實(shí)驗(yàn)二-使用wireshark分析arp協(xié)議

計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)報(bào)告年級(jí)：姓名：學(xué)號(hào)：___________實(shí)驗(yàn)日期:_________________________實(shí)驗(yàn)名稱：實(shí)驗(yàn)二：利用Wireshark分析ARP協(xié)議一、實(shí)驗(yàn)工程名稱及實(shí)驗(yàn)工程編號(hào)ARP協(xié)議學(xué)習(xí)與分析二、課程名稱及課程編號(hào)計(jì)算機(jī)網(wǎng)絡(luò)三、實(shí)驗(yàn)?zāi)康暮鸵髮?shí)驗(yàn)?zāi)康模和ㄟ^本實(shí)驗(yàn)使學(xué)生：1．學(xué)習(xí)ARP協(xié)議的工作原理以及ARP分組格式；2．學(xué)習(xí)使用WireShark對(duì)ARP協(xié)議進(jìn)行分析。實(shí)驗(yàn)要求：實(shí)驗(yàn)結(jié)果分析報(bào)告名稱：實(shí)驗(yàn)一ARP協(xié)議實(shí)驗(yàn)結(jié)果分析_姓名.doc四、實(shí)驗(yàn)原理Wireshark介紹Wireshark是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包，并嘗試顯示包的盡可能詳細(xì)的情況。網(wǎng)絡(luò)包分析工具是一種用來測(cè)量有什么東西從網(wǎng)線上進(jìn)出的測(cè)量工具，Wireshark是最好的開源網(wǎng)絡(luò)分析軟件。Wireshark的主要應(yīng)用如下：〔1〕網(wǎng)絡(luò)管理員用來解決網(wǎng)絡(luò)問題〔2〕網(wǎng)絡(luò)平安工程師用來檢測(cè)平安隱患〔3〕開發(fā)人員用來測(cè)試協(xié)議執(zhí)行情況〔4〕用來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議〔5〕除了上面提到的，Wireshark還可以用在其它許多場(chǎng)合。Wireshark的主要特性〔1〕支持UNIX和Windows平臺(tái)〔2〕在接口實(shí)時(shí)捕捉包〔3〕能詳細(xì)顯示包的詳細(xì)協(xié)議信息〔4〕可以翻開/保存捕捉的包〔5〕可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式〔6〕可以通過多種方式過濾包〔7〕多種方式查找包〔8〕通過過濾以多種色彩顯示包〔9〕創(chuàng)立多種統(tǒng)計(jì)分析五、實(shí)驗(yàn)內(nèi)容1．了解數(shù)據(jù)包分析軟件Wireshark的根本情況；2．安裝數(shù)據(jù)包分析軟件Wireshark；3．配置分析軟件Wireshark；4．對(duì)本機(jī)網(wǎng)卡抓數(shù)據(jù)包；5．分析各種數(shù)據(jù)包。六、實(shí)驗(yàn)方法及步驟1．Wireshark的安裝及界面〔1〕Wireshark的安裝〔2〕Wireshark的界面啟動(dòng)Wireshark之后，主界面如圖：主菜單項(xiàng)：主菜單包括以下幾個(gè)工程:File包括翻開、合并捕捉文件，save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或局部。以及退出Wireshark項(xiàng).Edit包括如下工程：查找包，時(shí)間參考，標(biāo)記一個(gè)多個(gè)包，設(shè)置預(yù)設(shè)參數(shù)。〔剪切，拷貝，粘貼不能立即執(zhí)行?！砎iew控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在別離的窗口，展開或收縮詳情面版的地樹狀節(jié)點(diǎn)GO包含到指定包的功能Capture允許您開始或停止捕捉、編輯過濾器。Analyze包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。見Statistics包括的菜單項(xiàng)用戶顯示多個(gè)統(tǒng)計(jì)窗口，包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計(jì)等等。見Help包含一些輔助用戶的參考內(nèi)容。如訪問一些根本的幫助文件，支持的協(xié)議列表，用戶手冊(cè)。在線訪問一些網(wǎng)站，“關(guān)于〞等等。2．Wireshark的設(shè)置和使用1〕啟動(dòng)Wireshark以后，選擇菜單Capature->Interfaces,選擇捕獲的網(wǎng)卡，單擊Capture開始捕獲2〕當(dāng)停止抓包時(shí)，按一下stop，抓的包就會(huì)顯示在面板中，并且已經(jīng)分析好了。下面是一個(gè)截圖如圖2-2所示。圖2-2Wireshark數(shù)據(jù)包分析Wireshark和其它的圖形化嗅探器使用根本類似的界面，整個(gè)窗口被分成三個(gè)局部：最上面為數(shù)據(jù)包列表，用來顯示截獲的每個(gè)數(shù)據(jù)包的總結(jié)性信息；中間為協(xié)議樹，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；最下邊是以十六進(jìn)制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時(shí)的最終形式。2〕設(shè)置capture選項(xiàng)選擇菜單capture→Interface，如圖2-3所示，在指定的網(wǎng)卡上點(diǎn)“Prepare〞按鈕，設(shè)置capture參數(shù)。圖2-3capture選擇設(shè)置Interface：指定在哪個(gè)接口〔網(wǎng)卡〕上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以。Limiteachpacket：限制每個(gè)包的大小，缺省情況不限制。Capturepacketsinpromiscuousmode：是否翻開混雜模式。如果翻開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。Filter：過濾器。只抓取滿足過濾規(guī)那么的包〔可暫時(shí)略過〕。File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。useringbuffer：是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫文件的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時(shí)回卷。其他的項(xiàng)選擇缺省的就可以了。2．顯示過濾器的使用方法在抓包完成以后用顯示過濾器，可以在設(shè)定的條件下〔協(xié)議名稱、是否存在某個(gè)域、域值等〕來查找你要找的數(shù)據(jù)包。如果只想查看使用TCP協(xié)議的包，在Wireshark窗口的左下角的Filter中輸入TCP，然后回車，Wireshark就會(huì)只顯示TCP協(xié)議的包。如圖2-4所示。圖2-4設(shè)置過濾條件為TCP報(bào)文如果想抓取IP地址是的主機(jī)，它所接收收或發(fā)送的所有的TCP報(bào)文，那么適宜的顯示Filter〔過濾器〕就是如圖2-5所示。圖2-5設(shè)置過濾條件為IP地址是10.20.61.15的主機(jī)所有的TCP報(bào)文七、學(xué)習(xí)使用WireShark對(duì)ARP協(xié)議進(jìn)行分析〔1〕啟動(dòng)WireShark〔2〕捕獲數(shù)據(jù)〔3〕停止抓包并分析ARP請(qǐng)求報(bào)文將Filter過濾條件設(shè)為arp，回車或者點(diǎn)擊“Apply〞按鈕，〔4〕ARP請(qǐng)求報(bào)文分析1〕粘貼你捕獲的ARP請(qǐng)求報(bào)文2〕分析你捕獲的ARP請(qǐng)求報(bào)文第一行幀根本信息分析〔粘貼你的Frame信息〕FrameNumber〔

幀的編號(hào)〕：______1457___〔捕獲時(shí)的編號(hào)〕FrameLength(幀的大小)：____60____字節(jié)?！惨蕴W(wǎng)的幀最小64個(gè)字節(jié)，而這里只有６０個(gè)字節(jié)，應(yīng)該是沒有把四個(gè)字節(jié)的CRC計(jì)算在里面，加上它就剛好?！矨rrivalTime(幀被捕獲的日期和時(shí)間):__sep23,_202315:15:38.463721000______Timedeltafrompreviouscapturedframe(幀距離前一個(gè)幀的捕獲時(shí)間差):____0.002937000seconds____Timesincerefernceorfirstframe(幀距離第一個(gè)幀的捕獲時(shí)間差)：___24.488816000seconds____________Protocolsinframe(幀裝載的協(xié)議)：__eth:arp__________第二行數(shù)據(jù)鏈路層：〔粘貼你的數(shù)據(jù)鏈路層信息〕Destination〔目的地址〕：_Broadcast(ff:ff:ff:ff:ff:ff)_________〔這是個(gè)MAC地址，這個(gè)MAC地址是一個(gè)播送地址，就是局域網(wǎng)中的所有計(jì)算機(jī)都會(huì)接收這個(gè)數(shù)據(jù)幀〕Source〔源地址〕：G-ProCom_45:48:16(00:23:24:45:48:16)幀中封裝的協(xié)議類型：ARP(0x0806)〔這個(gè)是ARP協(xié)議的類型編號(hào)?！砊railer：是協(xié)議中填充的數(shù)據(jù)，為了保證幀最少有64字節(jié)。第三層ARP協(xié)議：〔粘貼你的ARP請(qǐng)求報(bào)文〕在上圖中，我們可以看到如下信息：Ｈardwaretype〔硬件類型〕：___Ethernet(1)_________Ｐrotocoltype〔協(xié)議類型〕：IP(0x0800)____________Ｈardwaresize(硬件信息在幀中占的字節(jié)數(shù))：__6_____________Ｐrotocolsize(協(xié)議信息在幀中占的字節(jié)數(shù))：_____4_________操作碼〔opcode〕：requset(0X0001)發(fā)送方的ＭＡＣ地址〔SenderMACaddress〕：G-ProCom_45:48:16(00:23:24:45:48:16)____發(fā)送方的IP地址〔SenderIPaddress〕：__10.30.28.22(10.30.28.22)_________________目標(biāo)的ＭＡＣ地址〔TargetMACaddress:〕：_______00:00:00_00:00:00(00:00:00:00:00:00)____________目標(biāo)的IP地址〔TargetIPaddress:〕：____10.30.28.1(10.30.28.1)________________〔3〕分析ARP應(yīng)答報(bào)文〔粘貼你的ARP應(yīng)答報(bào)文〕應(yīng)答報(bào)文中的操作碼〔opcode〕：reply(0X0002)發(fā)送方的ＭＡＣ地址〔SenderMACaddress〕：_0c:da:41:63:03:f4(0c:da:41:63:03:f4)_______________發(fā)送方的IP地址〔SenderIPaddress〕：_10.30.28.1(10.30.28.1)_________________目標(biāo)的ＭＡＣ地址〔TargetMACaddress:〕：___G-ProCom_45:47:dd(00:23:24:45:47:dd)________________目標(biāo)的IP地址〔TargetIPaddress:〕：_______10.30.28.38(10.30.28.38)_____________練習(xí)1：對(duì)于上述2、3中的arp請(qǐng)求報(bào)文和應(yīng)答報(bào)文，將ARP請(qǐng)求報(bào)文和ARP應(yīng)答報(bào)文中的字段信息填入表3-1。表3-1RPP請(qǐng)求報(bào)文和ARP應(yīng)答報(bào)文的字段信息字段項(xiàng)ARP請(qǐng)求數(shù)據(jù)報(bào)文ARP應(yīng)答數(shù)據(jù)報(bào)文鏈路層Destination項(xiàng)Broadcast(ff:ff:ff:ff:ff:ff)G-ProCom_45:47:dd(00:23:24:45:47:dd)鏈路層Source項(xiàng)G-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)網(wǎng)絡(luò)層SenderMACAddressG-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)網(wǎng)絡(luò)層SenderIPAddress10.30.28.22(10.30.28.22)10.30.28.1(10.30.28.1)_網(wǎng)絡(luò)層TargetMACAddress00:00:00_00:00:00(00:00:00:00:00:00)G-ProCom_45:47:dd(00:23:24:45:47:dd)網(wǎng)絡(luò)層TargetIPAddress10.30.28.1(10.30.28.1)10.30.28.38(10.30.28.38)練習(xí)2：ARP報(bào)文是直接封裝在以太幀中的，為此以太幀所規(guī)定的類型字段值為___0806h____________練習(xí)3：對(duì)地址轉(zhuǎn)換協(xié)議〔ARP〕描述正確的選項(xiàng)是〔D〕AARP封裝在IP數(shù)據(jù)報(bào)的數(shù)據(jù)局部B發(fā)送ARP包需要知道對(duì)方的MAC地址CARP是用于IP地址到域名的轉(zhuǎn)換DARP是采用播送方式發(fā)送的練習(xí)4：ARP欺騙的原理是什么？如何進(jìn)行防范？ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。防范措施：建立DHCP效勞器；建立MAC數(shù)