-
实验二:网络协议分析
一、实验目的和要求
1.
熟悉网络监听软件
Sniffer,
对截获的数据
帧进行分析,验证
EthernetV2
标准的
MAC
层的帧结构
2.
分析
ARP
协议报文首部格式,分析在同一
网段和不同网段间的解析过程
3.
分
析
IPv4
的报文结构,给出每一个字段的值
< br>
4.
掌握常用
ICMP
报文格式及相应方式和作用
5.
掌握
Tracert
命令跟踪路由技术
6.
掌握
TCP
连接的建立和释放过程
二、实验原理
数据在网络上是以很小
的称为帧
(
Frame
)
的单位传输的,
帧由几部分组成,
不同的部分执行不
同的功能。帧通过特定的称为网络驱动程序的软件进行成型,
然后通过网卡发送到网线上
,
通过网线到达它们的目的机器,
在目的机器的一端
执行相反的过程。
接收端机器的以太网卡捕获到这些帧,
< br>并告诉操作系统帧已到
达,
然后对其进行存储。
就是在这个传输和接收的过程中,
嗅探器会带来安全方
< br>面的问题。
“
包
”(Packet)
是
TCP/IP
协议通信传输中的数据单位,一般也称“数据包”
。有
人说,局域网中传输的不是“帧”
(Frame)
吗?没错,但
是
TCP/IP
协议是工作在
OSI<
/p>
模型第三层
(
网络层
)
、第四层
(
传输层
)
上的,而帧是工作在第二层
(
数据链路
层
)
。
< br>上一层的内容由下一层的内容来传输,
所以在局域网中,
“
包”
是包含在
“帧”
里的。
链路层数据帧分析
实验步骤:
1
、
【开始】
>
【
Sniffer
软件】
>
打开“当
前设置窗口”
>
选中网络适配器
>
确定
r
>Monitor
>Define
Filter>
在
Address
选项
卡下的
Address
下拉选择
IP>
Station1
中填入本机
IP
,<
/p>
Station2
中输入
Any>
选取
Capture>Start
菜单项,<
/p>
等待
截取报文
3.
【开始】
>
“
cmd
”
>
弹出“命令提示符”窗口
>
键入“
ping 192.168.0.254
”
>
< br>选
择
Sniffer
的“
capture
”
>
stop
and
display>
显示截获的数据报文结果
>
选择“
Decode
”选项卡查看报文解
码
其中
192.1
68.0.254
表示同网段的计算机
IP
地址
4
、下图是
Sniffer
捕获的报文解码,在数据链路层(
DL
C
)和源
MAC
地址后紧跟
着
0800,
代表该帧数据部分封装的是
IP
报文,由于
0800
大于
05FF
,所以它是
Ether
netV2
帧。提示:选中摘要(
summary
)框的“
ICMP
Echo
”报文项查看。
ARP
地址解析协议
ARP
协议是“
Address
Resolution
Protocol
”
(地址解析协议)的缩写。在局域
网中,网络中实际传输
的是“帧”
,帧里面是有目标主机的
MAC
地址的。在以太
网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机
的
MAC
地
址。但这个目标
MAC
地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标
IP
地址转换成目标
MAC
地址的过
程。<
/p>
ARP
协议的基本功能就是通过目标设备的
IP
地址,查询目标设备的
MAC
地
址,以保证通信的顺利进行。
一、实验原理
使用网络的应用程序是
采用逻辑地址(如
IP
地址)进行通讯的,而实际的
物理网络必须使用物理地址(如
MAC
地址)进行
数据传输。所以需要建立逻辑
地址与物理地址的映射关系(地址解析)
< br>,高层应用的报文才可以用底层物理网
络传输出去。
AR
P
协议就是将
IP
地址解析成物理地址
的地址解析协议。
1
、同网段的
ARP
解析过程
主机与处在同一网段的另一主机进行通信时,首先去缓存中查找目的主机的
IP-MAC
对应项;如果找到,就将报文用找到的物理地址直接发送出去;如果找
< br>不到,源主机就直接向网络发送
ARP
请求报文,在同一
网段的目的主机会对此
请求报文做出应答。
< br>2
、不同网段的
ARP
解析过程
主机与处在不同网段的主机进行通信时,
数据要先发送给默认网关,
然后由它转
发出去。源主机首先
去缓存中查找默认网关的
IP-MAC
对应项;如果找到,源主
机就把报文发送给它的默认网关;
如果找不到,
源主机就会发送
ARP
请求报文,
从默认网关的
ARP
应答报文中获得默认网关的
IP-MAC
对应项
。
二、实验步骤
(一)
1
、
运行
Sniffer
软件
2
、
选取
“
Monitor
”
>Define Filter
>
弹出对话框
>
在
“
Address
”
中选择
“
Hardware
”
>
在“
Station1
”处键入本
机的
MAC
地址
>
“
Station2
”处填入“
A
ny
”
3
、
同网段
ARP
的解析:
“
Capture
”
>
“
Start
“
><
/p>
在命令提示符窗口键入
arp
–
d >arp
–
a > ping
192.168.0.254 >
“
Capture
“
>>
“
Stop and Display
”
>
分析报文
(二)
不同网段的解析:前面步骤同
1
,在
DOS
窗口输入:
ping
210.34.0.13>stop
and
display
截获报文并显示。
<
/p>
不同网段的
ARP
请求和应答报文
IPv4
协议分析
实验步骤:
运行
Sniffer>>capture>>start>>
在
DOS
窗口中输入
>>ping
210.34.0.13>>stop
and
display>>
选择
Decode
选项
>>
分析截获的报文填入表格
< br>
字段项
Destination
Source
Sender MAC Address
Sender IP
Address
Target
Address
ARP
请求报文
Station 50BD5F585642
Station
3CD92B49BB40
3CD92B49BB40
192.168.0.136
ARP
应答报文
Station 3CD92B49BB40
Station
50BD5F585642
50BD5F585642
192.168.0.1
3CD92B49BB40
192.168.0.136
MAC
50BD5F585642
192.168.0.1
Target IP Address
字段
版本
首部长度
服务类型
总长度
标识
标志
报文信息
4
20b
00
60b
16237
0X
字段
片偏移
生存周期
协议
校验和
源地址
目的地址
报文信息
0b
128s
ICMP
67F4
192.168.0.136
210.34.0.13