喬明秋+趙振洲

（北京政法職業(yè)學(xué)院）

摘 要：網(wǎng)絡(luò)協(xié)議是計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)中重要的內(nèi)容，同時(shí)也是不容易理解的教學(xué)難點(diǎn)。本文使用sniffer軟件，讓sniffer在真實(shí)網(wǎng)絡(luò)環(huán)境中截獲數(shù)據(jù)包，再利用sniffer解碼功能，詳細(xì)的展示了網(wǎng)絡(luò)數(shù)據(jù)包的具體內(nèi)容，具體分析了ip協(xié)議的格式、tcp協(xié)議格式以及tcp協(xié)議傳輸?shù)娜挝帐诌^程。其他協(xié)議也可以類似的進(jìn)行分析。

關(guān)鍵詞：sniffer；ip協(xié)議；tcp協(xié)議

計(jì)算機(jī)網(wǎng)絡(luò)已成為人們工作、生活中必不可少的一部分，而計(jì)算機(jī)網(wǎng)絡(luò)的核心是網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)協(xié)議的教學(xué)一直是一個(gè)難點(diǎn)問題。本文通過將SnifferPro這一網(wǎng)絡(luò)探測和分析軟件引入到網(wǎng)絡(luò)協(xié)議教學(xué)中的實(shí)踐探究，給出了一種能直觀的理解和掌握網(wǎng)絡(luò)協(xié)議的方法。

1 Sniffer簡介

Sniffer，中文可以翻譯為嗅探器，也叫抓數(shù)據(jù)包軟件，是一種基于被動偵聽原理的網(wǎng)絡(luò)分析方式。使用這種技術(shù)方式，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ?/p>

如果使用Hub，即基于共享網(wǎng)絡(luò)的情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽”到通過的流量，但對不屬于自己的數(shù)據(jù)包則不予響應(yīng)。如果某個(gè)工作站的網(wǎng)絡(luò)接口處于混雜模式，那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包。

但是現(xiàn)代網(wǎng)絡(luò)常常采用交換機(jī)作為網(wǎng)絡(luò)連接設(shè)備樞紐，在通常情況下，交換機(jī)不會讓網(wǎng)絡(luò)中每一臺主機(jī)偵聽到其他主機(jī)的通訊，因此Sniffer技術(shù)在這時(shí)必須與網(wǎng)絡(luò)端口鏡像技術(shù)進(jìn)行配合。而衍生的安全技術(shù)則是通過ARP欺騙來變相達(dá)到交換網(wǎng)絡(luò)中的偵聽。

2 Sniffer分析ip協(xié)議格式

Sniffer可以對在各種網(wǎng)絡(luò)上運(yùn)行的400多種協(xié)議進(jìn)行解碼，如TCP/IP、Novell Netware、DECnet、SunNFS、X-Windows、HTTP、TNS SLQ*Net v2（Oracle）、Banyan v5.0和v6.0、TDS/SQL（Sybase）、X.25、Frame Realy、PPP、Rip/Rip v2、EIGRP、APPN、SMTP等。還廣泛支持專用的網(wǎng)絡(luò)互聯(lián)橋/路由器的幀格式。

Sniffer可以在全部七層OSI協(xié)議上進(jìn)行解碼，目前沒有任何一個(gè)系統(tǒng)可以做到對協(xié)議有如此透徹的分析；它采用分層方式，從最低層開始，一直到第七層，甚至對Oracle數(shù)據(jù)庫、SYBASE數(shù)據(jù)庫都可以進(jìn)行協(xié)議分析；每一層用不同的顏色加以區(qū)別。下面就使用sniffer的解碼功能來分析IP協(xié)議和tcp協(xié)議的格式。

2.1 虛擬機(jī)環(huán)境設(shè)置

配置一臺虛擬機(jī)，通過橋接模式將虛擬機(jī)和物理機(jī)連接到同一個(gè)局域網(wǎng)，IP分別設(shè)置為192.168.1.102與192.168.1.104，并在虛擬機(jī)中安裝Sniffer軟件。選擇Capture菜單中的Defind Filter，選擇address項(xiàng)，在address欄里選擇“IP”，在station1和2中分別填寫兩臺機(jī)器的IP地址，選擇Advanced選項(xiàng)，選擇選IP/ICMP。

2.2 用Sniffer捕獲分析IP數(shù)據(jù)包

在Sniffer的工具欄中選擇上述新建的過濾器，點(diǎn)擊Start按鈕開始捕獲數(shù)據(jù)包，在真機(jī)的命令行窗口中執(zhí)行ping虛擬機(jī)的命令。

點(diǎn)擊Sniffer工具欄中的Stop and Display按鈕，在界面中切換到Decode欄，如圖1所示。如圖1中的標(biāo)注所示，界面中從上到下分為三部分。第一部分中的每一行對應(yīng)一個(gè)發(fā)出或收到的ICMP數(shù)據(jù)包，選中一個(gè)具體的數(shù)據(jù)包后，可在第二、第三部分觀察到該數(shù)據(jù)包的IP報(bào)頭內(nèi)容解析和字節(jié)流。第二部分是按協(xié)議結(jié)構(gòu)解析出的IP報(bào)頭的各字段內(nèi)容。第三部分是IP報(bào)頭的字節(jié)流內(nèi)容，在第二部分中點(diǎn)擊選擇具體的某一協(xié)議字段后，其對應(yīng)的字節(jié)流將在第三部分中高亮顯示。

2.3 結(jié)果分析

在圖1所示的Sniffer界面中，可以直觀地觀察到每一個(gè)IP報(bào)頭的解析結(jié)果。根據(jù)觀察到的協(xié)議中各字段的順序和長度，以4字節(jié)為單位，將IP協(xié)議結(jié)構(gòu)歸納如表1所示。表1中，每行對應(yīng)字節(jié)流中的4個(gè)字節(jié)，通過表1可形象地觀察到協(xié)議中各個(gè)字段在字節(jié)流中的分布。

3 Sniffer分析tcp協(xié)議

3.1 tcp協(xié)議的封裝格式

類似第2節(jié)的操作過程，可以在sniffer中截獲tcp數(shù)據(jù)包，如圖2所示。在圖2所示的Sniffer界面中，可以直觀地觀察到每一個(gè)TCP報(bào)頭的解析結(jié)果。根據(jù)觀察到的協(xié)議中各字段的順序和長度，以4字節(jié)為單位，將TCP協(xié)議結(jié)構(gòu)歸納如表2所示。

3.2 tcp協(xié)議的三次握手

TCP協(xié)議的三次握手過程也可以在sniffer中直觀的看到，TCP第一次握手：192.168.1.104向192.168.1.10

2發(fā)送請求連接（SYN=1），如圖3所示。

TCP第二次握手：192.168.1.102回應(yīng)192.168.1.104確認(rèn)連接（ACK=1，SYN=1），如圖4所示。

同樣可以分析TCP第三次握手：192.168.1.104回應(yīng)192.168.1.102（ACK=1）。

結(jié)束語

可見，通過在sniffer截獲數(shù)據(jù)包，可以清楚的看到每種協(xié)議對應(yīng)數(shù)據(jù)包的具體內(nèi)容，從而能夠更好的理解網(wǎng)絡(luò)協(xié)議和數(shù)據(jù)包的傳輸過程。這種方法對于學(xué)習(xí)網(wǎng)絡(luò)協(xié)議非常有效。

參考文獻(xiàn)

[1]趙北庚.虛擬機(jī)環(huán)境下基于Sniffer的ARP協(xié)議結(jié)構(gòu)研究[J].數(shù)據(jù)技術(shù)與應(yīng)用，2015年1月.

[2]葉恒舟.《TCP/IP協(xié)議分析》教學(xué)實(shí)踐與反思賀惠萍，教育教學(xué)論壇，2017年2月第8期.

[3]劉洪濤，張綱，程良倫.基于SnifferPro的虛擬實(shí)驗(yàn)室構(gòu)建[J].實(shí)驗(yàn)室研究與探索，2011年8月.

[4]百度百科.

作者簡介：喬明秋（1982-），女，碩士研究生，主要研究領(lǐng)域?yàn)樾畔踩悔w振洲（1978-），男，碩士研究生，主要研究領(lǐng)域?yàn)閿?shù)據(jù)恢復(fù)，信息安全。