使用网络监视器iris捕捉和分析协议数据包.docx
《使用网络监视器iris捕捉和分析协议数据包.docx》由会员分享,可在线阅读,更多相关《使用网络监视器iris捕捉和分析协议数据包.docx(17页珍藏版)》请在冰点文库上搜索。
使用网络监视器iris捕捉和分析协议数据包
一.实验内容
主机A:
192.168.42.25(监听端)
主机B:
192.168.42.26(被监听端)
(1)安装IRIS软件
①点击iris.exe出现安装界面,接着连续执行“下一步”直到出现“安装”按钮为止,点击“安装”按钮;
②执行iriskeygen软件,激活序列号;
③安装HB-Iris4071汉化补丁,运行完后,出现图1的界面,点击“确定”软件安装成功。
图1
(2)捕捉数据包,验证数据帧、IP数据报、TCP数据段的报文格式。
1)用热键CTRL+B弹出如图2所示的地址表,在这里我们分别添加主机A和主机B的IP地址,为了对抓的包看得更清楚不要添主机的名字(name),设置好后关闭此窗口。
图2
图3
2)用热键CTRL+E弹出如图4所示过滤设置,选择左栏“IP地址”,右栏按下图将地址簿中的地址拽到下面,设置好后确定,这样就这抓这两台计算机之间的包。
(注:
iris软件是安装在主机192.168.42.25上的)
图4
3)捕捉数据包
①点击“开始/停止捕获”按钮,开启抓包功能(先用arp–d清除主机A上的arp缓存表)
②用热键CTRL+E弹出如图5所示过滤设置,选择左栏“Layer2,3”,右栏按下图设置,设置完后点击“确定”按钮。
图5
③选择菜单filter→ftp.flt
④从主机A上登录到主机B的ftp(主机B安装了FTP服务器)
⑤停止抓包
图6是ftp的整个过程。
图6
我们选择序号3的数据包作为验证,分别查看它在MAC层,IP层和TCP层的数据头部信息。
4)验证数据帧格式:
图7
从图7中可以看出一个物理地址的头部信息包含目的MAC地址,源MAC地址和类型字段,其目的MAC地址是000C29C447D8,源MAC地址是000C29427B7A,类型字段0800表示它上层使用的是IP数据报。
5)验证IP数据报格式:
图8
图9
由图8,图9我们可以知道:
1、版本4表示IPV4,占4位;
2、首部长度为5是由于这个单位是32位,所以这个IP数据报首部长度为20个字节;
3、区分服务00占一个字节;
4、总长度0043占两个字节;
5、标识0246占两个字节;
6、标志+片编移4000占两个字节;
7、生存时间128跳;
8、向上提供的协议是TCP;
9、首部检验和是22EB;
10、源地址是192.168.42.26;
11、目的地址是192.168.42.25
6)验证TCP数据段的报文格式:
图10
图11
源端口为0015,转化为十进制刚好是21,是ftp默认的端口;目的端口是0470,占两个字节;序号41E74AF8占四个字节;确认号F3CEAB87占四个字节;首部长度为5;片偏移为18,其中ACK、PSH各占一位;首部检验和是911B,占两个字节。
(3)捕捉并分析ARP报文。
1)步骤:
在主机A运行“arp-d”的命令,然后在设置过滤器中设置捕获ARP协议,并且设置捕获主机A与主机B之间的IP地址数据包,接着点击“开始/停止捕捉”,开始抓包,图12就是捕捉到的ARP报文。
图12
2)分析:
首先我们在主机A上运行了“arp-d”的命令后,主机A上的arp缓存表被清空,当我们用“ping192.168.42.25”命令时,由于主机A与主机B在同一个网段,且主机A没有B的MAC地址,所以它会以广播形式发送ARP请求报文,在ARP请求报文中包含了源IP地址和目的IP地址,在同一网段的主机B收到报文并发现目标IP地址与自己的地址一样,则它向主机A发回ARP响应报文,并把自己物理地址封装在响应报文上,从而使主机A获得主机B的MAC地址。
(4)捕捉并分析ping过程中的ICMP报文。
1)在主机B上用“arp-d”命令清除arp缓存表
2)点击“开始/停止捕捉”,开始抓包
3)用热键CTRL+E弹出如图所示过滤设置,选择左栏“Layer2,3”,右栏按下图设置,设置完后点击“确定”按钮。
图13
4)在主机A上去ping主机B的IP地址
5)停止抓包
下图就是捕捉ping过程中的ICMP报文
图14
分析:
从上图中可以看出,我们用命令“ping192.168.42.26“,回车后ping命令便会向目的主机B发一个ICMP请求ECHO报文,因为主机B正常工作而且响应这个ICMP回送请求报文,所以它就发回ICMP回送回答报文(从序号1、2中可以看出)。
由于主机A一连发出四个ICMP回送请求报文,作为正常工作且可达的主机B也相应做出四个回答,发回四个ICMP回送回答报文,所以在抓包界面中有8个ECHO报文。
在抓包界面的第一行(序号1)中的数据包包含三个信息,分别是以太网、IP和ICMP。
图15是以太网头信息,它的内容是000C29427B7A000C29C447D80800.前6个字节000C29427B7A是目的主机B的MAC地址,后6个字节000C29C447D8是源主机A的MAC地址,最后两个字节0800代表包的类型是DODIP.
图15
图16是IP头信息,它的内容是4500003C054E000080015FEFC0A82A19C0A82A1A,它表示IP版本是IPV4,首部长度是5,总长度60字节,标识1358,生存时间128跳,向上提供的协议是ICMP,首部检验和是5FEF,源地址是192.168.42.25,目的地址是192.168.42.26.
图17
图18是ICMP头信息,它的内容可用表1解释。
图18
类型
代码
检验和
标识
序号
数据
08
00
415C
0200
0A00
6162636465666768696A6B6C6D6E6F7071727374757677616263646566676869
表1
(5)捕捉并分析tracert过程中的ICMP报文。
1)用热键CTRL+B弹出如下图所示的地址表,在这里我们分别添加主机A和主机B的MAC地址,为了对抓的包看得更清楚不要添主机的名字(name),设置好后关闭此窗口。
2)用热键CTRL+E弹出如图19所示过滤设置,设置只捕捉主机A与主机B的物理地址
图19
设置完后,选择左栏的“Layer2,3”,右栏选择ICMP协议,如20图所示,然后点击“确定”按钮。
图20
3)开始捕捉数据包。
4)图21就是捕获的数据包。
图21
分析:
由上图可知,tracert命令依靠ICMP协议来实现的,数据报从路由器发出之后,每经过一个路由器,便会在该数据报的选项字段中加入该路由器的地址信息,当这条信息到达目的主机的时候,便会生成一条新的ICMP数据报,这个数据报记录了刚才所经过的路由信息,返回给源主机,这样源主机就知道了刚才所经过的路由信息。
而上图表面,由于主机A与主机B在同一个网段,所以不用经过路由器,因此当我们用tracert命令去追踪时,只显示主机B的IP地址。
(6)捕捉并分析TCP三次握手建立连接的过程。
1、测试例子:
将主机B中的一个文件通过FTP下载到主机A中。
2、IRIS的设置:
在主机A运行“arp-d”的命令,然后在设置过滤器中设置捕获TCP协议,并且只设置捕获主机A与主机B之间的IP地址数据包,选择菜单filter→ftp.flt。
3、抓包
按下IRIS工具栏中开始按钮。
在浏览器中输入ftp:
//192.168.42.26,登录并找到要下载的文件,鼠标右键该文件,在弹出的菜单中选择“复制到文件夹”开始下载,下载完后按“停止”按钮抓包。
下图显示的就是FTP的整个过程。
4、分析
序号6-8为TCP建立连接时候的三次握手,它们记录了三次握手中的ACK与SEQ的数据。
第一次握手
ACK:
00000000
SEQ:
503897B4
第二次握手
ACK:
503897B5
SEQ:
79DC20EE
第三次握手
ACK:
79DC20EF
SEQ:
503897B5
首先,A向B发送一个连接请求报文,这时候A初始化一个初始序号SEQ为503897B4,确认信号为0,当B收到A的请求报文后,因为B同意连接,就向A发送一个确认报文,此时,B也初始化一个初始序号SEQ为79DC20EE,并且确认ACK号为A发送过来数据包的SEQ+1即503897B5,当A收到B数据包的时候再次向B发送确认信号,此时A又会产生一个初始序号SEQ503897B5,确认号ACK为B发送过来的数据包的SEQ+1即79DC20EF。
这时,TCP协议就建立起连接。
二.实验目的,实验环境,实验步骤及结果,实验分析,实验心得和体会。
答:
1.实验目的:
通过使用网络监视器IRIS捕捉和分析协议数据包,让我们更好的了解数据包在网络上如何运行,以及TCP/IP协议的报文格式。
2.实验环境:
windowsxp,虚拟机
3.实验步骤、结果和分析见上面的实验内容。
4.实验心得和体会:
通过使用IRIS来捕捉和分析数据包,我了解到数据包里面的报文格式和各个协议是在那个环境下使用的,以及如何工作的。