實驗二-使用wireshark分析arp協(xié)議

計算機網(wǎng)絡(luò)實驗報告年級：姓名：學號：___________實驗日期:_________________________實驗名稱：實驗二：利用Wireshark分析ARP協(xié)議一、實驗工程名稱及實驗工程編號ARP協(xié)議學習與分析二、課程名稱及課程編號計算機網(wǎng)絡(luò)三、實驗?zāi)康暮鸵髮嶒災(zāi)康模和ㄟ^本實驗使學生：1．學習ARP協(xié)議的工作原理以及ARP分組格式；2．學習使用WireShark對ARP協(xié)議進行分析。實驗要求：實驗結(jié)果分析報告名稱：實驗一ARP協(xié)議實驗結(jié)果分析_姓名.doc四、實驗原理Wireshark介紹Wireshark是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包，并嘗試顯示包的盡可能詳細的情況。網(wǎng)絡(luò)包分析工具是一種用來測量有什么東西從網(wǎng)線上進出的測量工具，Wireshark是最好的開源網(wǎng)絡(luò)分析軟件。Wireshark的主要應(yīng)用如下：〔1〕網(wǎng)絡(luò)管理員用來解決網(wǎng)絡(luò)問題〔2〕網(wǎng)絡(luò)平安工程師用來檢測平安隱患〔3〕開發(fā)人員用來測試協(xié)議執(zhí)行情況〔4〕用來學習網(wǎng)絡(luò)協(xié)議〔5〕除了上面提到的，Wireshark還可以用在其它許多場合。Wireshark的主要特性〔1〕支持UNIX和Windows平臺〔2〕在接口實時捕捉包〔3〕能詳細顯示包的詳細協(xié)議信息〔4〕可以翻開/保存捕捉的包〔5〕可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式〔6〕可以通過多種方式過濾包〔7〕多種方式查找包〔8〕通過過濾以多種色彩顯示包〔9〕創(chuàng)立多種統(tǒng)計分析五、實驗內(nèi)容1．了解數(shù)據(jù)包分析軟件Wireshark的根本情況；2．安裝數(shù)據(jù)包分析軟件Wireshark；3．配置分析軟件Wireshark；4．對本機網(wǎng)卡抓數(shù)據(jù)包；5．分析各種數(shù)據(jù)包。六、實驗方法及步驟1．Wireshark的安裝及界面〔1〕Wireshark的安裝〔2〕Wireshark的界面啟動Wireshark之后，主界面如圖：主菜單項：主菜單包括以下幾個工程:File包括翻開、合并捕捉文件，save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或局部。以及退出Wireshark項.Edit包括如下工程：查找包，時間參考，標記一個多個包，設(shè)置預(yù)設(shè)參數(shù)?！布羟校截?，粘貼不能立即執(zhí)行?！砎iew控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在別離的窗口，展開或收縮詳情面版的地樹狀節(jié)點GO包含到指定包的功能Capture允許您開始或停止捕捉、編輯過濾器。Analyze包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。見Statistics包括的菜單項用戶顯示多個統(tǒng)計窗口，包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計等等。見Help包含一些輔助用戶的參考內(nèi)容。如訪問一些根本的幫助文件，支持的協(xié)議列表，用戶手冊。在線訪問一些網(wǎng)站，“關(guān)于〞等等。2．Wireshark的設(shè)置和使用1〕啟動Wireshark以后，選擇菜單Capature->Interfaces,選擇捕獲的網(wǎng)卡，單擊Capture開始捕獲2〕當停止抓包時，按一下stop，抓的包就會顯示在面板中，并且已經(jīng)分析好了。下面是一個截圖如圖2-2所示。圖2-2Wireshark數(shù)據(jù)包分析Wireshark和其它的圖形化嗅探器使用根本類似的界面，整個窗口被分成三個局部：最上面為數(shù)據(jù)包列表，用來顯示截獲的每個數(shù)據(jù)包的總結(jié)性信息；中間為協(xié)議樹，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；最下邊是以十六進制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時的最終形式。2〕設(shè)置capture選項選擇菜單capture→Interface，如圖2-3所示，在指定的網(wǎng)卡上點“Prepare〞按鈕，設(shè)置capture參數(shù)。圖2-3capture選擇設(shè)置Interface：指定在哪個接口〔網(wǎng)卡〕上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以。Limiteachpacket：限制每個包的大小，缺省情況不限制。Capturepacketsinpromiscuousmode：是否翻開混雜模式。如果翻開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個選項。Filter：過濾器。只抓取滿足過濾規(guī)那么的包〔可暫時略過〕。File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。useringbuffer：是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫文件的時候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時回卷。其他的項選擇缺省的就可以了。2．顯示過濾器的使用方法在抓包完成以后用顯示過濾器，可以在設(shè)定的條件下〔協(xié)議名稱、是否存在某個域、域值等〕來查找你要找的數(shù)據(jù)包。如果只想查看使用TCP協(xié)議的包，在Wireshark窗口的左下角的Filter中輸入TCP，然后回車，Wireshark就會只顯示TCP協(xié)議的包。如圖2-4所示。圖2-4設(shè)置過濾條件為TCP報文如果想抓取IP地址是的主機，它所接收收或發(fā)送的所有的TCP報文，那么適宜的顯示Filter〔過濾器〕就是如圖2-5所示。圖2-5設(shè)置過濾條件為IP地址是10.20.61.15的主機所有的TCP報文七、學習使用WireShark對ARP協(xié)議進行分析〔1〕啟動WireShark〔2〕捕獲數(shù)據(jù)〔3〕停止抓包并分析ARP請求報文將Filter過濾條件設(shè)為arp，回車或者點擊“Apply〞按鈕，〔4〕ARP請求報文分析1〕粘貼你捕獲的ARP請求報文2〕分析你捕獲的ARP請求報文第一行幀根本信息分析〔粘貼你的Frame信息〕FrameNumber〔

幀的編號〕：______1457___〔捕獲時的編號〕FrameLength(幀的大小)：____60____字節(jié)?！惨蕴W(wǎng)的幀最小64個字節(jié)，而這里只有６０個字節(jié)，應(yīng)該是沒有把四個字節(jié)的CRC計算在里面，加上它就剛好。〕ArrivalTime(幀被捕獲的日期和時間):__sep23,_202315:15:38.463721000______Timedeltafrompreviouscapturedframe(幀距離前一個幀的捕獲時間差):____0.002937000seconds____Timesincerefernceorfirstframe(幀距離第一個幀的捕獲時間差)：___24.488816000seconds____________Protocolsinframe(幀裝載的協(xié)議)：__eth:arp__________第二行數(shù)據(jù)鏈路層：〔粘貼你的數(shù)據(jù)鏈路層信息〕Destination〔目的地址〕：_Broadcast(ff:ff:ff:ff:ff:ff)_________〔這是個MAC地址，這個MAC地址是一個播送地址，就是局域網(wǎng)中的所有計算機都會接收這個數(shù)據(jù)幀〕Source〔源地址〕：G-ProCom_45:48:16(00:23:24:45:48:16)幀中封裝的協(xié)議類型：ARP(0x0806)〔這個是ARP協(xié)議的類型編號?！砊railer：是協(xié)議中填充的數(shù)據(jù)，為了保證幀最少有64字節(jié)。第三層ARP協(xié)議：〔粘貼你的ARP請求報文〕在上圖中，我們可以看到如下信息：Ｈardwaretype〔硬件類型〕：___Ethernet(1)_________Ｐrotocoltype〔協(xié)議類型〕：IP(0x0800)____________Ｈardwaresize(硬件信息在幀中占的字節(jié)數(shù))：__6_____________Ｐrotocolsize(協(xié)議信息在幀中占的字節(jié)數(shù))：_____4_________操作碼〔opcode〕：requset(0X0001)發(fā)送方的ＭＡＣ地址〔SenderMACaddress〕：G-ProCom_45:48:16(00:23:24:45:48:16)____發(fā)送方的IP地址〔SenderIPaddress〕：__10.30.28.22(10.30.28.22)_________________目標的ＭＡＣ地址〔TargetMACaddress:〕：_______00:00:00_00:00:00(00:00:00:00:00:00)____________目標的IP地址〔TargetIPaddress:〕：____10.30.28.1(10.30.28.1)________________〔3〕分析ARP應(yīng)答報文〔粘貼你的ARP應(yīng)答報文〕應(yīng)答報文中的操作碼〔opcode〕：reply(0X0002)發(fā)送方的ＭＡＣ地址〔SenderMACaddress〕：_0c:da:41:63:03:f4(0c:da:41:63:03:f4)_______________發(fā)送方的IP地址〔SenderIPaddress〕：_10.30.28.1(10.30.28.1)_________________目標的ＭＡＣ地址〔TargetMACaddress:〕：___G-ProCom_45:47:dd(00:23:24:45:47:dd)________________目標的IP地址〔TargetIPaddress:〕：_______10.30.28.38(10.30.28.38)_____________練習1：對于上述2、3中的arp請求報文和應(yīng)答報文，將ARP請求報文和ARP應(yīng)答報文中的字段信息填入表3-1。表3-1RPP請求報文和ARP應(yīng)答報文的字段信息字段項ARP請求數(shù)據(jù)報文ARP應(yīng)答數(shù)據(jù)報文鏈路層Destination項Broadcast(ff:ff:ff:ff:ff:ff)G-ProCom_45:47:dd(00:23:24:45:47:dd)鏈路層Source項G-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)網(wǎng)絡(luò)層SenderMACAddressG-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)網(wǎng)絡(luò)層SenderIPAddress10.30.28.22(10.30.28.22)10.30.28.1(10.30.28.1)_網(wǎng)絡(luò)層TargetMACAddress00:00:00_00:00:00(00:00:00:00:00:00)G-ProCom_45:47:dd(00:23:24:45:47:dd)網(wǎng)絡(luò)層TargetIPAddress10.30.28.1(10.30.28.1)10.30.28.38(10.30.28.38)練習2：ARP報文是直接封裝在以太幀中的，為此以太幀所規(guī)定的類型字段值為___0806h____________練習3：對地址轉(zhuǎn)換協(xié)議〔ARP〕描述正確的選項是〔D〕AARP封裝在IP數(shù)據(jù)報的數(shù)據(jù)局部B發(fā)送ARP包需要知道對方的MAC地址CARP是用于IP地址到域名的轉(zhuǎn)換DARP是采用播送方式發(fā)送的練習4：ARP欺騙的原理是什么？如何進行防范？ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。防范措施：建立DHCP效勞器；建立MAC數(shù)