實(shí)驗(yàn)二-使用wireshark分析arp協(xié)議

1、計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)報(bào)告 年級(jí): 姓名: 學(xué)號(hào): 實(shí)驗(yàn)日期: 實(shí)驗(yàn)名稱: 實(shí)驗(yàn)二：利用 Wireshark分析ARP協(xié)議 、實(shí)驗(yàn)項(xiàng)目名稱及實(shí)驗(yàn)項(xiàng)目編號(hào) ARP協(xié)議學(xué)習(xí)與分析 二、課程名稱及課程編號(hào) 計(jì)算機(jī)網(wǎng)絡(luò) 三、實(shí)驗(yàn)?zāi)康暮鸵?實(shí)驗(yàn)?zāi)康? 通過本實(shí)驗(yàn)使學(xué)生: 1. 學(xué)習(xí)ARP協(xié)議的工作原理以及 ARP分組格式; 2. 學(xué)習(xí)使用 WireShark對(duì)ARP協(xié)議進(jìn)行分析。 實(shí)驗(yàn)要求： 實(shí)驗(yàn)結(jié)果分析報(bào)告名稱：實(shí)驗(yàn)一ARP協(xié)議實(shí)驗(yàn)結(jié)果分析_姓名.doc 四、實(shí)驗(yàn)原理 Wireshark 介紹 并嘗試顯示包的盡 Wireshark 是最 Wireshark是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲

2、網(wǎng)絡(luò)包, 可能詳細(xì)的情況。網(wǎng)絡(luò)包分析工具是一種用來測(cè)量有什么東西從網(wǎng)線上進(jìn)出的測(cè)量工具, 好的開源網(wǎng)絡(luò)分析軟件。 Wireshark的主要應(yīng)用如下: (1 )網(wǎng)絡(luò)管理員用來解決網(wǎng)絡(luò)問題 (2)網(wǎng)絡(luò)安全工程師用來檢測(cè)安全隱患 (3)開發(fā)人員用來測(cè)試協(xié)議執(zhí)行情況 4)用來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議 5)除了上面提到的， Wireshark 還可以用在其它許多場(chǎng)合。 Wireshark 的主要 特性 啟動(dòng) Wireshark之后，主界面如圖： 1) 支持UNIX和Windows平臺(tái) 2) 在接口實(shí)時(shí)捕捉包 3) 能詳細(xì)顯示包的詳細(xì)協(xié)議信息 4) 可以打開 / 保存捕捉的包 5) 可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)

3、據(jù)格式 6) 可以通過多種方式過濾包 7) 多種方式查找包 8) 通過過濾以多種色彩顯示包 9) 創(chuàng)建多種統(tǒng)計(jì)分析 五、實(shí)驗(yàn)內(nèi)容 1了解數(shù)據(jù)包分析軟件Wireshark 的基本情況； 2安裝數(shù)據(jù)包分析軟件Wireshark； 3配置分析軟件 Wireshark ； 4對(duì)本機(jī)網(wǎng)卡抓數(shù)據(jù)包； 5分析各種數(shù)據(jù)包。 六、實(shí)驗(yàn)方法及步驟 1 Wireshark 的安裝及界面 1) Wireshark 的安裝 2) Wireshark 的界面 thu Ti X 袒Hkfilrxt;r Ale Edit View Oo cap:ure 血爐 Jbristica Holp si W 0( e耳力沽囤中牛軻看址

4、 oai耶L純 _ .* Eaicr I Ercasian. C car icoiy I Rtacy ic loiid jr |NOPfKkK 主菜單項(xiàng): 主菜單包括以下幾個(gè)項(xiàng)目 File 包括打開、合并捕捉文件, save/保存,Print/打印，Export/導(dǎo)出捕捉文件的全部或部分。以及退出 Wireshark 項(xiàng). Edit 包括如下項(xiàng)目：查找包，時(shí)間參考，標(biāo)記一個(gè)多個(gè)包，設(shè)置預(yù)設(shè)參數(shù)。 （剪切，拷貝，粘貼不能立即執(zhí) 行。） View 控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀 節(jié)點(diǎn) GO 包含到指定包的功能 Cap ture 允許您開

5、始或停止捕捉、編輯過濾器。 Analyze 包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤 TCP流等功能。見 Statistics 包括的菜單項(xiàng)用戶顯示多個(gè)統(tǒng)計(jì)窗口，包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計(jì)等等。見 Help 包含一些輔助用戶的參考內(nèi)容。如訪問一些基本的幫助文件，支持的協(xié)議列表，用戶手冊(cè)。在線訪問一些 網(wǎng)站，“關(guān)于”等等。 2. Wireshark的設(shè)置和使用 1）啟動(dòng) Wireshark以后，選擇菜單 Capature-lnterfaces選擇捕獲的網(wǎng)卡，單擊Capture開始捕獲 購(gòu) TLECstAik : t ap-fc ux c Xut erf arcs P

6、Pitkitt P:k蘭也|1 I0 cmp：ure Frspqigpatmilw I 匚 dp：ur：. p3di“ DuCjIl 04聞佃 N darilBT iq r g eiic dialUT aid VFTgaptuiB 津 |rilui (R)PROJQ0VE MukfljkCun- uctun0/ikru_PaukulScb：.dulurl 10.20 61.IS 2）當(dāng)停止抓包時(shí)，按一下st op,抓的包就會(huì)顯示在面板中，并且已經(jīng)分析好了。下面是一個(gè)截圖如 圖2-2所示。 UiLt it T“ zhsii k 3B區(qū) AIG M it M 耳。衛(wèi)) 牛乾布業(yè) HH丨魚2 Edi

7、t y曲 Oo C郎力出 加a瘧 utirisiica Help Her 20 J . 531315 115.?3fi.54. 7, 5312bH 10. 2 J. bl. 15 ?3 7. 5 3JO71 23 7, 53旳石 115.28. S4* J , u時(shí)弋3聞 TL5i. ?R. S4/ 25 E的 115.23S. 54. 26 E6355 10. ?D. Cl. 15 27 Ey2()sa 115.238. iA. 7S 115.7S. 14. 29 予 3117 50 S95211 115.230.54, i1 fey2247 5? 707： 33 705SS5 10.2D.

8、6a.lF 34 1九羽 i w ; e $ m； o d 片;c 圖2-2 Wireshark數(shù)據(jù)包分析 Wireshark和其它的圖形化嗅探器使用基本類似的界面，整個(gè)窗口被分成三個(gè)部分：最上面為數(shù)據(jù)包列 表，用來顯示截獲的每個(gè)數(shù)據(jù)包的總結(jié)性信息；中間為協(xié)議樹，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息; 最下邊是以十六進(jìn)制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時(shí)的最終形式。 2) 設(shè)置 capture 選項(xiàng) C右2 bytes on vnre, G? byte capturecCl tl, Src： wiser :)n_5-t ：ec:dj (OD:Od :34 ：ec:d3J. D3

9、- : MangzhOL4_3e；6b：ed C00:0r：e2 Prrtrn-rnl.烷廣廣！ I fi. ?C. hl .1 n 0. l 選擇菜單 cap ture宀Interface ，如圖2-3所示，在指定的網(wǎng)卡上點(diǎn)“P re pare ”按鈕，設(shè)置 ca pture 參數(shù)。 r-rkj Caatu Im 曰 rimy. I ii- )r I i? I- I- =L - ：|Buffgg日 P Cr-ptMI F p洋Frrf日 In m|i rucMJ medp 廠 unrill e.iZn patxRi in p 7| ryl”； i*丈 aniur 嚴(yán) ullv. I I Ca

10、jCLire -lle(3 Fitc； I LWn 蘭I ittiplF ThP = J rnmamOyteEw Cispw Ciptlais L ypcHt* II*t DT packets m rear： rs 廠 flF Wtr,” L 1 ill E r iJti!i iui.i=e- jp J- L P lLj|j;:Ll; B L 1 Stop Caffcluns L . arter1 kip-. eiCi-j r . 3ft=Ti 廠.art=r 1 fi- 1 -1 * riarriE Rczaiitiur-. T EnablenamE rES-Dlubon P En3tile

11、 ir少rI卻cri 31ne regoiutioni Ejjeip I Erlatile netMioi-k name i eQlutlon F） III H也！- 圖2-3 capture選擇設(shè)置 Interface :指定在哪個(gè)接口（網(wǎng)卡）上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以。 Limit each packet :限制每個(gè)包的大小，缺省情況不限制。 Cap ture p ackets in p romiscuous mode :是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況 下只需要監(jiān)聽本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。 Filter:過濾器。只抓取滿足

12、過濾規(guī)則的包（可暫時(shí)略過） File :如果需要將抓到的包寫到文件中，在這里輸入文件名稱。 use ring buffer :是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫文件 的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時(shí)回卷。其他的項(xiàng)選擇缺省的就 可以了。 2. 顯示過濾器的使用方法 在抓包完成以后用顯示過濾器，可以在設(shè)定的條件下（協(xié)議名稱、是否存在某個(gè)域、域值等）來查 找你要找的數(shù)據(jù)包。如果只想查看使用TCP協(xié)議的包，在 Wireshark窗口的左下角的Filter中輸入TCP， 然后回車，Wireshark就會(huì)只顯示TCP協(xié)議的包。如圖2-4

13、所示。 The EthrrrI Mrt vork Ann J r Elie E 血 yiew Qo Capture3誼創(chuàng)tiekp fe FllEEf E尊把昭怕n :TJbcoi info hl IJJ 1 1 ReaiJy ED Nc Packets CfinFE 圖2-4設(shè)置過濾條件為 TCP報(bào)文 如果想抓取IP地址是 5的主機(jī)，它所接收收或發(fā)送的所有的 TCP報(bào)文, 那么合適的顯示 Filter （過濾器）就是如圖 2-5所示。 Bn (. r t 1 -rl) o CpLire 占門“！ g|b1dc3 lETlFl X 0 Cter圈JMti3 Nd _ Sai

14、JiED Lflsbrdlcri rntrnl biro IO.SQ.M-1 TCP 1呂 :.紐4麗 1L*2O, tJ-.XS S-ja.IU.LDaLi； TCP O lO.M-nL 小 a.g 1 皿 LW IT匚D 3U X俎昭9= 10.20.61.Xi 出頂，4亠L(fēng)莊 HTTP n 叮削員L張192 卜？燦-J iLP 12 21眸孑6 ICE2 TCP 3 2.03 3*1/ 21珀也1盟 12.20. rilT 口 再 祁沖盤 處Kb W19= 丄臨3.2丄 HTTP 3丁 2.65 3Sg U】刃W即 iDxZa.L,! 丄 2ig.5O.iD0=L? 丄口=j.oLiT

15、MP KTTp 3?2.673955 7-l5rlO.L I-U. 童 r CJ. T . .士* 5eqL ft匚也1佃丄 呎!lF巾LSniU 5H-L lC-1586 1lh-S7 L-n: Ohvu laTjl I c-qrhr 43 :dcrt-tflcjtAon: a(蘭酣閃) + Fl-aa 1 frjLl4 CDcfi t Frflerrt3 FTiQI尼嘰 o1si Q Hre to Uve? 123 ProTuiDl : r-rp e沁町 I5已口 叩；砒朋論CQprKIl sam izfr! 1O.2D.1.LS. 61.1s5 310hSQ.1DB.L； 1乩 QuOu

16、 OOLO g述 M劉 UD ki e； ie 00 30 髀 C fie. 0 c7 阡 ff IE (U td dij ui 4V 列 U1 ;f Sc IF M UJ i - T: Dt 02 DO LL. wio fi -lO ufi Ml lU .n ff u ! i - ：!?i M2j _D JJ 1iO f-M ODIV-PI： i 2 ）分析你捕獲的ARP請(qǐng)求報(bào)文 第一行幀基本信息分析 （粘貼你的Frame信息） Tima: delta delta since Arrival Time: Sep 23, Epoch 丁 rme :iMme Time Frame Frame F

17、rame 14 57 : 60 bytes on wire (4 80 bits), 60 bytes captured (480 bits 2014 15 ；15r33.463721000 口亡口亡|口 141145655S.463721000 seconds from previ olis capTured frame: 0. 002537000 seconds from previous d1splayed frame: 0.000000000 seconds reference or fiPsx frame: 24.4SSS16000 seconds Number: 14 57 Len

18、gth: 60 bytes (,430 bits Capt Lire Length: bO tiytes (；4a0 bits J Frame is marked: Falsej Frame 1s 1gnored; False FrotocoTs 1ri frame: eih; arp col orlni Rule Name; arp col rinq Ru1 e string : ar p Et hernet II, 5rc ; G-Prcorn_4 5 ;4 e ;IS CQ; 23 ; E4 ;4 5 ;4目；丄0, Dst ; Broadcast Cf i-Ff ;f f ; ff ;

19、-Ff ;f f Addre 5 Resol ufi m Prorocol (request) c o olo 3 Liyt乜匚 on 1 re O so二,或3 tyrestbits? A rt hprnet TT, Sre ： GpoC7orn=4 5 : fi ：工布 fOfl ; 2 M: 4, Dst : Rrnaricfl、十 Cf f :ff :Ff rff ; fT : 1=1= J51 Der i i on : B-oadcast 匚; f f :卡：f f ;ff J El 5aurce: G-PrcCcptn_45:6; 16 tOO : ?5:1O Type ? Apr

20、- toxogofl) Tr-ilpr : OC(X5O：5OOOODODO0O0O0O0O0O0 T 400 r o o D Tooo d 3 fl _u /51c 510 4 4 0 0 M SOQ 4400 16心 uo * *FH # $EH Dest in ati on 地址，這個(gè) 據(jù) （目的地址）： MAC地址是一個(gè)廣播地址，就是局域網(wǎng)中的所有計(jì)算機(jī)都會(huì)接收這個(gè)數(shù) 幀 Broadcast(ff:ff:ff:ff:ff:ffl （這是個(gè)MAC Source （源 地 址）：G-P roCom_45:48:16（00:23:24:45:48:16） 幀中封裝的協(xié)議類型：ARP（0 x0

21、806） （這個(gè)是 ARP協(xié)議的類型編號(hào)。） Trailer :是協(xié)議中填充的數(shù)據(jù)，為了保證幀最少有64字節(jié)。 第三層 ARP協(xié)議: （粘貼你的 ARP請(qǐng)求報(bào)文） Frame 14jf: du Dytes oni馬au Qit Ethernet; (1) Protocol type: ip COxQSOO) Hardware size: 6 Protocol size; 4 op code: request MAC address: G-Procom_45:4S:16 00:23:24:45:48:16) IP address: LO.30.28.22 CIO.50.28. MAT addre

22、ss: 00:00:00:00 (00:00:00:M:00:00) IP address: 10. 0, Z6.1 口_002玄丄) IS gratuitous: False sender sender Target Target 在上圖中，我們可以看到如下信息: H ardware type （硬件類型）： Ethern et(1) P rotocol type （協(xié)議類型）： IP (0 x0800). H ardware size( 硬件信息在幀中占的字節(jié)數(shù) ):6. P rotocol size( 操作碼(op code 發(fā)送方的 MAC 地址(Se nder MAC address

23、 協(xié)議信息在幀中占的字節(jié)數(shù) ):requset(0X0001) )：G- ProCom 45:48:16(00:23:24:45:48:16) 發(fā)送方的 IP 地址(Sender IP address ): 2(2) 目標(biāo)的 MAC 地址(Target MAC address:): 00:00:00 00:00:00(00:00:00:00:00:00) 目標(biāo)的 IP 地址(Target IP address:): (). (3)分析ARP應(yīng)答報(bào)文 (粘貼你的ARP應(yīng)答報(bào)文) rr lire 527: 0 坊飛曲

24、on wire (430 bite J, 0 tjyt as captured (#30 bite J Et hern st II. Sg O.：:dd；41: 03:03 :f4;冋 J” Mt: G-fraCoiriJ 5 ;47; dd 廣兀；23;24 Address fesalurlcn nrotauol (reply；) type; Ethernet 1) 匸Ape： jp 匚OKOROOij size: 6 size: 4 Hardware roTjcol Hardvar，S =Tnt 3cnl Opcode: reply .J) Serdsr Serder Tdrysl Tar

25、gat I5 Pctu-itodS t False! MAL adFreis; uc:di；ilJ :biruiif/i fuc;da:1 丄：尸4) IP add-ess; 10.30.2S,1 10.3Q.23.1J MiAC ddJr tSi : ij-Pr uCOfr_4 5 ：4 7：Lld COO： ?3 ：24 :5 ：47 ； dd IP iddreis: 10.30.23. CIO. 30. 28.33：) o o o 匸 -o rl- HL o n 2rt Ort c- o u 0 fl- c. |o on o 3 L 7- _s 二 Io D c- 0 應(yīng)答報(bào)文中的 操作

26、碼(opcode)： reply(0X0002) ): G- 將ARP請(qǐng)求報(bào)文和 ARP應(yīng)答報(bào)文 發(fā)送方的 MAC 地址(Se nder MAC address 0c:da:41:63:03:f4(0c:da:41:63:03:f4) 發(fā)送方的 IP 地址(Sender IP address ): () 目標(biāo)的 MAC 地址(Target MAC address:) ProCom_45:47:dd(00:23:24:45:47:dd) 目標(biāo)的 IP 地址(Target IP address:): 8(8). 練習(xí)1

27、:對(duì)于上述2、3中的arp請(qǐng)求報(bào)文和應(yīng)答報(bào)文, 中的字段信息填入表 3-1。 表3-1 RPP請(qǐng)求報(bào)文和ARP應(yīng)答報(bào)文的字段信息 字段項(xiàng) ARP請(qǐng)求數(shù)據(jù)報(bào)文 ARP應(yīng)答數(shù)據(jù)報(bào)文 鏈路層 Dest in ati on項(xiàng) Broadcast(ff:ff:.ff:ff:ff:ff) G- P roCom_45:47:dd(00:23:24:45 :47:dd) 鏈路層 Source 項(xiàng) G- P roCom_45:48:16(00:23:24:45: 48:16) 0c:da:41:63:03:f4(0c:da:41:63 :03:f4) 網(wǎng)絡(luò)層 Sender MAC Address G- P roCom_45:48:16(00:23:24:45: 48:16) 0c:da:41:63:03:f4(0c:da:41:63 :03:f4) 網(wǎng)絡(luò)層 Sender IP Ad