一.回顾 IP ICMP ARP
1.IP协议报头结构
版本号 首部长度 优先级与服务类型 总长度 4字节
标识符 标志 段偏移量 4字节
TTL 协议号 首部校验和 4字节
源地址 4字节
目标地址 4字节
20字节
可选项 0-40字节
数据
2.ICMP协议
检测网络连接情况,排错工具
1)反馈信息
reply from 正常
request timed out 请求超时
destination host unreachable 目标主机不可达
unknown host abc 未知主机名
2)ICMP类型
echo request 8 请求
echo reply 0 回应
3.ARP协议
IP=>MAC地址
在一个广播域内通信,使用是MAC地址
在不同广播域通信,使用是IP地址
解析原理:ARP广播,ARP缓存
arp -a 查看arp缓存
arp -d 清空arp缓存
arp -s 创建arp静态映射
1.传输层的作用
传输层数据端(端口)到端(端口)的传输
网络层数据点到点的传输
1)TCP协议
传输控制协议
面向连接可靠协议
传输效率低
http,telnet
2)UDP协议
用户数据报协议
面向无连接不可靠协议
传输效率高
tftp
2.TCP报头结构
源端口号 目标端口号
序列号
确认号
首部长度 控制位(syn,fin,ack,rst,urg,psh) 窗口大小
校验和 紧急指针
20字节
可选项 0-40字节
数据
注释:
源端口号:发送端口数据出去的端口 0-65535
目标端口号:需要访问的目标主机的端口号 0-65535
序列号:传输层运单的编号 100
确认号:到底收到了发送方的哪个报文 发送端序列号+1 100+1=101
控制位:
SYN=1 发起连接
FIN=1 中断连接
ACK=1 确认消息
RST=1 重置连接
URG=1 开启紧急指针
PSH=1 启用数据缓冲
窗口大小:协商发送数据的大小
3.TCP三次握手
主机A 主机B
第一次 发起连接: 序列号 100,syn=1
第二次 确认: 确认号 101,ack=1
发起连接:序列号 300,syn=1
第三次 确认: 序列号 101,确认号 301
ack=1
3.TCP四次挥手
主机A 主机B
第一次 fin=1,ack=1(我要分手)
第二次 ack=1(我知道了)
第三次 fin=1,ack=1(我也要分手)
第四次 ack=1(我也知道了)
5.TCP计时器
1)重传计时器
发送完数据后,开启一个时间为60秒的重传计时器
如果在60秒内没有收到对方的确认报文,则重传数据。
2)TCP保活计时器
客户端连接到服务器后,服务器会开启一个时间为2小时的保活计时器,
如果有两小时内,客户端没有任何活动,服务器会每隔75秒给客户端
发送一个探测数据段,一共发送10个,如果客户端还是没有回应,则断
开连接。
3)TCP等待计时器
主机A发送完TCP最后一次分手报文后,会等待一会,如果在这个时间内,
没有再次收到主机B的分手报文,则断开连接。
6.基于TCP的应用层协议
http 80/tcp
dns 53/tcp
telnet 23/tcp
ftp 21/tcp
C:\Windows\System32\drivers\etc\services 记录应用层协议的端口号
7.UDP协议
1)UDP报头结构
源端口号 目标端口号 4字节
UDP长度 校验和 4字节
-------------------------------------------------------------------
8字节
数据
2)基于UDP的应用层协议
tftp 69/udp
dns 53/udp
ntp 123/udp
rpc 111/udp
实验:使用科来抓取远程桌面服务的TCP流量
1.设置虚拟机和本机联网
虚拟机:vmnet8,192.168.10.1
本机:vmnet8,192.168.10.2
关闭防火墙
2.在虚拟机上开启远程桌面服务
此电脑–远程设置–选择"允许远程连接到此计算机"–取消下边的复选框
3.在虚拟机设置管理员的用户名密码
此电脑–管理–本地用户和组–用户–administrator
4.在本机远程连接虚拟机
windows+r 调出运行 mstsc 远程桌面客户端
输入 192.168.10.1
5.在本机开启科来软件
选择“vmnet8”网卡,开始抓包
6.从新远程登录192.168.10.1
7.在本机停止抓包,查看“数据包”选项卡,查看“tcp会话”选项卡,前三个tcp报文
8.在已经登录虚拟机的远程桌面中查看虚拟机端口的连接情况
netstat -an