网络安全学习--简单抓包

Posted 2022-01-02 丢爸

本文通过两台虚拟机(一台win2008,一台2003)实现

科来网络分析系统软件

软件下载地址

科来网络分析系统
链接：https://pan.baidu.com/s/1QpX1tfGrcFLS-8Vux3O9Ug
提取码：u5f5
telnet客户端工具putty
链接：https://pan.baidu.com/s/1XhxFbcbEOMctXJQ0x5lUxw
提取码：nmkf

1. 软件下载完成后，安装科来网络分析系统和putty
2. 先打开科来网络分析系统，选择相应项后，点击“开始”
   
3. 打开putty客户端通过telnet连接10.1.1.2
   
   输入用户名和密码，进入win2003的命令行提示窗口
   
4. 查看科来网络分析系统中的抓包数据，协议类型0x800表示上层使用IP协议
   
5. 过滤指定的数据
   
6. ICMP没有经过应用层，只有下三层
   
   

IP包头分析和静态路由

IP数据包格式

版本(version)：长度4位，是4或6
首部长度(Internet Header Length)：长度4位，存放IP包头的长度(占用位数)，一般为20位
优先级与服务类型：前3位代表优先级，中间4位代表服务类型，最后1位没有启用
总长度(Total Length)：整个IP数据包大小
标识符：标识ID，发送方随机生成的
标志：第1位没有启用；第2位有两个选项，0或1，0表示分片，1表示不分片；第3位标识是否为最后一个分片，如为1表示还有后续分片，如为0表示后续没有分片，已经是最后一个分片，如标志位为010，标识符和段偏移量位不起作用，因为没有分片
段偏移量：包分片长度
TTL(Time To Live)：生存时间，IP包被路由器丢弃之前允许通过的最大网段数量
协议号：定义上层使用的协议号，TCP是6，UDP是17,IGMP是88，ICMP是1
首部校验和(Checksum)：校验IP数据包头

C:\\Users\\Administrator>tracert www.baidu.com

通过最多 30 个跃点跟踪
到 www.a.shifen.com [39.156.66.18] 的路由:

  1    <1 毫秒   <1 毫秒   <1 毫秒 192.168.0.1
  2     1 ms     1 ms     1 ms  192.168.1.1
  3     5 ms     4 ms     5 ms  10.230.192.1
  4     5 ms     4 ms     4 ms  111.5.66.57
  5     7 ms     7 ms     6 ms  221.183.57.57
  6     *        *        *     请求超时。
  7     *        *        *     请求超时。
  8    19 ms    21 ms    17 ms  111.13.0.174
  9    18 ms    18 ms    18 ms  39.156.27.5
 10    19 ms    19 ms    18 ms  39.156.67.93
 11     *        *        *     请求超时。
 12     *        *        *     请求超时。
 13     *        *        *     请求超时。
 14     *        *        *     请求超时。
 15    17 ms    17 ms    17 ms  39.156.66.18

跟踪完成。