实验1网络协议分析Ethereal.docx

1、实验1网络协议分析Ethereal实验1 网络协议分析Ethereal1实验目的(1)学会正确安装和配置网络协议分析软件Ethereal；(2)掌握使用Ethereal分析各种网络协议的技能，加深对协议格式、协议层次和协议交互过程的理解。 2实验环境(1)运行Windows 20002003 ServerXP操作系统的PC一台； (2)每台PC具有一块以太网卡，通过双绞线与局域网相连； (3)Ethereal程序(可以从网上下载)。3实验步骤 (1)安装网络协议分析仪1)安装winPcap。 注意，网络协议分析软件Ethereal的运行需要软件winPcap(wpcap.dll)的支持，应当在

2、执行Ethereal前先霉装WinPcaP。如果没有安装winPcap，则在执行“EtherealCaptureStar时会出现错误。 2)安装Ethereal。 (2)使用Ethereal分析协议 1)启动系统。点击“Ethereal”程序组中的“Ethereal图标，将会出现如图1-1所示的系统操作界面。图1-1 Ethereal 系统主界面 2)分组俘获。点击“CaptureStart菜单，出现图1-2所示的界面。在“Interface” (接口)框的下拉列表中选择一个适当的接口项，其余项可暂时保持默认配置。然后，点击“OK”按钮，系统开始俘获网络分组。当按“stop” (停止)按钮时，

3、系统停止俘获分组并将已经俘获明分组信息装载在分析系统中。图1-2 俘获分组配置界面3)协议分析。如图1-3所示，在上部的窗口中，有帧编号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列，各列下方依次排列着俘获的分组。中部的窗口给出选中的某帧的详细内容。下部窗口中是与中部窗口对应的该协议帧某字段的十六进制数值内容。图1-3 协议分析界面可以将俘获的帧与网络教材中的ARP、UDP、ICMP、SNMP等协议帧格式进行对照，并分析其中的信息。4 实验结果实验结果分析;数据桢192.168.0.24 Broadcas

4、t ARP who has 192.168.0.587 tell 192.168.0.24192168024：网络中的一个节点，机器的IP地址Broadcast:现在的通信方式，在自己的ARQ中未找到192。168。0。587 采用广播来询问其他是否有寻到这个地址who has 192.168.0.587：询问的内容，谁的地址为192。168。0。587 是则返回数据给192。168。0。24 不是则不返回http帧分析:3460 476,614488 192.168.0.46 192.168.0.51 http get/http/1.1请求行：GET（方法），路径是HTTP 1.1版本。头部

5、：表明客户端可以接受任何格式的文档（通配符）。状态行：HTTP/1.1 200 ok我们在IP地址为192.168.0.46的电脑上访问我们自己做好的ftp网站 ，所以desitination显示的是192.168.0.51实验2 理解A R P协议 1实验目的(1)深入理解ARP(地址解析协议)的工作原理和重要作用；(2)能够使用ARP命令对ARP选路表(下文简称ARP表)进行简单操作。 2实验环境(1)运行Windows 20002003 ServerXP操作系统的PC一台；(2)每台PC具有一块以太网卡，通过双绞线与局域网相连；(3)每台PC运行程序协议分析仪Ethereal。3实验步骤

6、 (1)使用ARP命令 打开“命令提示符”界面，键入“arp -a”指令查看本机ARP表中的内容，结果如图2-1所示。图2-1 查看本机ARP表中的内容注意，在ARP表中，各主机的逻辑地址与物理地址是一一对应的，由此形成表项。主机之间进行物理通信前，首先要查找本机ARP表，如果有对应项，则将通信对方的IP地址转换为相应的物理地址。“Type栏下的“dynamic”字段表明该表项处在动态更新中。如果20分钟内没有其他访问网络的操作，ARP表会自动清空(如图2-2所示)。图2-2 20分钟后自行清空ARP表 如果不想等待20分钟，可使用“arp -d命令主动清空ARP表的内容。此时再执行“arp

7、-a命令，会发现ARP表已经清空(见图2-3)。图2-3 主动清空ARP表我们还可以使用“arp -s命令手工设置ARP表表项，如“arp -s 169 .254. 112 .34 00 cd0d3300 34”(如图2-4所示)。图2-4 手工设置ARP表 (2)分析ARP协议工作过程 具体操作步骤： 1)在实验单元中选择本机，显示 ARP表中的所有项。 2)清除ARP表中的所有项。 (3)用ARP命令查找IP地址冲突主机 若网络上有两台或多台主机设置了相同的IP地址，那么主机的屏幕上会频繁出现IP 地址冲突的提示，这将严重影响网络工作秩序。如果能同时观察到这些主机，那么通过修改其一”一台主

8、机的IP地址即可解决问题。但是如果我们仅能观察到其中的一台PC提示 “IP地址如192. 9. 201. 111冲突”，那么应如何确定是哪两台主机设置了相同的IP地址呢? 首先，我们将该报警主机的IP地址修改为一个未用地址。其次，在该机命令提示符界面输入“ping 192 .9.201.111”，确定该主机是否还在本网中运行，如果有响应，ARP协议就会使其留下痕迹。接下来，执行arp a”命令，显示本主机内存中IP地址与MAC：地址对应记录，就可以发现哪台主机具有IP地址192. 9. 20l. 111了(网络管理员通常应当掌握本网中每台主机的网卡MAC地址)。 (4)分析ARP协义的基本工作

9、过程 我们可以用Ethereal来分析主机间通过通信生成和更新ARP表的过程，分析主机问是如何利用ARP协议完成IP地址与MAC地址的映射，从而完成局域网内的通信的。3 实验结果4实验结果分析：ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新

10、保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。ARP解决方案五、 ARP欺骗解决方案： 方案A：IP-MAC绑定 通过双向IP-MAC绑定可以抵御ARP欺骗，解决由于ARP欺骗造成的网络掉线、IP冲突等问题，保证网络畅通。 1、客户机绑定网关IP-MAC：在客户机设置网关IP与MAC为静态映射，将如下内容复制到记事本中并保存为staticarp.reg，（网关IP、网关MAC根据实际情况填

11、写，例：staticarp=arp s 192.168.0.1 00-01-02-03-04-05） Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun staticarp=arp s 网关IP 网关MAC 将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置，文件名为run.bat，（网关IP、网关MAC根据实际情况填写，例：staticarp=arp s 192.168.0.1 00-01-02-03-04-05） each

12、off regedit /s .runstaticarp.reg arp -s网关IP 网关MAC 双击运行run.bat 2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序将staticarp.reg、run.bat保存到同一文件夹下，登录Ahnlab Plicy Center Admin，服务器管理登录分发软件添加，选中保存staticarp.reg、run.bat的文件夹，中输入对所选择的文件夹压缩后生成的压缩文件的名称，中输入应用程序名称，中输入简单说明，中输入run.bat，单击。 Ahnlab Plicy Center Admin策略管理中选中需要分发的群组或客户机，点右

13、键，紧急安全指令-分发，选中，选中要分发的软件，点击。 3、网关绑定客户机IP-MAC：使用支持IP/MAC绑定的网关设备，在网关设备中设置客户机的静态IP-MAC列表。注：方案A可以抵御ARP欺骗，保证网络正常运行，但不能定位及清除ARP攻击源。 方案B：利用ARP命令及nbtscan定位ARP攻击源 1、确定ARP攻击源MAC地址 ARP欺骗发作时，在受到ARP欺骗的计算机命令提示符下输入arp a，APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址，则为ARP攻击源的MAC地址，一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址；在网关ARP缓存中一个MAC对应多个

14、IP的为ARP攻击源的MAC地址。 2、定位ARP攻击源计算机 已全网面署APC2.5的环境：在Policy Center Admin 2.5中，查找agent，查找ARP攻击源的MAC地址，定位攻击源计算机。未布署APC2.5的环境：运行Nbtscan MAC扫描器gui.exe，输入局域网IP地址范围，点击开始，显示局域网内IP、计算机名与MAC对应关系，查找ARP攻击源MAC对应的IP地址及计算机名，根据IP地址及计算机名定位攻击源计算机。实验3 网络命令使用实验 1实验目的 (1)了解IP、ARP、ICMP、NetBIOS、等网络协议的功能。 (2)熟悉各种常用网络命令的功能，了解如何

15、利用网络命令检查和排除网络故障的方法。 (3)熟练掌握WindowsXP下常用网络命令的用法。 2实验内容 练习使用实验下述的各种网络命令，观察并分析运行结果。 3实验设备 计算机多台，每台计算机配有网卡，并连成局域网。客户机通过服务器接入Internet，查看各机器的IP地址及网关 4实验步骤 (1)通过Ping检测网络故障 正常情况下，当用Ping命令来查找问题所在或检验网络运行情况时，需要使用许多Ping命令，如果所有都运行正确，就可以相信基本的连通性和配置参数没有问题。如果某些Ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出一个典型的检测顺序及可能出现的故障。 1)P

16、ing 127.0.0.1，该命令被送到本地计算机，如果没有收到回应，就表示TCPIP的安装或运行存在某些最基本的问题。 2)Ping本地IP，如ping 10.5.8.11该命令被送到本地计算机所配置的IP地址，本地计算机始终都应该对该Ping命令做出应答，如果没有收到应答，则表示本地配置或安装存在问题。出现此问题时，请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则有可能是网络中有另一台计算机配置了相同的IP地址。 3)Ping局域网内其他IP，例如ping 10.5.8.3，该命令经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确，但如

17、果没有收到回送应答，则表示子网掩码不正确、网卡配置错误或电缆系统有问题。 4)Ping网关IP，如ping l0.5.8.1，该命令如果应答正确，表示局域网中的网关正在运行。 5)Ping远程IP，如ping 202.116.128.1，如果收到4个应答，表示成功使用了默认网关。 6)Ping localhost，localhost是操作系统的网络保留名，它是127.0.0. 1的别名，每台计算机都应该能够将该名字转换成该地址。如果没有做到，则表示主机文件中存在问题。 7)Ping域名地址，如ping ，对这个域名执行Ping命令，计算机必须先将域名转换成IP地址，通常是通过DNS服务器。如果

18、这里出现故障，则表示DNS服务器的IP地址配置不正确，或DNS服务器有故障。也可以利用该命令实现域名对IP地址的转换功能。 如果上面列出的所有Ping命令都能正常运行，那么计算机进行本地和远程通信的功能基本上就可以放心了。事实上，在实际网络中，这些命令的成功并不表示所有的网络配置 都没有问题，例如，某些子网掩码错误就可能无法用这些方法检测到。同样，由于Ping的目的主机可以自行设置是否对收到的Ping包产生回应，因此当收不到返回数据包时，也不 一定就说明是网络有问题。 (2)通过ipconfig命令查看网络配置 依次单击“开始”“运行命令。打开“运行对话框，输入命令CMD。在命令提示符下，输入

19、ipconfigall。其输出信息如图3.1所示。图3.1 ipconfigall输出信息(3)通过tracert命令检测故障 tracert一般用来检测故障的位置，用户可以用tracert IP来查找从本地计算机到远方主机路径中哪个环节出了问题。虽然还是没有确定是什么问题，但它已经显示了问题所在的 地方。 输入tracert ，查看从源主机到目的主机所经过的路由器IP地址。输出如下信息。图3.2 tracert输出信息 (4)通过route命令查看路由表信息 route Print命令用于显示主机路由表中的当前项目，可自己动手练习。 (5)通过nbtstat查看本地计算机的名称缓存和名称列表

20、 nbtstat -n命令显示本地计算机的名称列表。 nbtstat -c命令用于显示NetBIOS名字高速缓存的内容。NetBIOS名字高速缓存存放与本计算机最近进行通信的其他计算机的NetBIOS名字和IP地址。 (6)通过net view命令显示计算机及其注释列表 使用net view命令显示计算机及其注释列表名称。 要查看由计算机名称为S50801的计算机共享资源，net view S50801，结果将显示S50801计算机上可以访问的共享资源。 (7)通过net send命令发送消息 局域网内发送消息的工具，NT/2000/XP需要信使服务(Messenger)的支持。其功能是将消息

21、发送给网络上的其它计算机。 使用之前要先启用信使服务net start messenger，如果没有启动成功可以通过服务管理程序启用：开始-运行-services.msc。同样地，如果你怕不速之客的骚扰，net stop messenger关闭服务即可。net send语法为：net send ip/computer_name 消息内容可以用IP、计算机名来表示消息目标计算机。如：net send 10.3.13.3 how are you ?图3.3 net send命令实验结果(1)通过Ping检测网络故障1)Ping 127.0.0.1分析：该命令被送到本地计算机，就表示TCPIP的安装

22、或运行存在某些最基本的问题。2)Ping本地IP分析：该命令被送到本地计算机所配置的IP地址，本地计算机始终都应该对该Ping命令做出应答，表示本地配置或安装没有问题。3)Ping局域网内其他IP分析：如ping 10.5.8.11该命令被送到本地计算机所配置的IP地址，本地计算机始终都应该对该Ping命令做出应答，则表示本地配置或安装没有问题。4)Ping网关IP分析：该命令如果应答不正确，表示局域网中的网关没有正在运行。5)Ping远程IP分析：，如ping 202.116.128.1，没有收到4个应答，表示没有成功使用了默认网关。6)Ping localhost分析：localhost是

23、操作系统的网络保留名，它是127.0.0. 1的别名，每台计算机都应该能够将该名字转换成该地址。表示TCPIP的安装或运行正常。7)Ping域名地址分析：，如ping ，对这个域名执行Ping命令，计算机必须先将域名转换成IP地址，通常是通过DNS服务器。这里出现故障，则表示DNS服务器的IP地址配置不正确，或DNS服务器有故障。也可以利用该命令实现域名对IP地址的转换功能。(2)通过ipconfig命令查看网络配置 依次单击“开始”“运行命令。打开“运行对话框，输入命令CMD。在命令提示符下，输入ipconfi gall分析：本机IP地址192.168.0.50，子网掩码：255.255.2

24、55.0(3)通过tracert命令检测故障 tracert一般用来检测故障的位置，用户可以用tracert IP来查找从本地计算机到远方主机路径中哪个环节出了问题。虽然还是没有确定是什么问题，但它已经显示了问题所在的 地方。分析：本机到本机的所经过的路由器IP地址。(4)通过route命令查看路由表信息 route Print命令用于显示主机路由表中的当前项目。分析：网络地址 子网掩码 网关 IP地址 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1192.168.0.0 255.255.255.0 192.168.0.51 192.168.0.51192.16

25、8.0.50 255.255.255.255 127.0.0.1 1127.0.0.1192.168.0.255 255.255.255.255 192.168.0.51 192.168.0.51224.0.0.0 240.0.0.0 192.168.0.51 192.168.0.51255.255.255.255 255.255.255.255 192.168.0.51 192.168.0.51(5)通过nbtstat查看本地计算机的名称缓存和名称列表nbtstat -n命令显示本地计算机的名称列表。nbtstat -c命令用于显示NetBIOS名字高速缓存的内容。NetBIOS名字高速缓存

26、存放与本计算机最近进行通信的其他计算机的NetBIOS名字和IP地址。分析：本地计算机的名称NLG28与本计算机最近进行通信的其他计算机的名称如图中所示(6)通过net view命令显示计算机及其注释列表 使用net view命令显示计算机及其注释列表名称。要查看由计算机名称为S50801的计算机共享资源，net view S50801，结果将显示S50801计算机上可以访问的共享资源。7)通过net send命令发送消息分析：接收到NLG20发送的消息分析：发送给192.168.0.43的消息：a2)回答NetBIOS在网络配置中的作用?NetBIOS协议是一种在局域网上的程序可以使用的应用

27、程序编程接口（API），为程序提供了请求低级服务的统一的命令集，作用是为了给局域网提供网络以及其他特殊功能，系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，实现信息通讯，所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。实验4 Web、FTP服务器的安装和配置 1实验目的 (1)了解IIS的作用、安装和配置； (2)了解Web技术及其应用，掌握Web的构建与属性设置；(3)了解FTP技术及其应用，掌握FTP的构建与属性设置。 2实验内容 (1)安装与配置IIS； (2)个人网站的建立与发布；(3)建立FTP服务器，并实现上

28、传与下载。 3实验设备 计算机多台，并已连成局域网，计算机已安装Windows XP，每台计算机配备一张Windows XP系统盘。 4实验准备设计好个人网站，在实验过程中通过Web服务器发布。 5实验步骤 在局域网内安装Intemet服务器，可方便地在局域网中实现Internet上的大部分功能，如传输文件、通过网页发布信息、组建局域网中的BBS、聊天室等。 (1)安装与配置IIS (2)建立个人Web站点(3) 建立FTP服务器(4) 用ServU建立FTP服务器 6实验分析（1）设置FTP服务器的不同权限，采用不同的登录，分析FTP安全设置的作用。答：当用户访问FTP站点时，出于安全性的考

29、虑需要对用户身份进行验证。FTP站点的内容实际上是存放在FTP服务器的一个文件夹内（称之为主目录），要使一个用户能够成功的访问FTP站点，还应该保证用户账号必须对FTP站点的主目录文件夹具有相应的NTFS权限。（2）分析系统局域网资源共享方式之间的异同，应用领域的区别。答：FTP是因特网提供的用于将文件从一台主机拷贝到另一台主机的标准机制。FTP与其他客户/服务器应用程序不同之处在于它在客户和服务器之间建立两条连接。一条用于数据传输，另一条用于控制信息的传输。命令和数据传输分离使FTP效率更高。控制连接使用非常简单的通信规则。用户可以通过它把自己的PC机与世界各地所有运行FTP协议的服务器相连

30、，访问服务器上的大量程序和信息。FTP的主要作用，就是让用户连接上一个远程计算机（这些计算机上运行着FTP服务器程序）察看远程计算机有哪些文件，然后把文件从远程计算机上拷到本地计算机，或把本地计算机的文件送到远程计算机去。FTP可以应用于广域网也可以应用于局域网,但是每次访问时要输入帐号密码。局域网资源共享只可应用于局域网,而且访问一次，只要你不关机或注销，就可以在下次访问时不输入帐号密码。（3）分析在外网访问本机的WEB服务、FTP服务的设置方法。答：建议在防火墙上查看防御规则，把能阻止外网访问内网的规则修改一下。允许你的外网ip访问内网用的功能无非就是把本机作为文件服务器用,外网用户可以在

31、实现文件共享.但一般的ADSL用户都是从ISP获取动态IP,所以每次开机的IP地址都不同,所以里也要设固定的IP,否则就无法访问你的机器了.在命令提示符下输入ipconfig/all可以得到你本机的外网IP,将这个外网IP设置到里,然后外网的其它用户就可以通过这个IP地址访问你的服务器了。 实验总结 数据通信与网络技术是一们与我们日常生活紧密相联的课程，在这个信息时代里，作为一名大学本科生，了解甚至通晓计算机通信基本知识是一项基本素质。通过这门课程的学习，尤其是这次上机，让我对计算机通信协议如ARP，IP协议等有了更加深入的了解而且，这次上机无论从网络连接线还是网络故障检测方面，我们都学到很多，以后遇到一些网络故障，我们