使用Wireshark分析以太網(wǎng)幀和ARP協(xié)議_第1頁(yè)
使用Wireshark分析以太網(wǎng)幀和ARP協(xié)議_第2頁(yè)
使用Wireshark分析以太網(wǎng)幀和ARP協(xié)議_第3頁(yè)
使用Wireshark分析以太網(wǎng)幀和ARP協(xié)議_第4頁(yè)
使用Wireshark分析以太網(wǎng)幀和ARP協(xié)議_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、實(shí)驗(yàn)二 使用wireshark分析以太網(wǎng)幀與arp協(xié)議一、實(shí)驗(yàn)?zāi)康姆治鲆蕴W(wǎng)幀,mac地址和arp協(xié)議二、實(shí)驗(yàn)環(huán)境與因特網(wǎng)連接的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng);主機(jī)操作系統(tǒng)為windows;使用wireshark> ie等軟件。三、實(shí)驗(yàn)步驟:ip地址用于標(biāo)識(shí)因特網(wǎng)上每臺(tái)主機(jī),而端口號(hào)則用于區(qū)別在同一臺(tái)主機(jī)上 運(yùn)行的不同網(wǎng)絡(luò)應(yīng)用程序。在鏈路層,有介質(zhì)訪問控制(media access control,mac)地址。在局域網(wǎng)中,每個(gè)網(wǎng)絡(luò)設(shè)備必須有唯一的mac地址。設(shè) 備監(jiān)聽共享通信介質(zhì)以獲取目標(biāo)mac地址與自己相匹配的分組。wireshark能把mac地址的組織標(biāo)識(shí)轉(zhuǎn)化為代表生產(chǎn)商的字符串,例如, 00:0

2、6:5b:e3:4d:la也能以dell:e3:4d:la顯示,因?yàn)榻M織唯一標(biāo)識(shí)符00:06:5b屬于 dell。地址ff:ff:ff:ff:ff:ff是一個(gè)特殊的mac地址,意味著數(shù)據(jù)應(yīng)該廣播到局域 網(wǎng)的所有設(shè)備。在因特網(wǎng)上,ip地址用于主機(jī)間通信,無(wú)論它們是否屬于同一局域網(wǎng)。同 一局域網(wǎng)間主機(jī)間數(shù)據(jù)傳輸前,發(fā)送方首先要把目的ip地址轉(zhuǎn)換成對(duì)應(yīng)的mac 地址。這通過地址解析協(xié)議arp實(shí)現(xiàn)。每臺(tái)主機(jī)以arp高速緩存形式維護(hù)一張 已知ip分組就放在鏈路層幀的數(shù)據(jù)部分,i何幀的目的地址將被設(shè)置為arp高速 緩存中找到的mac地址。如果沒有發(fā)現(xiàn)ip地址的轉(zhuǎn)換項(xiàng),那么木機(jī)將廣播一 個(gè)報(bào)文,要求具有此i

3、p地址的主機(jī)用它的mac地址作出響應(yīng)。具有該ip地址 的主機(jī)直接應(yīng)答請(qǐng)求方,并且把新的映射項(xiàng)填入arp高速緩存。發(fā)送分組到本地網(wǎng)外的主機(jī),需要跨越一組獨(dú)立的本地網(wǎng),這些本地網(wǎng)通過 稱為網(wǎng)關(guān)或路市器的中間機(jī)器連接。網(wǎng)關(guān)有多個(gè)網(wǎng)絡(luò)接口卡,用它們同吋連接多 個(gè)本地網(wǎng)。最初的發(fā)送者或源主機(jī)直接通過本地網(wǎng)發(fā)送數(shù)據(jù)到本地網(wǎng)關(guān),網(wǎng)關(guān)轉(zhuǎn) 發(fā)數(shù)據(jù)報(bào)到其它網(wǎng)關(guān),直到最后到達(dá)n的主機(jī)所在的本地網(wǎng)的網(wǎng)關(guān)。1、俘獲和分析以太網(wǎng)幀(1) 選擇工具->internet選項(xiàng)>刪除文件(2) 啟動(dòng)wireshark分組嗅探器(3) 在瀏覽器地址欄中輸入如卜網(wǎng)址: /wi

4、reshark-labs 會(huì)出現(xiàn)美 國(guó)權(quán)利法案。(4) 停止分組俘獲。在俘獲分組列表屮(listing of captured packets)中找到 http get信息和響應(yīng)信息,如圖1所示。(如果你無(wú)法俘獲此分組,在wireshark 下打開文件名為ethernet-ethereal-trace-1的文件進(jìn)彳丁學(xué)習(xí))。http get信息被封裝在tcp分組屮,tcp分組又被封裝在ip數(shù)據(jù)報(bào)屮, ip數(shù)據(jù)報(bào)又被封裝在以太網(wǎng)幀中)。在分組明細(xì)窗口中展開ethernet ii信息 (packet details window)。冋答卜面的問題:1、傷所在的主機(jī)48-bit ethernet地址

5、是多少?2、ethernet幀中廿的地址是多少?這個(gè)廿的地址是的 ethernet地址嗎?-wwcharkedr 口匚apw©sne>c呉qa 4。8 吞殳i l、preion.pdvnd. rutucu' <ifu2 0050g0g1922 二db131924 3 1 29 0 20j639x23工m24 5丄219j工632l4 5tcpot.i197?128?0r > hrrp syn -«q0 imss=1460ht= > 2 038 lsyn . aci<j 5ea-0 ack -1 門5tc

6、p tcpx28 :l19 2“ 5 丄 2x922l)b2丄乙5192 工 o3 2二 45 18鈕.x222“z5 0 4 03128u 423 9321 0 doo 0 00http http/o.2. 4<w not found ctext/htrnl) yp "sv > http swz seq-o l©r>-q m5sjlwuo»vp匸"站110. 2 r *?i 9丿m丿.厶51 92 h6-4 2 745tcp tcptcp13 :l1.9.24、1£ | l今丿4 、l丿5 olbzou6 o.i g z7

7、o1so7o21dq2u1acfc=43 xine-is .t廠4nr a 廣pdnjltcp -f>gfrpnr rrt a 廠戶a氣 ufhlqd pdi)j18 3 3833l922二疋 5u.9 ' u" x9j :lbs - 1-b 20 二0 389x31x28n丄:二,1 5丄2iba bb:lj 丄les2丄4廳tcptertcp2039 ? hrrp syn scq-lgn-0 mss-llto? http stvn scq-lor.-u mss-iibu hl 二 p a 2c38 l jz aubo &gq-62 3 5a<k-793

8、j pr am* 4(5 06 byt an "廠506 byt«n capt lh *<ij可 erherner j r . src: net gear 61:8e:6d (00: 0 : sb: 61: 8e: 6d ost : l-irk5ysg_4 5 :90:a8 (00:0c :41 :4s:90:a8) 丄 mxornqt: protocol, src: 1« 二632 14 s (1q2 168 2 14 5), os 匸:128. u.q 2c 5 :1n (128 1 丄。 2a 5 !:?i |ttass*4 en cent rol p

9、rhyperxekt rrarsfer protocol<setr e3.hark-laba/mttp-trthere<31 -"i ob-f il es ht-inl h'tf 1 .二request mexhod: getrequest uri: /wireshark 1 abs/http-clhcrcal lab -tl 1c3. hml request version: http/1 .host : ga1a.esumass edurnuer-ag«fix :11 "i d/5. o ndu ; u; wlndu* wr s.2; &#

10、171;n-u; ru : j.8工4) ka«<.ku/20070515 h 1 ref ox/2 o o.-arc apr : rpxr/xm i r app licar inn/wi 丨.appl -nrafirin/xhtni 1-t-xm . rpyr/hrml; q=o 9. r fxt/p i ain; q=0 ar itnaqp/pngr °/w; accepr language: cn us,on;q-o5rnaccept-e ncod1 ng: gz1p» deflat ernaccepr charset: iso 88 59 l.irt

11、t-8;q07. v;q-0. 7rnkeep-alive: 3oornconnecron: ke*p-alivernrn004 0005。00600070 ooao 0090o二 cuek6eieee、/ 7hum51.xa5o3 6 2icookjd26 4610d7a51 e7 42 ed 522332-t7 7 2 ? 5-dhhq si : g ataz mass.adu .uswr-a qen*t : mo 21113.5tcp scgrrcnt of a -cas scmto led pdup: 21 d: 21 m 0 orops: 0圖1 http get信息和響應(yīng)信息2、分

12、析地址arp協(xié)議(l) arp cachingarp i辦議用于將目的ip轉(zhuǎn)換為對(duì)應(yīng)的mac地址。arp命令用來觀察和操 作緩存中的內(nèi)容。雖然如p命令和arp有一樣的名字,很容易混淆,但它們的 作用是不同的。在命令提示符下輸入arp可以看到在你所在電腦屮arp緩存中 的內(nèi)容。為了觀察到你所在電腦發(fā)送和接收arp信息,我們需要清除arp緩存, 否則你所在主機(jī)很容易找到已知ip和匹配的mac地址。步驟如下:(1) 清除arp cache,具休做法:在msdos環(huán)境下,輸入命令arp -d * command , the -d 表示清除操作,* 刪除 all table entries.(2) 選擇

13、 工具-internet選項(xiàng)刪除文件(3) 啟動(dòng)wireshark分組俘獲器(4) 在瀏覽器地址欄中輸入如下網(wǎng)址:/wireshark-labs/ http-wireshark-lab-file3.html(5) 停止分組俘獲。(6) 選擇 analyze-enabled protocols-取消 ip 選項(xiàng)選擇 ok。如圖 3 所 示:ether net ethereal trace 1 wrcshork日 c £dt vici%出i 匸矽寺址圉晝電que)eibar: expacc.| no.time1 soiree| obnatkn

14、info11tttoito-ambi t m i cad: 5d: 65boacfcastaftp20.001018llii sysg: 72affibltmic:3d:68arp192.16b.1.1 is 乳 00:06:30.j21o25p>ib1lmla5:3d;69l1nksysc.da:af s 73oxobcoip42.962850/wlmtmlc_a9:3d:68link5y5g_da:of:73oxobqolp58.971488flrb-itmic_a9:3d:68link5ysg_da:af:730x0000ipa xi ': firn-orir«t

15、aprm1q2.tnr1 11771125:dd:af:7391011121314 器1717.444x- 17.465902 17.465927 17.4eb4o8 17.49/66 17.49893s 17.500025 17.500069 17.527057 17.527422 17.527457l 5nksys<s_di; -af: 73 pjrb1imlc_a? :3d:69 rb1tmlc_a9:3d:&8 linksy5<3l-da:af :7373llii;sysg_dd:df :73 mibitmi :3d:68 llnksysgl.da:af :73 l

16、lnksy«l.da:af :73 awbitmic a9:3d:68linksyg-da: ar: 73 atbif*l? a_d9:3d:68 l1nksysc.da:af:73 linksysg_da:af:73 abitmic-a9:3d:68 a.t!b1tm4e_a9:3d:68 amb i tm - c_aft:3d:68 llnksy3g.d<:«f:73 awb1xnlc_a9:3d:68 ambltmlc.a9:3d:68 linksysg da:af:73ororco oxobco oxobco 0xq8cq 0x0900 goboo oxobc

17、o oaobco oxobco oxobco oxo0cotp ip ip ip ip ip ip ip ip ip tpxype: ethernel (0x0001) type: i=» (0x0000)size: 6si?*: 4opcode: request (dxoool) sender sendertarget.tarqet> feme 1 42 byres or s廣 m. =2 bytes capturedji, ethernet i:r sre: afrmtmlc_a9:3d:69 coo:dd:59:39:31:68)f dst: broadcast (f-6

18、:ff:f-f2:ffaddress pesolu*:ion rroxocol deques*)hardware protocolprotocolhal address:coosdu:59:a9:3d:ob)ip address: 192.lb«. 1.105 cl92.jl6&丄丄05)nac address: 00:00:00.00:00:00 (00:00:00:00:00:00)dooorrrrrrrrd01008000604d02000qo(»00rroooorrgg000035y59013d ub ob 00 01 yea9 3d 68 co a8 01

19、 69 y.-h.,rqs-odo wnatm/ joi-nen:sm心2rk troccs - ctl*ercdi.卜 17d:12m:oip address: 19:.168.1.1 <)圖3利用wireshark俘獲的arp分組四. 實(shí)驗(yàn)報(bào)告根據(jù)實(shí)驗(yàn),回答下面問題:由丁此實(shí)驗(yàn)是關(guān)于ethernet和arp的,所以,只需在分組俘獲列表屮顯示 ip層卜面的協(xié)議,貝體做法為:選擇analyze->enabled protocols->不選擇ip協(xié) iz->select ok 如圖 2 所示:bee3|副彰謀鑼誨|巴口 x % 昌|鳥勺診®

20、 吞殳|肓0|愆eitcr: i egression. owr fipeyno. - 皿| soiree deratlonptotocol info1 0.oodooonetgear_6l:3e:6dlinksy5g_45:90:a8 0x0900 ip2 qusoeobllnk$ysg_45:90:a«oxosoo ip . 05 二亍": 5e :60 ljj nksysgd 5 :9ci : =8 g<0500 ipjdl1 門o >050050.12p7c0lln5y5g_45:90:a8netgmr_61:be:6d0x0900ip60.134167l

21、inksy5g_45:90:a8netgear_6l:8e:6d0x0900ip7o.l5q3o2llnksysc-45:9q:g8nerqearl: be:©aokosqoip80.150487nfeiq«ar_4l:b:6dllhksy£g_4 5 :90:d80x0800ipg0.213659linksysg_4 5:a8netgear_61_: be:6dokosooip100.215724link5y5g_45 :9cl:a8netgear«6l:8e:6a0x0800ipn0.21594 7nc-rqoar.'ol: bo:bdlln

22、ksy5g_45:90心0kq8uuip1202 31t4 9llnksy£g_4 5:90:a8nsxger_6l:be:6dokos00ip13o.?3 214 5nptgpa r61: rp : fid1 inksysg.4 5:話02800ip140.32270netgear_6l:be:6dlink$y5g-45 :90:勺804800ip150 403428linksy5g_4s:90:a8netgear _6l: be:600x0900ip丄60.423932ncrqaari: sc:bdllnksycg_4 5 :9u:380x0800ip170.57&522

23、n&xgear_61.: be:6dllnksysg_45:90:a8cusooip183.383534netgea r_gl_: be:6dl i nksysg_4 5:qo:a8oxosooip199.392197nrtgear_6l:be:6dlinksysg .45:90:a80x0800ip202l0 3b9131llnksysg_45:90:q8n£i:gqar_'ol: bo:6c0x0800ip21工6 3 392 58n&tgear_61:3e:6dllnksysg_4 5 :90:d8okosooipjjjdj frame a <50

24、6 bytes on vire. 506 bytes captured)-i ether net rir src: net gear «61:8e:6d (00:09:5 b: 61: be: 6d)» d5t : link sysg_45:90:ab (00:0c: 41:4 5:90:a8) m destlnarlon: llnksysg_45:90:a8 (00:0c:41:45:90:a8)address : link5ysg4s:9d:a8 coo:clc:41:45:9cl:a8)0=tg bit: indivi dual address (umcastd0»lq b1i: global ly unique address (factory defau

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論