華南理工大學(xué)計算機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)報文抓取與分析實驗報告

./計算機(jī)網(wǎng)絡(luò)實驗指南〔計算機(jī)類本科生試用省計算機(jī)網(wǎng)絡(luò)重點實驗室計算機(jī)科學(xué)與工程學(xué)院華南理工大學(xué)20XX5月實驗二網(wǎng)絡(luò)報文抓取與分析1．實驗?zāi)康?〔1、學(xué)習(xí)了解網(wǎng)絡(luò)偵聽 〔2、學(xué)習(xí)抓包工具Wireshark的簡單使用 〔3、對所偵聽到的信息作初步分析,包括ARP報文,ICMP報文。 〔4、從偵聽到的信息中分析TCP的握手過程,進(jìn)行解釋 〔5、分析了解TCP握手失敗時的情況2．實驗環(huán)境2.1Wireshark介紹Wireshark〔前稱Ethereal是一個免費的網(wǎng)絡(luò)報文分析軟件。網(wǎng)絡(luò)報文分析軟件的功能是抓取網(wǎng)絡(luò)報文,并逐層顯示報文中各字段取值。網(wǎng)絡(luò)報文分析軟件有個形象的名字"嗅探工具",像一只獵狗,忠實地守候在接口旁,抓獲進(jìn)出該進(jìn)口的報文,分析其中攜帶的信息,判斷是否有異常,是網(wǎng)絡(luò)故障原因分析的一個有力工具。網(wǎng)絡(luò)報文分析軟件曾經(jīng)非常昂貴,Ethereal/wireshark開源軟件的出現(xiàn)改變了這種情況。在GNUGPL通用許可證的保障圍底下,使用者可以以免費的代價取得軟件與其源代碼,并擁有針對其源代碼修改及客制化的權(quán)利。Ethereal/wireshark是目前世界使用最廣泛的網(wǎng)絡(luò)報文分析軟件之一。請需要的同學(xué)在教學(xué)在線上下載中文操作手冊。2.2實驗要求 軟件：Wireshark〔目前最新版本 硬件：上網(wǎng)的計算機(jī)3．實驗步驟3.1wireshark的安裝 wireshark的二進(jìn)制安裝包可以在官網(wǎng)./download.html#release下載,或者可以在其他下載。 注意：下載后雙擊執(zhí)行二進(jìn)制安裝包即可完成wireshark的安裝。安裝包里包含了WinPcap,并不需要單獨安裝WinPcap。3.2查看本機(jī)的網(wǎng)絡(luò)適配器列表操作：單擊菜單Capture中的Interfaces選項 記錄下你看到的信息,并回答問題： 〔1、你機(jī)器上的網(wǎng)絡(luò)適配器有幾個？4 〔2、它們的編號分別是？VMwareNetworkAdapterVMnet8實際地址:00-50-56-C0-00-08驗證網(wǎng)卡實際地址:00-1E-30-2D-FF-BA默認(rèn)網(wǎng)關(guān):WINS服務(wù)器:VMwareNetworkAdapterVMnet1實際地址:00-50-56-C0-00-01默認(rèn)網(wǎng)關(guān):DNS服務(wù)器:WINS服務(wù)器:Console網(wǎng)卡實際地址:78-E3-B5-A5-B5-2BWINS服務(wù)器:3.3在指定網(wǎng)絡(luò)適配器上進(jìn)行監(jiān)聽操作：在步驟3.2中彈出的Interfaces選項中,選擇指定的網(wǎng)絡(luò)適配器并單擊start按鈕 記錄并解釋wireshark監(jiān)聽的包容〔解釋1條記錄即可傳輸時間,發(fā)送方IP地址,接收方IP地址,協(xié)議類型,報文長度,報文信息報文第一行：60bytes是報文大小,報文第二行：發(fā)送方的mac地址,接收方的mac地址報文第三行：發(fā)送方的IP地址,接收方的IP地址報文第四行：發(fā)送方的端口號〔80接收方的端口號〔1993請求序列號為450,回執(zhí)序列號191。數(shù)據(jù)長度為0。3.4記錄一個TCP三次握手過程操作：在步驟3.3的基礎(chǔ)上,單擊start按鈕后,打開命令行窗口并輸入：telnet,然后停止繼續(xù)偵聽網(wǎng)絡(luò)信息。在wireshark的Filter中輸入表達(dá)式：<.1000>and<tcp.dstport==23ortcp.srcport==23> 其中0是你所在機(jī)器的IP,請自行根據(jù)自己機(jī)器的IP地址修改filter〔可使用IPconfig查看。telnet服務(wù)的傳輸層采用了tcp協(xié)議,并且其默認(rèn)端口是23。在wireshark窗口中,記下所顯示的容〔可事先通過重定向的方式記錄并回答問題。根據(jù)得到的信息解釋所鍵入的filter定制中的參數(shù)的含義？發(fā)送方IP地址是.100或者接收方IP地址是.100且發(fā)送方端口是23或接收方端口是23的TCP連接〔2請從得到的信息中找出一個TCP的握手過程。并用截圖形式記錄下來。結(jié)合得到的信息解釋TCP握手的過程。第一行：3請求建立連接〔seq=0第三行：2收到報文〔ack=1,作出回應(yīng)〔seq=0第四行：3收到報文〔ack=1,發(fā)送報文〔seq=13.5一個TCP握手不成功的例子操作：在步驟3.3的基礎(chǔ)上,單擊start按鈕后,打開命令行窗口并輸入：telnet01,然后停止繼續(xù)偵聽網(wǎng)絡(luò)信息。在wireshark的Filter中輸入表達(dá)式：00and<tcp.dstport==23ortcp.srcport==23> 其中0是你所在機(jī)器的IP,telnet服務(wù)是tcp協(xié)議并且其默認(rèn)端口是23。上面的IP01可改為任何沒有打開telnet服務(wù)的IP。比如：可以用身邊同學(xué)的IP?！沧ⅲ捍薎P的機(jī)器上要求沒有打開telnet服務(wù),但要求機(jī)器是開的,否則將無法主動拒絕一個TCP請求試從得到的信息中找出一個TCP的握手不成功的過程,并用截圖記錄下來并結(jié)合所得到的信息解釋這個握手不成功的例子。發(fā)送第一次請求報文后,收到一個回應(yīng)報文,但是因為沒有打開talnet服務(wù),所以握手失敗。3.6偵聽網(wǎng)絡(luò)上的ARP包驗證ARP工作原理 關(guān)于ARP的說明：IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送。但以太網(wǎng)設(shè)備并不識別32位IP地址,它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此,必須把目的IP地址對應(yīng)到以太網(wǎng)的MAC地址。當(dāng)一臺主機(jī)自己的ARP表中查不到目的IP對應(yīng)的MAC地址時,需要啟動ARP協(xié)議的工作流程。ARP工作時,送出一個含有目的IP地址的廣播ARP請求數(shù)據(jù)包。如果被請求目的IP對應(yīng)的主機(jī)與請求機(jī)位于同一個子網(wǎng),目的主機(jī)將收到這個請求報文,并按照RFC826標(biāo)準(zhǔn)中的處理程序處理該報文,緩存請求報文中的源IP和源MAC地址對,同時發(fā)出ARP應(yīng)答〔單播,請求機(jī)收到ARP應(yīng)答,將應(yīng)答中的信息存入ARP表,備下次可能的使用。如果被請求目的IP對應(yīng)的主機(jī)與請求機(jī)不在同一個子網(wǎng),請求機(jī)所在的缺省網(wǎng)關(guān)〔代理ARP會發(fā)回一個ARP應(yīng)答,將自己的MAC地址作為應(yīng)答容,請求機(jī)即將目的IP和網(wǎng)關(guān)的MAC地址存入ARP表中。為了維護(hù)ARP表的信息是反應(yīng)網(wǎng)絡(luò)最新狀態(tài)的映射對,所有的ARP條目都具有一個老化時間,當(dāng)一個條目超過老化時間沒有得到更新,將被刪除。要看本機(jī)的ARP表〔也即IP與MAC地址對應(yīng)表中的容,只需在命令行方式下鍵入：arp–a命令即可。在下面的實驗中,為了能夠捕捉到ARP消息,首先將本機(jī)的ARP表中的容清空。這樣當(dāng)你使用Ping命令時,它會首先使用ARP請求報文來查詢被ping機(jī)器IP的MAC地址。〔當(dāng)本地的ARP表中有這個IP對應(yīng)的MAC地址時,是不會再查詢的。要將本機(jī)的ARP表中的容清空,請使用命令：arp–d*。關(guān)于ARP更進(jìn)一步的說明,請同學(xué)到網(wǎng)上查閱相關(guān)資料。驗證實驗操作：在步驟3.3的基礎(chǔ)上,單擊start按鈕后,打開命令行窗口并輸入：arp–d<清除ARP表>ping01<Ping任意一個和你的主機(jī)在同一個局域網(wǎng)的IP,說明:被Ping的主機(jī)不能開防火墻。在wireshark的Filter中輸入表達(dá)式：arp,然后就能會出現(xiàn)ARP消息的記錄。請根據(jù)記錄回答以下問題：記錄下你所看到的信息,用截圖形式。〔找到ARP請求和ARP應(yīng)答兩個報文請分析解釋你的記錄中的容表示什么意思,從而說明ARP的工作原理。有一個請求和一個應(yīng)答,表達(dá)ARP發(fā)出的一個請求和一個應(yīng)答,即ARP通過廣播使得對方接收到我的廣播包,并且得到對方的以太網(wǎng)地址應(yīng)答。ARP的工作原理：在自己主機(jī)上構(gòu)建一個數(shù)據(jù)包,,然后發(fā)送一個廣播包,等待應(yīng)答。然后這兩個過程使用的協(xié)議就是ARP。3.6.2設(shè)計一個ARP緩存刷新機(jī)制的驗證為了避免子網(wǎng)中頻繁發(fā)起ARP請求,讓ARP工作得更加高效,每臺主機(jī)〔包括路由器部的存中都開辟了一個ARP緩存空間,叫ARP表。按照教材上的講解,ARP表的刷新因素主要有：〔1從應(yīng)答中提取IP-MAC映射對；〔2從機(jī)器啟動的時候發(fā)送的免費ARP請求〔gratuitousARP中提取源IP-MAC映射對；〔3從子網(wǎng)中偵聽到的普通ARP請求廣播幀中讀取源IP-MAC映射對。在PT模擬演示中,已經(jīng)看到：偵聽到ARP廣播請求的主機(jī),并沒有刷新自己的ARP表。請設(shè)計一個實驗來分析說明現(xiàn)實網(wǎng)絡(luò)中,上述第二條和第三條刷新機(jī)制是否存在或者被實現(xiàn)。注意：〔1實驗室B3-230、231的所有PC的consel網(wǎng)卡都處于同一個大子網(wǎng)中〔。〔2建議：這個設(shè)計實驗,以4~8人的組來完成,并請組長在實驗報告中寫明實驗方法,得到的結(jié)論,分析過程等,盡量詳細(xì)。〔組長一人寫,并寫明協(xié)助一起完成的組成員；組成員在自己的實驗報告中,只需說明參加哪位組長的實驗即可?！?如果時間來不及,請在宿舍繼續(xù)完成該項。3.6.2設(shè)計一個ARP緩存刷新機(jī)制的驗證為了避免子網(wǎng)中頻繁發(fā)起ARP請求,讓ARP工作得更加高效,每臺主機(jī)〔包括路由器部的存中都開辟了一個ARP緩存空間,叫ARP表。按照教材上的講解,ARP表的刷新因素主要有：〔1從應(yīng)答中提取IP-MAC映射對；〔2從機(jī)器啟動的時候發(fā)送的免費ARP請求〔gratuitousARP中提取源IP-MAC映射對；〔3從子網(wǎng)中偵聽到的普通ARP請求廣播幀中讀取源IP-MAC映射對。在PT模擬演示中,已經(jīng)看到：偵聽到ARP廣播請求的主機(jī),并沒有刷新自己的ARP表。請設(shè)計一個實驗來分析說明現(xiàn)實網(wǎng)絡(luò)中,上述第二條和第三條刷新機(jī)制是否存在或者被實現(xiàn)。注意：〔1實驗室B3-230、231的所有PC的consel網(wǎng)卡都處于同一個大子網(wǎng)中〔?！?建議：這個設(shè)計實驗,以4~8人的組來完成,并請組長在實驗報告中寫明實驗方法,得到的結(jié)論,分析過程等,盡量詳細(xì)。〔組長一人寫,并寫明協(xié)助一起完成的組成員；組成員在自己的實驗報告中,只需說明參加哪位組長的實驗即可?！?如果時間來不及,請在宿舍繼續(xù)完成該項。實驗設(shè)計與實驗過程：ARP表刷新因素〔1在實驗已驗證；ARP表刷新因素〔2、〔3的驗證環(huán)境如下：實驗環(huán)境：六臺實驗PC通過無線連接到同一個子網(wǎng)〔,網(wǎng)關(guān)為電腦編號操作系統(tǒng) IP MACPC1Win7Ultimate3544-6D-57-48-8A-F544-6D-57-60-2A-A69c-2a-70-1f-24-1c60-36-dd-b0-fa-a9PC5Win7Ultimate5474:e5:43:64:77:22PC6Win7Ultimate18e0:06:e6:cb:3a:b2實驗過程：PC1、PC2、PC3、PC4、PC5、PC6連接網(wǎng)絡(luò)后執(zhí)行arp–d,再執(zhí)行arp-a查看ARP信息并記錄,然后PC1、PC2運行Wireshark抓包；PC3-PC4斷開網(wǎng)絡(luò)后連接該網(wǎng)絡(luò),此時PC1-PC2運行arp-a查看ARP信息并記錄；PC5、PC6運行arp-d清除ARP表,PC5pingPC6后,PC1、PC2再運行arp-a查看并記錄ARP表。實驗記錄：PC1的wireshark截圖：▲截圖分析：PC3、PC4連接網(wǎng)絡(luò)后,第一時間請求網(wǎng)關(guān)MAC并發(fā)送gratuitousARP,結(jié)合PC1的arp表變化可以得出機(jī)制〔2生效；但結(jié)合PC2的arp表變化,無法得出機(jī)制〔2生效；〔再進(jìn)行一次實驗▲截圖分析：發(fā)現(xiàn)IP為的主機(jī)發(fā)送gratuitousARP,可以得出網(wǎng)絡(luò)上的主機(jī)每個一段時間都會發(fā)送gratuitousARP；PC1的CMD操作及結(jié)果：C:\Users\zwx>arp-dC:\Users\zwx>arp-a接口:350xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)C:\Users\zwx>arp-a接口:350xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)029c-2a-70-1f-24-1c動態(tài)0760-36-dd-b0-fa-a9動態(tài)201-00-5e-00-00-16靜態(tài)C:\Users\zwx>arp-a接口:350xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)029c-2a-70-1f-24-1c動態(tài)0760-36-dd-b0-fa-a9動態(tài)201-00-5e-00-00-16靜態(tài)C:\Users\zwx>arp-a接口:350xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)029c-2a-70-1f-24-1c動態(tài)0760-36-dd-b0-fa-a9動態(tài)201-00-5e-00-00-16靜態(tài)PC2的CMD操作及結(jié)果：C:\Windows\system32>arp-dC:\Windows\system32>arp-a接口:520xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)55ff-ff-ff-ff-ff-ff靜態(tài)5201-00-5e-00-00-fc靜態(tài)C:\Windows\system32>arp-a接口:520xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)55ff-ff-ff-ff-ff-ff靜態(tài)201-00-5e-00-00-16靜態(tài)5201-00-5e-00-00-fc靜態(tài)C:\Windows\system32>arp-a接口:520xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)55ff-ff-ff-ff-ff-ff靜態(tài)201-00-5e-00-00-16靜態(tài)5201-00-5e-00-00-fc靜態(tài)C:\Windows\system32>arp-a接口:520xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)55ff-ff-ff-ff-ff-ff靜態(tài)201-00-5e-00-00-16靜態(tài)5201-00-5e-00-00-fc靜態(tài)再一次實驗：三臺實驗PC通過無線連接到同一個子網(wǎng)〔,網(wǎng)關(guān)為電腦編號操作系統(tǒng) IP MACPC1Win7Ultimate3544-6D-57-48-8A-F544-6D-57-60-2A-A69c-2a-70-1f-24-1cPC2打開wireshark抓包；PC1-PC3執(zhí)行arp–d清除arp緩存,PC1執(zhí)行ARP–a查看ARP緩存變化；--C:\Users\zwx>arp-a接口:350xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)029c-2a-70-1f-24-1c動態(tài)0760-36-dd-b0-fa-a9動態(tài)201-00-5e-00-00-16靜態(tài)--PC3連接wifi；〔結(jié)果分析：連接新網(wǎng)絡(luò),主機(jī)會發(fā)送gratuitousARP請求PC1執(zhí)行ARP–a查看ARP緩存變化〔結(jié)果分析：PC1并沒有因為gratuitousARP的請求而刷新ARP緩存,也沒有主機(jī)對gratuitousARP請求作出應(yīng)答,因此,得知機(jī)制〔2無效C:\Users\zwx>arp-a接口:350xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)029c-2a-70-1f-24-1c動態(tài)0760-36-dd-b0-fa-a9動態(tài)201-00-5e-00-00-16靜態(tài)然后PC1pingPC3；PC1執(zhí)行ARP–a查看ARP緩存變化〔結(jié)果分析,發(fā)送ARP請求得到PC3的MACC:\Users\zwx>arp-a接口:350xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)029c-2a-70-1f-24-1c動態(tài)201-00-5e-00-00-16靜態(tài)同時,PC2執(zhí)行arp–a,〔結(jié)果分析：機(jī)制〔3無效--C:\Windows\system32>arp-a接口:520xbInternet地址物理地址類型d4-ee-07-08-a1-6a動態(tài)55ff-ff-ff-ff-ff-ff靜態(tài)201-00-5e-00-00-16靜態(tài)5201-00-5e-00-00-fc靜態(tài)--實驗結(jié)論：ARP表的刷新因素主要有：〔1從應(yīng)答中提取IP-MAC映射對；〔2從機(jī)器啟動的時候發(fā)送的免費ARP請求〔gratuitousARP中提取源IP-MAC映射對；〔