演示:取證ip報文的結構
演示目標:在實時通訊的過程中使用協議分析器捕獲並分析ip報文的各個字段。注意以分析識別符號、標誌以及片偏移欄位的功能作為重點。
演示環境:如下圖4.19所示的演示環境。
注意:在做主機連通性測試時,為什麼不直接從主機a測試(ping)主機b的連通性,而是首先測試到各自預設閘道器的連通性。原因:當完成階段性網路配置後,建議測試階段性配置的連通性。當建設龐大且復合程度較高的整體網路通訊體系時,如果出現了故障,可以快速的定位到某一階段性故障上,而不是在龐大的網路體系中如大海撈針般的尋找故障源,這樣可以提高工程中故障排除的效率。
第三步:現在開始捕獲實時通訊的資料幀。分別在主機a和主機b上,開啟wireshark協議分析器軟體,並監控網路中實時通訊的資料。在主機a的命令提示符(cmd)下,輸入命令ping 192.168.2.2,待完成資料互動後,停止並檢視主機a和主機b上的wireshark協議分析器,得到如下圖4.25所示,表示主機a的wireshark捕獲的資料幀。
注意:由於ping命令是基於icmp協議工作的,所以捕獲的資料幀顯示的協議就為icmp,而通訊是乙個完整的會話具備雙向性,所以存在著ping的請求訊息(echo request)和ping的回應訊息(echo reply)。
第四步:詳細分解如上圖4.25主機a上捕獲的資料幀的第乙個資料幀,得到如下圖4.26所示,這是乙個完整的ip報文,其中包括ip報頭部分和所攜帶ping(icmp)的資料部分。
圖4.29 ttl欄位
第六步:在該步驟中將以取證
ip報文中分段資料為重點,詳細的通過取證實驗來理解
ip報文的資料分段過程。首先在主機
a上開啟
wireshark
協議分析軟體,並啟動資料捕獲。然後,表示在主機
a的命令提示符(
cmd)下,執行命令
ping 192.168.2.2 –l 3500 如下圖
4.30
所示,待完成資料通訊後,停止並檢視主機
a上捕獲的資料幀,如下
圖4.31
所示。
建立分段的分析過程:
1.ping 192.168.2.2 –l 3500
指示ping所攜帶的位元組數為3500位元組。注意預設情況下的ping是不會出現ip報文分段的現象,因為預設的ping只攜帶32個位元組的資料傳輸,而乙太網能承受的最大傳輸單元(mtu)1500,所以預設的ping攜帶的資料根本無法造成ip報文分段,所以在該演示環境中為了製造出ip報文分段的現象就必須使ping攜帶超過mtu1500的資料,在演示環境中為3500。
2.資訊fragmented ip protocol 表示ip資料存在分段,分段的原因是ping所攜帶的3500位元組大於本乙太網測試環境的mtu最大值1500位元組。
3.為什麼不先顯示echo request資訊,也就是ping所使用的icmp訊息,而是先顯示了fragmented ip protocol資訊,也就是分段資訊。原因在於,在執行icmp資料傳遞之前,首先需要在傳輸層對3500位元組資料執行分段。
第七步:現在分析ip報文分段過程中較抽象的部分,首先展開如上圖4.31所示的所有資料幀,得到如下圖4.32、圖4.33以及圖4.34所示資料幀。指示分段的資料幀。
n3500位元組分段過程的分析:
根據圖4.30所示,可知ping所攜帶的3500位元組被分成了3段,第
一、第二分段資料大小為1480位元組,第三分段資料大小為548位元組。為什麼第
一、第二分段資料不按乙太網mtu最大值1500位元組劃分呢?其原因在於劃分分段資料時,必須考慮ip報頭20位元組的大小。第三分段548位元組包含了8位元組的icmp協議申明報頭,計算方式為3500-1480-1480+8=548。
n識別符號字段分析:
根據圖4.32、圖4.33以及圖4.34所示資料幀所示的「identification:0x0324(804)」識別符號字段可知同乙個ip報文被執行分段後,識別符號的值是一致的,表示乙個較大的ip報文雖然被分割成三個較小的ip報文,標識值0x0324(804)表示三個較小的ip報文屬於同乙個較大報文,這樣才能保證被分段資料可重新組合在一起。
n標記字段分析:
如下圖4.35所示,表示第
一、第二分段資料的標記字段。由於這兩個分段不是最後乙個分段資料,所以mf=1(
more fragments
)表示其後還有更多的分段資料,如下
圖4.36
所示,表示
第三分段資料的mf=0,則表示該分段資料為最後一段。
n片偏移字段分析:
根據圖4.32、圖4.33以及圖4.34所示,可知第一分段資料的
fragment offset
=0,第二分段資料的
fragment offset
=1480
,第三分段資料的
fragment offset
=2960
,那麼這些片偏移值是如何計算的?第一分段資料片偏移值為0,因為起點相同,分段開始處也相同,所以第一分段的片偏移為0。第二分段資料「片偏移」值的計算,首先要知道第一分段資料的片偏移值(該演示環境其值為0),第二是要知道第二分段的分段起始值,那麼根據該演示環境的分段大小可知,第一段分段的資料大小為1480,由於計算機計數是從0開始,所以第一分段資料的結尾處為1479。所以第二分段資料的分段起始值就為1480,此時根據片偏移的計算方法,既分段資料大小減第一分段的片偏移值,可知第二分段資料的
fragment offset=1480-0
,同理,
第三分段資料的
fragment offset=2960-0。
演示 取證ICMPv6字首請求與字首公告訊息原理
演示 取證icmpv 6字首請求與字首公告訊息原理 前面描述了ipv6環境中關於字首公告的理論內容,現在開始取證ipv6位址字首公告的報文資料幀,以加強對理論的理解。演示目標 nipv6 位址字首位址是週期性進行公布。n取證分析路由器ipv6位址字首公告所使用的源位址和目標位址。n取證分析ipv6位...
實驗14 Http Header注入演示
有時,開發人員為驗證客戶資訊 cookie 或用http header 獲取客戶資訊 如 useragent accept 會對http header 資訊進行獲取並使用sql進行處理,若安全措施沒有做好,很有可能導致sql inject漏洞!我們以pikachu為例進行演示 開啟pikachu中的...
通過簡單的演示理解TCP IP網路
2.5dns伺服器 2.6 ip位址和mac位址的對應關係 首先需要明白一些概念 幾乎所有網絡卡都會在上市前被分配乙個不可變更的mac位址。csma cd機制 在lan中的每台計算機傳輸之前都要確認網線上其他的計算機有沒有正在傳輸電訊號,也就是說確保沒有人占用網路,然後才能傳送自己想傳輸的電訊號。如...