华南理工大学计算机网络网络报文抓取与分析实验报告Word文档下载推荐.docx
《华南理工大学计算机网络网络报文抓取与分析实验报告Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《华南理工大学计算机网络网络报文抓取与分析实验报告Word文档下载推荐.docx(13页珍藏版)》请在冰豆网上搜索。
请需要的同学在教学在线上下载中文操作手册。
2.2实验要求
软件:
Wireshark(目前最新版本1.4.1)
硬件:
上网的计算机
3.实验步骤
3.1wireshark的安装
wireshark的二进制安装包可以在官网.wireshark.org/download.html#release下载,或者可以在其他网站下载。
注意:
下载后双击执行二进制安装包即可完成wireshark的安装。
安装包里包含了WinPcap,并不需要单独安装WinPcap。
3.2查看本机的网络适配器列表
操作:
单击菜单Capture中的Interfaces选项
记录下你看到的信息,并回答问题:
(1)、你机器上的网络适配器有几个?
4
(2)、它们的编号分别是?
VMwareNetworkAdapterVMnet8
实际地址:
00-50-56-C0-00-08
IP地址:
192.168.241.1
子网掩码:
255.255.255.0
验证网卡
00-1E-30-2D-FF-BA
169.254.2.191
255.255.0.0
默认网关:
DNS服务器:
222.201.130.30,222.201.130.33
WINS服务器:
VMwareNetworkAdapterVMnet1
00-50-56-C0-00-01
192.168.133.1
Console网卡
78-E3-B5-A5-B5-2B
192.168.3.53
255.255.252.0
192.168.1.254
222.201.130.30
3.3在指定网络适配器上进行监听
在步骤3.2中弹出的Interfaces选项中,选择指定的网络适配器并单击start按钮
记录并解释wireshark监听的包内容(解释1条记录即可)
传输时间,发送方IP地址,接收方IP地址,协议类型,报文长度,报文信息
报文内第一行:
60bytes是报文大小,
报文内第二行:
发送方的mac地址,接收方的mac地址
报文内第三行:
发送方的IP地址,接收方的IP地址
报文内第四行:
发送方的端口号(80)接收方的端口号(1993)请求序列号为450,回执序列号191。
数据长度为0。
3.4记录一个TCP三次握手过程
在步骤3.3的基础上,单击start按钮后,打开命令行窗口并输入:
telnet,然后停止继续侦听网络信息。
在wireshark的Filter中输入表达式:
(ip.src==192.168.1.100orip.dst==192.168.1.100)and(tcp.dstport==23ortcp.srcport==23)
其中192.168.1.100是你所在机器的IP,请自行根据自己机器的IP地址修改filter(可使用IPconfig查看)。
telnet服务的传输层采用了tcp协议,并且其默认端口是23。
在wireshark窗口中,记下所显示的内容(可事先通过重定向的方式记录)并回答问题。
(1)根据得到的信息解释所键入的filter定制中的参数的含义?
发送方IP地址是192.168.1.100或者接收方IP地址是192.168.1.100且发送方端口是23或接收方端口是23的TCP连接
(2)请从得到的信息中找出一个TCP的握手过程。
并用截图形式记录下来。
(2)结合得到的信息解释TCP握手的过程。
第一行:
192.168.3.53请求建立连接(seq=0)
第三行:
121.195.187.12收到报文(ack=1),作出回应(seq=0)
第四行:
192.168.3.53收到报文(ack=1),发送报文(seq=1)
3.5一个TCP握手不成功的例子
telnet192.168.1.101,然后停止继续侦听网络信息。
ip.src==192.168.1.100orip.dst==192.168.1.100and(tcp.dstport==23ortcp.srcport==23)
其中192.168.1.100是你所在机器的IP,telnet服务是tcp协议并且其默认端口是23。
上面的IP192.168.1.101可改为任何没有打开telnet服务的IP。
比如:
可以用身边同学的IP。
(注:
此IP的机器上要求没有打开telnet服务,但要求机器是开的,否则将无法主动拒绝一个TCP请求)
(1)试从得到的信息中找出一个TCP的握手不成功的过程,并用截图记录下来
(2)并结合所得到的信息解释这个握手不成功的例子。
发送第一次请求报文后,收到一个回应报文,但是因为没有打开talnet服务,所以握手失败。
3.6侦听网络上的ARP包
3.6.1验证ARP工作原理
关于ARP的说明:
IP数据包常通过以太网发送。
但以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包的。
因此,必须把目的IP地址对应到以太网的MAC地址。
当一台主机自己的ARP表中查不到目的IP对应的MAC地址时,需要启动ARP协议的工作流程。
ARP工作时,送出一个含有目的IP地址的广播ARP请求数据包。
如果被请求目的IP对应的主机与请求机位于同一个子网,目的主机将收到这个请求报文,并按照RFC826标准中的处理程序处理该报文,缓存请求报文中的源IP和源MAC地址对,同时发出ARP应答(单播),请求机收到ARP应答,将应答中的信息存入ARP表,备下次可能的使用。
如果被请求目的IP对应的主机与请求机不在同一个子网,请求机所在的缺省网关(代理ARP)会发回一个ARP应答,将自己的MAC地址作为应答内容,请求机即将目的IP和网关的MAC地址存入ARP表中。
为了维护ARP表的信息是反应网络最新状态的映射对,所有的ARP条目都具有一个老化时间,当一个条目超过老化时间没有得到更新,将被删除。
要看本机的ARP表(也即IP与MAC地址对应表)中的内容,只需在命令行方式下键入:
arp–a命令即可。
在下面的实验中,为了能够捕捉到ARP消息,首先将本机的ARP表中的内容清空。
这样当你使用Ping命令时,它会首先使用ARP请求报文来查询被ping机器IP的MAC地址。
(当本地的ARP表中有这个IP对应的MAC地址时,是不会再查询的)。
要将本机的ARP表中的内容清空,请使用命令:
arp–d*。
关于ARP更进一步的说明,请同学到网上查阅相关资料。
3.6.1验证实验
操作:
arp–d(清除ARP表)
ping192.168.1.101(Ping任意一个和你的主机在同一个局域网的IP,说明:
被Ping的主机不能开防火墙)。
arp,然后就能会出现ARP消息的记录。
请根据记录回答以下问题:
(1)记录下你所看到的信息,用截图形式。
(找到ARP请求和ARP应答两个报文)
(2)请分析解释你的记录中的内容表示什么意思,从而说明ARP的工作原理。
有一个请求和一个应答,表达ARP发出的一个请求和一个应答,即ARP通过广播使得对方接收到我的广播包,并且得到对方的以太网地址应答。
ARP的工作原理:
在自己主机上构建一个数据包,,然后发送一个广播包,等待应答。
然后这两个过程使用的协议就是ARP。
(3)3.6.2设计一个ARP缓存刷新机制的验证
为了避免子网中频繁发起ARP请求,让ARP工作得更加高效,每台主机(包括路由器)内部的内存中都开辟了一个ARP缓存空间,叫ARP表。
按照教材上的讲解,ARP表的刷新因素主要有:
(1)从应答中提取IP-MAC映射对;
(2)从机器启动的时候发送的免费ARP请求(gratuitousARP)中提取源IP-MAC映射对;
(3)从子网中侦听到的普通ARP请求广播帧中读取源IP-MAC映射对。
在PT模拟演示中,已经看到:
侦听到ARP广播请求的主机,并没有刷新自己的ARP表。
请设计一个实验来分析说明现实网络中,上述第二条和第三条刷新机制是否存在或者被实现。
注意:
(1)实验室B3-230、231的所有PC的consel网卡都处于同一个大子网中(255.255.252.0)。
(2)建议:
这个设计实验,以4~8人的组来完成,并请组长在实验报告中写明实验方法,得到的结论,分析过程等,尽量详细。
(组长一人写,并写明协助一起完成的组成员;
组成员在自己的实验报告中,只需说明参加哪位组长的实验即可。
)
(3)如果时间来不及,请在宿舍继续完成该项。
3.6.2设计一个ARP缓存刷新机制的验证
实验设计与实验过程:
ARP表刷新因素
(1)在实验3.6.1已验证;
ARP表刷新因素
(2)、(3)的验证环境如下:
实验环境:
六台实验PC通过无线连接到同一个子网(192.168.199.0),网关为192.168.199.1
电脑编号操作系统IPMAC
PC1Win7Ultimate192.168.199.13544-6D-57-48-8A-F5
PC2Win7Ultimate192.168.199.15244-6D-57-60-2A-A6
PC3Win8.1192.168.199.1029c-2a-70-1f-24-1c
PC4Win7Ultimate192.168.199.20760-36-dd-b0-fa-a9
PC5Win7Ultimate192.168.199.15474:
e5:
43:
64:
77:
22
PC6Win7Ultimate192.168.199.218e0:
06:
e6:
cb:
3a:
b2
实验过程:
PC1、PC2、PC3、PC4、PC5、PC6连接网络后执行arp–d,再执行arp-a查看ARP信息并记录,然后PC1、PC2运行Wireshark抓包;
PC3-PC4断开网络后连接该网络,此时PC1-PC2运行arp-a查看ARP信息并记录;
PC5、PC6运行arp-d清除ARP表,PC5pingPC6后,PC1、PC2再运行arp-a查看并记录ARP表。
实验记录:
PC1的wireshark截图:
▲截图分析:
PC3、PC4连接网络后,第一时间请求网关MAC并发送gratuitousARP,结合PC1的arp表变化可以得出机制
(2)生效;
但结合PC2的arp表变化,无法得出机制
(2)生效;
(再进行一次实验)
发现IP为192.168.199.135的主机发送gratuitousARP,可以得出网络上的主机每个一段时间都会发送gratuitousARP;
PC1的CMD操作及结果:
C:
\Users\zwx>
arp-d
arp-a
接口:
192.168.199.135---0xb
Internet地址物理地址类型
192.168.199.1d4-ee-07-08-a1-6a动态
192.168.199.1029c-2a-70-1f-24-1c动态
192.168.199.20760-36-dd-b0-fa-a9动态
224.0.0.2201-00-5e-00-00-16静态
PC2的CMD操作及结果:
\Windows\system32>
192.168.199.152---0xb
192.168.199.255ff-ff-ff-ff-ff-ff静态
224.0.0.25201-00-5e-00-00-fc静态
再一次实验:
三台实验PC通过无线连接到同一个子网(192.168.199.0),网关为192.168.199.1
PC2Win7Ultimate192.168.199.15244-6D-57-60-2A-A6
PC2打开wireshark抓包;
PC1-PC3执行arp–d清除arp缓存,PC1执行ARP–a查看ARP缓存变化;
--
PC3连接wifi;
(结果分析:
连接新网络,主机会发送gratuitousARP请求)
PC1执行ARP–a查看ARP缓存变化(结果分析:
PC1并没有因为gratuitousARP的请求而刷新ARP缓存,也没有主机对gratuitousARP请求作出应答,因此,得知机制
(2)无效)
---
----
然后PC1pingPC3;
PC1执行ARP–a查看ARP缓存变化(结果分析,发送ARP请求得到PC3的MAC)
同时,PC2执行arp–a,(结果分析:
机制(3)无效)
实验结论:
ARP表的刷新因素主要有:
其中只有因素
(1)在实际应用中生效;
3.7侦听网络上的ICMP包
关于ICMP的说明:
ICMP是“InternetControlMessageProtocol”(Internet控制消息协议)的缩写。
它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。
控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。
这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
我们在网络中经常会使用到ICMP协议,只不过我们觉察不到而已。
比如我们经常使用的用于检查网络通不通的Ping命令,这个“Ping”的过程实际上就是ICMP协议工作的过程。
还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。
另外,ICMP消息也常常被用于作为网络攻击的手段。
关于ICMP更进一步的说明,请同学到网上查阅相关资料。
ping192.168.1.101(Ping任意一个和你的主机在同一个局域网的IP,说明:
icmp,然后就能会出现ICMP消息的记录。
(1)记录下你所看到的信息?
(找到回声请求和回声应答两个报文)
(2)请分析解释一下你的记录中的内容,从而说明ping应用的原理。
(提示:
因为ICMP报文是放在IP报文中发送的,故wireshark侦听到的报文中有部分内容是属于ICMP报文的,另有部分内容是属于IP报文的,请注意加以区分)
从源地址192.168.3.53发往目的地址192.168.3.54,使用的协议是ICMP协议,Echo就是回显,Echoreply是回显应答表示这个指定的目标已经到达而且还存活确认。
ping应用的原理:
用来侦测Internet上面是否存在一台特
升级会员 