1、IP 及 IPSEC 协议数据包的捕获与分析为了掌握掌握 IP 和 IPSEC 协议的工作原理及数据传输格式,熟悉网络层的协议。我进行了以下实验:首先用两台 PC 互 ping 并查看其 IP 报文,之后在两台 PC 上设置 IPSEC 互 ping 并查看其报文。最终分析两者的报文了解协议及工作原理。一、用两台 PC 组建对等网:将 PC1 与 PC2 连接并分别配置 10.176.5.119 和 10.176.5.120 的地址。如图 1-1 所示。图 1-1二、两 PC 互 ping:IP 数据报结构如图 1-2 所示。图 1-2我所抓获的报文如图 1-3,图 1-4 所示:图 1-3
2、请求包图 1-4 回应包分析抓获的 IP 报文:(1) 版本:IPV4(2) 首部长度:20 字节(3) 服务:当前无不同服务代码,传输忽略 CE 位,当前网络不拥塞(4) 报文总长度:60 字节(5) 标识该字段标记当前分片为第 1367 分片(6) 三段标志分别指明该报文无保留、可以分段,当前报文为最后一段(7) 片偏移:指当前分片在原数据报(分片前的数据报)中相对于用户数据字段 的偏移量,即在原数据报中的相对位置。 (8) 生存时间:表明当前报文还能生存 64(9) 上层协议:1 代表 ICMP(10) 首部校验和:用于检验 IP 报文头部在传播的过程中是否出错(11)报文发送方 IP:
3、10.176.5.120(12)报文接收方 IP:10.176.5.119(13)之后为所携带的 ICMP 协议的信息:类型 0 指本报文为回复应答,数据部分则指出该报文携带了 32 字节的数据信息,通过抓获可看到内容为:abcdefghijklmnopqrstuvwabcdefghi三、IPSec 协议配置:1、新建一个本地安全策略。如图 1-5。图 1-52、添加 IP 安全规则。如图 1-6.图 1-63、添加 IP 筛选器。如图 1-7,图 1-8,图 1-9图 1-7图 1-8 图 1-94、设置筛选器操作,如图 1-10,图 1-11 所示图 1-10图 1-115、设置身份验证方
4、法,预共享密钥:123456789,如图 1-12 所示图 1-126、将设置好的本地安全策略分配,如图 1-13 所示图 1-13四、两 PC 配置 IPSEC 互 ping,并抓获报文分析:所抓取报文如下图 1-14 所示图 1-14下图 1-15 为协议协商部分报文:图 1-15分析:(1) 发起方的 SPI 为:1cfe1a3b68487806(2) 响应方的 SPI 为:未知(3) 本报文作用为协商 IKE 策略(4) 交换模式为主模式(5) 有效载荷类型:策略协商(6) 载荷长度:56(7) 解释域为 IPSEC 协议(8) 第二段有效载荷类型为建议部分(9) 第二段有效载荷类型为
5、传输,内容是 IKE 策略下图 1-16 为 KEY 交换部分报文: 图 1-16分析:作用为通过协商 DH 产生第一阶段的密码。(1) 本报文作用为密钥交换(2) 交换模式为主模式(3) 说明了所用到的 RFC 及加密后的数据下图 1-17 为认证部分报文:图 1-17分析: (1) 本报文作用为认证(2) 交换模式为主模式(3) 标志位说明:1 当前加密,0 未提交状态,0 未完成认证三部进行完后发送方会把 IPSEC 策略发给对方,有对方选择合适的策略,报文如下图 1-18 所示:图 1-18分析:(1) 有效载荷类型为 HASH 载荷(2) 交换模式为快速模式(3) 表示当前已经是安全
6、环境了完成 IPSEC 的交互后,后面的报文变为了 ESP 报文:如图 1-19 所示图 1-19分析:(1) 所加 ESP 头中的 SPI 和 Sequence 分别为 1793543626 和 1(2) 上层协议为 ESP(50)说明其为一个 IPSEC 报文五、实验中的问题抓获 ISAKMP 包时用科来网络分析系统所抓获的报文如下图 1-20 所示。可以看出少了一段 Internet Security Association and Key Management Protocol 的解析,导致无法看到 IPSEC 的协商过程。最终改用 wireshark 抓包,顺利的解决了这个问题,找到了该过程。图 1-20
