| 实验名称 | 网络协议分析 | ||||||
| 姓名 | 学号 | 班级 | 13计本班 | ||||
| 实验 目 的 | 掌握常用的抓包软件,了解EthernetV2 、ARP、IP协议的结构。 | ||||||
| 实 验 内 容 | 1、分析EthernetV2协议 2、分析ARP协议 3、分析IP协议 | ||||||
| 实验步骤 | 1、在DOS状态下,运行ipconfig,记录本机的IP地址和硬件地址,网关的IP地址。如下图1所示: 图1 2、分析数据链路层协议 (1)、在: PC1 的“运行”对话框中输入命令 “Ping 192.168.191.1, 单击 “Enter”按钮; 如下图2所示: 图2 (2)、在本机上运行wireshark截获报文,为了只截获和实验内容有关的报文,将Ethereal 的Captrue Filter 设置为 “No Broadcast and no Multicast ”;如下图3所示: 图3 (3)停止截获报文:将结果保存为MAC-学号,并对截获的报文进行分析: 1)列出截获的报文中的协议类型,观察这些协议之间的关系。 答: a、UDP:用户数据包协议,它和TCP一样位于传输层,和IP协议配合使用,在传输数据时省去包头,但它不能提供数据包的重传,所以适合传输较短的文件。 b、WSP: 是无线局域网领域推出的新协议,用来方便安全地建立 无线连接。 c、ARP:地址解析协议,实现通过IP地址得知其物理地址。在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送,必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。 d、NBNS: 网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。 e、PPP: 点对点协议,为在点对点连接上传输多协议数据包提供了一个标准方法。 f、HTTP: 超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。 g、ICMP:(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。 2)在网络课程学习中,EthernetV2 规定以太网的MAC 层的报文格式分为7 字节的前导 符、1 字节的帧首定界、6 字节的目的 MAC 地址、6 字节的源 MAC 地址、2 字节的类型、 46~1500 字节的数据字段和4 字节的帧尾校验字段。分析一个Ethernet V2 帧,查看这个帧由几部分组成,缺少了哪几部分?为什么? 答:这个帧由6 字节的目的 MAC 地址、6 字节的源 MAC 地址、2 字节的类型、 46~1500 字节的数据字段组成。缺少了7 字节的前导符、1 字节的帧首定界和4 字节的帧尾校验字段。因为7字节的前导符,其作用是用来使接收端的适配器在接受MAC帧时能迅速调整其时钟频率,使它和发送端实现位同步。1字节的帧首定界前六位的作用和前同步码一样,后两个1表示数据就要来了。还有4字节的FCS用来快速检验帧有没出现比特差错。这三部分用过后都会在适配器上被丢弃,不会提交给上一层。因此我们抓的包中没有这些信息。 (4):在: PC1 和 PC2 上运行 Ethereal 截获报文,然后进入PC1 的Windows 命令行窗口,执行如下命令: net send 172.16.1.102 Hello 这是PC1 向PC2 发送消息的命令,等到PC2 显示器上显示收到消息后,终止截获报文。 (注意PC1 和PC2 的信使服务应启动。 ) 找到发送消息的报文并进行分析,查看主窗口中数据报文列表窗口和协议树窗口信息, 填写下表:
表1 报文分析 此报文类型 | ||||||
| 此报文的基本信息(数据报文列表窗口中的Information 项的内容) | |||||||
| Ethernet II 协议树中 | Source 字段值 | (b4:6d:83:51:e2:12) | |||||
| Destination 字段值 | (ec:26:ca:50:de:fc) | ||||||
| Internet Protocol 协议树中 | Source 字段值 | 192.168.1.101 | |||||
| Destination 字段值 | 192.168.1.103 | ||||||
| User Datagram Protocol 协议树中 | Source 字段值 | 26082 | |||||
| Destination 字段值 | 11258 | ||||||
| 应用层协议树 | 协议名称 | ICMP | |||||
| 包含Hello 的字段值 | |||||||
3、分析IP协议
(1)以www.sohu.com为目标主机,在命令行窗口执行Ping 命令;
(2)截获PC1 上ping PC2 的报文,结果保存为IP-学号;
(3)任取一个数据报,分析IP 协议的报文格式,完成下列各题:
1)分析IP 数据报头的格式,完成表9;
表9 IP 协议报文分析
| 字段 | 报文信息 | 说明 |
| 版本Version | 4 | Internet Protocol Version 4, Src: MBENBEN-PC.local (192.168.1.101), Dst: cc00078.h.tel.ccgslb.com.cn (110.188.2.31) |
| 头长Header length | 20 bytes | |
| 服务类型Type of service | 0x00 | (DSCP:CS0,ECN:Not-ECT) |
| 总长度 | 52 | |
| 标识 | 0x2383 | (9091) |
| 标志 | 0x02 | |
| 片偏移 | 0 | |
| 生存周期 | 128 | |
| 协议 | TCP | (6) |
| 校验和 | 0xa458 | [validation disabled] |
| 源地址 | (192.168.1.101) | MBENBEN-PC.local |
| 目的地址 | (192.168.1.103) | cc00078.h.tel.ccgslb.com.cn |
答:A类网络的IP地址范围为:1.0.0.1-126.255.255.254
B类网络的IP地址范围为:128.1.0.1-191.255.255.254
C类网络的IP地址范围为:192.0.1.1-233.255.255.254
该数据报的源IP地址是192.168.1.101,目的IP地址是192.168.1.103,他们是C类地址;
IP地址编制方法:把IP地址划分为三个类别,各种网络的差异很大,有的网络拥有很多主机,而有的网络上的主机则很少。把IP地址分为A类、B类、C类是为了更好地不同用户的需求。当某个单位中申请到一个IP地址时,实际上获得了具有同样网络号的一块地址。其中具有的各个主机号则由该单位自由分配,只要做到在该单位管辖的范围内无重复的主机号即可。
(1)在PC1 两台计算机上执行如下命令,清除ARP 缓存:
ARP –d
(2)在PC1 两台计算机上执行如下命令,查看高速缓存中的ARP 地址映射表
的内容:
ARP –a
(3)在PC1 上运行 Ethereal 截获报文,为了截获和实验内容有关的报文, Ethereal 的Captrue Filter 设置为默认方式;
(4)在主机PC1 上执行Ping 命令向网关发送数据报;
(5)执行完毕,保存截获的报文并命名为arp-1-学号;
(6)在PC1 计算机上再次执行ARP –a 命令,查看高速缓存中的ARP 地
址映射表的内容:
1)这次看到的内容和步骤(2) 的内容相同吗?结合两次看到的结果,理解ARP 高速缓存的作用。
答:内容结果不相同。ARP高速缓存是动态的,每当发送一个指定地点的数据报且高速缓存中不存在当前项目时,ARP便会自动添加该项目。计算机进行路由选择时首先在ARP高速缓存中查找,如果没有找到,再通过广播请求消息来查找。
2)把这次看到的高速缓存中的ARP 地址映射表写出来。
(7):重复步骤: (3)—(4),将此结果保存为arp-2-学号;
(8):打开arp-1-学号,完成以下各题:
1)在截获的报文中由几个ARP 报文?在以太帧中,ARP 协议类型的代码值是什么?
答:截获的报文中由几个ARP 报文,ARP协议的类型的代码值是0x0800
2)打开arp-2-学号,比较两次截获的报文有何区别?分析其原因。
答:arp-2中无ARP报文,因为第一次操作时,已将路由信息存入ARP高速缓存中,不用再通过ARP广播请求消息来获得路由信息
3)分析arp-1 中ARP 报文的结构,完成表11。
表11 ARP 报文分析
| ARP 请求报文 | ARP 应答报文 | ||||||||
| 字段 | 报文信息及参数 | 字段 | 报文信息及参数 | ||||||
| 硬件类型 | Ethernet(1) | 硬件类型 | Ethernet(1) | ||||||
| 协议类型 | IPv4(0x0800) | 协议类型 | IPv4(0x0800) | ||||||
| 硬件地址长度 | 6 | 硬件地址长度 | 6 | ||||||
| 协议地址长度 | 4 | 协议地址长度 | 4 | ||||||
| 操作 | Request(1) | 操作 | Reply(2) | ||||||
| 源站物理地址 | (b4:6d:83:51:e2:12) | 源站物理地址 | (ec:26:ca:50:de:fc) | ||||||
| 源站IP 地址 | 192.168.1.101 | 源站IP 地址 | 192.168.1.103 | ||||||
| 目的站物理地址 | (ec:26:ca:50:de:fc) | 目的站物理地址 | (b4:6d:83:51:e2:12) | ||||||
| 目的站IP 地址 | 192.168.1.103 | 目的站IP 地址 | 192.168.1.101 | ||||||
| 实验 结 果分析及总结 | 通过本次实验,我对wireshark软件有了一个初步的认识,熟悉了sniffer软件的基本用法,学会了用该软件进行抓包并对数据包进行分析。在实验中出现了一些问题还不能够单独处理解决,所以这些都要向会做的同学请教协助解决问题,才能完成顺利实验。 实验日期:2016 年 5 月 6日 评分: 指导教师签字: | ||||||
