實驗一以太幀及IP相關(guān)報文分析

實驗一以太幀及IP相關(guān)報文分析【實驗?zāi)康摹渴煜f(xié)議分析工具軟件使用，分析IP報文、ICMP報文、ARP報文及以太幀承載的信息【實驗要求】1、掌握協(xié)議分析軟件WireShark的應(yīng)用方法；2、分析以太幀的幀格式信息，認(rèn)識MAC地址的意義；3、捕獲ARP數(shù)據(jù)報，分析ARP數(shù)據(jù)報的內(nèi)容信息；4、用協(xié)議分析工具軟件捕獲ping命令及tracert命令發(fā)出的ICMP報文，對比兩種命令下發(fā)出的ICMP報文的不同；5、分析承載ARP報文的以太幀的類型碼與承載IP報文的以太幀的類型的不同,并分析承載ARP請求數(shù)據(jù)報的以太幀的目的MAC地址；6、捕獲IP數(shù)據(jù)報,根據(jù)IP報頭的協(xié)議段數(shù)值判斷上層協(xié)議；通過ping命令增加IP報頭可選字段，并分析可選字段的格式。【實驗報告要求】1.實驗報告須按實驗成果提交2.實驗名稱按本指導(dǎo)書給出的實驗名稱填寫3.實驗報告寫明實驗日期、班級、姓名、學(xué)號4．用協(xié)議分析工具軟件捕獲ping命令及tracert命令發(fā)出的ICMP報文，對比兩種命令下發(fā)出的ICMP報文的不同，并把截圖寫入報告。5．分析承載ARP報文的以太幀的類型碼與承載IP報文的以太幀的類型的不同,并把截圖寫入報告。6、分析ARP協(xié)議的執(zhí)行過程，并截取以太幀進(jìn)行配圖分析?！緦嶒炘怼?、以太網(wǎng)MAC地址分配官網(wǎng)。2、ping命令的應(yīng)用。ping的高級用法

對于Windows下ping命令相信大家已經(jīng)再熟悉不過了，但是能把ping的功能發(fā)揮到最大的人卻并不是很多，當(dāng)然我也并不是說我可以讓ping發(fā)揮最大的功能，我也只不過經(jīng)常用ping這個工具，也總結(jié)了一些小經(jīng)驗，現(xiàn)在和大家分享一下。

現(xiàn)在我就參照ping命令的幫助說明來給大家說說我使用ping時會用到的技巧，ping只有在安裝了

TCP/IP協(xié)議以后才可以使用：

ping

[-t]

[-a]

[-n

count]

[-l

length]

[-f]

[-i

ttl]

[-v

tos]

[-r

count]

[-s

count]

[-j

computer-list]

│

[-k

computer-list]

[-w

timeout]

destination-list

Options:

-t

Ping

the

specified

host

until

stopped.To

see

statistics

and

continue

-

type

Control-Break;To

stop

-

type

Control-C.

不停的ping地方主機(jī)，直到你按下Control-C。

此功能沒有什么特別的技巧，不過可以配合其他參數(shù)使用，將在下面提到。

-a

Resolve

addresses

to

hostnames.

解析計算機(jī)NetBios名。

示例：C:＼>ping

-a

1

Pinging

[1]

with

32

bytes

of

data:

Reply

from

1:

bytes=32

time<10ms

TTL=254

Reply

from

1:

bytes=32

time<10ms

TTL=254

Reply

from

1:

bytes=32

time<10ms

TTL=254

Reply

from

1:

bytes=32

time<10ms

TTL=254

Ping

statistics

for

1:

Packets:

Sent

=

4,

Received

=

4,

Lost

=

0

(0%

loss),Approximate

round

trip

times

in

milli-seconds:

Minimum

=

0ms,

Maximum

=

0ms,

Average

=

0ms

從上面就可以知道IP為1的計算機(jī)NetBios名為。

-n

count

Number

of

echo

requests

to

send.

發(fā)送count指定的Echo數(shù)據(jù)包數(shù)。

在默認(rèn)情況下，一般都只發(fā)送四個數(shù)據(jù)包，通過這個命令可以自己定義發(fā)送的個數(shù)，對衡量網(wǎng)絡(luò)速度很有幫助，比如我想測試發(fā)送50個數(shù)據(jù)包的返回的平均時間為多少，最快時間為多少，最慢時間為多少就可以通過以下獲知：

C:＼>ping

-n

50

8

Pinging

8

with

32

bytes

of

data:

Reply

from

8:

bytes=32

time=50ms

TTL=241

Reply

from

8:

bytes=32

time=50ms

TTL=241

Reply

from

8:

bytes=32

time=50ms

TTL=241

Request

timed

out.

………………

Reply

from

8:

bytes=32

time=50ms

TTL=241

Reply

from

8:

bytes=32

time=50ms

TTL=241

Ping

statistics

for

8:

Packets:

Sent

=

50,

Received

=

48,

Lost

=

2

(4%

loss),Approximate

round

trip

times

in

milli-seconds:

Minimum

=

40ms,

Maximum

=

51ms,

Average

=

46ms

從以上我就可以知道在給8發(fā)送50個數(shù)據(jù)包的過程當(dāng)中，返回了48個，其中有兩個由于未知原因丟失，這48個數(shù)據(jù)包當(dāng)中返回速度最快為40ms，最慢為51ms，平均速度為46ms。

-l

size

Send

buffer

size.

定義echo數(shù)據(jù)包大小。

在默認(rèn)的情況下windows的ping發(fā)送的數(shù)據(jù)包大小為32byt，我們也可以自己定義它的大小，但有一個大小的限制，就是最大只能發(fā)送65500byt，也許有人會問為什么要限制到65500byt，因為Windows系列的系統(tǒng)都有一個安全漏洞（也許還包括其他系統(tǒng)）就是當(dāng)向?qū)Ψ揭淮伟l(fā)送的數(shù)據(jù)包大于或等于65532時，對方就很有可能擋機(jī)，所以微軟公司為了解決這一安全漏洞于是限制了ping的數(shù)據(jù)包大小。雖然微軟公司已經(jīng)做了此限制，但這個參數(shù)配合其他參數(shù)以后危害依然非常強(qiáng)大，比如我們就可以通過配合-t參數(shù)來實現(xiàn)一個帶有攻擊性的命令：（以下介紹帶有危險性，僅用于試驗，請勿輕易施于別人機(jī)器上，否則后果自負(fù)）

C:＼>ping

-l

65500

-t

1

Pinging

1

with

65500

bytes

of

data:

Reply

from

1:

bytes=65500

time<10ms

TTL=254

Reply

from

1:

bytes=65500

time<10ms

TTL=254

………………

這樣它就會不停的向1計算機(jī)發(fā)送大小為65500byt的數(shù)據(jù)包，如果你只有一臺計算機(jī)也許沒有什么效果，但如果有很多計算機(jī)那么就可以使對方完全癱瘓，我曾經(jīng)就做過這樣的試驗，當(dāng)我同時使用10臺以上計算機(jī)ping一臺Win2000Pro系統(tǒng)的計算機(jī)時，不到5分鐘對方的網(wǎng)絡(luò)就已經(jīng)完全癱瘓，網(wǎng)絡(luò)嚴(yán)重堵塞，HTTP和FTP服務(wù)完全停止，由此可見威力非同小可。

-f

Set

Don't

Fragment

flag

in

packet.

在數(shù)據(jù)包中發(fā)送“不要分段”標(biāo)志。

在一般你所發(fā)送的數(shù)據(jù)包都會通過路由分段再發(fā)送給對方，加上此參數(shù)以后路由就不會再分段處理。

-i

TTL

Time

To

Live.

指定TTL值在對方的系統(tǒng)里停留的時間。

此參數(shù)同樣是幫助你檢查網(wǎng)絡(luò)運(yùn)轉(zhuǎn)情況的。

-v

TOS

Type

Of

Service.

將“服務(wù)類型”字段設(shè)置為

tos

指定的值。

-r

count

Record

route

for

count

hops.

在“記錄路由”字段中記錄傳出和返回數(shù)據(jù)包的路由。

在一般情況下你發(fā)送的數(shù)據(jù)包是通過一個個路由才到達(dá)對方的，但到底是經(jīng)過了哪些路由呢？通過此參數(shù)就可以設(shè)定你想探測經(jīng)過的路由的個數(shù)，不過限制在了9個，也就是說你只能跟蹤到9個路由，如果想探測更多，可以通過其他命令實現(xiàn)，我將在以后的文章中給大家講解。以下為示例：

C:＼>ping

-n

1

-r

9

01

（發(fā)送一個數(shù)據(jù)包，最多記錄9個路由）

Pinging

01

with

32

bytes

of

data:

Reply

from

01:

bytes=32

time=10ms

TTL=249

Route:

87

->

14

->

0

->

9

->

49

->

7

->

01

->

50

->

0

Ping

statistics

for

01:

Packets:

Sent

=

1,

Received

=

1,

Lost

=

0

(0%

loss),

Approximate

round

trip

times

in

milli-seconds:

Minimum

=

10ms,

Maximum

=

10ms,

Average

=

10ms

從上面我就可以知道從我的計算機(jī)到01一共通過了87

，14

,

0

,

9

,

49

,

7這幾個路由。

-s

count

Timestamp

for

count

hops.

指定

count

指定的躍點數(shù)的時間戳。

此參數(shù)和-r差不多，只是這個參數(shù)不記錄數(shù)據(jù)包返回所經(jīng)過的路由，最多也只記錄4個。

-j

host-list

Loose

source

route

along

host-list.

利用

computer-list

指定的計算機(jī)列表路由數(shù)據(jù)包。連續(xù)計算機(jī)可以被中間網(wǎng)關(guān)分隔（路由稀疏源）IP

允許的最大數(shù)量為

9。

-k

host-list

Strict

source

route

along

host-list.

利用

computer-list

指定的計算機(jī)列表路由數(shù)據(jù)包。連續(xù)計算機(jī)不能被中間網(wǎng)關(guān)分隔（路由嚴(yán)格源）IP

允許的最大數(shù)量為

9。

-w

timeout

Timeout

in

milliseconds

to

wait

for

each

reply.

指定超時間隔，單位為毫秒。

此參數(shù)沒有什么其他技巧。

ping命令的其他技巧：在一般情況下還可以通過ping對方讓對方返回給你的TTL值大小，粗略的判斷目標(biāo)主機(jī)的系統(tǒng)類型是Windows系列還是UNIX/Linux系列，一般情況下Windows系列的系統(tǒng)返回的TTL值在100-130之間，而UNIX/Linux系列的系統(tǒng)返回的TTL值在240-255之間，當(dāng)然TTL的值在對方的主機(jī)里是可以修改的，Windows系列的系統(tǒng)可以通過修改注冊表以下鍵值實現(xiàn)：

[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters]

"DefaultTTL"=dword:000000ff

255---FF

128---80

64----40

32----20

★PING參數(shù)（轉(zhuǎn)載）

ping參數(shù)

-a

將目標(biāo)的機(jī)器標(biāo)識轉(zhuǎn)換為ip地址

-t

若使用者不人為中斷會不斷的ping下去

-c

count

要求ping命令連續(xù)發(fā)送數(shù)據(jù)包，直到發(fā)出并接收到count個請求

-d

為使用的套接字打開調(diào)試狀態(tài)

-f

是一種快速方式ping。使得ping輸出數(shù)據(jù)包的速度和數(shù)據(jù)包從遠(yuǎn)程主機(jī)返回一樣快，或者更快，達(dá)到每秒100次。在這種方式下，每個請求用一個句點表示。對于每一個響應(yīng)打印一個空格鍵。

-i

seconds

在兩次數(shù)據(jù)包發(fā)送之間間隔一定的秒數(shù)。不能同-f一起使用。

-n

只使用數(shù)字方式。在一般情況下ping會試圖把IP地址轉(zhuǎn)換成主機(jī)名。這個選項要求ping打印IP地址而不去查找用符號表示的名字。如果由于某種原因無法使用本地DNS服務(wù)器這個選項就很重要了。

-p

pattern

擁護(hù)可以通過這個選項標(biāo)識16

pad字節(jié)，把這些字節(jié)加入數(shù)據(jù)包中。當(dāng)在網(wǎng)絡(luò)中診斷與數(shù)據(jù)有關(guān)的錯誤時這個選項就非常有用。

-q

使ping只在開始和結(jié)束時打印一些概要信息。

-R

把ICMP

RECORD-ROUTE選項加入到ECHO_REQUEST數(shù)據(jù)包中，要求在數(shù)據(jù)包中記錄路由，這樣當(dāng)數(shù)據(jù)返回時ping就可以把路由信息打印出來。每個數(shù)據(jù)包只能記錄9個路由節(jié)點。許多主機(jī)忽略或者放棄這個選項。

-r

使ping命令旁路掉用于發(fā)送數(shù)據(jù)包的正常路由表。

-s

packetsize

使用戶能夠標(biāo)識出要發(fā)送數(shù)據(jù)的字節(jié)數(shù)。缺省是56個字符，再加上8個字節(jié)的ICMP數(shù)據(jù)頭，共64個ICMP數(shù)據(jù)字節(jié)。

-v

使ping處于verbose方式。它要ping命令除了打印ECHO-RESPONSE數(shù)據(jù)包之外，還打印其它所有返回的ICMP數(shù)據(jù)包。

再次補(bǔ)充

3、Tracert命令工作原理Tracert(跟蹤路由)是路由跟蹤實用程序，用于確定IP數(shù)據(jù)報訪問目標(biāo)所采取的路徑。Tracert命令用IP生存時間(TTL)字段和ICMP錯誤消息來確定從一個主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。通過向目標(biāo)發(fā)送不同IP生存時間(TTL)值的“Internet控制消息協(xié)議(ICMP)”回應(yīng)數(shù)據(jù)包，Tracert診斷程序確定到目標(biāo)所采取的路由。要求路徑上的每個路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前至少將數(shù)據(jù)包上