實驗所屬系列:Wireshark數據抓包分析
實驗對象: 本科/專科信息安全專業、網絡工程
相關課程及專業:TCP協議分析、網絡編程實例教程、計算機網絡
實驗時數(學分):4學時
實驗類別:實踐實驗類
1.TCP協議的由來
上一次的課程詳細介紹了UDP協議,可以知道該協議實驗非常簡單,並且容易實現。但是其可靠性較差,一旦將數據包發出,將無法知道對方是否收到。為了解決這個問題,TCP協議就誕生了。使用TCP協議,可以提供網絡的安全性。因為使用TCP協議傳輸數據時,每發送一個數據包都要求確認。如果有一個數據包丟失,就收不到確認包,發送方就知道應該重發這個數據包。這樣,TCP協議就保證了數據的安全性。
2.TCP端口
TCP端口就是為TCP協議通信提供服務的窗口。所有TCP通信都會使用源端口和目的端口,而這些可以在每個TCP頭中找到。端口就像是老式電話機上的接口,一個總計操作員會監視着一個面板上的指示燈和插頭。當指示燈亮起的時候,它就會鏈接這個呼叫者,問它想要和誰通話,然后插一根電纜線將它和它的目的地址鏈接起來。每次呼叫都需要有一個源端口(呼叫者)和目的端口(接收者)。TCP端口大概就是這樣工作的。
為了能夠將數據傳輸到遠程服務器或者設備的特定應用中去,TCP數據包必須知道遠程服務所監聽的端口。如果想試着鏈接一個不同於所設置的端口,那么這個通信就會失敗。這個序列中的源端口並不十分重要,所以可以隨機選擇。遠程服務器也可以很簡單的從發送過來的原始數據中得到這個端口。如下圖所示,在圖中列舉兩種服務使用的TCP端口。
圖中表示客戶端與Web服務器和郵件服務器的一個通信。從該圖中,可以看到客戶端與不同服務器建立連接時,使用的源端口和目標端口都不同。
在使用TCP進行通信的時候,有65535個端口可供使用,並通常將這些端口分成兩個部分,如下所示:
1~1023:是標准端口組(忽略掉被預留的0),特定服務會用到這些通常位於標准端口分組中的標准端口。
1024~65535:是臨時端口組(盡管一些操作對此有着不同的定義),當一個服務想在任意時間使用端口進行通信的時候,操作系統都會隨機選擇這個源端口,讓這個通信使用唯一的源端口。這些源端口通常就位於臨時端口組。
3.TCP三次握手
在TCP/IP協議中,TCP協議提供可靠的鏈接服務,通過使用三次握手建立一個鏈接。所有基於TCP協議的通信都需要以兩台主機的握手開始。下面將介紹TCP的三次握手。TCP的三次握手如下圖所示:
上圖描述了TCP的三次握手,為了幫助學習者更清晰的理解TCP協議,下面我們詳細介紹這三次握手。在圖中,Seq表示請求序列號,Ack表示確認序列號,SYN和ACK為控制位。
3.1 第一次握手
第一次握手建立連接時,客戶端向服務器端發送SYN報文(Seq=x,SYN=1),並進入SYN_SEND狀態,等待服務器確認。如下圖
3.2 第二次握手
第二次握手實際上是分兩部分完成的。即SYN+ACK(請求和確認)報文。
(1)服務器收到了客戶端的請求,向客戶端回復一個確認信息(Ack=x+1)。
(2)服務器再向客戶端發送一個SYN包(Seq=y)建立連接的請求,此時服務器進入SYN_RECV狀態,如下圖所示:
3.3 第三次握手
第三次握手,客戶端收到服務器的回復(SYN+ACK報文)。此時,客戶端也要向服務器發送確認包(ACK).此包發送完畢,客戶端和服務器進入ESTABLISHED狀態,完成三次握手,如下圖所示:
這樣就完成了三次握手,此時,客戶端就可以與服務器開始傳送數據了。
4.TCP四次斷開
在TCP協議中,每次握手后都會終止。就和人與人之間相互問候一樣,最終都會有一句再見。TCP終止用來在兩台設備完成通信后正常的結束鏈接。該過程包含4個數據包,並且用一個FIN標志來標明鏈接的終結。
TCP四次斷開連接如下圖
如上圖所示的四個過程,通過發送了4個數據包斷開了與服務器的鏈接,整個過程的一個詳細概述如下:
(1)客戶端通過發送一個設置了FIN和ACK標志的TCP數據包,告訴服務器通信已經完成。
(2)服務器收到客戶端發送的數據包后,發送一個ACK數據包來響應客戶端。
(3)服務器再向客戶端傳送一個自己的FIN/ACK數據包。
(4)客戶端收到服務器的FIN/ACK包時,響應服務器一個ACK數據包。然后結束通信過程。
5.TCP重置
在理想情況中,每一個連接都會以TCP四次斷開來正常的結束會話。但是在現實中,連接經常會突然中斷。例如,這可能由於一個潛在的攻擊者正在進行斷開掃描,或者僅僅是主機配置的錯誤。在這些情況下,就需要使用設置了RST標志的TCP數據包。RST標志用來指出連接異常中止或拒絕連接請求的包。
1 熟悉並掌握Wireshark的基本操作。
2 加深對常用網絡協議的理解,提高就業機會。
3 培養學生理論聯系實踐的研究興趣。
服務器:windows 系統,IP地址:10.1.1.33
測試者:windows系統,IP地址:10.1.1.142
在實驗環境中,我們通過模擬局域網的兩台機器之間的數據傳輸,來抓取和分析TCP協議數據。
根據實驗環境,本實驗的步驟如下:
1.在測試環境使用發包工具和Wireshark抓取TCP三次握手和四次斷開的數據包。
2.詳細分析TCP協議的三次握手以及四次斷開。
任務描述:安裝發包工具,並配置TCP客戶端,服務端,與Wireshark配合使用 此工具與分析UDP協議時相同,實驗室環境中已經安裝,在此再重復一遍,我們使用" TCP&UDP測試工具"來制作和發送TCP數據包。雙擊測試者機器桌面的" TCP&UDP測試工具",會出現下圖顯示頁面:
下面我們需要配置TCP的服務端以及客戶端。
1.配置服務器端
選擇10.1.1.33的機器,雙擊桌面的" TCP&UDP測試工具",右鍵點擊服務器模式,在下拉列表中,選擇創建服務器,如下圖:
點擊"確定"按鈕之后,在左側的服務器模式列表中,會出現創建的列表,選擇我們創建的服務器,右鍵點擊,選擇"啟動服務器",即完成了服務器端的配置
2.配置客戶端
選擇10.1.1.142的機器,雙擊桌面的" TCP&UDP測試工具",右鍵點擊客戶端模式,在下拉列表中,選擇"創建連接"
點擊創建后,如下圖
3.獲取TCP數據包
獲取的TCP協議的數據包。分為兩部分,即TCP三次握手,四次斷開的數據。但在實際的操作中,可能遇到的情況較多,比如源IP和目的IP比較多,協議的幀號亂序等各種問題。在此,我們教大家簡單的過濾功能,着色功能方便過濾和查看。 啟動Wireshark,在Filter中輸入tcp,點擊Apply會看到很多的數據包,這是因為測試環境中,有很多的應用程序,與其服務器連接,使用TCP協議。如下圖
我們可以看到,有很多的數據,不方便查看。在這里,我們已知兩台機器的IP情況下,可以在filter中輸入"ip.addr == 10.1.1.142 and ip.addr == 10.1.1.33"來過濾出我們想要的數據,點擊工具中的"連接"按鈕。如下圖
在發送區域輸入"hetinlabtcp"點擊發送,會持續的更新TCP數據。
在點擊"斷開連接"后,會出現TCP的四次斷開。全部的過程截圖,如下:
如上圖,如果還是覺得不方便分析協議的話,Wireshark還為我們提供了着色和指定的幀信息保存功能。左鍵點擊某一幀,右鍵選擇"Colorize Conversation",橫向選擇"TCP",橫向再選擇自己喜歡的顏色,操作如下圖
從上面可以很容易的看出,19376,19379,19380幀是tcp的三次握手,20444,20445,20446,20447幀是四次斷開的數據。如果你還想把三次握手和四次斷開的數據包分別保存,Wireshark也提供了這樣的功能,並且支持幀序號亂序的情況。下面,我們先來保存三次握手的數據包,因三次握手的幀是亂序,我們先右鍵點擊70幀,選擇"Mark Packet(toggle)',在依次選擇19379,19380幀,如下圖
在Wireshark的菜單欄中,依次選擇FIle->Export Specified Packets 命令,打開如下所示頁面
選擇Marked packets,並選擇保存名字和路徑,即可。下面來保存四次斷開的數據,因20444,20445,20446,20447為連續的序號,所以在Wireshark的菜單欄中,依次選擇FIle->Export Specified Packets 命令,打開如下所示頁面
選擇Range,輸入序號的起始和結束數字,選擇保存名字和路徑即可。
實驗步驟二
任務描述:通過實驗一,我們已經獲取了數據包,並且進行了分類保存,實驗二將對TCP的三次握手進行詳細分析
1.TCP首部
在分析TCP數據包之前,先介紹一下TCP首部格式,如下
TCP首部格式
在上面的表中,TCP首部的各字段含義如下所示:
源端口:用來傳輸數據包的端口。
目標端口:數據包將要被發送到的端口。
序號:該數字用來表示一個TCP片段。這個域用來保證數據流中的部分沒有流失。
確認號:該數字是通信中希望從另一個設備得到的下一個數據包的序號。
保留:包括Resverved、Nonce、CWR、和ENC-Echo,共6個比特位。
標記:用來表示所傳輸的TCP數據包類型。該字段中可用的標記包括URG、ACK、PSH、RST、SYN和FIN。
窗口大小:TCP接收者緩沖的字節大小。
校驗和:用來保證TCP首部和數據的內容,在達到目的地時的完整性。
緊急指針:如果設置了URG位,這個域將被檢查作為額外的指令,告訴CPU從數據包的哪里開始讀取數據。
選項:各種可選的域,可以在TCP數據包中進行指定。
上面提到了TCP傳輸時,可用到的標記位,下面分別介紹這6種標記的作用,如下:
URG:緊急標志,表示TCP包的緊急指針有效,用來保證TCP連接不被中斷,並且督促中間層設備要盡快處理這些數據。
ACK:確認標志,表示應答域有效,就是前面所說的TCP應答號將會包含在TCP數據包中,該標志位有兩個值,分別是0和1。當為1的時候,表示應答域有效。反之為0。
PSH:該標志位表示Push操作。所謂Push操作就是指在數據包到達接收端以后,立即傳送給應用程序,而不是在緩存區排隊。
RST:該標志位表示鏈接復位請求,用來復位那些產生錯誤的鏈接,也被用來拒絕錯誤和非法的數據包。
SYN:表示同步序號,用來建立連接。SYN 標志位和ACK標志位搭配使用,當連接請求的時候,SYN=1,ACK=0;當連接被響應的時候,SYN=1,ACK=1。這個標志的數據包經常被用來進行端口掃描。掃描者發現一個只有SYN的數據包,如果對方主機響應了一個數據包回來,就表面該主機存在這個端口;但是由於這種掃描方式只是進行TCP三次握手的第一次握手,因此這種掃描成功表示掃描的機器不安全。因為一個安全的主機,將會強制要求一個鏈接嚴格的進行TCP的三次握手。
FIN:表示發送端以及達到數據末尾,也就是說雙方的數據傳送完畢,沒有數據可以傳送了。此時發送FIN標志位的TCP數據包后,鏈接將被斷開。這個標志的數據包也經常被用於進行端口掃描。當一個FIN標志的TCP數據包發送到一台計算機的特定端口后,如果這台計算機響應了這個數據,並且反饋回來一個RST標志的TCP包,就表明這台計算機上沒有打開這個端口,但是這台計算機是存在的;如果這台計算機沒有反饋回來任何數據包,這就標明,這台被掃描的計算機存在這個端口。
2.分析TCP的三次握手
TCP三次握手是理解TCP協議最重要的部分,下面我們就以tcp-handshake.pcapng捕獲文件為例,來分析TCP的三次握手
2.1.第一次握手
TCP第一次握手,捕獲的數據包信息如下所示
實驗步驟三
任務描述:TCP的四次斷開,也是TCP協議的主要工作之一。下面將通過捕獲的tcp-break.pcapng文件,來分析TCP的四次斷開。
1.第一次斷開
TCP第一次斷開連接的數據包,如下:
