《华南理工大学计算机网络网络报文抓取与分析实验报告.docx》由会员分享,可在线阅读,更多相关《华南理工大学计算机网络网络报文抓取与分析实验报告.docx(11页珍藏版)》请在三一办公上搜索。
1、计算机网络实验指南(计算机类本科生试用)广东省计算机网络重点实验室计算机科学与工程学院华南理工大学2014年5月实验二网络报文抓取与分析1.实验目的(1)、学习了解网络侦听(2)、学习抓包工具Wireshark的简单使用(3)、对所侦听到的信息作初步分析,包括ARP报文,ICMP报文。(4)、从侦听到的信息中分析TCP的握手过程,进行解释(5)、分析了解TCP握手失败时的情况2 .实验环境2.1 Wireshark 介绍Wireshark(前称Ethereal)是一个免费的网络报文分析软件。网络报文分析软件的功能是抓取 网络报文,并逐层显示报文中各字段取值。网络报文分析软件有个形象的名字“嗅探
2、工具”像一只 猎狗,忠实地守候在接口旁,抓获进出该进口的报文,分析其中携带的信息,判断是否有异常,是 网络故障原因分析的一个有力工具。网络报文分析软件曾经非常昂贵,Ethereal/wireshark开源软件的出现改变了这种情况。在 GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对 其源代码修改及客制化的权利。Ethereal/wireshark是目前世界使用最广泛的网络报文分析软件之 一。请需要的同学在教学在线上下载中文操作手册。2.2实验要求软件:Wireshark(目前最新版本1.4.1)硬件:上网的计算机3 .实验步骤3.1 wireshark
3、 的安装wireshark的二进制安装包可以在官网下载,或者可以在其他网站下载。注意:下载后双击执行二进制安装包即可完成wireshark的安装。安装包里包含了 WinPcap,并 不需要单独安装WinPcap。3.2查看本机的网络适配器列表操作:单击菜单Capture中的Interfaces选项记录下你看到的信息,并回答问题:(1)、你机器上的网络适配器有几个? 4(2)、它们的编号分别是?VMware Network Adapter VMnet8实际地址:00-50-56-C0-00-08IP 地址:192.168.241.1子网掩码:255.255.255.0验证网卡实际地址:00-1E
4、-30-2D-FF-BAIP 地址:169.254.2.191子网掩码: 255.255.0.0默认网关:DNS 服务器:222.201.130.30, 222.201.130.33WINS服务器:VMware Network Adapter VMnet1实际地址: 00-50-56-C0-00-01IP 地址: 192.168.133.1子网掩码: 255.255.255.0默认网关:DNS 服务器:WINS服务器:Console 网卡实际地址:78-E3-B5-A5-B5-2BIP 地址:192.168.3.53子网掩码: 255.255.252.0默认网关: 192.168.1.254D
5、NS 服务器: 222.201.130.30WINS服务器:3.3在指定网络适配器上进行监听操作:在步骤3.2中弹出的Interfaces选项中,选择指定的网络适配器并单击start按钮DescriptionIPPiackets Packets/sStopK I Atheros L1C PCI-E Ethernet Controller f80:7557:eaba:flbfd:517f印 Microsoftfe3O:fdO4:a333:436d:9556 2371记录并解释wireshark监听的包内容(解释1条记录即可)4 契. 55M555 1L19. F5 UNO. 5 口泥!后 8M.
6、5MTCP自口 hp * 5mp-L:二 p-peri .虻 K 充 q=4 5O .山(=1台1 Win=64 笠 LEi=0田 Frame 127720: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on iinterface 0ffi Ethernet II, Src: Fuj1anst_5b:41:f7 (14:14:4b:5b:41:f7), Dst: Hewlett-_a5:b5:2b (78:e3:b5:a5:b5:2b) 田 I nternet Protocol Version 4, Src: 119.75
7、.220.50 (119.75.220.50), Dst: 192.168.3.53 (192.168.3.53 ffi Transmission Control Protocol, Src Port: http (80), Dst Port: snmp-tcp-port (1993), Seq: 450, Ack: 191, Len: 0传输时间,发送方IP地址,接收方IP地址,协议类型,报文长度,报文信息报文内第一行:60bytes是报文大小,报文内第二行:发送方的mac地址,接收方的mac地址报文内第三行:发送方的IP地址,接收方的IP地址报文内第四行:发送方的端口号(80)接收方的端口
8、号(1993)请求序列号为450,回执序列号191。数据长度为0。3.4记录一个TCP三次握手过程操作:在步骤3.3的基础上,单击start按钮后,打开命令行窗口并输入:telnet ,然后停止继续侦听网络信息。在wireshark的Filter中输入表达式:(ip.src=192.168.1.100 or ip.dst=192.168.1.100) and (tcp.dstport=23 or tcp.srcport=23)File Edit View Go Capture Analyze Statistics Telephony Tools部督尊哀m I a b翼aw昌i鼠伽摩芥主Filt
9、er: dst= =192.163.1.100) and (tcp.dstport= = 23 or tcp.srcpcrrt= =23) 其中192.168.1.100是你所在机器的IP,请自行根据自己机器的IP地址修改filter(可使用IPconfig查看)。telnet服务的传输层采用了 tcp协议,并且其默认端口是23。在wireshark窗口中,记下所显示的内容(可事先通过重定向的方式记录)并回答问题。(1) 根据得到的信息解释所键入的filter定制中的参数的含义?发送方IP地址是192.168.1.100或者接收方IP地址是192.168.1.100且发送方端口是23或接收方端
10、口是23的TCP连接(2) 请从得到的信息中找出一个TCP的握手过程。并用截图形式记录下来。243 10.368117000192.168.3.53121.195.187.12TCP66 targus-getdata2 httpSYNSeq=0Win=65535 Len=0 MSS=1460 WS=2SACK_PERM=1244 10.368136000192.168.1.108192.168.1.2 5 5NBNS92 Name query NB I.ADSAME.COM245 10.370352000121.195.187.12192.168.3.53TCP62 http targus-g
11、etdatalSYN,ACK Seq=0 Ack=l Win=5440 Len=0M5S=1360SACK_PERM=1246 10.370374000192.168.3.53121.195.187.12TCP54targus-getdatal httpACKSeq=lAck=l Win=65535 Len=0(2)结合得到的信息解释TCP握手的过程。第一行:192.168.3.53请求建立连接(seq=0)第三行:121.195.187.12收到报文(ack=1),作出回应(seq=0)第四行:192.168.3.53收到报文(ack=1),发送报文(seq=1)3.5 一个TCP握手不成功
12、的例子操作:在步骤3.3的基础上,单击start按钮后,打开命令行窗口并输入:telnet 192.168.1.101, 然后停止继续侦听网络信息。在wireshark的Filter中输入表达式:ip.src=192.168.1.100 or ip.dst=192.168.1.100 and (tcp.dstport=23 or tcp.srcport=23)其中192.168.1.100是你所在机器的IP,telnet服务是tcp协议并且其默认端口是23。上面的IP 192.168.1.101可改为任何没有打开telnet服务的IP。比如:可以用身边同学的IP(注: 此IP的机器上要求没有打
13、开telnet服务,但要求机器是开的,否则将无法主动拒绝一个TCP请求)(1)试从得到的信息中找出一个TCP的握手不成功的过程,并用截图记录下来11 1.317414000192.168.3.53192.168.3.54TCP66 ninaf telnet SYN seq=0 win=65 53 5 Len=0 MSS=1460 WS=8 SACK_PERM=1与52200.054丁TUPninaf” R3T, KK订in=0Lenl。L4 1. 742033000192.168. M. 53192.168.M. 54TUP66Retransms3ionjni*f telnet 5YN 5eq
14、=0 Win=65 53 5Len=0MSST460W5=85ACK_PERM=1L5 L 742147000192.168. M. 54192.168.M. 5MTUP60瑚net ninaf 卷T,AZK SeqT Ack=:L Win=0 Len=024 2.288874000192.168. 53192.168.3. 54TCP66TgP Retr55用5歹onjningf telnet 5丫N 5eq=0 Win=655M5Len=0MSS=1460W5=85ACK_PERM=J.N5 2.288972000192.168.3.54尖.168.3. 53TCP6。TEnat a ni
15、naf R3T,ACK 5eq=1 AckT Win=0 Len=。(2) 并结合所得到的信息解释这个握手不成功的例子。发送第一次请求报文后,收到一个回应报文,但是因为没有打开talnet服务,所以握手 失败。3.6侦听网络上的ARP包3.6.1验证ARP工作原理关于ARP的说明:IP数据包常通过以太网发送。但以太网设备并不识别32位IP地址,它们是以 48位以太网地址传输以太网数据包的。因此,必须把目的IP地址对应到以太网的MAC地址。当一 台主机自己的ARP表中查不到目的对应的MAC地址时,需要启动ARP协议的工作流程。ARP工作时,送出一个含有目的小地址的广播ARP请求数据包。如果被请求
16、目的对应的主机 与请求机位于同一个子网,目的主机将收到这个请求报文,并按照RFC826标准中的处理程序处理该 报文,缓存请求报文中的源IP和源MAC地址对,同时发出ARP应答(单播),请求机收到ARP应答,将 应答中的信息存入ARP表,备下次可能的使用。如果被请求目的IP对应的主机与请求机不在同一个子 网,请求机所在的缺省网关(代地RP)会发回一 个ARP应答,将自己的MAC地址作为应答内容,请求 机即将目的IP和网关的MAC地址存入ARP表中。为了维护ARP表的信息是反应网络最新状态的映射对,所有的ARP条目都具有一个老化时间,当 一个条目超过老化时间没有得到更新,将被删除。要看本机的ARP
17、表(也即IP与MAC地址对应表)中的内容,只需在命令行方式下键入:arp a命令即可。在下面的实验中,为了能够捕捉到ARP消息,首先将本机的ARP表中的内容清空。这 样当你使用Ping命令时,它会首先使用ARP请求报文来查询被ping机器IP的MAC地址。(当本地的 ARP表中有这个IP对应的MAC地址时,是不会再查询的)。要将本机的ARP表中的内容清空,请使 用命令:arp-d *。关于ARP更进一步的说明,请同学到网上查阅相关资料。3.6.1验证实验操作:在步骤3.3的基础上,单击star成钮后,打开命令行窗口并输入:arp -d (清除 ARP 表)ping 192.168.1.101
18、(Ping任意一个和你的主机在同一个局域网的IP,说明:被Ping的主机不能开 防火墙)。在wireshark的Filter中输入表达式:arp,然后就能会出现ARP消息的记录。请根据记录回答以下问题:(1)记录下你所看到的信息,用截图形式。(找到ARP请求和ARP应答两个报文)V WWWI I ir/-L 2 J -l_IF IL JI J JL LM S I77IV I II R_L -L-盘 J . 47. 7 . J J 7 . I _l_ -L- U f91 11.145116000Hewlett-_a5:b5:2b BroadcastARP42 who has 192.168.3.
19、54? Tell 192.168.3.5392 11.145213000Hewlett-_a5:ad:92 Hewlett-_a5:b5:2b ARP60 192.168.3.54 is at 78:e3:b5:a5:ad:92(2)请分析解释你的记录中的内容表示什么意思,从而说明ARP的工作原理。有一个请求和一个应答,表达ARP发出的一个请求和一个应答,即ARP通过广播使得对方接收到我的广播包,并且得到对方的以太网地址应答。ARP的工作原理:在自己主机上构建一个数据包,然后发送一个广播包,等待应答。然后这两个过程使用的协议就是ARP。(3) 3.6.2设计一个ARP缓存刷新机制的验证为了避免
20、子网中频繁发起ARP请求,让ARP工作得更加高效,每台主机(包括路由器)内部的内存中都开辟了一个ARP缓存空间,叫ARP表。按照教材上的讲解,ARP表的刷新因素主要有:(1)从应答中提取IP-MAC映射对;(2)从机器启动的时候发送的免费ARP请求(gratuitous ARP)中提取源IP-MAC映射对;(3)从子网中侦听到的普通ARP请求广播帧中读取源IP-MAC映射对。在PT模拟演示中, 已经看到:侦听 UARP广播请求的主机,并没有刷新自己的ARP表。请设计一个实验来分析说明现实网络中,上述第二条和第三条刷新机制是否存在或者被实现。注意:(1)实验室B3-230、231的所有PC的co
21、nsel网卡都处于同一个大子网中(255.255.252.0)。(2)建议:这个设计实验,以48人的组来完成,并请组长在实验报告中写明实验方法,得到 的结论,分析过程等,尽量详细。(组长一人写,并写明协助一起完成的组成员;组成员在自己的实 验报告中,只需说明参加哪位组长的实验即可。)(3)如果时间来不及,请在宿舍继续完成该项。3.6.2设计一个ARP缓存刷新机制的验证为了避免子网中频繁发起ARP请求,让ARP工作得更加高效,每台主机(包括路由器)内部的内存 中都开辟了一个ARP缓存空间,叫ARP表。按照教材上的讲解,ARP表的刷新因素主要有:(1)从 应答中提取IP-MAC映射对;(2)从机器
22、启动的时候发送的免费ARP请求(gratuitous ARP)中提取源 IP-MAC映射对;(3)从子网中侦听到的普通ARP请求广播帧中读取源IP-MAC映射对。在PT模拟演 示中,已经看到:侦听到ARP广播请求的主机,并没有刷新自己的ARP表。请设计一个实验来分析说明现实网络中,上述第二条和第三条刷新机制是否存在或者被实现。一、4注意:(1)实验室B3-230、231的所有PC的consel网卡都处于同一个大子网中(255.255.252.0)。(2)建议:这个设计实验,以48人的组来完成,并请组长在实验报告中写明实验方法,得到的结 论,分析过程等,尽量详细。(组长一人写,并写明协助一起完成
23、的组成员;组成员在自己的实验报 告中,只需说明参加哪位组长的实验即可。)(3)如果时间来不及,请在宿舍继续完成该项。实验设计与实验过程:ARP表刷新因素(1)在实验3.6.1已验证;ARP表刷新因素(2)、(3)的验证环境如下:实验环境:六台实验PC通过无线连接到同一个子网(192.168.199.0),网关为192.168.199.1操作系统IPMACWin7 Ultimate192.168.199.13544-6D-57-48-8A-F5Win7 Ultimate192.168.199.15244-6D-57-60-2A-A6Win8.1Win7 UltimateWin7 Ultimate
24、Win7 Ultimate电脑编号PC1PC2192.168.199.1029c-2a-70-1f-24-1c192.168.199.20760-36-dd-b0-fa-a9192.168.199.15474:e5:43:64:77:22192.168.199.218e0:06:e6:cb:3a:b2PC3PC4PC5PC6PC3、 PC4、 PC5、实验过程:PC6连接网络后执行arp d,再执行arp -a查看ARP信息并记录,然后PC1、PC2 运行 Wireshark 抓包;PC1、PC2、PC3-PC4断开网络后连接该网络,此时PC1-PC2运行arp -a查看ARP信息并记录;PC
25、5、PC6运行arp -d清除ARP表,PC5 ping PC6后,PC1、PC2再运行arp -a查看并记录ARP表。实验记录:PC1 的 wireshark 截图:截图分析:PC3、PC4连接网络后,第一时间请求网关MAC并发送gratuitous ARP,结合PC1的arp 表变化可以得出机制(2)生效;但结合PC2的arp表变化,无法得出机制(2)生效;(再进行一次 实验)截图分析:发现IP为192.168.199.135的主机发送gratuitous ARP,可以得出网络上的主机每个一 段时间都会发送gratuitous ARP;PC1的CMD操作及结果:C:Userszwxarp
26、-dC:Userszwxarp -a接口: 192.168.199.135 - 0xbInternet地址物理地址类型192.168.199.1 d4-ee-07-08-a1-6a 动态C:Userszwxarp -a接口: 192.168.199.135 - 0xbInternet地址物理地址类型192.168.199.1 d4-ee-07-08-a1-6a动态192.168.199.1029c-2a-70-1f-24-1c动态192.168.199.20760-36-dd-b0-fa-a9动态224.0.0.2201-00-5e-00-00-16静态C:Userszwxarp -a接口:
27、192.168.199.135 - 0xbInternet地址物理地址类型192.168.199.1 d4-ee-07-08-a1-6a 动态192.168.199.1029c-2a-70-1f-24-1c 动态192.168.199.20760-36-dd-b0-fa-a9 动态224.0.0.2201-00-5e-00-00-16 静态C:Userszwxarp -a接口 : 192.168.199.135 - 0xbInternet地址物理地址类型192.168.199.1d4-ee-07-08-a1-6a动态192.168.199.1029c-2a-70-1f-24-1c动态192.1
28、68.199.20760-36-dd-b0-fa-a9动态224.0.0.2201-00-5e-00-00-16静态PC2的CMD操作及结果:C:Windowssystem32arp -dC:Windowssystem32arp -a 接口 : 192.168.199.152 - 0xbInternet地址物理地址类型192.168.199.1d4-ee-07-08-a1-6a动态192.168.199.255224.0.0.252ff-ff-ff-ff-ff-ff静态01-00-5e-00-00-fc静态C:Windowssystem32arp -a接口 : 192.168.199.152
29、- 0xbInternet地址物理地址类型192.168.199.1d4-ee-07-08-a1-6a动态192.168.199.255224.0.0.22ff-ff-ff-ff-ff-ff静态01-00-5e-00-00-16静态224.0.0.25201-00-5e-00-00-fc静态C:Windowssystem32arp -a接口 : 192.168.199.152 - 0xbInternet地址物理地址类型192.168.199.1d4-ee-07-08-a1-6a动态192.168.199.255ff-ff-ff-ff-ff-ff静态224.0.0.2201-00-5e-00-0
30、0-16静态224.0.0.25201-00-5e-00-00-fc静态C:Windowssystem32arp -a接口 : 192.168.199.152 - 0xbInternet地址物理地址类型192.168.199.1d4-ee-07-08-a1-6a动态192.168.199.255ff-ff-ff-ff-ff-ff静态224.0.0.2201-00-5e-00-00-16静态224.0.0.25201-00-5e-00-00-fc静态再一次实验:三台实验PC通过无线连接到同一个子网(192.168.199.0),网关为192.168.199.1电脑编号操作系统IPMACPC1Wi
31、n7 Ultimate192.168.199.13544-6D-57-48-8A-F5PC2Win7 Ultimate 192.168.199.15244-6D-57-60-2A-A6PC3Win8.1192.168.199.1029c-2a-70-1f-24-1cPC2 打开 wireshark 抓包;PC1-PC3执行arp -d清除arp缓存,PC1执行ARP -a查看ARP缓存变化;C:Userszwxarp -a 接口: 192.168.199.135 - 0xbInternet地址物理地址类型192.168.199.1d4-ee-07-08-a1-6a动态192.168.199.1
32、029c-2a-70-1f-24-1c动态192.168.199.20760-36-dd-b0-fa-a9动态224.0.0.2201-00-5e-00-00-16静态PC3连接wifi;(结果分析:连接新网络,主机会发送gratuitous ARP请求)PC1执行ARP -a查看ARP缓存变化(结果分析:PC1并没有因为gratuitous ARP的请求而刷新ARP 缓存,也没有主机对gratuitous ARP请求作出应答,因此,得知机制(2)无效) C:Userszwxarp -a接口: 192.168.199.135 - 0xbInternet地址物理地址类型192.168.199.1
33、d4-ee-07-08-a1-6a动态192.168.199.1029c-2a-70-1f-24-1c动态192.168.199.20760-36-dd-b0-fa-a9动态224.0.0.22-01-00-5e-00-00-16静态然后PC1 ping PC3; PC1执行ARP -a查看ARP缓存变化(结果分析,发送ARP请求得到PC3的MAC)C:Userszwxarp -a接口: 192.168.199.135 - 0xbInternet地址物理地址类型192.168.199.1d4-ee-07-08-a1-6a动态192.168.199.1029c-2a-70-1f-24-1c动态2
34、24.0.0.2201-00-5e-00-00-16静态-同时,PC2执行arp-a,(结果分析:机制(3)无效)C:Windowssystem32arp -a 接口: 192.168.199.152 - 0xbInternet地址物理地址类型192.168.199.1d4-ee-07-08-a1-6a动态192.168.199.255ff-ff-ff-ff-ff-ff静态224.0.0.2201-00-5e-00-00-16静态224.0.0.25201-00-5e-00-00-fc静态实验结论:ARP表的刷新因素主要有:(1)从应答中提取IP-MAC映射对;(2)从机器启动的时候发送的免费
35、ARP请求(gratuitous ARP)中提取源IP-MAC映射对;(3)从子网中侦听到的普通ARP请求广播帧中读取源IP-MAC映射对。其中只有因素(1)在实际应用中生效;3.7侦听网络上的ICMP包关于 ICMP 的说明:ICMP 是“Internet Control Message Protocol,/(Internet 控制消息协议)的缩 写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网 络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据, 但是对于用户数据的传递起着重要的作用。我们在网络中经常会使用到
36、ICMP协议,只不过我们觉察不到而已。比如我们经常使用的用于 检查网络通不通的Ping命令,这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络 命令如跟踪路由的Tracert命令也是基于ICMP协议的。另外,ICMP消息也常常被用于作为网络攻击 的手段。关于ICMP更进一步的说明,请同学到网上查阅相关资料。操作:在步骤3.3的基础上,单击star成钮后,打开命令行窗口并输入:ping 192.168.1.101 (Ping任意一个和你的主机在同一个局域网的IP,说明:被Ping的主机不能开防 火墙)。在wireshark的Filter中输入表达式:icmp,然后就能会出现I
37、CMP消息的记录。熟&1反霸叙|白局法务昌翎蜂客殳Filter: icmpj请根据记录回答以下问题:(1) 记录下你所看到的信息?(找到回声请求和回声应答两个报文)12 2.458879000192.16S.3.53192.168.3. 54ICMP74 Echo(ping) request1d=0x0500,seq2560/10,tri=64(reply i n 13)13 2.458983000192.168.3.54192.168.3. 53ICMP74 EchoCping) reply1d=0x0500,seq2560/10,tTl=64(request in 12)20 3.4589
38、07000192.168.3.53192.168.3. 54ICMP74 EchoCping) request1d=0x0500,seq2816/11,ttl=6421 3.459021000192.168.3.54192.168.3. 53ICMP74 EchoCpIng) reply1d=0x0500,seq2816/11,fCl=64(request in 20)29 4.458944000192.168.3.53192.168.3. 54ICMP74 Echo(ping) request1d=0x0500,seq3072/12,tri=64(reply i n 30)30 4.4590
39、52000192.168.3.54192.168.3. 53ICMP74 EchoCping) reply1d=0x0500,seq3072/12,ttl=64(request in 29)6 1.467651000192.168.3.53192.168.3. 54icmp 74 Echo (ping) request id=0x0500, seq=2304/9, tt1=64 (reply in 7)7 1.4&77&0000192.1&S.3.54192.168.3.53ICMP1d=0x0500, seq=2304/9, tt I=b4 request in(2)请分析解释一下你的记录中的内容,从而说明ping应用的原理。(提示:因为ICMP报 文是放在IP报文中发送的,故wireshark侦听到的报文中有部分内容是属于ICMP报文的,另有部 分内容是属于IP报文的,请注意加以区分) 从源地址192.168.3.53发往目的地址192.168.3.54,使用的协议是ICMP协议,Echo就是回显,Echo reply是回显应答表示这个指定的目标已经到达而且还存活确认。ping应用的原理:用来侦测Internet上面是否存在一台特定的主机,因为有Echo reply的返回 表示侦测到了。