IP及IPSEC协议数据包的捕获与分析分析.docx

IP及IPSEC协议数据包的捕获与分析分析.docx

《IP及IPSEC协议数据包的捕获与分析分析.docx》由会员分享，可在线阅读，更多相关《IP及IPSEC协议数据包的捕获与分析分析.docx（12页珍藏版）》请在冰点文库上搜索。

IP及IPSEC协议数据包的捕获与分析分析

IP及IPSEC协议数据包的捕获与分析

为了掌握掌握IP和IPSEC协议的工作原理及数据传输格式，熟悉网络层的协议。

我进行了以下实验：

首先用两台PC互ping并查看其IP报文，之后在两台PC上设置IPSEC互ping并查看其报文。

最终分析两者的报文了解协议及工作原理。

一、用两台PC组建对等网：

将PC1与PC2连接并分别配置10.176.5.119和10.176.5.120的地址。

如图1-1所示。

图1-1

二、两PC互ping：

IP数据报结构如图1-2所示。

图1-2

我所抓获的报文如图1-3，图1-4所示：

图1-3请求包

图1-4回应包

分析抓获的IP报文：

（1）版本：

IPV4

（2）首部长度：

20字节

（3）服务：

当前无不同服务代码，传输忽略CE位，当前网络不拥塞

（4）报文总长度：

60字节

（5）标识该字段标记当前分片为第1367分片

（6）三段标志分别指明该报文无保留、可以分段，当前报文为最后一段

（7）片偏移：

指当前分片在原数据报（分片前的数据报）中相对于用户数据字段的偏移量，即在原数据报中的相对位置。

（8）生存时间：

表明当前报文还能生存64

（9）上层协议：

1代表ICMP

（10）首部校验和：

用于检验IP报文头部在传播的过程中是否出错

（11）报文发送方IP：

10.176.5.120

（12）报文接收方IP：

10.176.5.119

（13）之后为所携带的ICMP协议的信息：

类型0指本报文为回复应答，数据部分则指出该报文携带了32字节的数据信息，通过抓获可看到内容为：

abcdefghijklmnopqrstuvwabcdefghi

三、IPSec协议配置：

1、新建一个本地安全策略。

如图1-5。

图1-5

2、添加IP安全规则。

如图1-6.

图1-6

3、添加IP筛选器。

如图1-7，图1-8，图1-9

图1-7

图1-8图1-9

4、设置筛选器操作，如图1-10，图1-11所示

图1-10

图1-11

5、设置身份验证方法，预共享密钥：

123456789，如图1-12所示

图1-12

6、将设置好的本地安全策略分配，如图1-13所示

图1-13

四、两PC配置IPSEC互ping，并抓获报文分析：

所抓取报文如下图1-14所示

图1-14

下图1-15为协议协商部分报文：

图1-15

分析：

（1）发起方的SPI为：

1cfe1a3b68487806

（2）响应方的SPI为：

未知

（3）本报文作用为协商IKE策略

（4）交换模式为主模式

（5）有效载荷类型：

策略协商

（6）载荷长度：

56

（7）解释域为IPSEC协议

（8）第二段有效载荷类型为建议部分

（9）第二段有效载荷类型为传输，内容是IKE策略

下图1-16为KEY交换部分报文：

图1-16

分析：

作用为通过协商DH产生第一阶段的密码。

（1）本报文作用为密钥交换

（2）交换模式为主模式

（3）说明了所用到的RFC及加密后的数据

下图1-17为认证部分报文：

图1-17

分析：

（1）本报文作用为认证

（2）交换模式为主模式

（3）标志位说明：

1当前加密，0未提交状态，0未完成认证

三部进行完后发送方会把IPSEC策略发给对方，有对方选择合适的策略，报文如下图1-18所示：

图1-18

分析：

（1）有效载荷类型为HASH载荷

（2）交换模式为快速模式

（3）表示当前已经是安全环境了

完成IPSEC的交互后，后面的报文变为了ESP报文：

如图1-19所示

图1-19

分析：

（1）所加ESP头中的SPI和Sequence分别为1793543626和1

（2）上层协议为ESP（50）说明其为一个IPSEC报文

五、实验中的问题

抓获ISAKMP包时用科来网络分析系统所抓获的报文如下图1-20所示。

可以看出少了一段InternetSecurityAssociationandKeyManagementProtocol的解析，导致无法看到IPSEC的协商过程。

最终改用wireshark抓包，顺利的解决了这个问题，找到了该过程。

图1-20