实验1网络协议分析Ethereal.docx
- 文档编号:23332784
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:31
- 大小:4.04MB
实验1网络协议分析Ethereal.docx
《实验1网络协议分析Ethereal.docx》由会员分享,可在线阅读,更多相关《实验1网络协议分析Ethereal.docx(31页珍藏版)》请在冰豆网上搜索。
实验1网络协议分析Ethereal
实验1网络协议分析Ethereal
1.实验目的
(1)学会正确安装和配置网络协议分析软件Ethereal;
(2)掌握使用Ethereal分析各种网络协议的技能,加深对协议格式、协议层次和协议交互
过程的理解。
2.实验环境
(1)运行Windows2000/2003Server/XP操作系统的PC一台;
(2)每台PC具有一块以太网卡,通过双绞线与局域网相连;
(3)Ethereal程序(可以从网上下载).
3.实验步骤
(1)安装网络协议分析仪
1)安装winPcap。
注意,网络协议分析软件Ethereal的运行需要软件winPcap(wpcap。
dll)的支持,应当在执行Ethereal前先霉装WinPcaP。
如果没有安装winPcap,则在执行“Ethereal/Capture/Star时会出现错误。
2)安装Ethereal.
(2)使用Ethereal分析协议
1)启动系统。
点击“Ethereal”程序组中的“Ethereal"图标,将会出现如图1—1所示的系统操作界面.
图1-1Ethereal系统主界面
2)分组俘获。
点击“Capture/Start’'菜单,出现图1—2所示的界面。
在“Interface”(接口)框的下拉列表中选择一个适当的接口项,其余项可暂时保持默认配置。
然后,点击“OK”按钮,系统开始俘获网络分组.当按“stop”(停止)按钮时,系统停止俘获分组并将已经俘获明分组信息装载在分析系统中。
图1-2俘获分组配置界面
3)协议分析.如图1-3所示,在上部的窗口中,有帧编号(No。
)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列,各列下方依次排列着俘获的分组.中部的窗口给出选中的某帧的详细内容.下部窗口中是与中部窗口对应的该协议帧某字段的十六进制数值内容.
图1-3协议分析界面
可以将俘获的帧与网络教材中的ARP、UDP、ICMP、SNMP等协议帧格式进行对照,并分析其中的信息。
4实验结果
实验结果分析;
数据桢192.168.0.24BroadcastARPwhohas192。
168。
0.587tell192。
168。
0。
24
192.168.0.24:
网络中的一个节点,机器的IP地址
Broadcast:
现在的通信方式,在自己的ARQ中未找到192.168。
0。
587采用广播来询问其他是否有寻到这个地址
whohas192.168。
0.587:
询问的内容,谁的地址为192.168。
0。
587是则返回数据给192。
168。
0。
24不是则不返回
http帧分析:
3460476,614488192。
168。
0。
46192.168。
0.51httpget/http/1.1
请求行:
GET(方法),路径是HTTP1。
1版本.
头部:
表明客户端可以接受任何格式的文档(通配符)。
状态行:
HTTP/1。
1200ok
我们在IP地址为192。
168。
0。
46的电脑上访问我们自己做好的ftp网站,所以desitination显示的是192.168。
0。
51
实验2理解ARP协议
1.实验目的
(1)深入理解ARP(地址解析协议)的工作原理和重要作用;
(2)能够使用ARP命令对ARP选路表(下文简称ARP表)进行简单操作.
2.实验环境
(1)运行Windows2000/2003Server/XP操作系统的PC一台;
(2)每台PC具有一块以太网卡,通过双绞线与局域网相连;
(3)每台PC运行程序协议分析仪Ethereal。
3.实验步骤
(1)使用ARP命令
打开“命令提示符”界面,键入“arp-a”指令查看本机ARP表中的内容,结果如图2—1所示。
图2—1查看本机ARP表中的内容
注意,在ARP表中,各主机的逻辑地址与物理地址是一一对应的,由此形成表项。
主机之间进行物理通信前,首先要查找本机ARP表,如果有对应项,则将通信对方的IP地址转换为相应的物理地址。
“Type”栏下的“dynamic”字段表明该表项处在动态更新中.如果20分钟内没有其他访问网络的操作,ARP表会自动清空(如图2—2所示)。
图2-220分钟后自行清空ARP表
如果不想等待20分钟,可使用“arp—d”命令主动清空ARP表的内容.此时再执行“arp-a”命令,会发现ARP表已经清空(见图2-3)。
图2—3主动清空ARP表
我们还可以使用“arp-s"命令手工设置ARP表表项,如“arp—s169。
254。
112.3400–cd-0d-33-00-34”(如图2—4所示)。
图2—4手工设置ARP表
(2)分析ARP协议工作过程
具体操作步骤:
1)在实验单元中选择本机,显示ARP表中的所有项。
2)清除ARP表中的所有项。
(3)用ARP命令查找IP地址冲突主机
若网络上有两台或多台主机设置了相同的IP地址,那么主机的屏幕上会频繁出现IP地址冲突的提示,这将严重影响网络工作秩序。
如果能同时观察到这些主机,那么通过修改其一”一台主机的IP地址即可解决问题.但是如果我们仅能观察到其中的一台PC提示“IP地址如192.9。
201。
111冲突”,那么应如何确定是哪两台主机设置了相同的IP地址呢?
首先,我们将该报警主机的IP地址修改为一个未用地址。
其次,在该机命令提示符界面输入“ping192。
9.201.111”,确定该主机是否还在本网中运行,如果有响应,ARP协议就会使其留下痕迹。
接下来,执行"arp–a”命令,显示本主机内存中IP地址与MAC:
地址对应记录,就可以发现哪台主机具有IP地址192.9。
20l.111了(网络管理员通常应当掌握本网中每台主机的网卡MAC地址)。
(4)分析ARP协义的基本工作过程
我们可以用Ethereal来分析主机间通过通信生成和更新ARP表的过程,分析主机问是如何利用ARP协议完成IP地址与MAC地址的映射,从而完成局域网内的通信的.
3实验结果
4实验结果分析:
ARP(AddressResolutionProtocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。
它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。
第二种ARP欺骗的原理是——伪造网关.它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网.在PC看来,就是上不了网了,“网络掉线了”.
ARP解决方案
五、ARP欺骗解决方案:
方案A:
IP—MAC绑定
通过双向IP-MAC绑定可以抵御ARP欺骗,解决由于ARP欺骗造成的网络掉线、IP冲突等问题,保证网络畅通。
1、客户机绑定网关IP-MAC:
在客户机设置网关IP与MAC为静态映射,
将如下内容复制到记事本中并保存为staticarp.reg,(网关IP、网关MAC根据实际情况填写,例:
”staticarp”="arp–s192.168.0。
100-01—02—03—04—05”)
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"staticarp”="arp–s网关IP网关MAC”
将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置,文件名为run。
bat,(网关IP、网关MAC根据实际情况填写,例:
"staticarp"=”arp–s192。
168.0。
100-01—02—03-04—05”)
@eachoff
regedit/s。
\runstaticarp。
reg
arp-s网关IP网关MAC
双击运行run.bat
2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序
将staticarp.reg、run。
bat保存到同一文件夹下,登录AhnlabPlicyCenterAdmin,服务器管理—登录分发软件—添加,〈要分发的文件夹>选中保存staticarp.reg、run。
bat的文件夹,〈执行压缩文件名〉中输入对所选择的文件夹压缩后生成的压缩文件的名称,<登录包名称>中输入应用程序名称,〈说明>中输入简单说明,〈解压缩后执行文件〉中输入run。
bat,单击<确定〉.
AhnlabPlicyCenterAdmin—策略管理中选中需要分发的群组或客户机,点右键,紧急安全指令-分发,选中<一般软件>,选中要分发的软件,点击〈确认〉。
3、网关绑定客户机IP-MAC:
使用支持IP/MAC绑定的网关设备,在网关设备中设置客户机的静态IP—MAC列表。
注:
方案A可以抵御ARP欺骗,保证网络正常运行,但不能定位及清除ARP攻击源.
方案B:
利用ARP命令及nbtscan定位ARP攻击源
1、确定ARP攻击源MAC地址
ARP欺骗发作时,在受到ARP欺骗的计算机命令提示符下输入arp–a,APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址,则为ARP攻击源的MAC地址,一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址;在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址.
2、定位ARP攻击源计算机
已全网面署APC2.5的环境:
在PolicyCenterAdmin2。
5中,查找agent,查找ARP攻击源的MAC地址,定位攻击源计算机。
未布署APC2.5的环境:
运行NbtscanMAC扫描器gui.exe,输入局域网IP地址范围,点击开始,显示局域网内IP、计算机名与MAC对应关系,查找ARP攻击源MAC对应的IP地址及计算机名,根据IP地址及计算机名定位攻击源计算机。
实验3网络命令使用实验
1.实验目的
(1)了解IP、ARP、ICMP、NetBIOS、FTP和Telnet等网络协议的功能。
(2)熟悉各种常用网络命令的功能,了解如何利用网络命令检查和排除网络故障的
方法.
(3)熟练掌握WindowsXP下常用网络命令的用法.
2.实验内容
练习使用实验下述的各种网络命令,观察并分析运行结果。
3.实验设备
计算机多台,每台计算机配有网卡,并连成局域网。
客户机通过服务器接入Internet,查看各机器的IP地址及网关
4.实验步骤
(1)通过Ping检测网络故障
正常情况下,当用Ping命令来查找问题所在或检验网络运行情况时,需要使用许多Ping命令,如果所有都运行正确,就可以相信基本的连通性和配置参数没有问题。
如果某些Ping命令出现运行故障,它也可以指明到何处去查找问题。
下面就给出一个典型的检测顺序及可能出现的故障。
1)Ping127。
0。
0。
1,该命令被送到本地计算机,如果没有收到回应,就表示TCP/IP的安装或运行存在某些最基本的问题。
2)Ping本地IP,如ping10。
5.8.11该命令被送到本地计算机所配置的IP地址,本地计算机始终都应该对该Ping命令做出应答,如果没有收到应答,则表示本地配置或安装存在问题。
出现此问题时,请断开网络电缆,然后重新发送该命令.如果网线断开后本命令正确,则有可能是网络中有另一台计算机配置了相同的IP地址。
3)Ping局域网内其他IP,例如ping10.5.8.3,该命令经过网卡及网络电缆到达其他计算机,再返回。
收到回送应答表明本地网络中的网卡和载体运行正确,但如果没有收到回送应答,则表示子网掩码不正确、网卡配置错误或电缆系统有问题。
4)Ping网关IP,如pingl0.5.8。
1,该命令如果应答正确,表示局域网中的网关正在运行。
5)Ping远程IP,如ping202.116.128.1,如果收到4个应答,表示成功使用了默认网关。
6)Pinglocalhost,localhost是操作系统的网络保留名,它是127.0。
0.1的别名,每台计算机都应该能够将该名字转换成该地址。
如果没有做到,则表示主机文件中存在问题。
7)Ping域名地址,如pingnjust。
,对这个域名执行Ping命令,计算机必须先将域名转换成IP地址,通常是通过DNS服务器.如果这里出现故障,则表示DNS服务器的IP地址配置不正确,或DNS服务器有故障。
也可以利用该命令实现域名对IP地址的转换功能。
如果上面列出的所有Ping命令都能正常运行,那么计算机进行本地和远程通信的功能基本上就可以放心了。
事实上,在实际网络中,这些命令的成功并不表示所有的网络配置都没有问题,例如,某些子网掩码错误就可能无法用这些方法检测到。
同样,由于Ping的目的主机可以自行设置是否对收到的Ping包产生回应,因此当收不到返回数据包时,也不一定就说明是网络有问题.
(2)通过ipconfig命令查看网络配置
依次单击“开始"-“运行”命令.打开“运行"对话框,输入命令CMD.在命令提示符下,输入ipconfig/all。
其输出信息如图3.1所示。
图3。
1ipconfig/all输出信息
(3)通过tracert命令检测故障
tracert一般用来检测故障的位置,用户可以用tracertIP来查找从本地计算机到远方主机路径中哪个环节出了问题。
虽然还是没有确定是什么问题,但它已经显示了问题所在的地方。
输入tracertwww.njust。
edu。
cn,查看从源主机到目的主机所经过的路由器IP地址。
输出如下信息。
图3.2tracert输出信息
(4)通过route命令查看路由表信息
routePrint命令用于显示主机路由表中的当前项目,可自己动手练习。
(5)通过nbtstat查看本地计算机的名称缓存和名称列表
⏹nbtstat—n命令显示本地计算机的名称列表.
⏹nbtstat-c命令用于显示NetBIOS名字高速缓存的内容。
NetBIOS名字高速缓存存放与本计算机最近进行通信的其他计算机的NetBIOS名字和IP地址.
(6)通过netview命令显示计算机及其注释列表
使用netview命令显示计算机及其注释列表名称。
要查看由计算机名称为S50801的计算机共享资源,netviewS50801,结果将显示S50801计算机上可以访问的共享资源。
(7)通过netsend命令发送消息
局域网内发送消息的工具,NT/2000/XP需要信使服务(Messenger)的支持。
其功能是将消息发送给网络上的其它计算机。
使用之前要先启用信使服务netstartmessenger,如果没有启动成功可以通过服务管理程序启用:
开始—〉运行—〉services.msc.同样地,如果你怕不速之客的骚扰,netstopmessenger关闭服务即可。
netsend语法为:
netsendip/computer_name消息内容
可以用IP、计算机名来表示消息目标计算机。
如:
netsend10.3。
13。
3howareyou?
?
图3.3netsend命令
实验结果
(1)通过Ping检测网络故障
1)Ping127.0。
0.1
分析:
该命令被送到本地计算机,就表示TCP/IP的安装或运行存在某些最基本的问题.
2)Ping本地IP
分析:
该命令被送到本地计算机所配置的IP地址,本地计算机始终都应该对该Ping命令做出应答,表示本地配置或安装没有问题。
3)Ping局域网内其他IP
分析:
如ping10。
5.8.11该命令被送到本地计算机所配置的IP地址,本地计算机始终都应该对该Ping命令做出应答,则表示本地配置或安装没有问题。
4)Ping网关IP
分析:
该命令如果应答不正确,表示局域网中的网关没有正在运行.
5)Ping远程IP
分析:
,如ping202.116.128。
1,没有收到4个应答,表示没有成功使用了默认网关。
6)Pinglocalhost
分析:
localhost是操作系统的网络保留名,它是127.0。
0。
1的别名,每台计算机都应该能够将该名字转换成该地址.表示TCP/IP的安装或运行正常。
7)Ping域名地址
分析:
,如pingnjust.edu。
cn,对这个域名执行Ping命令,计算机必须先将域名转换成IP地址,通常是通过DNS服务器。
这里出现故障,则表示DNS服务器的IP地址配置不正确,或DNS服务器有故障。
也可以利用该命令实现域名对IP地址的转换功能。
(2)通过ipconfig命令查看网络配置
依次单击“开始”-“运行"命令。
打开“运行"对话框,输入命令CMD。
在命令提示符下,输入ipconfi
g/all
分析:
本机IP地址192。
168.0.50,子网掩码:
255。
255.255。
0
(3)通过tracert命令检测故障
tracert一般用来检测故障的位置,用户可以用tracertIP来查找从本地计算机到远方主机路径中哪个环节出了问题。
虽然还是没有确定是什么问题,但它已经显示了问题所在的地方.
分析:
本机到本机的所经过的路由器IP地址。
(4)通过route命令查看路由表信息
routePrint命令用于显示主机路由表中的当前项目。
分析:
网络地址子网掩码网关IP地址
127。
0.0。
0255。
0。
0.0127。
0.0.1127。
0。
0。
1
192.168.0.0255.255.255。
0192.168。
0。
51192.168.0。
51
192。
168。
0.50255.255.255。
255127.0.0。
11127。
0.0。
1
192。
168。
0。
255255。
255。
255。
255192。
168。
0。
51192.168。
0.51
224。
0.0.0240。
0。
0.0192。
168。
0。
51192.168。
0.51
255。
255。
255.255255.255。
255。
255192。
168。
0.51192。
168。
0。
51
(5)通过nbtstat查看本地计算机的名称缓存和名称列表
nbtstat-n命令显示本地计算机的名称列表.nbtstat-c命令用于显示NetBIOS名字高速缓存的内容。
NetBIOS名字高速缓存存放与本计算机最近进行通信的其他计算机的NetBIOS名字和IP地址。
分析:
本地计算机的名称NLG28
与本计算机最近进行通信的其他计算机的名称如图中所示
(6)通过netview命令显示计算机及其注释列表
使用netview命令显示计算机及其注释列表名称。
要查看由计算机名称为S50801的计算机共享资源,netviewS50801,结果将显示S50801计算机上可以访问的共享资源.
7)通过netsend命令发送消息
分析:
接收到NLG20发送的消息
分析:
发送给192.168.0.43的消息:
a
2)回答NetBIOS在网络配置中的作用?
NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口(API),为程序提供了请求低级服务的统一的命令集,作用是为了给局域网提供网络以及其他特殊功能,系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,实现信息通讯,所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享.
实验4Web、FTP服务器的安装和配置
1.实验目的
(1)了解IIS的作用、安装和配置;
(2)了解Web技术及其应用,掌握Web的构建与属性设置;
(3)了解FTP技术及其应用,掌握FTP的构建与属性设置。
2.实验内容
(1)安装与配置IIS;
(2)个人网站的建立与发布;
(3)建立FTP服务器,并实现上传与下载。
3.实验设备
计算机多台,并已连成局域网,计算机已安装WindowsXP,每台计算机配备一张WindowsXP系统盘。
4.实验准备
设计好个人网站,在实验过程中通过Web服务器发布。
5.实验步骤
在局域网内安装Intemet服务器,可方便地在局域网中实现Internet上的大部分功能,
如传输文件、通过网页发布信息、组建局域网中的BBS、聊天室等。
(1)安装与配置IIS
(2)建立个人Web站点
(3)建立FTP服务器
(4)用Serv—U建立FTP服务器
6.实验分析
(1)设置FTP服务器的不同权限,采用不同的登录,分析FTP安全设置的作用。
答:
当用户访问FTP站点时,出于安全性的考虑需要对用户身份进行验证。
FTP站点的内容实际上是存放在FTP服务器的一个文件夹内(称之为主目录),要使一个用户能够成功的访问FTP站点,还应该保证用户账号必须对FTP站点的主目录文件夹具有相应的NTFS权限.
(2)分析FTP与Windows系统局域网资源共享方式之间的异同,应用领域的区别。
答:
FTP是因特网提供的用于将文件从一台主机拷贝到另一台主机的标准机制。
FTP与其他客户/服务器应用程序不同之处在于它在客户和服务器之间建立两条连接。
一条用于数据传输,另一条用于控制信息的传输。
命令和数据传输分离使FTP效率更高。
控制连接使用非常简单的通信规则。
用户可以通过它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。
FTP的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。
FTP可以应用于广域网也可以应用于局域网,但是每次访问时要输入帐号密码.局域网资源共享只可应用于局域网,而且访问一次,只要你不关机或注销,就可以在下次访问时不输入帐号密码。
(3)分析在外网访问本机的WEB服务、FTP服务的设置方法。
答:
建议在防火墙上查看防御规则,把能阻止外网访问内网的规则修改一下。
允许你的外网ip访问内网
用FTPServ-U的功能无非就是把本机作为文件服务器用,外网用户可以在实现文件共享。
但一般的ADSL用户都是从ISP获取动态IP,所以每次开机的IP地址都不同,所以FTPServ-U里也要设固定的IP,否则就无法访问你的机器了.在命令提示符下输入”ipconfig/all"可以得到你本机的外网IP,将这个外网IP设置到FTPServ-U里,然后外网的其它用户就可以通过这个IP地址访问你的服务器了.
实验总结
数据通信与网络技术是一们与我们日常生活紧密相联的课程,在这个信息时代里,作为一名大学本科生,了解甚至通晓计算机通信基本知识是一项基本素质.通过这门课程的学习,尤其是这次上机,让我对计算机通信协议如
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 网络 协议 分析 Ethereal