試驗2網(wǎng)絡數(shù)據(jù)包的監(jiān)聽與分析參考答案

1、實驗2網(wǎng)絡數(shù)據(jù)包的監(jiān)聽與分析實驗目的.掌握使用Wireshark軟件監(jiān)聽和捕獲網(wǎng)絡數(shù)據(jù)包。.掌握通過實際觀察網(wǎng)絡數(shù)據(jù)進行分析而了解網(wǎng)絡協(xié)議運行情況。二實驗要求.設備要求：計算機若干臺(裝有 Windows 2000/XP/2003操作系統(tǒng)、裝有網(wǎng)卡)，局域網(wǎng)環(huán)境，主機裝有 Wireshark 工具。.每組1人，獨立完成。三實驗預備知識Wireshark 簡介Wireshark是一個開放源碼的網(wǎng)絡分析系統(tǒng)，也是是目前最好的開放源碼的網(wǎng)絡協(xié)議分析軟件之一，支持 Linux和Windows平臺，支持500多種協(xié)議分析。網(wǎng)絡分析系統(tǒng)首先依賴于一套捕捉網(wǎng)絡數(shù)據(jù)包的函數(shù)庫。這套函數(shù)庫工作在在網(wǎng)絡分析系統(tǒng)模

2、塊的最底層。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過濾規(guī)則取出數(shù)據(jù)包的子集，再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說，這套函數(shù)庫將一個數(shù)據(jù)包從鏈路層接收，將其還原至傳輸層以上，以供上層分析。在 Linux 系統(tǒng)中，1992 年 Lawrence Berkeley Lab 的 Steven McCanne 和Van Jacobson提出了包過濾器，稱之為 BPF (BSD Packet Filter),設計了基于 BPF的捕 包函數(shù)庫Libpcap。在 Window系統(tǒng)中，意大利人Fulvio Risso和Loris Degioanni提出并實現(xiàn) 了 Winpcap函數(shù)庫，其實現(xiàn)思想來源于BPF。Wiresha

3、rk的簡單操作方法安裝 Wireshark之前，需要安裝Winpcap ,安裝過程比較簡單。安裝完成后，啟動Wireshark ,如圖 2.1 所示。TIih 1: i Iikt kh.1 Bnl viark Jlrml產(chǎn)HE口回區(qū)Eile Edil Bw Bq .iplur$ fl/ialyze- 1自1 及怔a H&W曜，盥0就 2周算的總 團毋杳土 眉口 d現(xiàn)|R熊學岫|gd時日的j睢|N0P4ikb-圖2.1啟動Wireshark后的界面設置 Capture 選項。選擇Capture - Options,彈出Capture Options”界面，設置 完成后點擊“ Capture”而開

4、始捕獲數(shù)據(jù)，如圖 2.2所示。圖 2.2 Capture Options”界面在Capture Options”界面中，主要選項如下：Interface”是要求選擇在哪個接口（網(wǎng)卡）上抓包。Limit each packet”是限制每個包的大小，缺省情況不限制?！癈apture packets in promiscuous mode ”是否打開混雜模式。如果打開，抓取所有 的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機收到或者發(fā)出的包，因此應該關閉該選項?！癈apture Filter”是指過濾器，可以過濾掉某些數(shù)據(jù)包而只抓取滿足過濾規(guī)則的數(shù) 據(jù)包?！癋ile”是指如果需要將抓到的包保存到文件中，在這里輸

5、入文件名稱。“Ring buffer”是指是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫文件的時候才有效。設置完“Capture Options后，選擇Capture - Start”開始捕獲數(shù)據(jù)，如圖 2.3所示。& ElhHrenl： Cnpliizif圖2.3開始捕獲數(shù)據(jù)如圖2.4所示。根據(jù)捕獲的數(shù)據(jù)對各種協(xié)議， 如ARP、ICMP、點擊“Stop”完成數(shù)據(jù)捕獲, TCP、UDP等協(xié)議進行分析。(Tlnl i 11 !) |Et bar #1匕由 |，|Eile dil ew 如 ,plure 助31vze 即31謝比3 班制EE翩，噩曰O兄硝與 國囪不殳 回日

6、以氫我TornttBdUTEjG -bBslinahaniPra1aul*sraidcasi:ARF2 0. 6B733Q172,16-101ergidcast版口who ha? L72-1PJ3,2 Tgll 17?3 口.虱5般g1726.23, 211172.16-I,230UDPEaurSaurca: OD:D3立，2機 5&Typti ARP (QxOTOft)rr ai l er s miiiiLmiiiiimiiiiiLmiiiiLiii= Ldciress Resolution P=parocDl (request)Harchwre type: ei her net (OxDI

7、XH)aoou00101020003000 al rr超 Tool Tool ss ss r Qol fool rr器11KJ CJ o 1o o 1L015:11 fl- 白旭.0圖2.4捕獲數(shù)據(jù)包后的協(xié)議分析2. Wireshark過濾器的簡單使用如果需要抓取某些特定的數(shù)據(jù)包時，可以有兩種方法，一是在捕獲數(shù)據(jù)包之前定義好包過濾器，這樣就只能捕獲到設定好的那些類型的數(shù)據(jù)包。包過濾器用來捕獲感興趣的數(shù)據(jù)包，用在捕獲數(shù)據(jù)包過程中。包過濾器使用的是Libcap過濾器語言，在 Tcpdump的手冊中有詳細的解釋，基本結(jié)構(gòu)是：not primitive and|or not primitive .另外

8、一種方法是捕獲本機收到或者發(fā)出的全部數(shù)據(jù)包，然后使用顯示過濾器，只讓 Ethereal顯示所需要的那些類型的數(shù)據(jù)包。下面主要介紹這種方法。在捕獲數(shù)據(jù)包完成后，可以根據(jù)“協(xié)議”、“是否存在某個域”、“域值”和“域值之間的 比較”等四個規(guī)則來過濾數(shù)據(jù)包。例如，如果只需查看使用ARP協(xié)議的數(shù)據(jù)包，在 Wireshark窗口中的“ Filter”中輸入arp （注意是小寫），然后回車或點擊“Apply ”, Wireshark就會只顯示 ARP協(xié)議的數(shù)據(jù)包, 如圖2.5所示。& (UAtltled) -畫畫副氟檔（審小 片0乂出叢因中卓敞再生國口Em- gxpsession. taar 加閩Nfl.B

9、meSource OeglinalionProtocolD-1A5O4 5L7216.28. 4AfiPWfw r135 L72.1i. 29. 254 Tell 172.1362,6530&917Z.16.23.12Beroidcas陰P-hoL72alftrZ5.23*? Fell 172.72.74-jijlL172u16b29.101sraadtistARPWftCi IM5 172.1623.254? TC11 172.lt1?L 4即日日5araarlcastAfiPwho hi? L*/亂?日，25。丁。11 1 在，LS16-4.14900172.16, 23.41Braadc

10、asi:ARP-tic has 8.25 rell 172.ltIS4.m密口 FL17?. 16.23. 72Broj.dcdstAFWh口 h 54? Tell 172.lt19513707eraadcastAAP心口 ha? ”21M工亂27 Tell 172, L2。白 JMdG1172.16.23,127BraadcaErARPwho has 5*? Ten 172. Lt21MMOL?172. IB. 23. SBSradcastARP-hci ha等 LT11辦；3口MY Toll 172. LC5. *27176172.16. 23.19nroadcasi:ARFhD has

11、L72-16.23.25i? Tell 172. Lt25172lb.28.90BradcastARP口 ha, 172.1629,；254? Tell 172.lt2717Z.- 163,156r04dC35tAAP5口 hasTell346l 674 6LSBraadcasrARF!1iD has 172.16. 28. 25i? Tfill 172.ltB.LT216.2a. 223QraadcjstAKjPh口 Ihas L72-l(i.23. 254 Tall 172. LCs Ethernet nB sre- DO：i4：2.iS5b9-DbB wi- rrifrsrrzrr：rr

12、：rr-Desc 1 nail ci n ff :ff-ff-ff CBraAdcjit) soufiei 00:14;2i:BbS!dh 、!=”等操作符來構(gòu)造顯示過濾器，例如ip.addr=0 , ip.addr!=0 , frame.pkt_len10 等。域值可以從Expression中 進行選擇，如圖2.6所示。圖2.6添加域值比較表達式組合表達式還可以使用“and”、“or”、和“ not”等邏輯操作符，其中邏輯與“and”也可用& ”表示，例如 ip.addr=11&frame.pkt_len 100 ;邏輯或or也可用 “表示，例如 ip.addr=11|ip.addr=54

13、,如圖 2.7 所示;邏輯非 “not” 也可用“ ！”表示，例如!llc 。(Tlrab i l! ! Eli) - Ft tnEr| /Eile Edil Bw 劃 .iplur$ A/iaMe-罰al及怔a 岸W做，廖正 已導算電與 因*電布殳 眉 00,u o -u -u Q Q o -u O1-2jd-i67 Q guaQ QEl- c .J.- .J.- o -J 9 rJ 4 aoz? D 3 5 1 9 D riF Ddbddo21 ooclo SE-DO DO q O1 c c A-7 aQ cf33fl-1 CJ c 7 R- 9 D 5 白 a&oe川 E3 3Lfd99

14、L Q 18 c C53L Q 設票由爵mHO7Q7Q-仁。LLT 。 00 口-u-ggd Q oaosdso- 6 D B d 9 9 n占 OOF55 _L_ la 3。肝1號 DO Q 9 0CQcr6cca k:ffig5 4 mco1B 7 -1 -h- R- 9 .u re T 701?匚q o G 0日6 a號a d 8 eb5d?fl. mmMEa曲3翁圖2.7組合表達式的應用四 實驗內(nèi)容與步驟本實驗指導可利用實驗室網(wǎng)絡進行。1.使用Ethereal (Wireshark )捕獲數(shù)據(jù)包，完成如下操作：(1)當前網(wǎng)絡中主要的網(wǎng)絡協(xié)議是什么？請記錄實驗數(shù)據(jù)?？筛鶕?jù)“協(xié)議分級統(tǒng)計”

15、(“統(tǒng)計”菜單下)來查看統(tǒng)計結(jié)果。如下圖所示。Ip7739711|C aa*= ITS 1S7B 2$4* jfprS55ign Kiar ApplyNd.TnmdEBdUTEjG _Dfifflinahan戶 MieIinfa2CL 0543042L9.133u49.173HICQ2-PMCMO?”，133-41L 73IE.92.B992002L5.133u49.17311ICQIT由，儂附，171.163,211rm-UOPmil 咫4 .d.=U.*l it I &. . W133.159325172,16.1,230172.16.29,211UDFsource partt 丈3自 口

16、eulnafEm part26工濃立芋172.16.23,211219.133U9,L73ICQ2S6.0735862L9133.4y.l7a11ICQ296,60544 5219.133,48. 8917Z,16, 28. ?LLUOPSource pan: MQQ DesTinaion part3D6.642492L7216.2a.2H.9DUDPSource part: 制25 DestInit1cm part316.64.34 0172.16. 23. ZLL219.133.43. S9mopSource pori: 4cle12 cKTiniilDn pon珀.61.164. lD1

17、7J.lfi.2S.mUQPourc part:有。0仃 Dn-st InAtlm part：；：；6. 652QW911UDFsource pari: 8 ! Bfra f，, * ., abcdef ghljklrnn apqrstuv wabcdefg hlO Fih： 73poecMEzlgdfepHLOC4LS21T Pa&E匕：11 Dfepl期Ed： 8 Mated; 口mppd: 口 Profile: 口日后ult/Kwtit kcttltvtl. . 1. C . 1im(WSayite.問題回答ICMP請求包和應答包個數(shù)共8個ICMP數(shù)據(jù)包的大小74bytesTTL (Ti

18、me to live )128Data (32 bytes)abcdefghijklmnopqrstuvwabcdefghi(5)給出icmp數(shù)據(jù)包按照網(wǎng)絡層次封裝的數(shù)據(jù)包名稱。可結(jié)合icmp分組數(shù)據(jù)包的結(jié)構(gòu)圖說明。如圖所示。Frame 71: 74 bytes on wire (592 bits)j 74 bytes captured (592 bits) on interfac Ethernet II, 5rc; EdupInte_L9：Sb:fc (e&:4e：Q6:19:Sb:fc), Dst: Shen2hen_cd:efi:afi Internet Protocol Version

19、 4, Sc: 01, Ost: Internet Control Message ProtocolICMP數(shù)據(jù)包圭搜到IP數(shù)據(jù)包中，IP數(shù)據(jù)包圭裝到Ethernet II包中，然后形成幀F(xiàn)rame 在網(wǎng)絡中傳輸。五練習與思考(1)設置捕獲過濾器，捕捉并分析局域網(wǎng)上的所有 Ethernet Broadcast幀。在Ethereal W Wireshark )中選擇菜單Capture - “Capture Filters ,彈出Capture Filters ”界面。 “Filter name ”選項為 Fiter 名稱，“Filter string ”選項設置為：broadcast ,如圖 2

20、.8 所示。(2)通過選擇菜單Capture - Options - aCapture Filter: ,選擇之前建立的 過濾條件，然后點擊下面的“start”，開始捕捉數(shù)據(jù)包。如圖 2.9所示。圖 2.8 設置“Capture Filters觀察并分析哪些主機在發(fā)廣播幀（廣播幀是指目的地址為broadcast的數(shù)據(jù)包），這些幀的高層協(xié)議是什么？-0高層協(xié)議可以在“ Protocol ”字段查看，如圖所示。Ylvarc Accelerated! AO ECHct Adapter (Bicrosof-t s Packet Schcdulc-r) (broadcast)Ei Ie drt Mie鐘

21、 Qp Rapture 和石的e Statistics Telshony 工口北 Internals Help國理辭藏白。X總總I “ .電* t & |國|圄 0a觀回 函陋窿ids1 Ou odoooo vmware_co:oo:01Broadcast2 78.775B70 192,163,10.10192.168.10,2553 93.477520 192.168.10,10192.168AO.255ARP BROWSEI NBNS60 who has 192.16E.io.io? Tel243 host Anrtounceffiem wimxf,柳i 9? Name query MB CLflDl-FC20?-A 3.4 78218 Vmvare_cO:00:01BroadcastARP60 Who hbas 192. L6fi.10.107 TeV5 96.950935 192-163.1O.L192.13.10.255BROWSE F243 Local Master Announcement CL& 109.663 576 192,160,