协议分析上机实验报告.docx
《协议分析上机实验报告.docx》由会员分享,可在线阅读,更多相关《协议分析上机实验报告.docx(11页珍藏版)》请在冰豆网上搜索。
协议分析上机实验报告
网络协议分析实验报告
专业:
学号:
姓名:
一、实验目的
z掌握Sniffer工具的使用;
z学会分析网络流量中各协议的分布情况;
z掌握监听网络数据包的方法;
z通过抓包工具,观察Mac帧、IP包格式、ARP、ICMP报文,掌握基本的网络协
议分析方法。
二、设备与环境
z计算机,局域网环境
zWindows操作系统
zTCP/IP协议
zSniffer软件
Sniffer软件是NAI公司推出的单机协议分析软件,同时具有发送报文的功能。
它运行
在微机上,利用微机的网卡,截获或发送网络数据,并做进一步分析。
可以应用于通信监视、
流量分析、协议分析、故障管理、性能管理、安全管理等方面。
Sniffer的主要功能有捕获网
络流量进行详细分析,诊断问题,实时监控网络活动,收集网络信息:
如利用率和错误等。
三、实验内容
1.要求掌握网络抓包软件Sniffer内容包括:
捕获网络流量进行详细分析
实时监控网络活动
收集网络利用率和错误等
2.协议分析
(一):
IP协议,内容包括:
IP头的结构
IP数据报的数据结构分析
3.协议分析
(二):
ARP协议,内容包括:
ARP协议的工作原理
ARP数据结构分析
4.协议分析(三):
ICMP协议分析。
四、实验步骤:
1.安装SnifferPro工具软件,
2.运行SnifferPro,选择相应网卡
单击开始—〉程序—〉SnifferPro-〉Sniffer,启动监视工具SnifferPro。
在Sniffer软件界面中单击File—〉SelectSettings,弹出网卡选择对话框。
选择完成单击确定回到主界面。
3.利用Sniffer软件进行网络监听、进行网络流量分析。
在Sniffer中选择Capture->Start。
开始进行网络流量捕获,打开浏览器登陆某个网站增
加网络流量。
然后停止捕获,对所截获的网络流量进行分析。
1)选择Dashboard(网络流量表)查看网络状态。
点击图1-2中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),
第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错
误率(Errors)。
通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网
络要求设置的上限。
图1-2
点击Detail查看具体数值。
选择图1-2中②所指的选项将显示如图1-4所示的更为详细的网络相关数据的曲线图。
图1-4
2)选择Decode进行分析。
如图1-5,可以看到详细的数据流,如arp,tcp和dns等等。
图1-5
3)在菜单栏中选择MonitorÆMatrix,点击IP标签,在左边竖边条中选择Map,观察
当前网络中主机通信矩阵;非常直观的显示流量分布情况。
如图1-6。
图1-6
图1-7当前主机通信流量
4)在菜单栏中选择MonitorÆProtocolDistribution,在左边竖边条中选择相应的查看方
式观察协议分布。
如图1-8。
图1-8当前主机协议分布对于Matrix,HostTable,PortocolDist.Statistics等提供了丰富的按照地址,协议等内容做了丰富的组合统计,比较简单,可以通过操作很快掌握这里就不再详细介绍了。
4.在命令符下运行:
arp–d//目的是:
清除arp缓存
5.重新启动Sniffer监听网络数据包。
6.在命令符下,Ping相邻的主机(属于同一个网段的机器)。
同时Sniffer捕获ping程序过程中相关的数据包,并分析这些数据包:
包括MAC地址,帧的类型,帧的大小,IP地址等,最好能分析出数据包的应答顺序。
(本过程主要涉及的网络层协议有IP、ICMP、ARP柱状图饼状图表格Bytes计数包计数的)。
7.停止捕获,对监听到的数据包进行分析。
5、实验结果:
观察主机间通信,并完成通信矩阵,填入表1-1。
z主机间流量统计,完成流量统计表格,完成表1-1。
A、在主机下方的空格中填上主机的IP
B、如果某两台主机之间存在通信,请在交叉处的第一个方格中打勾
C、在交叉处第二个方格出填入观察时的通信流量
z观察并统计各个协议分布,统计当前流量最大的五种协议,及各种协议所占比重,
完成表1-2。
表1-2
网络中存在的协议有
ICMP
HTTP
SNMP-TRAP
DNS
Netblos-NS
各种协议的比重
0.19%
25.45%
0.82%
0.63%
6.14%
1、IP协议分析
IP数据包的各字段含义如下表
字段
报文信息
说明
版本
4
IP协议类型为IPv4
头长
20Bytes
IP数据包的头长度
服务类型
0x00
数据报的的处理方式
总长度
1500
总长度指首部和数据之和的长度
标识
0x5310
用于分片操作中
标志
0x20
用于分片操作中
片偏移
1480
用于分片操作中
生存周期
128
数据报的存活时间
协议
ICMP(0x01)
说明法师宏数据报的上层协议
校验和
0x3c9f
数据报头部的完整性校验
源地址
192.168.1.175
标识发送方通信终端设备的IP地址
目的地址
192.168.1.152
标识接收方通信终端的IP地址
数据报如下:
2、ARP协议分析
ARP请求报文
ARP应答报文
字段
报文信息及参数
字段
报文信息及参数
硬件类型
Ethernet(0x0001)
硬件类型
Ethernet(0x0001)
协议类型
IP(0x0800)
协议类型
IP(0x0800)
硬件地址长度
6
硬件地址长度
6
协议地址长度
4
协议地址长度
4
操作
Request(0x0001)
操作
Reply(0x0002)
源站物理地址
a5:
a9:
e1
(00:
13:
20:
a5:
a9:
e1)
源站物理地址
a5:
a9:
f1
(00:
13:
20:
a5:
a9:
f1)
源站IP地址
192.168.1.149
(192.168.1.149)
源站IP地址
192.168.1.156
(192.168.1.156)
目的站物理地址
dell_a5:
a9:
f1
目的站物理地址
dell_aa:
df:
30
目的站IP地址
192.168.1.169
(192.168.1.169)
目的站IP地址
192.168.1.163
(192.168.1.169)
数据报如下:
3、ICMP协议分析
ICMP报文分析
报文号
源IP
目的IP
报文格式
类型
代码
标识
序列号
16
192.168.1.185
192.168.1.175
0(Echo(ping)reply)
0
0xda5b
0x0200
17
192.168.1.175
192.168.1.185
8(Echo(ping)request)
0
0xd15b
0x0200
61
192.168.1.175
192.168.1.185
8(Echo(ping)request)
0
0xbb5b
0x0200
62
192.168.1.185
192.168.1.175
0(Echo(ping)reply)
0
0xc35b
0x0200
117
192.168.1.175
192.168.1.185
8(Echo(ping)request)
0
0xa25b
0x0200
118
192.168.1.185
192.168.1.175
0(Echo(ping)reply)
0
0xaa5b
0x0200
实验数据如下:
1、为什么重新启动Sniffer监听网络数据包之前要执行“arp–d”命令
答:
用ARP–d清空缓存
六、实验总结:
通过此次实验,对ARP协议、ICMP协议、IP协议有了更深的了解。
掌握Sniffer工具的使用;学会分析网络流量中各协议的分布情况;掌握监听网络数据包的方法;通过抓包工具,观察Mac帧、IP包格式、ARP、ICMP报文,掌握基本的网络协议分析方法。
升级会员 