1、请需要的同学在教学在线上下载中文操作手册。2.2 实验要求 软件: Wireshark (目前最新版本1.4.1) 硬件:上网的计算机3实验步骤3.1 wireshark的安装 wireshark的二进制安装包可以在官网.wireshark.org/download.html#release下载,或者可以在其他网站下载。 注意:下载后双击执行二进制安装包即可完成wireshark的安装。安装包里包含了WinPcap,并不需要单独安装WinPcap。3.2 查看本机的网络适配器列表 操作:单击菜单Capture中的Interfaces选项 记录下你看到的信息,并回答问题: (1)、你机器上的网络
2、适配器有几个?4 (2)、它们的编号分别是? VMware Network Adapter VMnet8实际地址: 00-50-56-C0-00-08IP 地址: 192.168.241.1子网掩码: 255.255.255.0验证网卡 00-1E-30-2D-FF-BA 169.254.2.191 255.255.0.0默认网关:DNS 服务器: 222.201.130.30, 222.201.130.33WINS 服务器:VMware Network Adapter VMnet1 00-50-56-C0-00-01 192.168.133.1Console网卡 78-E3-B5-A5-B5
3、-2B 192.168.3.53 255.255.252.0 192.168.1.254 222.201.130.303.3 在指定网络适配器上进行监听在步骤3.2中弹出的Interfaces选项中,选择指定的网络适配器并单击start按钮 记录并解释wireshark监听的包内容(解释1条记录即可)传输时间,发送方IP地址,接收方IP地址,协议类型,报文长度,报文信息报文内第一行:60bytes是报文大小,报文内第二行:发送方的mac地址,接收方的mac地址报文内第三行:发送方的IP地址,接收方的IP地址报文内第四行:发送方的端口号(80)接收方的端口号(1993)请求序列号为450,回执序
4、列号191。数据长度为0。3.4 记录一个TCP三次握手过程在步骤3.3的基础上,单击start按钮后,打开命令行窗口并输入:telnet ,然后停止继续侦听网络信息。在wireshark的Filter中输入表达式:(ip.src=192.168.1.100 or ip.dst=192.168.1.100) and (tcp.dstport=23 or tcp.srcport=23) 其中192.168.1.100是你所在机器的IP,请自行根据自己机器的IP地址修改filter(可使用IPconfig查看)。telnet服务的传输层采用了tcp协议,并且其默认端口是23。在wireshark窗
5、口中,记下所显示的内容(可事先通过重定向的方式记录)并回答问题。(1) 根据得到的信息解释所键入的filter定制中的参数的含义?发送方IP地址是192.168.1.100或者接收方IP地址是192.168.1.100且发送方端口是23或接收方端口是23的TCP连接(2)请从得到的信息中找出一个TCP 的握手过程。并用截图形式记录下来。(2) 结合得到的信息解释TCP 握手的过程。第一行:192.168.3.53请求建立连接(seq=0)第三行:121.195.187.12收到报文(ack=1),作出回应(seq=0)第四行:192.168.3.53收到报文(ack=1),发送报文(seq=1
6、)3.5 一个TCP握手不成功的例子telnet 192.168.1.101,然后停止继续侦听网络信息。ip.src=192.168.1.100 or ip.dst=192.168.1.100 and (tcp.dstport=23 or tcp.srcport=23) 其中192.168.1.100是你所在机器的IP,telnet服务是tcp协议并且其默认端口是23。上面的IP 192.168.1.101 可改为任何没有打开telnet 服务的IP。比如:可以用身边同学的IP。(注:此IP 的机器上要求没有打开telnet 服务,但要求机器是开的,否则将无法主动拒绝一个TCP 请求)(1)
7、试从得到的信息中找出一个TCP 的握手不成功的过程,并用截图记录下来(2) 并结合所得到的信息解释这个握手不成功的例子。发送第一次请求报文后,收到一个回应报文,但是因为没有打开talnet服务,所以握手失败。3.6 侦听网络上的ARP包3.6.1 验证ARP工作原理 关于 ARP 的说明:IP 数据包常通过以太网发送。但以太网设备并不识别32 位IP 地址,它们是以48 位以太网地址传输以太网数据包的。因此,必须把目的IP 地址对应到以太网的MAC 地址。当一台主机自己的ARP表中查不到目的IP对应的MAC地址时,需要启动ARP协议的工作流程。ARP 工作时,送出一个含有目的IP 地址的广播A
8、RP请求数据包。如果被请求目的IP对应的主机与请求机位于同一个子网,目的主机将收到这个请求报文,并按照RFC826标准中的处理程序处理该报文,缓存请求报文中的源IP和源MAC地址对,同时发出ARP应答(单播),请求机收到ARP应答,将应答中的信息存入ARP表,备下次可能的使用。如果被请求目的IP对应的主机与请求机不在同一个子网,请求机所在的缺省网关(代理ARP)会发回一个ARP应答,将自己的MAC地址作为应答内容,请求机即将目的IP和网关的MAC地址存入ARP表中。为了维护ARP表的信息是反应网络最新状态的映射对,所有的ARP条目都具有一个老化时间,当一个条目超过老化时间没有得到更新,将被删除
9、。要看本机的 ARP 表(也即IP 与MAC 地址对应表)中的内容,只需在命令行方式下键入:arp a命令即可。在下面的实验中,为了能够捕捉到ARP 消息,首先将本机的ARP 表中的内容清空。这样当你使用Ping 命令时,它会首先使用ARP请求报文来查询被ping机器IP 的MAC 地址。(当本地的ARP 表中有这个IP 对应的MAC 地址时,是不会再查询的)。要将本机的ARP 表中的内容清空,请使用命令:arp d *。关于ARP 更进一步的说明,请同学到网上查阅相关资料。3.6.1 验证实验操作:arp d (清除ARP表)ping 192.168.1.101 (Ping 任意一个和你的主
10、机在同一个局域网的IP,说明:被Ping 的主机不能开防火墙)。arp,然后就能会出现ARP 消息的记录。请根据记录回答以下问题:(1) 记录下你所看到的信息,用截图形式。(找到ARP请求和ARP应答两个报文)(2) 请分析解释你的记录中的内容表示什么意思,从而说明ARP的工作原理。有一个请求和一个应答,表达ARP发出的一个请求和一个应答,即ARP通过广播使得对方接收到我的广播包,并且得到对方的以太网地址应答。ARP的工作原理:在自己主机上构建一个数据包,然后发送一个广播包,等待应答。然后这两个过程使用的协议就是ARP。(3) 3.6.2 设计一个ARP缓存刷新机制的验证为了避免子网中频繁发起
11、ARP请求,让ARP工作得更加高效,每台主机(包括路由器)内部的内存中都开辟了一个ARP缓存空间,叫ARP表。按照教材上的讲解,ARP表的刷新因素主要有:(1)从应答中提取IP-MAC映射对;(2)从机器启动的时候发送的免费ARP请求(gratuitous ARP)中提取源IP-MAC映射对;(3)从子网中侦听到的普通ARP请求广播帧中读取源IP-MAC映射对。在PT模拟演示中,已经看到:侦听到ARP广播请求的主机,并没有刷新自己的ARP表。请设计一个实验来分析说明现实网络中,上述第二条和第三条刷新机制是否存在或者被实现。注意:(1)实验室B3-230、231的所有PC的 consel 网卡都
12、处于同一个大子网中(255.255.252.0)。(2)建议:这个设计实验,以48人的组来完成,并请组长在实验报告中写明实验方法,得到的结论,分析过程等,尽量详细。(组长一人写,并写明协助一起完成的组成员;组成员在自己的实验报告中,只需说明参加哪位组长的实验即可。)(3)如果时间来不及,请在宿舍继续完成该项。3.6.2 设计一个ARP缓存刷新机制的验证实验设计与实验过程:ARP表刷新因素(1)在实验3.6.1已验证;ARP表刷新因素(2)、(3)的验证环境如下:实验环境:六台实验PC通过无线连接到同一个子网(192.168.199.0),网关为192.168.199.1电脑编号 操作系统 IP
13、 MACPC1 Win7 Ultimate 192.168.199.135 44-6D-57-48-8A-F5PC2 Win7 Ultimate192.168.199.15244-6D-57-60-2A-A6PC3 Win8.1 192.168.199.1029c-2a-70-1f-24-1cPC4 Win7 Ultimate 192.168.199.20760-36-dd-b0-fa-a9PC5 Win7 Ultimate 192.168.199.15474:e5:43:64:77:22PC6 Win7 Ultimate 192.168.199.218e0:06:e6:cb:3a:b2实验过
14、程:PC1、PC2、PC3、PC4、PC5、PC6连接网络后执行arp d,再执行arp -a查看ARP信息并记录,然后PC1、PC2运行Wireshark抓包;PC3-PC4断开网络后连接该网络,此时PC1-PC2运行arp -a查看ARP信息并记录;PC5、PC6运行arp -d清除ARP表,PC5 ping PC6 后,PC1、PC2再运行arp -a查看并记录ARP表。实验记录:PC1的wireshark截图:截图分析:PC3、PC4连接网络后,第一时间请求网关MAC并发送gratuitous ARP,结合PC1的arp表变化可以得出机制(2)生效;但结合PC2的arp表变化,无法得出
15、机制(2)生效;(再进行一次实验)发现IP为192.168.199.135的主机发送gratuitous ARP,可以得出网络上的主机每个一段时间都会发送gratuitous ARP;PC1的CMD操作及结果:C:Userszwxarp -darp -a接口: 192.168.199.135 - 0xb Internet 地址物理地址类型 192.168.199.1 d4-ee-07-08-a1-6a 动态 192.168.199.102 9c-2a-70-1f-24-1c 动态 192.168.199.207 60-36-dd-b0-fa-a9 动态 224.0.0.22 01-00-5e-
16、00-00-16 静态PC2的CMD操作及结果:Windowssystem32 192.168.199.152 - 0xb 192.168.199.255 ff-ff-ff-ff-ff-ff 静态 224.0.0.252 01-00-5e-00-00-fc 静态再一次实验:三台实验PC通过无线连接到同一个子网(192.168.199.0),网关为192.168.199.1PC2 Win7 Ultimate 192.168.199.15244-6D-57-60-2A-A6PC2打开wireshark抓包;PC1-PC3执行arp d 清除arp缓存,PC1执行ARP a查看ARP缓存变化;-PC
17、3连接wifi;(结果分析:连接新网络,主机会发送gratuitous ARP请求)PC1执行ARP a查看ARP缓存变化(结果分析:PC1并没有因为gratuitous ARP的请求而刷新ARP缓存,也没有主机对gratuitous ARP请求作出应答,因此,得知机制(2)无效)-然后PC1 ping PC3;PC1执行ARP a查看ARP缓存变化(结果分析,发送ARP请求得到PC3的MAC)同时,PC2执行arp a,(结果分析:机制(3)无效)实验结论:ARP表的刷新因素主要有:其中只有因素(1)在实际应用中生效;3.7 侦听网络上的ICMP包 关于 ICMP 的说明:ICMP 是“In
18、ternet Control Message Protocol”(Internet 控制消息协议)的缩写。它是TCP/IP 协议族的一个子协议,用于在IP 主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。我们在网络中经常会使用到 ICMP 协议,只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping 命令,这个“Ping”的过程实际上就是ICMP 协议工作的过程。还有其他的网络命令如跟踪路由的Tracert 命令也是基于ICMP 协议的。另外,ICMP 消息
19、也常常被用于作为网络攻击的手段。关于ICMP 更进一步的说明,请同学到网上查阅相关资料。ping 192.168.1.101 (Ping 任意一个和你的主机在同一个局域网的IP,说明:icmp,然后就能会出现ICMP 消息的记录。(1) 记录下你所看到的信息?(找到回声请求和回声应答两个报文)(2)请分析解释一下你的记录中的内容,从而说明ping应用的原理。(提示:因为ICMP 报文是放在IP 报文中发送的,故wireshark侦听到的报文中有部分内容是属于ICMP 报文的,另有部分内容是属于IP 报文的,请注意加以区分)从源地址192.168.3.53发往目的地址192.168.3.54,使用的协议是ICMP协议,Echo就是回显,Echo reply是回显应答 表示这个指定的目标已经到达而且还存活确认。ping应用的原理:用来侦测Internet上面是否存在一台特
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1