实训一-用WireShark抓包并分析ARP与DNS协议.doc

实训一-用WireShark抓包并分析ARP与DNS协议.doc

《实训一-用WireShark抓包并分析ARP与DNS协议.doc》由会员分享，可在线阅读，更多相关《实训一-用WireShark抓包并分析ARP与DNS协议.doc（5页珍藏版）》请在冰点文库上搜索。

计算机学院网络工程2012

（1）班学号：

3112006354姓名：

詹德超

实训一网络分层及ARP、DNS协议分析

一、实验目的

1．学习WireShark协议分析软件的使用方法，学会利用WireShark进行抓包分析。

2．学习过滤数据包，并对数据包的构成进行分析，直观感受协议分层及各层协议数据单元的格式及相应关系。

3．通过分析ARP与DNS数据包，了解网络各层地址构成。

二、实训内容

1.阅读协议分析工具WireShark的用户手册，重点学习用户界面操作，了解WireShark的基本使用方法；

2.利用Wireshark进行数据包的抓取、过滤；

3.对抓取到的数据包进行协议分析，包括数据帧二进制数据组成、协议分层、各数据包包头信息、数据包之间的关系（ARP解析、DNS解析）等。

三、实验工具

PC机，Windows，WireShark软件

四、实验步骤与分析

（一）学习使用WireShark软件进行网络数据分析

1．本机arp–a，查看ARP缓存。

2．本机arp–d，删除ARP缓存。

本机arp–a，查看ARP缓存。

3．本机ipconfig/displaydns，查看DNS缓存。

4．本机ipconfig/flushdns，删除DNS缓存。

5．运行WireShark软件，启动抓包

6．打开浏览器，访问一个网站

7．点击网站内容

8．停止抓包

9．本机ipconfig/displaydns，查看DNS缓存。

10．填写下列表格：

问题

解答

你访问的网站URL

你访问的网站的IP地址

14.215.177.38

你本机的IP地址

10.21.9.22

你本机的MAC地址

C6-5F-D7-4D-67-75

与你本机通信的对方的MAC地址

C5-AC-D8-A7-3D-6A

与你本机通信的MAC层对方的IP地址

10.21.9.1

从网络数据中找出上个IP地址的对应16进制表示

0ed7b126

该IP地址的发送顺序是：

从左到右

要求：

透彻理解协议分层及各层的地址的内容和意义；理解数据包的数据及其组成。

（二）DNS实验

1.对所抓包设置过滤条件为：

“dns”

2．找到有你访问网站URL的DNS请求包和应答包

3．分析DNS请求包

问题

回答

从哪里可以看出这是DNS请求包

源请求地址为本机IP地址

该包的运输层协议

UDP

该包运输层的目的地址（目的端口号）

53

该包的网络层协议

IPV4

该包的网络层的目的地址

202.116.128.1

本机的默认网关

10.21.9.1

该包的链路层协议

EthernetII

该包的链路层目的地址

c4:

ca:

d9:

a8:

cf:

6c

该请求包的请求内容是什么

0800

要求：

理解该请求包的功能；理解该数据包如何从源端传输到目的端。

4．分析DNS应答包

问题

回答

该包的应答内容是什么

该包源端口的端口号

53

该包的源IP地址

202.116.128.2

该包的链路层源地址

c4:

ca:

d9:

a8:

cf:

6c

5．选中上述DNS应答包，清除过滤，检查接下来的数据包有没有从上述应答包所告知的IP地址的访问，是什么类型的访问，请截图并分析。

检查接下来的数据包访问上述应答包所告知的IP地址为HTTP类型的访问。

6．不同的DNS请求包、应答包的数据包长度是不同的，数据包是用哪个字段来说明数据包长度的？

Udp数据包长度减去头尾长度

7．分析DNS请求包，从链路层开始向上层分析，每一层是如何告知接收方其上一层是什么协议的？

链路层通过类型字段说明

网络层通过说明

应用层通过端口号说明

（三）ARP实验

1．过滤数据包为ARP

2.找到本机发出的ARP请求包，并截图。

3．回答问题：

问题

回答

该ARP请求包属于哪一层

链路层

该请求包的内容是什么

该请求包协议的下一层协议是什么

物理层

该请求包的目的地址是什么

ff:

ff:

ff:

ff:

ff:

ff

请求包链路层类型（TYPE）及其意义

Type:

ARP（0x0806）arp请求/应答

4．找到上述ARP请求包的应答包，并截图。

5．回答问题：

问题

回答

该ARP应答包的内容是什么

该应答包的源地址是什么

c4:

ca:

d9:

a8:

cf:

6c

该应答包的目的地址是什么

c0:

3f:

d5:

4e:

85:

86

ARP请求包与应答包的大小是固定的吗

是，28字节

6.分析该对ARP请求包与应答包是如何触发的，其目的是什么？

多长时间本机会再次触发相同的ARP请求与应答包。

分析，为什么会重复请求。

当本机ARP表中不存在所请求IP地址所对应的MAC地址是ARP请求触发，当收到其他ARP请求包且本机存在所请求内容时触发ARP应答。

目的是保证网络传输中，所有主机能够获取目的IP地址对应MAC地址表，从而保证网络传输。

当ARP请求包或者应答包在网络中超过生存时间时，会重新发出请求。

网络层传输数据帧的时候需要设备的硬件地址，地址解析协议ARP就是为了解决问题，因此如果本机无法后去通讯主机的MAC地址就会一直重复请求，知道获取通讯主机的MAC地址为止。

（四）实验小结：

一开始还不太会用这个wireshark,不过用着用着还是蛮好用的,许多东西都可以通过抓包来查到。

（五）参考：

以太网MAC帧格式

ARP协议包以太网帧格式