1 实验 6 分析 IP 数据报格式6.1 实验目的1. 了解 IP 数据报的格式;2. 理解 IP 各个数据项的涵义;3. 理解 TCP、UDP 协议的工作原理;4. 了解 TCP 报文段、 UDP 数据报各个字段的作用。6.2 相关背景知识1. Winpcap基本介绍数据报捕获的原理:为了进行数据报,网卡必须被设置为混杂模式。在现实的网络环境中 ,存在着许多共享式的以太网络。这些以太网是通过Hub 连接起来的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub 进行转发 ,而Hub以广播的方式进行转发 ,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。目的机器是指自身MAC 地址与消息中指定的目的 MAC 地址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析 ,这样就可以得到整个网络中信息的现状。Tcpdump的简单介绍: Tcpdump是Unix 平台下的捕获数据报的一个架构。Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的Craig Leres、Van Jcaobson和Steve McCanne共同开发完成,它可以收集网上的IP数据报文,并用来分析网络可能存在的问题。现在,Tcpdump已被移植到几乎所有的 UNIX 系统上,如: HP-UX、SCO UNIX 、SGI Irix 、SunOS、Mach、 Linux 和FreeBSD等等。更为重要的是 Tcpdump是一个公开源代码和输出文件格式的软件,我们可以在Tcpdunp的基础上进行改进, 加入辅助分析的功能, 增强其网络分析能力。 (详细信息可以参看相关的资料)。Winpcap的简单介绍: Winpcap是由意大利 Fulvio Risso和Loris Degioanni等人提出并实现的应用于 Win32平台的数据报捕获与分析的一种软件包,包括内核级的数据报监听设备驱动程序、低级动态链接库(Packet.dll) 和高级系统无关库(Winpcap.dll) 。Winpcap 由3个模块组成:( 1)NPF(NetgroupPacket Filter),是一个虚拟设备驱动程序文件。 它的功能是过滤数据报, 并把这些数据报原封不动地传给用2 户态模块。( 2)Packet.dll为Win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll直接映射了内核的调用,运行在用户层, 把应用程序和数据报监听设备驱动程序隔离开,使应用程序可以不加修改地在不同的Windows系统上运行。 通过 Packet.dll提供的能用来直接访问 BPF驱动程序...
