演示:通过实验取证IP报文的各个字段

最新推荐文章于 2022-12-10 23:45:19 发布
最新推荐文章于 2022-12-10 23:45:19 发布
阅读量177 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33875839/article/details/85033443
版权

演示:取证IP报文的结构


演示目标:在实时通信的过程中使用协议分析器捕获并分析IP报文的各个字段注意以分析标识符、标志以及片偏移字段的功能作为重点。

演示环境:如下图4.19所示的演示环境。

011542286.png

011642627.png

011729986.png

spacer.gif注意:在做主机连通性测试时,为什么不直接从主机A测试(ping)主机B的连通性,而是首先测试到各自默认网关的连通性。原因:当完成阶段性网络配置后,建议测试阶段性配置的连通性。当建设庞大且复合程度较高的整体网络通信体系时,如果出现了故障,可以快速的定位到某一阶段性故障上,而不是在庞大的网络体系中如大海捞针般的寻找故障源,这样可以提高工程中故障排除的效率。

spacer.gif第三步:现在开始捕获实时通信的数据帧。分别在主机A和主机B上,打开Wireshark协议分析器软件,并监控网络中实时通信的数据。在主机A的命令提示符(CMD)下,输入命令Ping 192.168.2.2,待完成数据交互后,停止并查看主机A和主机B上的Wireshark协议分析器,得到如下图4.25所示,表示主机A的Wireshark捕获的数据帧。

011825160.png

spacer.gif注意:由于ping命令是基于ICMP协议工作的,所以捕获的数据帧显示的协议就为ICMP,而通信是一个完整的会话具备双向性,所以存在着ping的请求消息(Echo request)和ping的回应消息(Echo reply)。

spacer.gif第四步:详细分解如上图4.25主机A上捕获的数据帧的第一个数据帧,得到如下图4.26所示,这是一个完整的IP报文,其中包括IP报头部分和所携带ping(ICMP)的数据部分。


012129305.png

012129137.png

012129140.png

图4.29 TTL字段

第六步:在该步骤中将以取证IP报文中分段数据为重点,详细的通过取证实验来理解IP报文的数据分段过程。首先在主机A上打开Wireshark协议分析软件,并启动数据捕获。然后,表示在主机A的命令提示符(CMD)下,执行命令Ping 192.168.2.2 –l 3500 如下4.30所示,待完成数据通信后,停止并查看主机A上捕获的数据帧,如下4.31所示。


012451261.png

建立分段的分析过程:

1.Ping 192.168.2.2 –l 3500 指示ping所携带的字节数为3500字节。注意默认情况下的ping是不会出现IP报文分段的现象,因为默认的Ping只携带32个字节的数据传输,而以太网能承受的最大传输单元(MTU)1500,所以默认的ping携带的数据根本无法造成IP报文分段,所以在该演示环境中为了制造出IP报文分段的现象就必须使ping携带超过MTU1500的数据,在演示环境中为3500。

2.信息Fragmented IP protocol 表示IP数据存在分段,分段的原因是ping所携带的3500字节大于本以太网测试环境的MTU最大值1500字节。

3.为什么不先显示Echo request信息,也就是ping所使用的ICMP消息,而是先显示了Fragmented IP protocol信息,也就是分段信息。原因在于,在执行ICMP数据传递之前,首先需要在传输层对3500字节数据执行分段。

spacer.gif第七步:现在分析IP报文分段过程中较抽象的部分,首先展开如上图4.31所示的所有数据帧,得到如下图4.32、图4.33以及图4.34所示数据帧。指示分段的数据帧。

012601910.png

012640899.png

n3500字节分段过程的分析:

根据图4.30所示,可知ping所携带的3500字节被分成了3段,第一、第二分段数据大小为1480字节,第三分段数据大小为548字节。为什么第一、第二分段数据不按以太网MTU最大值1500字节划分呢?其原因在于划分分段数据时,必须考虑IP报头20字节的大小。第三分段548字节包含了8字节的ICMP协议申明报头,计算方式为3500-1480-1480+8=548。


n标识符字段分析:

根据图4.32、图4.33以及图4.34所示数据帧所示的“Identification:0x0324(804)”标识符字段可知同一个IP报文被执行分段后,标识符的值是一致的,表示一个较大的IP报文虽然被分割成三个较小的IP报文,标识值0x0324(804)表示三个较小的IP报文属于同一个较大报文,这样才能保证被分段数据可重新组合在一起。


n标记字段分析:

如下图4.35所示,表示第一、第二分段数据的标记字段。由于这两个分段不是最后一个分段数据,所以MF=1( More fragments )表示其后还有更多的分段数据,如下 图4.36 所示,表示 第三分段数据的MF=0,则表示该分段数据为最后一段。

012808617.png

n片偏移字段分析:

根据图4.32、图4.33以及图4.34所示,可知第一分段数据的Fragment Offset=0,第二分段数据的Fragment Offset=1480,第三分段数据的Fragment Offset=2960,那么这些片偏移值是如何计算的?第一分段数据片偏移值为0,因为起点相同,分段开始处也相同,所以第一分段的片偏移为0。第二分段数据“片偏移”值的计算,首先要知道第一分段数据的片偏移值(该演示环境其值为0),第二是要知道第二分段的分段起始值,那么根据该演示环境的分段大小可知,第一段分段的数据大小为1480,由于计算机计数是从0开始,所以第一分段数据的结尾处为1479。所以第二分段数据的分段起始值就为1480,此时根据片偏移的计算方法,既分段数据大小减第一分段的片偏移值,可知第二分段数据的Fragment Offset=1480-0,同理,第三分段数据的Fragment Offset=2960-0


weixin_33875839
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【udp】数据解析
oshhh的博客
03-10 538
UDP校验和的计算方法和IP数据报首部校验和的计算方法相似,都使用二进制反码运算求和再反,但不同的是:IP数据报的校验和之检验IP数据报和首部,但UDP的校验和是把首部和数据部分一起校验。UDP常用一次性传输比较少量数据的网络应用,如DNS,SNMP等,因为对于这些应用,若是采用TCP,为连接的创建,维护和拆除带来不小的开销。,其中的高位0x4,表示的是版本号,ipv4的意思,而后面低字节5表示的是指明IPv4协议包头长度的字节数包含多少个32位,这里是5,也就是说协议头是5*4=20个字节的大小。
CORDIC ALTERA IP CORE
04-21
ALTERA公司的IP CORE:CORDIC v1.0.4 ,包含IP核的安装以及详细的使用说明文档,欢迎下载使用~
计算机网络-实验5:网络层-IP协议分析
m0_62943671的博客
12-10 5210
计算机网络-实验5:网络层-IP协议分析-实验报告
报文分析笔记---常见wireshark报文标记
海渊_haiyuan的博客
08-09 8803
文章目录报文分析笔记---常见wireshark报文标记Fragmented IP protocolPacket size limited during captureTCP Previous segment not capturedTCP ACKed unseen segmentTCP Out-of-OrderTCP Dup ACKTCP Fast RetransmissionTCP Spurious RetransmissionTCP RetransmissionTCP zerowindowTCP wi
【网络实验】非法(不按RFC标准)修改skb数据包遇到的现象
唐门问心
07-10 1263
为论文做Linux内核编程实验总能遇到一些神奇的现象,现记录如下。 一、修改IP Fragment Offset(失败) 根据导师的需求,我在Netfilter Local Out钩子函数中把13bit fragment offset填为自定义的数据,同时保证flag DF位=1,即“不能分片”(Don‘t Fragment),希望各种网络软硬件设施能允许我发送这样的包。 我装载
IP协议解析与实战
恐龙弟旺仔的博客
05-15 2585
1.IP协议概述 1.1 什么是IP协议? IP(Internet Protocol缩写)中文就是网际协议,这个比较抽象,我们比较熟悉的还是ip地址。 ip地址翻译成中文就是网际协议地址。这个地址与我们之前说过的MAC地址有什么关系呢? 既然物理机器已经有了MAC地址,那么还需要IP地址做什么呢? 1.2 IP地址作用 通过之前对ARP协议的分析,可以发现它是通过MAC地址发送数据的,但是其有一个很大的问题:ARP协议是子网广播协议(在子网中的所有的设备都会收到该ARP协议数据包)。
基于HTTP协议报文分析的计算机网络取证研究
01-26
针对目前我国网络用户不断增长,并且网络中出现的攻击现象不断增多,导致网络...最后对基于HTTP协议报文分析的计算机网络取证系统进行了模型实验分析,通过实验表示,系统能够将可疑入侵的日志进行提,达到预期目的。
计算机取证实验报告
01-29
9.1实验一 事发现场收集易失性数据 9.1.1实验目的 (1)会创建应急工具箱,并生成工具箱校验和。 (2)能对突发事件进行初步调查,做出适当的响应。 (3)能在最低限度地改变系统状态的情况下收集易失性数据。
exfatDump:ExFAT文件系统取证分析的实验工具
05-02
ExFAT转储介绍exfat_dump.py是用于对ExFAT文件系统进行取证分析的实验工具。 用户界面受命令的启发。 特征: 显示分区表( mmls ,来自MBR) 显示文件系统信息( fsstat ,来自VBR和根目录) 列出(递归, -r选项)...
波动性:高级内存取证框架
02-05
波动性(Volatility)是一个强大的开源工具,专用于高级内存取证分析。该框架主要用于调查计算机内存映像,帮助安全研究人员、法医分析师以及恶意软件调查人员揭示潜在的恶意活动、感染迹象以及系统状态。Volatility...
rekall:Rekall内存取证框架
02-23
Rekall停产 该项目不再维护。 2011年12月,在Volatility项目中创建了一个新分支,以探索如何使代码库更具模块化,提高性能并提高可用性。 该分支后来被分支为Rekall。 模块化允许在使用物理内存分析功能,以实现...
Wirshark抓包显示“TCP segment of a reassembled PDU”
Sunshine的专栏
05-09 3604
用wireshark抓包发现里面有好多报文被标识为“TCP segment of a reassembled PDU”。 如下图:          “TCP segment of a reassembled PDU”指的不是IP层的分片,IP分片在wireshark里用“Fragmented IP protocol”来标识。详细查了一下,发现“TCP segment of a rea
IP fragmentation
weixin_30736301的博客
04-22 778
1.IP fragmentation IP fragmentation is an Internet Protocol (IP) process that breaks packets into smaller pieces (fragments), so that the resulting pieces can pass through a link with a smaller ...
Wireshark抓包常见问题解析
weixin_34293246的博客
04-11 865
1. tcp out-of-order(tcp有问题)解答:1)、 应该有很多原因。但是多半是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元 因为他们可能是通过不同的路径到达你电脑上面的。2)、 CRM IT 同仁上礼拜来跟我反应一个问题,由他们客服系统藉由邮件主机要寄送给客户的信件,常常会有寄送失败的问题,查看了一下 Log,发...
创建ssh信任连接
weixin_34266504的博客
01-21 201
ssh信任连接,即在登录linux主机时使用公钥证书认证而不需要输入密码,使用方法如下: 假设要从主机A:192.168.211.128 登录主机B:192.168.8.35 1.在主机A执行命令: [tianjing@itianjing ~]$ssh-keygen -t dsa 按照屏幕提示输入信息, 通常情况下直接回车即可,如下图所示, 命令结束以后,会在~...
IP计算机取证,计算机取证1资料.doc
weixin_32445717的博客
07-26 171
实验实验题目:用应急工具箱收集易失性数据及使用X-Ways Forensics备份磁盘数据实验目的:(1)会创建应急工具箱,并生成工具箱校验和。(2)能对突发事件进行初步调查,做出适当的响应。(3)能在最低限度地改变系统状态的情况下收集易失性数据。实验要求:(1)Windows XP 或Windows 2000 Professional操作系统。(2)网络运行良好。(3)一张可用U盘(或其他移动...
理解IP数据分片原理
ther123dd的博客
11-11 430
假设网络MTU为1500字节,使用Packet Tracer发送一个超大报文(3600字节),观察报文被分成了几片,每片报文首部有什么差别,有差别字段的数字的意义是什么? 可以看到3600字节的报文被分成了三片。 第一个分片片偏移为0x0,说明它是第一个分片; 第二个分片片偏移0x5c8,说明它在分片中的位置,转换为十进制为1480; 第三个分片片偏移0xb90,说明它在分片中的位置,转换为十进制为2960; 同时前两个分片的TL为1500,第三个分片的TL为668。 ...
TCP/IP illustrated 阅读笔记(四) UDP协议和IP分段
胡LiuJia@BLOG
01-17 2002
1.      什么是UDP协议 UDP协议,user datagram Protocal,是一个简单的、面向datagram的传输层协议, 特点:可以保存消息边界(message boundaries),没有错误纠正、有序送达、重复包消除、流量控制、拥塞控制。所以说他简单啊。。。。。 2.      UDP的Header: UDP的首部非常简单,总共8个字节 Source Po
分片的总结——TCP分段与UDP/IP分片
weixin_43484977的博客
06-09 1960
分片分为两种: 一种是MTU,MTU是链路层的最大传输单元,是链路层中的网络对数据帧的一个限制。 一个IP数据报在以太网中 传输,如果它的长度大于该MTU值,就要进行分片传输,使得每片数据报的长度小于MTU。分片传输的IP数据报不一定按序到达,但IP首部中的信息能让这些数据报片按序组装。IP数据报的分片与重组是在网络层进完成的。 另一种是MSS,这个是TCP的一个概念。MSS选项只出现在SYN报文段中,即TCP三次握手的前两次。MSS的值一般为MTU值减去两个首部大小(需要减去IP数据包包头的大小20Byt
2023第七届“蓝帽杯”取证部分题目题解思路 (仅个人思路,如有错误和不足欢迎纠正指 出)
最新发布
09-01
在2023年的第七届“蓝帽杯”取证部分竞赛中,参与者面临着一系列与电子取证相关的挑战。比赛题目围绕着实际的犯罪案例展开,涉及一个投资理财诈骗案,其中受害者陈昊民通过微信认识了昵称为yang88的嫌疑人,并在维...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值