基于Jpcap的TCPIP数据包分析.docVIP

基于Jpcap的TCP/IP数据包分析 2001 赵新辉 目 录 第一章 以太网的结构和TCP/IP 1．1 以太网的结构 1.1.1 基于网络架构的以太网 1.1.2 以太网的数据交换 1.1.3 以太网帧的结构 1．2 IP数据报的构成 1.2.1 IP地址 1.2.2 路由 1.2.3 IP数据报的构成 1.2.4 其他报文结构 1．3 TCP/UDP 1.3.1 TCP/UDP的作用 1.3.2 TCP和UDP报文的结构 第二章 Jpcap类库 2．1 Jpcap的使用 2.1.1 Jpcap的运行环境的安装 2.1.2 Jpcap的开发环境的安装 2．2 Jpcap介绍 2.2.1 Packet基类及其子类 2.2.2 Jpcap的主要功能 第三章 数据包监听程序的设计 3．1 数据包监听原理 3．2 以太网帧的解析 3.2.1 获取MAC地址 3.2.2 数据包类型的判断 3．3 IP数据报的监听 3.3.1 IP数据报的解析 3.3.2 ARP和ICMP数据报解析 3．4 TCP和UDP监听 3.4.1 TCP数据报的解析 3.4.2 UDP数据报的解析 第四章 数据包分析 4．1 流量分析 4.1.1 数据包大小的表示 4.1.2 数据包流量观测 4．2 数据包分类分析 4.2.1 数据包过滤 4.2.2 利用数据包分析解决网络问题 第五章 数据包发送 5．1 构造发送IP数据包 5.1.1 IP数据包构造与发送 5.1.2 发送结果分析 5．2 构造发送TCP数据包 5.2.1 TCP数据包构造与发送 5.2.2 发送结果分析 第一章 太网的结构和TCP/IP 1．1 以太网的结构 以太网是当今现有局域网采用的最通用的通信协议标准。该标准定义了在局域网（LAN）中采用的电缆类型和信号处理方法。以太网在互联设备之间以10~100Mbps的速率传送信息包，双绞线电缆10 Base T以太网由于其低成本、高可靠性以及10Mbps的速率而成为应用最为广泛的以太网技术。许多制造商提供的产品都能采用通用的软件协议进行通信，开放性最好。以太网，属网络低层协议，通常在OSI（open system interconnect reference model）模型的物理层和数据链路层操作。它是总线型协议中最常见的，数据速率为10Mbps（兆比特/秒）的同轴电缆系统。 1.1.1 基于 旧的以太网设备是用同轴电缆作为传送媒体的。使用同轴电缆的以太网，设备之间的连接不需要网络集线器，但必须在同轴电缆上讲设备连接起来，是同轴电缆成为多台设备间共享信号的总线（bus），这种网络连接形式被称为总线型。现在，广为使用的传送媒体为双绞线。通常使用的是被称为第五类的双绞线，拥有100Mbit/s的通信速度。在用双绞线连接时要使用被称为网络集线器的设备。它是为实现多台计算机的连接，把多根双绞线相互连接起来的设备。在使用网络集线器的网络重，计算机以网络集线器为中心呈放射状连接，这样的网络被称为星型网络。 由于以太网中集线器的转发功能，也就使得进行数据包监听可以在局域网内进行。本文中的数据包监听程序都是在局域网内进行的。当然，数据包监听也可以在网关等数据包的进出口进行。 1.1.2 以太网的数据交换 在以太网中，数据是以被称为帧的数据结构体为单位进行交换的。通常在计算机网络上交换的数据结构体的单位是数据包，而在以太网中把使用的数据包称为帧。数据包包含着发送给对方所必需信息的报头部分和记录着传送给接收端信息内容的报文部分组成的。报头包含接收端的地址、发送端的地址、数据错误检查和改正所必需的错误检验和修正码。数据包被传送到网络上，通过网络中继装置传送到接收端。 帧是被称为带碰撞检测的载波侦听多址访问（CSMA/CD: Carrier Sense Multiple Access with Collision Detection）发送的。在CSMA/CD技术中，如果网络上没有数据，则任何时候都可以将数据传送出去。因此，传送数据的网络设备，首先要确认网络上是否有数据在传送。如果没有数据则可以将数据发送到网络上。如果网络被使用，那就要等到网络空闲后发送。上面的工作相当于CSMA/CD的CSMA部分。在这种方法中，同时发送数据的网络设备会同时认为网络是空闲的，这样就会产生发送冲突。因此，在CSMA/CD技术中会经常一边检测数据冲突，一边发送数据。如果检测出冲突，为强调冲突的发生，要等待发送出32位数据所必需的时间之后，在等待