。已定义了两种类型:arp请求(1),arp回答(2)。
sha(发送站硬件地址)。这是一个可变长度字段,用来定义发送站的物理地址的长度。例如,对以太网这个字段是6字节长。
spa(发送站协议地址)。这是一个可变长度字段,用来定义发送站的逻辑(例如,ip)地址的长度。对于ip协议,这个字段是4字节长。
tha(目标硬件地址)。这是一个可变长度字段,用来定义目标的物理地址的长度。例如,对以太网这个字段是6字节长。
对于arp请求报文,这个字段是全0,因为发送站不知道目标的物理地址。
tpa(目标协议地址)。这是一个可变长度字段,用来定义目标的逻辑地址(例如,ip地址)的长度。对于ipv4协议,这个字段是4字节长。
图7-9:通过sniffer解码的arp请求和应答报文的结构。
7.3 实训小结。
通过本实训,掌握使用sniffer分析常用协议帧结构的方法,但本实验较难,学生可以反复实验,理论学习与实验需要紧密结合。
7.4 实训习题。
使用sniffer分析常用协议帧结构。
高级技能操作
第二部分高级工技能操作试题。一 仪表维修工技能操作考试内容层次结构表。二 鉴定要素细目表。行业 石油天然气工种 仪表维修工等级 高级工鉴定方式 技能操作。三 技能操作试题。用fluke744读取热电偶所测温度值。一 准备要求。1 场地准备。1 考场各项安全措施齐全,规范无干扰 2 照明良好,光线充足...
Excel高级操作
35 打开工作簿文件d xls 请使用函数和公式在f列计算机每位学员的平均成绩,请使用if函数对该清单的g列给出 评价 评价 的标准为以 计算机 成绩为标准,分三个档次 优秀 计算机 75 合格 75 计算机 60 不合格 60 计算机 说明,要求保留公式或函数,计算出结果后,不要自己改变小数位数,...
高级操作分析
第一节庄家炒作过程。一个完整的做庄炒作过程一定包括建仓 拉升 派发这几个必不可少的环节,是在实际操作中不是这么简单,下面就顺着这些环节仔细描述。一 建仓期 一 资金 炒作的资金 很广泛,一是 机构或 的自营资金,二是集团资金或称为关联资金,三是 市场或其他市场如 市场甚至海外市场的游资。资金的性质决...