实验四使用Wireshark网络分析器分析数据包.docx
《实验四使用Wireshark网络分析器分析数据包.docx》由会员分享,可在线阅读,更多相关《实验四使用Wireshark网络分析器分析数据包.docx(13页珍藏版)》请在冰点文库上搜索。
实验四使用Wireshark网络分析器分析数据包
实验四、使用Wireshark网络分析器分析数据包
一、实验目的
1、掌握Wireshark工具的安装和使用方法
2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构
3、掌握ICMP协议的类型和代码
二、实验内容
1、安装Wireshark
2、捕捉数据包
3、分析捕捉的数据包
三、实验工具
1、计算机n台(建议学生自带笔记本)
2、无线路由器n台
四、相关预备知识
1、熟悉win7操作系统
2、SniffPro软件的安装与使用(见SniffPro使用文档)
五、实验步骤
1、安装Wireshark
Wireshark是网络包分析工具。
网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。
网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark是最好的开源网络分析软件。
Wireshark的主要应用如下:
(1)网络管理员用来解决网络问题
(2)网络安全工程师用来检测安全隐患
(3)开发人员用来测试协议执行情况
(4)用来学习网络协议
(5)除了上面提到的,Wireshark还可以用在其它许多场合。
Wireshark的主要 特性
(1)支持UNIX和Windows平台
(2)在接口实时捕捉包
(3)能详细显示包的详细协议信息
(4)可以打开/保存捕捉的包
(5)可以导入导出其他捕捉程序支持的包数据格式
(6)可以通过多种方式过滤包
(7)多种方式查找包
(8)通过过滤以多种色彩显示包
(9)创建多种统计分析
五、实验内容
1.了解数据包分析软件Wireshark的基本情况;
2.安装数据包分析软件Wireshark;
3.配置分析软件Wireshark;
4.对本机网卡抓数据包;
5.分析各种数据包。
六、实验方法及步骤
1.Wireshark的安装及界面
(1)Wireshark的安装
(2)Wireshark的界面
启动Wireshark之后,主界面如图:
主菜单项:
主菜单包括以下几个项目:
File
包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。
以及退出Wireshark项.
Edit
包括如下项目:
查找包,时间参考,标记一个多个包,设置预设参数。
(剪切,拷贝,粘贴不能立即执行。
)
View
控制捕捉数据的显示方式,包括颜色,字体缩放,将包显示在分离的窗口,展开或收缩详情面版的地树状节点
GO
包含到指定包的功能
Capture
允许您开始或停止捕捉、编辑过滤器。
Analyze
包含处理显示过滤,允许或禁止分析协议,配置用户指定解码和追踪TCP流等功能。
见
Statistics
包括的菜单项用户显示多个统计窗口,包括关于捕捉包的摘要,协议层次统计等等。
见
Help
包含一些辅助用户的参考内容。
如访问一些基本的帮助文件,支持的协议列表,用户手册。
在线访问一些网站,“关于”等等。
2.Wireshark的设置和使用
1)启动Wireshark以后,选择菜单Capature->Interfaces,选择捕获的网卡,单击Capture开始捕获
2)当停止抓包时,按一下stop,抓的包就会显示在面板中,并且已经分析好了。
下面是一个截图如图2-2所示。
图2-2Wireshark数据包分析
Wireshark和其它的图形化嗅探器使用基本类似的界面,整个窗口被分成三个部分:
最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。
2)设置capture选项
选择菜单capture→Interface,如图2-3所示,在指定的网卡上点“Prepare”按钮,设置capture参数。
图2-3capture选择设置
Interface:
指定在哪个接口(网卡)上抓包。
一般情况下都是单网卡,所以使用缺省的就可以。
Limiteachpacket:
限制每个包的大小,缺省情况不限制。
Capturepacketsinpromiscuousmode:
是否打开混杂模式。
如果打开,抓取所有的数据包。
一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
Filter:
过滤器。
只抓取满足过滤规则的包(可暂时略过)。
File:
如果需要将抓到的包写到文件中,在这里输入文件名称。
useringbuffer:
是否使用循环缓冲。
缺省情况下不使用,即一直抓包。
注意,循环缓冲只有在写文件的时候才有效。
如果使用了循环缓冲,还需要设置文件的数目,文件多大时回卷。
其他的项选择缺省的就可以了。
2.显示过滤器的使用方法
在抓包完成以后用显示过滤器,可以在设定的条件下(协议名称、是否存在某个域、域值等)来查找你要找的数据包。
如果只想查看使用TCP协议的包,在Wireshark窗口的左下角的Filter中输入TCP,然后回车,Wireshark就会只显示TCP协议的包。
如图2-4所示。
图2-4设置过滤条件为TCP报文
如果想抓取IP地址是10.20.61.15的主机,它所接收收或发送的所有的TCP报文,那么合适的显示Filter(过滤器)就是如图2-5所示。
图2-5设置过滤条件为IP地址是10.20.61.15的主机所有的TCP报文
七、学习使用WireShark对ARP协议进行分析
(1)启动WireShark
(2)捕获数据
(3)停止抓包并分析ARP请求报文
将Filter过滤条件设为arp,回车或者点击“Apply”按钮,
(4)ARP请求报文分析
1)粘贴你捕获的ARP请求报文
2)分析你捕获的ARP请求报文
第一行帧基本信息分析
(粘贴你的Frame信息)
FrameNumber( 帧的编号):
______1457___(捕获时的编号)
FrameLength(帧的大小):
____60____字节。
(以太网的帧最小64个字节,而这里只有60个字节,应该是没有把四个字节的CRC计算在里面,加上它就刚好。
)
ArrivalTime(帧被捕获的日期和时间):
__sep23,_201415:
15:
38.463721000______
Timedeltafrompreviouscapturedframe(帧距离前一个帧的捕获时间差):
____0.002937000seconds____
Timesincerefernceorfirstframe(帧距离第一个帧的捕获时间差):
___24.488816000seconds____________
Protocolsinframe(帧装载的协议):
__eth:
arp__________
第二行数据链路层:
(粘贴你的数据链路层信息)
Destination(目的地址):
_Broadcast(ff:
ff:
ff:
ff:
ff:
ff)_________(这是个MAC地址,这个MAC地址是一个广播地址,就是局域网中的所有计算机都会接收这个数据帧)
Source(源地址):
G-ProCom_45:
48:
16(00:
23:
24:
45:
48:
16)
帧中封装的协议类型:
ARP(0x0806)(这个是ARP协议的类型编号。
)
Trailer:
是协议中填充的数据,为了保证帧最少有64字节。
第三层ARP协议:
(粘贴你的ARP请求报文)
在上图中,我们可以看到如下信息:
Hardwaretype(硬件类型):
___Ethernet
(1)_________
Protocoltype(协议类型):
IP(0x0800)____________
Hardwaresize(硬件信息在帧中占的字节数):
__6_____________
Protocolsize(协议信息在帧中占的字节数):
_____4_________
操作码(opcode):
requset(0X0001)
发送方的MAC地址(SenderMACaddress):
G-ProCom_45:
48:
16(00:
23:
24:
45:
48:
16)____
发送方的IP地址(SenderIPaddress):
__10.30.28.22(10.30.28.22)_________________
目标的MAC地址(TargetMACaddress:
):
_______00:
00:
00_00:
00:
00(00:
00:
00:
00:
00:
00)____________
目标的IP地址(TargetIPaddress:
):
____10.30.28.1(10.30.28.1)________________
(3)分析ARP应答报文
(粘贴你的ARP应答报文)
应答报文中的
操作码(opcode):
reply(0X0002)
发送方的MAC地址(SenderMACaddress):
_0c:
da:
41:
63:
03:
f4(0c:
da:
41:
63:
03:
f4)_______________
发送方的IP地址(SenderIPaddress):
_10.30.28.1(10.30.28.1)_________________
目标的MAC地址(TargetMACaddress:
):
___G-ProCom_45:
47:
dd(00:
23:
24:
45:
47:
dd)________________
目标的IP地址(TargetIPaddress:
):
_______10.30.28.38(10.30.28.38)_____________
练习1:
对于上述2、3中的arp请求报文和应答报文,将ARP请求报文和ARP应答报文中的字段信息填入表3-1。
表3-1RPP请求报文和ARP应答报文的字段信息
字段项
ARP请求数据报文
ARP应答数据报文
链路层Destination项
Broadcast(ff:
ff:
ff:
ff:
ff:
ff)
G-ProCom_45:
47:
dd(00:
23:
24:
45:
47:
dd)
链路层Source项
G-ProCom_45:
48:
16(00:
23:
24:
45:
48:
16)
0c:
da:
41:
63:
03:
f4(0c:
da:
41:
63:
03:
f4)
网络层SenderMACAddress
G-ProCom_45:
48:
16(00:
23:
24:
45:
48:
16)
0c:
da:
41:
63:
03:
f4(0c:
da:
41:
63:
03:
f4)
网络层SenderIPAddress
10.30.28.22(10.30.28.22)
10.30.28.1(10.30.28.1)_
网络层TargetMACAddress
00:
00:
00_00:
00:
00(00:
00:
00:
00:
00:
00)
G-ProCom_45:
47:
dd(00:
23:
24:
45:
47:
dd)
网络层TargetIPAddress
10.30.28.1(10.30.28.1)
10.30.28.38(10.30.28.38)
练习2:
ARP报文是直接封装在以太帧中的,为此以太帧所规定的类型字段值为___0806h____________
练习3:
对地址转换协议(ARP)描述正确的是(D)
AARP封装在IP数据报的数据部分
B发送ARP包需要知道对方的MAC地址
CARP是用于IP地址到域名的转换
DARP是采用广播方式发送的
练习4:
ARP欺骗的原理是什么?
如何进行防范?
ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关。
它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。
防范措施:
建立DHCP服务器;建立MAC数据库;网关机器关闭机器ARP动态刷新的过程,使用静态路由;网关监听网络安全。
练习5:
有人认为:
“ARP协议向网络层提供了转换地址的服务,因此ARP应当属于数据链路层。
”这种说法为什么是错误的?
ARP是进行地址间的转换,而LLC和MAC均没有包含这样的功能。
练习6:
ARP协议的作用是(A)
A.由IP地址查找对应的MAC地址B.由MAC地址查找对应的IP地址
C.由IP地址查找对应的端口号D.由MAC地址查找对应的端口号
ARP报文封装在(A)中传送。
A.以太帧B.IP数据报C.UDP报文D.TCP报文
升级会员 