抓包工具实践报告.docx
《抓包工具实践报告.docx》由会员分享,可在线阅读,更多相关《抓包工具实践报告.docx(15页珍藏版)》请在冰豆网上搜索。
抓包工具实践报告
实践3抓包工具的应用
姓名:
孙天宇
学号:
2016141452121
指导教师:
严华
实践前准备
1.omnipeek的安装(注意安装时选择manual)
2.用网线实现两台pc-pc的连接
3.配置pc的IP地址:
192.168.0.x(x在10-200之间即可)
子网掩码:
255.255.255.0
默认网关:
192.168.0.1
4.’关掉pc的防火墙、杀毒软件及其他跟网络相关的软件
本PC的IP地址设置为192.168.0.30,对方PC的IP地址设置为192.168.0.15
一、两台PC互相ping通后抓包
1、实践步骤
(1)两台PC通过交换机或网线互相ping通。
(2)抓取1个ARP请求报文和1个ARP响应报文。
(3)抓取1个ICMPECHO报文和1个ICMPECHOREPLY报文。
(4)分别选择其中的任意一个ARP请求报文、ARP响应报文、ICMPECHO报文、ICMPECHOREPLY报文,打开并观察其数据包
2、实践要求
(1)列出上述报文对应MAC帧原始数据,附上对应截图。
(2)找出上述报文对应MAC帧的源MAC地址、目的MAC地址、类型、数据长度,附上与原始数据的对应图。
(3)找出ICMPECHO和ECHOREPLAY报文的首部长度、总长度、生存时间、协议
首部校验和、源IP地址、目的IP地址,计算单次成功ping的时间,附上与原始数据的对应图。
(4)找出ARP请求报文希望获得的MAC地址及其对应的IP地址,附上对应截图。
(5)举例说明MAC帧、IP包、ICMP报文的关系。
3、实践结果
(1)ping通目标主机192.168.0.15(对方也ping通192.168.0.30)
(2)在ping命令时抓取到的部分数据包
(3)所选的四组报文数据
ARP请求报文
ARP响应报文
ICMPECHO报文
ICMPECHOREPLY报文
(4)所选报文对应MAC帧原始数据
ARP请求报文
ARP响应报文
ICMPECHO报文
ICMPECHOREPLY报文
(5)四组报文对应MAC帧的源MAC地址、目的MAC地址、类型、数据长度
①ARP请求报文
源Mac地址:
1C:
39:
47:
18:
57:
A1
目的Mac地址:
1C:
39:
47:
18:
57:
A2
类型:
IPARP
数据长度:
64
②ARP响应报文
源Mac地址:
1C:
39:
47:
18:
57:
A2
目的Mac地址:
1C:
39:
47:
18:
57:
A1
类型:
IPARP
数据长度:
64
③ICMPECHO报文
源Mac地址:
1C:
39:
47:
18:
57:
A2
目的Mac地址:
1C:
39:
47:
18:
57:
A1
类型:
IP
数据长度:
78
④ICMPECHOREPLY报文
源Mac地址:
1C:
39:
47:
18:
57:
A2
目的Mac地址:
1C:
39:
47:
18:
57:
A1
类型:
IP
数据长度:
78
(6)ICMPECHO和ECHOREPLAY报文的首部长度、总长度、生存时间、协议
首部校验和、源IP地址、目的IP地址,计算单次成功ping的时间。
①ICMPECHO报文
首部长度:
5总长度:
60生存时间:
64
协议:
TCMP-InternetControlMessageProtocol首部校验和:
0
源IP地址:
192.168.0.30目的IP地址:
192.168.0.15
时间标记:
03:
42:
00.963679300
②ICMPECHOREPLY报文
首部长度:
5总长度:
60生存时间:
128
协议:
TCMP-InternetControlMessageProtocol首部校验和:
B5EF
源IP地址:
192.168.0.15目的IP地址:
192.168.0.30
时间标记:
03:
42:
00.965989300
单次成功ping的时间为0.965989300-0.963679300=0.00231s=2.31ms
(7)找出ARP请求报文希望获得的MAC地址及其对应的IP地址。
Mac地址:
1C:
39:
47:
E1:
23:
A2
IP地址:
192.168.0.15
(8)以ICMPECHO报文为例说明MAC帧、IP包、ICMP报文的关系。
图中从第0字节到第73字节是一个完整的MAC帧,总长度74字节。
去掉MAC帧的首部(第0到13个字节)和尾部(FCS共4字节),保留的从第14字节到第73字节是一个完整的IP包。
再去掉IP包首部(第14到33字节),保留的为ICMP报文
MAC帧包含IP包,IP包包含ICMP报文。
二、抓取访问web站点过程中的tcp连接
1、实践内容步骤及要求
访问因特网上的web站点,抓取TCP连接的三次握手和四次挥手过程,附上相应截图,并分析三次握手和四次握手的详细过程,包括源、目的IP,源、目的端口号,序号和确认序号的变化情况,标志位SYN、FIN和ACK的值等。
2、实践结果及分析
关闭无用软件后,访问 从中可以找到TCP连接的三次握手和四次握手过程。
(1)三次握手数据包
四次握手数据包
(2)三次握手详细过程
①第一次握手报文
源IP地址:
192.168.43.219目的IP地址:
202.115.35.11
源端口号:
19080目的端口号:
8081
序号:
1970759663确认序号:
0
SYN:
1FIN:
0ACK:
0
②第二次握手报文
源IP地址:
202.115.35.11目的IP地址:
192.168.43.219
源端口号:
8081目的端口号:
19080
序号:
624498837确认序号:
1970759664
SYN:
1FIN:
0ACK:
1
③第三次握手报文
源IP地址:
192.168.43.219目的IP地址:
202.115.35.11
源端口号:
19080目的端口号:
8081
序号:
1970759664确认序号:
624498838
SYN:
0FIN:
0ACK:
1
④三次握手过程分析
IP地址192.168.43.219的为客户A,IP地址202.115.35.11的为服务器B
第一次握手:
A向B发送请求建立TCP连接;首部中的同步位SYN=1,表示连接请求;同时选择一个初始序号为1970759663;ACK=0表示确认号无效。
第二次握手:
B向A发送确认建立TCP连接;首部中SYN=1,ACK=1,表示同意建立连接;确认序号为1970759664,等于第一次握手时的初始序号加1,是因为SYN报文段虽然不能携带数据但是要消耗掉一个序号;同时为自己选择一个初始序号为624498837
第三次握手:
A收到B的确认后,向B发送确认;确认报文段的ACK置1;确认序号为624498838,等于第二次握手时的初始序号加1;自己的序号为1970759664,等于第一次握手的初始序号加1;
(3)四次握手详细过程
①第一次握手报文
源IP地址:
192.168.43.219目的IP地址:
202.115.35.11
源端口号:
19080目的端口号:
8081
序号:
1970759664确认序号:
624498838
SYN:
0FIN:
0ACK:
1
②第二次握手报文
源IP地址:
202.115.35.11目的IP地址:
192.168.43.219
源端口号:
8081目的端口号:
19080
序号:
624498838确认序号:
1970760162
SYN:
0FIN:
0ACK:
1
③第三次握手报文
源IP地址:
202.115.35.11目的IP地址:
192.168.43.219
源端口号:
8081目的端口号:
19080
序号:
624498838确认序号:
1970760162
SYN:
0FIN:
0ACK:
1
④第四次握手报文
源IP地址:
192.168.43.219目的IP地址:
202.115.35.11
源端口号:
19080目的端口号:
8081
序号:
1970760162确认序号:
624499027
SYN:
0FIN:
0ACK:
1
三、抓取四川大学教务系统账号密码
打开教务处网址,随便输入一个账号密码
test:
账号:
2014141450213
密码:
abcde
抓包后,找出对应数据包进行解码
成功获取输入的账号和密码(明文)