PHÂN TÍCH VÀ NHẬN DẠNG GÓI UDP HEADER

So sánh với TCP, UDP là một giao thức truyền rất đơn giản, UDP headers và dữ liệu sẽ được đóng gói trong IP datagram, gần giống như TCP. Trong hình 2-19, bạn có thể nhìn thấy dạng thực tế của UDP header. Có 3 dòng thông tin trong hình này. Cũng như TCP, khi một máy tính nhận được UDP header, nó sẽ bắt đầu đọc dòng đầu tiên và từ bên trái qua, từng bit từng bit một. Một khi nó đọc xong dòng đầu, nó sẽ tiếp tục dòng thứ hai và tiếp tục như thế.

Hình 2-19:Một UDP header với tất cả trường của nó.

Sử dụng hình 2-19, chúng ta sẽ tập trung vào phần header, xác định chức năng của mỗi vùng. Sau khi xác định các trường, chúng ta sẽ dùng Network Monitor để bắt và phân tích gói tin UDP header.

- Bắt đầu từ dòng một, ô bên trái là một trường được gọi là Source Port Number. Trường này là một giá trị 16 bit để định nghĩa tầng application bên trên đang sử dụng UDP ở host nguồn.

- Trường thứ hai của dòng đầu được gọi là Destination Port Number. Trường này là một giá trị 16 bit để định nghĩa cho tầng application bên trên đang sử dụng UDP ở host đích.

- Ở dòng thứ hai, trường bên tay trái được gọi là UDP Length. Đây là giá trị 16 bit để định nghĩa chiều dài của dữ liệu gói UDP và UDP header.

- Trường thứ hai của dòng thứ hai là trường được gọi là UDP Checksum. Đây là giá trị 16 bit được dùng để cung cấp khả năng kiểm tra toàn vẹn của UDP header và UDP data. Giá trị này sẽ được tính toán bởi người gửi, sau đó lưu lại và người nhận so sánh với giá trị nhận được.

- Dòng thứ ba là nơi dữ liệu user thực được lưu trữ. Nó có thể cho một user gửi một UDP datagram với dữ liệu có kích thước 0 bytes.

Cài đặt: bạn hãy logged vào Windows Server 2003 với quyền Administrator, và chạy Network Monitor.

1. Tìm đến C:\Tools\Lesson2. Trong folder này là một file tftp.cap. Mở tftp.cap trong Network Monitor.

2. Mở chi tiết của khung UDP bất kỳ, và so sánh nó trong bài thảo luận. Chú ý thông tin bên dưới:

a. Source Port.

b. Destination Port. c. UDP thực tế là cái gì.

3. Khi bạn đang phân tích gói traffic này, chắc chắn rằng không có phiên làm việc nào đang hoạt động, khi UDP bị mất kết nối.

Chương IV- Phân tích gói dữ liệu phân mảnh và một Session hoàn chỉnh

Tất cả dữ liệu được chuyển dịch trong mạng trong một lần hoặc nhiều lần khác nhau, tùy đoạn dữ liệu được phân mảnh. Điều này là do thực tế rằng tất cả các mạng phức tạp thì được cấu thành từ các đa phương tiện khác nhau và cách cấu hình khác nhau. Vì thế, một gói packet có kích thước chính xác không đổi có thể là phù hợp ở một segment, nhưng nó lại quá lớn đối với segment kế tiếp. Gói packet có kích thước hạn chế thì cho phép tồn tại trong mô hình mạng đa dạng hoặc từ mạng này sang mạng khác được gọi là Maxium Trasmission Unit (MTU).

Khi datagram được phân mảnh, nó sẽ không tập hợp lại cho đến khi nó tìm được đến địa chỉ đích cuối cùng. Khi datagram bị phân mảnh, mỗi mảnh trở thành gói packet truyền độc nhất và được nhận một lần duy nhất.

TCP segments được gửi đi sử dụng IP datagram. TCP mong đợi tỷ lệ một một của segment đến datagram. Do đó, IP trên người nhận cuối phải hoàn thành việc kết hợp datagram trước khi gửi segment đến TCP. Trong mối quan hệ giữa TCP và IP, các ràng buộc bên dưới có ảnh hưởng đến phân đoạn được định nghĩa:

- Kích thước lớn nhất gói segment TCP (MMS) là IP kíc thước lớn nhất gói IP datagram trừ đi 40 octets.

- Kích thuớc mặc định của Maxium Datagram Size là 576 octets. - Kích thuớc mặc định của Maxium Segment Size là 536 octets.

Việc phân mảnh hiếm khi xảy ra ở nguồn của một datagram, nhưng cũng có thể có. Ví dụ như một host nhận nói rằng nó có thể chấp nhận những segments mà có kích thước lớn hơn nhiều lần segments mà các user bình thường vẫn gửi. Một ví dụ khác là host nằm trong môi trường mạng chạy gói tin kích thước nhỏ, như là PPP, và dùng một ứng dụng chỉnh sửa kích thước gói tin.

Nhìn chung là sau cùng việc phân mảnh là ở gateway, nơi mà có sự khác biệt MTU trên các cổng khác nhau rất cao. Bên dưới là danh sách các MTU trên các thiết bị khác nhau:

- PPP: 296 bytes - Ethernet: 1500 bytes

- Token Ring (4 MB/s): 4464 bytes - Token Ring (16 MB/s): 17914 bytes

Hình 2-20: cách thức truyền của đoạn phân mảnh