华南理工大学计算机网络网络报文抓取与分析实验报告Word格式文档下载.docx
- 文档编号:13520382
- 上传时间:2022-10-11
- 格式:DOCX
- 页数:13
- 大小:1.15MB
华南理工大学计算机网络网络报文抓取与分析实验报告Word格式文档下载.docx
《华南理工大学计算机网络网络报文抓取与分析实验报告Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《华南理工大学计算机网络网络报文抓取与分析实验报告Word格式文档下载.docx(13页珍藏版)》请在冰豆网上搜索。
2.实验环境
2.1Wireshark介绍
Wireshark(前称Ethereal)是一个免费的网络报文分析软件。
网络报文分析软件的功能是抓取网络报文,并逐层显示报文中各字段取值。
网络报文分析软件有个形象的名字“嗅探工具”,像一只猎狗,忠实地守候在接口旁,抓获进出该进口的报文,分析其中携带的信息,判断是否有异常,是网络故障原因分析的一个有力工具。
网络报文分析软件曾经非常昂贵,Ethereal/wireshark开源软件的出现改变了这种情况。
在GNUGPL通用许可证的保障围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。
Ethereal/wireshark是目前世界使用最广泛的网络报文分析软件之一。
请需要的同学在教学在线上下载中文操作手册。
2.2实验要求
软件:
Wireshark(目前最新版本1.4.1)
硬件:
上网的计算机
3.实验步骤
3.1wireshark的安装
wireshark的二进制安装包可以在官网.wireshark.org/download.html#release下载,或者可以在其他下载。
注意:
下载后双击执行二进制安装包即可完成wireshark的安装。
安装包里包含了WinPcap,并不需要单独安装WinPcap。
3.2查看本机的网络适配器列表
操作:
单击菜单Capture中的Interfaces选项
记录下你看到的信息,并回答问题:
(1)、你机器上的网络适配器有几个?
4
(2)、它们的编号分别是?
VMwareNetworkAdapterVMnet8
实际地址:
00-50-56-C0-00-08
IP地址:
192.168.241.1
子网掩码:
255.255.255.0
验证网卡
00-1E-30-2D-FF-BA
169.254.2.191
255.255.0.0
默认网关:
DNS服务器:
222.201.130.30,222.201.130.33
WINS服务器:
VMwareNetworkAdapterVMnet1
00-50-56-C0-00-01
192.168.133.1
Console网卡
78-E3-B5-A5-B5-2B
192.168.3.53
255.255.252.0
192.168.1.254
222.201.130.30
3.3在指定网络适配器上进行监听
在步骤3.2中弹出的Interfaces选项中,选择指定的网络适配器并单击start按钮
记录并解释wireshark监听的包容(解释1条记录即可)
传输时间,发送方IP地址,接收方IP地址,协议类型,报文长度,报文信息
报文第一行:
60bytes是报文大小,
报文第二行:
发送方的mac地址,接收方的mac地址
报文第三行:
发送方的IP地址,接收方的IP地址
报文第四行:
发送方的端口号(80)接收方的端口号(1993)请求序列号为450,回执序列号191。
数据长度为0。
3.4记录一个TCP三次握手过程
在步骤3.3的基础上,单击start按钮后,打开命令行窗口并输入:
telnet,然后停止继续侦听网络信息。
在wireshark的Filter中输入表达式:
(ip.src==192.168.1.100orip.dst==192.168.1.100)and(tcp.dstport==23ortcp.srcport==23)
其中192.168.1.100是你所在机器的IP,请自行根据自己机器的IP地址修改filter(可使用IPconfig查看)。
telnet服务的传输层采用了tcp协议,并且其默认端口是23。
在wireshark窗口中,记下所显示的容(可事先通过重定向的方式记录)并回答问题。
(1)根据得到的信息解释所键入的filter定制中的参数的含义?
发送方IP地址是192.168.1.100或者接收方IP地址是192.168.1.100且发送方端口是23或接收方端口是23的TCP连接
(2)请从得到的信息中找出一个TCP的握手过程。
并用截图形式记录下来。
(2)结合得到的信息解释TCP握手的过程。
第一行:
192.168.3.53请求建立连接(seq=0)
第三行:
121.195.187.12收到报文(ack=1),作出回应(seq=0)
第四行:
192.168.3.53收到报文(ack=1),发送报文(seq=1)
3.5一个TCP握手不成功的例子
telnet192.168.1.101,然后停止继续侦听网络信息。
ip.src==192.168.1.100orip.dst==192.168.1.100and(tcp.dstport==23ortcp.srcport==23)
其中192.168.1.100是你所在机器的IP,telnet服务是tcp协议并且其默认端口是23。
上面的IP192.168.1.101可改为任何没有打开telnet服务的IP。
比如:
可以用身边同学的IP。
(注:
此IP的机器上要求没有打开telnet服务,但要求机器是开的,否则将无法主动拒绝一个TCP请求)
(1)试从得到的信息中找出一个TCP的握手不成功的过程,并用截图记录下来
(2)并结合所得到的信息解释这个握手不成功的例子。
发送第一次请求报文后,收到一个回应报文,但是因为没有打开talnet服务,所以握手失败。
3.6侦听网络上的ARP包
3.6.1验证ARP工作原理
关于ARP的说明:
IP数据包常通过以太网发送。
但以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包的。
因此,必须把目的IP地址对应到以太网的MAC地址。
当一台主机自己的ARP表中查不到目的IP对应的MAC地址时,需要启动ARP协议的工作流程。
ARP工作时,送出一个含有目的IP地址的广播ARP请求数据包。
如果被请求目的IP对应的主机与请求机位于同一个子网,目的主机将收到这个请求报文,并按照RFC826标准中的处理程序处理该报文,缓存请求报文中的源IP和源MAC地址对,同时发出ARP应答(单播),请求机收到ARP应答,将应答中的信息存入ARP表,备下次可能的使用。
如果被请求目的IP对应的主机与请求机不在同一个子网,请求机所在的缺省网关(代理ARP)会发回一个ARP应答,将自己的MAC地址作为应答容,请求机即将目的IP和网关的MAC地址存入ARP表中。
为了维护ARP表的信息是反应网络最新状态的映射对,所有的ARP条目都具有一个老化时间,当一个条目超过老化时间没有得到更新,将被删除。
要看本机的ARP表(也即IP与MAC地址对应表)中的容,只需在命令行方式下键入:
arp–a命令即可。
在下面的实验中,为了能够捕捉到ARP消息,首先将本机的ARP表中的容清空。
这样当你使用Ping命令时,它会首先使用ARP请求报文来查询被ping机器IP的MAC地址。
(当本地的ARP表中有这个IP对应的MAC地址时,是不会再查询的)。
要将本机的ARP表中的容清空,请使用命令:
arp–d*。
关于ARP更进一步的说明,请同学到网上查阅相关资料。
3.6.1验证实验
操作:
arp–d(清除ARP表)
ping192.168.1.101(Ping任意一个和你的主机在同一个局域网的IP,说明:
被Ping的主机不能开防火墙)。
arp,然后就能会出现ARP消息的记录。
请根据记录回答以下问题:
(1)记录下你所看到的信息,用截图形式。
(找到ARP请求和ARP应答两个报文)
(2)请分析解释你的记录中的容表示什么意思,从而说明ARP的工作原理。
有一个请求和一个应答,表达ARP发出的一个请求和一个应答,即ARP通过广播使得对方接收到我的广播包,并且得到对方的以太网地址应答。
ARP的工作原理:
在自己主机上构建一个数据包,,然后发送一个广播包,等待应答。
然后这两个过程使用的协议就是ARP。
(3)3.6.2设计一个ARP缓存刷新机制的验证
为了避免子网中频繁发起ARP请求,让ARP工作得更加高效,每台主机(包括路由器)部的存中都开辟了一个ARP缓存空间,叫ARP表。
按照教材上的讲解,ARP表的刷新因素主要有:
(1)从应答中提取IP-MAC映射对;
(2)从机器启动的时候发送的免费ARP请求(gratuitousARP)中提取源IP-MAC映射对;
(3)从子网中侦听到的普通ARP请求广播帧中读取源IP-MAC映射对。
在PT模拟演示中,已经看到:
侦听到ARP广播请求的主机,并没有刷新自己的ARP表。
请设计一个实验来分析说明现实网络中,上述第二条和第三条刷新机制是否存在或者被实现。
注意:
(1)实验室B3-230、231的所有PC的consel网卡都处于同一个大子网中(255.255.252.0)。
(2)建议:
这个设计实验,以4~8人的组来完成,并请组长在实验报告中写明实验方法,得到的结论,分析过程等,尽量详细。
(组长一人写,并写明协助一起完成的组成员;
组成员在自己的实验报告中,只需说明参加哪位组长的实验即可。
)
(3)如果时间来不及,请在宿舍继续完成该项。
3.6.2设计一个ARP缓存刷新机制的验证
实验设计与
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华南理工大学 计算机网络 网络 报文 抓取 分析 实验 报告