華南理工大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)報(bào)文抓取及分析實(shí)驗(yàn)報(bào)告

1、-. z. / v .計(jì)算機(jī)網(wǎng)絡(luò)實(shí) 驗(yàn) 指 南計(jì)算機(jī)類本科生試用*省計(jì)算機(jī)網(wǎng)絡(luò)重點(diǎn)實(shí)驗(yàn)室計(jì)算機(jī)科學(xué)與工程學(xué)院華南理工大學(xué)2014年5月實(shí)驗(yàn)二 網(wǎng)絡(luò)報(bào)文抓取與分析1實(shí)驗(yàn)?zāi)康?、學(xué)習(xí)了解網(wǎng)絡(luò)偵聽2、學(xué)習(xí)抓包工具Wireshark的簡單使用3、對所偵聽到的信息作初步分析，包括ARP報(bào)文，ICMP報(bào)文。4、從偵聽到的信息中分析TCP的握手過程，進(jìn)展解釋5、分析了解TCP握手失敗時(shí)的情況2實(shí)驗(yàn)環(huán)境2.1 Wireshark介紹Wireshark前稱Ethereal是一個(gè)免費(fèi)的網(wǎng)絡(luò)報(bào)文分析軟件。網(wǎng)絡(luò)報(bào)文分析軟件的功能是抓取網(wǎng)絡(luò)報(bào)文，并逐層顯示報(bào)文中各字段取值。網(wǎng)絡(luò)報(bào)文分析軟件有個(gè)形象的名字嗅探工具，像一只

2、獵狗，忠實(shí)地守候在接口旁，抓獲進(jìn)出該進(jìn)口的報(bào)文，分析其中攜帶的信息，判斷是否有異常，是網(wǎng)絡(luò)故障原因分析的一個(gè)有力工具。 網(wǎng)絡(luò)報(bào)文分析軟件曾經(jīng)非常昂貴，Ethereal/wireshark 開源軟件的出現(xiàn)改變了這種情況。在GNUGPL通用許可證的保障*圍底下，使用者可以以免費(fèi)的代價(jià)取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權(quán)利。Ethereal/wireshark 是目前世界使用最廣泛的網(wǎng)絡(luò)報(bào)文分析軟件之一。請需要的同學(xué)在教學(xué)在線上下載中文操作手冊。2.2 實(shí)驗(yàn)要求軟件： Wireshark 目前最新版本硬件：上網(wǎng)的計(jì)算機(jī)3實(shí)驗(yàn)步驟3.1 wireshark的安裝wireshark的二

3、進(jìn)制安裝包可以在官網(wǎng)./download.html#release下載，或者可以在其他下載。注意：下載后雙擊執(zhí)行二進(jìn)制安裝包即可完成wireshark的安裝。安裝包里包含了WinPcap，并不需要單獨(dú)安裝WinPcap。3.2 查看本機(jī)的網(wǎng)絡(luò)適配器列表操作：單擊菜單Capture中的Interfaces選項(xiàng)記錄下你看到的信息，并答復(fù)下列問題：1、你機(jī)器上的網(wǎng)絡(luò)適配器有幾個(gè)？42、它們的編號分別是？VMware Network Adapter VMnet8實(shí)際地址: 00-50-56-C0-00-08驗(yàn)證網(wǎng)卡實(shí)際地址: 00-1E-30-2D-FF-BA默認(rèn)網(wǎng)關(guān): WI

4、NS 效勞器:VMware Network Adapter VMnet1實(shí)際地址: 00-50-56-C0-00-01默認(rèn)網(wǎng)關(guān): DNS 效勞器: WINS 效勞器:Console網(wǎng)卡實(shí)際地址: 78-E3-B5-A5-B5-2BWINS 效勞器:3.3 在指定網(wǎng)絡(luò)適配器上進(jìn)展監(jiān)聽操作：在步驟3.2中彈出的Interfaces選項(xiàng)中，選擇指定的網(wǎng)絡(luò)適配器并單擊start按鈕記錄并解釋wireshark監(jiān)聽的包內(nèi)容解釋1條記錄即可傳輸時(shí)間，發(fā)送方IP地址，接收方IP地址，協(xié)議類型，報(bào)文長度，報(bào)文信息報(bào)文內(nèi)第一行：60bytes是報(bào)文大小，報(bào)文內(nèi)第二行：發(fā)送方的mac地址，接收方的mac地址報(bào)文內(nèi)

5、第三行：發(fā)送方的IP地址，接收方的IP地址報(bào)文內(nèi)第四行：發(fā)送方的端口號80接收方的端口號1993請求序列號為450，回執(zhí)序列號191。數(shù)據(jù)長度為0。3.4 記錄一個(gè)TCP三次握手過程操作：在步驟3.3的根底上，單擊start按鈕后，翻開命令行窗口并輸入：telnet .，然后停頓繼續(xù)偵聽網(wǎng)絡(luò)信息。在wireshark的Filter中輸入表達(dá)式：(00) and (tcp.dstport=23 or tcp.srcport=23)其中0是你所在機(jī)器的IP，請自行根據(jù)自己機(jī)器的IP地址修改filter可使用IPconfig查看。telnet效勞的傳輸層采用了tcp協(xié)議，并

6、且其默認(rèn)端口是23。在wireshark窗口中，記下所顯示的內(nèi)容可事先通過重定向的方式記錄并答復(fù)下列問題。根據(jù)得到的信息解釋所鍵入的filter定制中的參數(shù)的含義？發(fā)送方IP地址是0或者接收方IP地址是0且發(fā)送方端口是23或接收方端口是23的TCP連接2請從得到的信息中找出一個(gè)TCP 的握手過程。并用截圖形式記錄下來。結(jié)合得到的信息解釋TCP 握手的過程。第一行：3請求建立連接seq=0第三行：2收到報(bào)文ack=1，作出回應(yīng)seq=0第四行：3收到報(bào)文ack=1，發(fā)送報(bào)文seq=13.5 一個(gè)TCP握手不成功的例子操作：在步

7、驟3.3的根底上，單擊start按鈕后，翻開命令行窗口并輸入：telnet 01，然后停頓繼續(xù)偵聽網(wǎng)絡(luò)信息。在wireshark的Filter中輸入表達(dá)式：00 and (tcp.dstport=23 or tcp.srcport=23)其中0是你所在機(jī)器的IP，telnet效勞是tcp協(xié)議并且其默認(rèn)端口是23。上面的IP 01可改為任何沒有翻開telnet 效勞的IP。比方：可以用身邊同學(xué)的IP。注：此IP 的機(jī)器上要求沒有翻開telnet 效勞，但要求機(jī)器是開的，否則將無法主動拒絕一個(gè)TCP 請求試從得到的信息中找出一個(gè)TCP 的握手不成功的過程

8、，并用截圖記錄下來并結(jié)合所得到的信息解釋這個(gè)握手不成功的例子。發(fā)送第一次請求報(bào)文后，收到一個(gè)回應(yīng)報(bào)文，但是因?yàn)闆]有翻開talnet效勞，所以握手失敗。3.6 偵聽網(wǎng)絡(luò)上的ARP包 驗(yàn)證ARP工作原理關(guān)于ARP 的說明：IP 數(shù)據(jù)包常通過以太網(wǎng)發(fā)送。但以太網(wǎng)設(shè)備并不識別32 位IP 地址，它們是以48 位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此，必須把目的IP 地址對應(yīng)到以太網(wǎng)的MAC 地址。當(dāng)一臺主機(jī)自己的ARP表中查不到目的IP對應(yīng)的MAC地址時(shí)，需要啟動ARP協(xié)議的工作流程。ARP 工作時(shí)，送出一個(gè)含有目的IP 地址的播送ARP請求數(shù)據(jù)包。如果被請求目的IP對應(yīng)的主機(jī)與請求機(jī)位于同一個(gè)子網(wǎng)，目的

9、主機(jī)將收到這個(gè)請求報(bào)文，并按照RFC826標(biāo)準(zhǔn)中的處理程序處理該報(bào)文，緩存請求報(bào)文中的源IP和源MAC地址對，同時(shí)發(fā)出ARP應(yīng)答單播，請求機(jī)收到ARP應(yīng)答，將應(yīng)答中的信息存入ARP表，備下次可能的使用。如果被請求目的IP對應(yīng)的主機(jī)與請求機(jī)不在同一個(gè)子網(wǎng)，請求機(jī)所在的缺省網(wǎng)關(guān)代理ARP會發(fā)回一個(gè)ARP應(yīng)答，將自己的MAC地址作為應(yīng)答內(nèi)容，請求機(jī)即將目的IP和網(wǎng)關(guān)的MAC地址存入ARP表中。為了維護(hù)ARP表的信息是反響網(wǎng)絡(luò)最新狀態(tài)的映射對，所有的ARP條目都具有一個(gè)老化時(shí)間，當(dāng)一個(gè)條目超過老化時(shí)間沒有得到更新，將被刪除。要看本機(jī)的ARP 表也即IP 與MAC地址對應(yīng)表中的內(nèi)容，只需在命令行方式下鍵

10、入：arp a命令即可。在下面的實(shí)驗(yàn)中，為了能夠捕捉到ARP 消息，首先將本機(jī)的ARP 表中的內(nèi)容清空。這樣當(dāng)你使用Ping 命令時(shí)，它會首先使用ARP請求報(bào)文來查詢被ping機(jī)器IP 的MAC 地址。當(dāng)本地的ARP 表中有這個(gè)IP 對應(yīng)的MAC 地址時(shí)，是不會再查詢的。要將本機(jī)的ARP 表中的內(nèi)容清空，請使用命令：arp d *。關(guān)于ARP 更進(jìn)一步的說明，請同學(xué)到網(wǎng)上查閱相關(guān)資料。 驗(yàn)證實(shí)驗(yàn)操作：在步驟3.3的根底上，單擊start按鈕后，翻開命令行窗口并輸入：arp d (去除ARP表)ping 01 (Ping 任意一個(gè)和你的主機(jī)在同一個(gè)局域網(wǎng)的IP，說明:被Pi

11、ng 的主機(jī)不能開防火墻。在wireshark的Filter中輸入表達(dá)式：arp，然后就能會出現(xiàn)ARP 消息的記錄。請根據(jù)記錄答復(fù)以下問題：記錄下你所看到的信息，用截圖形式。找到ARP請求和ARP應(yīng)答兩個(gè)報(bào)文請分析解釋你的記錄中的內(nèi)容表示什么意思，從而說明ARP的工作原理。有一個(gè)請求和一個(gè)應(yīng)答，表達(dá)ARP發(fā)出的一個(gè)請求和一個(gè)應(yīng)答，即ARP通過播送使得對方接收到我的播送包，并且得到對方的以太網(wǎng)地址應(yīng)答。ARP的工作原理：在自己主機(jī)上構(gòu)建一個(gè)數(shù)據(jù)包，然后發(fā)送一個(gè)播送包，等待應(yīng)答。然后這兩個(gè)過程使用的協(xié)議就是ARP。3.6.2 設(shè)計(jì)一個(gè)ARP緩存刷新機(jī)制的驗(yàn)證為了防止子網(wǎng)中頻繁發(fā)起ARP請求，讓AR

12、P工作得更加高效，每臺主機(jī)包括路由器內(nèi)部的內(nèi)存中都開辟了一個(gè)ARP緩存空間，叫ARP表。按照教材上的講解，ARP表的刷新因素主要有：1從應(yīng)答中提取IP-MAC映射對；2從機(jī)器啟動的時(shí)候發(fā)送的免費(fèi)ARP請求gratuitous ARP中提取源IP-MAC映射對；3從子網(wǎng)中偵聽到的普通ARP請求播送幀中讀取源IP-MAC映射對。在PT模擬演示中，已經(jīng)看到：偵聽到ARP播送請求的主機(jī)，并沒有刷新自己的ARP表。請?jiān)O(shè)計(jì)一個(gè)實(shí)驗(yàn)來分析說明現(xiàn)實(shí)網(wǎng)絡(luò)中，上述第二條和第三條刷新機(jī)制是否存在或者被實(shí)現(xiàn)。注意：1實(shí)驗(yàn)室B3-230、231的所有PC的consel網(wǎng)卡都處于同一個(gè)大子網(wǎng)中。

13、2建議：這個(gè)設(shè)計(jì)實(shí)驗(yàn)，以48人的組來完成，并請組長在實(shí)驗(yàn)報(bào)告中寫明實(shí)驗(yàn)方法，得到的結(jié)論，分析過程等，盡量詳細(xì)。組長一人寫，并寫明協(xié)助一起完成的組成員；組成員在自己的實(shí)驗(yàn)報(bào)告中，只需說明參加哪位組長的實(shí)驗(yàn)即可。3如果時(shí)間來不及，請?jiān)谒奚崂^續(xù)完成該項(xiàng)。3.6.2 設(shè)計(jì)一個(gè)ARP緩存刷新機(jī)制的驗(yàn)證為了防止子網(wǎng)中頻繁發(fā)起ARP請求，讓ARP工作得更加高效，每臺主機(jī)包括路由器內(nèi)部的內(nèi)存中都開辟了一個(gè)ARP緩存空間，叫ARP表。按照教材上的講解，ARP表的刷新因素主要有：1從應(yīng)答中提取IP-MAC映射對；2從機(jī)器啟動的時(shí)候發(fā)送的免費(fèi)ARP請求gratuitous ARP中提取源IP-MAC映射對；3從子網(wǎng)

14、中偵聽到的普通ARP請求播送幀中讀取源IP-MAC映射對。在PT模擬演示中，已經(jīng)看到：偵聽到ARP播送請求的主機(jī)，并沒有刷新自己的ARP表。請?jiān)O(shè)計(jì)一個(gè)實(shí)驗(yàn)來分析說明現(xiàn)實(shí)網(wǎng)絡(luò)中，上述第二條和第三條刷新機(jī)制是否存在或者被實(shí)現(xiàn)。注意：1實(shí)驗(yàn)室B3-230、231的所有PC的 consel 網(wǎng)卡都處于同一個(gè)大子網(wǎng)中。2建議：這個(gè)設(shè)計(jì)實(shí)驗(yàn)，以48人的組來完成，并請組長在實(shí)驗(yàn)報(bào)告中寫明實(shí)驗(yàn)方法，得到的結(jié)論，分析過程等，盡量詳細(xì)。組長一人寫，并寫明協(xié)助一起完成的組成員；組成員在自己的實(shí)驗(yàn)報(bào)告中，只需說明參加哪位組長的實(shí)驗(yàn)即可。3如果時(shí)間來不及，請?jiān)谒奚崂^續(xù)完成該項(xiàng)。實(shí)驗(yàn)設(shè)計(jì)與實(shí)驗(yàn)過程：ARP表刷新因素1在實(shí)

15、驗(yàn)已驗(yàn)證；ARP表刷新因素2、3的驗(yàn)證環(huán)境如下：實(shí)驗(yàn)環(huán)境：六臺實(shí)驗(yàn)PC通過無線連接到同一個(gè)子網(wǎng),網(wǎng)關(guān)為電腦編號操作系統(tǒng) IP MACPC1 Win7 Ultimate 35 44-6D-57-48-8A-F5PC5 Win7 Ultimate 5474:e5:43:64:77:22PC6 Win7 Ultimate 18e0:06:e6:cb:3a:b2實(shí)驗(yàn)過程：PC1、PC2、PC3、PC4、PC5、PC6連接網(wǎng)絡(luò)后執(zhí)行arp d,再執(zhí)行arp -a查看ARP信息并記錄，然后PC1、PC2運(yùn)行Wireshark抓包

16、；PC3-PC4斷開網(wǎng)絡(luò)后連接該網(wǎng)絡(luò)，此時(shí)PC1-PC2運(yùn)行arp -a查看ARP信息并記錄；PC5、PC6運(yùn)行arp -d去除ARP表，PC5 ping PC6 后，PC1、PC2再運(yùn)行arp -a查看并記錄ARP表。實(shí)驗(yàn)記錄：PC1的wireshark截圖：截圖分析：PC3、PC4連接網(wǎng)絡(luò)后，第一時(shí)間請求網(wǎng)關(guān)MAC并發(fā)送gratuitous ARP，結(jié)合PC1的arp表變化可以得出機(jī)制2生效；但結(jié)合PC2的arp表變化，無法得出機(jī)制2生效；再進(jìn)展一次實(shí)驗(yàn)截圖分析：發(fā)現(xiàn)IP為的主機(jī)發(fā)送gratuitous ARP，可以得出網(wǎng)絡(luò)上的主機(jī)每個(gè)一段時(shí)間都會發(fā)送gratuitous ARP；PC1的

17、CMD操作及結(jié)果：C:Userszw*arp -dC:Userszw*arp -a接口: 35 - 0*b Internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài)C:Userszw*arp -a接口: 35 - 0*b Internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 02 9c-2a-70-1f-24-1c 動態(tài) 07 60-36-dd-b0-fa-a9 動態(tài) 2 0

18、1-00-5e-00-00-16 靜態(tài)C:Userszw*arp -a接口: 35 - 0*b Internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 02 9c-2a-70-1f-24-1c 動態(tài) 07 60-36-dd-b0-fa-a9 動態(tài) 2 01-00-5e-00-00-16 靜態(tài)C:Userszw*arp -a接口: 35 - 0*b Internet 地址物理地址類型 d4-ee-0

19、7-08-a1-6a 動態(tài) 02 9c-2a-70-1f-24-1c 動態(tài) 07 60-36-dd-b0-fa-a9 動態(tài) 2 01-00-5e-00-00-16 靜態(tài)PC2的CMD操作及結(jié)果：C:Windowssystem32arp -dC:Windowssystem32arp -a接口: 52 - 0*b Internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 55 ff-ff-ff-ff-ff-ff 靜態(tài) 224.0.

20、0.252 01-00-5e-00-00-fc 靜態(tài)C:Windowssystem32arp -a接口: 52 - 0*b Internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 55 ff-ff-ff-ff-ff-ff 靜態(tài) 2 01-00-5e-00-00-16 靜態(tài) 52 01-00-5e-00-00-fc 靜態(tài)C:Windowssystem32arp -a接口: 52 - 0*b Internet 地址物理地址類型 192.

21、168.199.1 d4-ee-07-08-a1-6a 動態(tài) 55 ff-ff-ff-ff-ff-ff 靜態(tài) 2 01-00-5e-00-00-16 靜態(tài) 52 01-00-5e-00-00-fc 靜態(tài)C:Windowssystem32arp -a接口: 52 - 0*b Internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 55 ff-ff-ff-ff-ff-ff 靜態(tài) 2 01-00-5e-00-00-16

22、靜態(tài) 52 01-00-5e-00-00-fc 靜態(tài)再一次實(shí)驗(yàn)：三臺實(shí)驗(yàn)PC通過無線連接到同一個(gè)子網(wǎng),網(wǎng)關(guān)為電腦編號操作系統(tǒng) IP MACPC1 Win7 Ultimate 35 44-6D-57-48-8A-F5PC2翻開wireshark抓包；PC1-PC3執(zhí)行arp d 去除arp緩存，PC1執(zhí)行ARP a查看ARP緩存變化；-C:Userszw*arp -a接口: 35 - 0*b Internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 02

23、 9c-2a-70-1f-24-1c 動態(tài) 07 60-36-dd-b0-fa-a9 動態(tài) 2 01-00-5e-00-00-16 靜態(tài)-PC3連接wifi；結(jié)果分析：連接新網(wǎng)絡(luò)，主時(shí)機(jī)發(fā)送gratuitous ARP請求PC1執(zhí)行ARP a查看ARP緩存變化結(jié)果分析：PC1并沒有因?yàn)間ratuitous ARP的請求而刷新ARP緩存，也沒有主機(jī)對gratuitous ARP請求作出應(yīng)答，因此，得知機(jī)制2無效-C:Userszw*arp -a接口: 35 - 0*b Internet 地址物理地址類型 192.168.199

24、.1 d4-ee-07-08-a1-6a 動態(tài) 02 9c-2a-70-1f-24-1c 動態(tài) 07 60-36-dd-b0-fa-a9 動態(tài) 2 01-00-5e-00-00-16 靜態(tài)-然后PC1 ping PC3；PC1執(zhí)行ARP a查看ARP緩存變化結(jié)果分析，發(fā)送ARP請求得到PC3的MAC-C:Userszw*arp -a接口: 35 - 0*b Internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 02 9c-

25、2a-70-1f-24-1c 動態(tài) 2 01-00-5e-00-00-16 靜態(tài)-同時(shí)，PC2執(zhí)行arp a，結(jié)果分析：機(jī)制3無效-C:Windowssystem32arp -a接口: 52 - 0*b Internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 55 ff-ff-ff-ff-ff-ff 靜態(tài) 2 01-00-5e-00-00-16 靜態(tài) 52 01-00-5e-00-00-fc 靜態(tài)-實(shí)驗(yàn)結(jié)論：ARP表的刷新因素主要有：1從應(yīng)答中提取IP-MAC映射對；2從機(jī)器啟動的時(shí)候發(fā)送的免費(fèi)ARP請求gratuitous ARP中提取源IP-MAC映射對；3從子網(wǎng)中偵聽到的普通ARP請求播送幀中讀取源IP-MAC映射