華南理工大學計算機網(wǎng)絡(luò)網(wǎng)絡(luò)報文抓取與分析實驗報告高教成教

1、計算機網(wǎng)絡(luò)實 驗 指 南（計算機類本科生試用）廣東省計算機網(wǎng)絡(luò)重點實驗室計算機科學與工程學院華南理工大學2014年5月實驗二 網(wǎng)絡(luò)報文抓取與分析1實驗目的（1）、學習了解網(wǎng)絡(luò)偵聽（2）、學習抓包工具wireshark的簡單使用（3）、對所偵聽到的信息作初步分析，包括arp報文，icmp報文。（4）、從偵聽到的信息中分析tcp的握手過程，進行解釋（5）、分析了解tcp握手失敗時的情況2實驗環(huán)境2.1 wireshark介紹wireshark（前稱ethereal）是一個免費的網(wǎng)絡(luò)報文分析軟件。網(wǎng)絡(luò)報文分析軟件的功能是抓取網(wǎng)絡(luò)報文，并逐層顯示報文中各字段取值。網(wǎng)絡(luò)報文分析軟件有個形象的名字“嗅探工

2、具”，像一只獵狗，忠實地守候在接口旁，抓獲進出該進口的報文，分析其中攜帶的信息，判斷是否有異常，是網(wǎng)絡(luò)故障原因分析的一個有力工具。 網(wǎng)絡(luò)報文分析軟件曾經(jīng)非常昂貴，ethereal/wireshark 開源軟件的出現(xiàn)改變了這種情況。在gnugpl通用許可證的保障范圍底下，使用者可以以免費的代價取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權(quán)利。ethereal/wireshark 是目前世界使用最廣泛的網(wǎng)絡(luò)報文分析軟件之一。請需要的同學在教學在線上下載中文操作手冊。2.2 實驗要求軟件： wireshark （目前最新版本1.4.1）硬件：上網(wǎng)的計算機3實驗步驟3.1 wireshark的

3、安裝wireshark的二進制安裝包可以在官網(wǎng)/download.html#release下載，或者可以在其他網(wǎng)站下載。注意：下載后雙擊執(zhí)行二進制安裝包即可完成wireshark的安裝。安裝包里包含了winpcap，并不需要單獨安裝winpcap。3.2 查看本機的網(wǎng)絡(luò)適配器列表操作：單擊菜單capture中的interfaces選項記錄下你看到的信息，并回答問題：（1）、你機器上的網(wǎng)絡(luò)適配器有幾個？4（2）、它們的編號分別是？ vmware network adapter vmnet8實際地址: 00-50-56-c0-00-08ip 地址: 1

4、子網(wǎng)掩碼: 驗證網(wǎng)卡實際地址: 00-1e-30-2d-ff-baip 地址: 91子網(wǎng)掩碼: 默認網(wǎng)關(guān): dns 服務器: 0, 3wins 服務器:vmware network adapter vmnet1實際地址: 00-50-56-c0-00-01ip 地址: 子網(wǎng)掩碼: 默認網(wǎng)關(guān): dns 服務器: wins 服務器:console網(wǎng)卡實際地址: 78-e3-b5-a5-b5-2bip 地

5、址: 3子網(wǎng)掩碼: 默認網(wǎng)關(guān): 54dns 服務器: 0wins 服務器:3.3 在指定網(wǎng)絡(luò)適配器上進行監(jiān)聽操作：在步驟3.2中彈出的interfaces選項中，選擇指定的網(wǎng)絡(luò)適配器并單擊start按鈕記錄并解釋wireshark監(jiān)聽的包內(nèi)容（解釋1條記錄即可）傳輸時間，發(fā)送方ip地址，接收方ip地址，協(xié)議類型，報文長度，報文信息報文內(nèi)第一行：60bytes是報文大小，報文內(nèi)第二行：發(fā)送方的mac地址，接收方的mac地址報文內(nèi)第三行：發(fā)送方的ip地址，接收方的ip地址報文內(nèi)第四行：發(fā)送方的端口號（8

6、0）接收方的端口號（1993）請求序列號為450，回執(zhí)序列號191。數(shù)據(jù)長度為0。3.4 記錄一個tcp三次握手過程操作：在步驟3.3的基礎(chǔ)上，單擊start按鈕后，打開命令行窗口并輸入：telnet ，然后停止繼續(xù)偵聽網(wǎng)絡(luò)信息。在wireshark的filter中輸入表達式：(ip.src=00 or ip.dst=00) and (tcp.dstport=23 or tcp.srcport=23)其中00是你所在機器的ip，請自行根據(jù)自己機器的ip地址修改filter（可使用ipconfig查看）。telnet服務的傳輸層采

7、用了tcp協(xié)議，并且其默認端口是23。在wireshark窗口中，記下所顯示的內(nèi)容（可事先通過重定向的方式記錄）并回答問題。（1） 根據(jù)得到的信息解釋所鍵入的filter定制中的參數(shù)的含義？發(fā)送方ip地址是00或者接收方ip地址是00且發(fā)送方端口是23或接收方端口是23的tcp連接（2）請從得到的信息中找出一個tcp 的握手過程。并用截圖形式記錄下來。（2） 結(jié)合得到的信息解釋tcp 握手的過程。第一行：3請求建立連接（seq=0）第三行：2收到報文（ack=1），作出回應（seq=0）第四行：192.

8、168.3.53收到報文（ack=1），發(fā)送報文（seq=1）3.5 一個tcp握手不成功的例子操作：在步驟3.3的基礎(chǔ)上，單擊start按鈕后，打開命令行窗口并輸入：telnet 01，然后停止繼續(xù)偵聽網(wǎng)絡(luò)信息。在wireshark的filter中輸入表達式：ip.src=00 or ip.dst=00 and (tcp.dstport=23 or tcp.srcport=23)其中00是你所在機器的ip，telnet服務是tcp協(xié)議并且其默認端口是23。上面的ip 01 可改為任何

9、沒有打開telnet 服務的ip。比如：可以用身邊同學的ip。（注：此ip 的機器上要求沒有打開telnet 服務，但要求機器是開的，否則將無法主動拒絕一個tcp 請求）（1） 試從得到的信息中找出一個tcp 的握手不成功的過程，并用截圖記錄下來（2） 并結(jié)合所得到的信息解釋這個握手不成功的例子。發(fā)送第一次請求報文后，收到一個回應報文，但是因為沒有打開talnet服務，所以握手失敗。3.6 偵聽網(wǎng)絡(luò)上的arp包3.6.1 驗證arp工作原理關(guān)于 arp 的說明：ip 數(shù)據(jù)包常通過以太網(wǎng)發(fā)送。但以太網(wǎng)設(shè)備并不識別32 位ip 地址，它們是以48 位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包的。因此，必須把目的i

10、p 地址對應到以太網(wǎng)的mac 地址。當一臺主機自己的arp表中查不到目的ip對應的mac地址時，需要啟動arp協(xié)議的工作流程。arp 工作時，送出一個含有目的ip 地址的廣播arp請求數(shù)據(jù)包。如果被請求目的ip對應的主機與請求機位于同一個子網(wǎng)，目的主機將收到這個請求報文，并按照rfc826標準中的處理程序處理該報文，緩存請求報文中的源ip和源mac地址對，同時發(fā)出arp應答（單播），請求機收到arp應答，將應答中的信息存入arp表，備下次可能的使用。如果被請求目的ip對應的主機與請求機不在同一個子網(wǎng)，請求機所在的缺省網(wǎng)關(guān)（代理arp）會發(fā)回一個arp應答，將自己的mac地址作為應答內(nèi)容，請求機

11、即將目的ip和網(wǎng)關(guān)的mac地址存入arp表中。為了維護arp表的信息是反應網(wǎng)絡(luò)最新狀態(tài)的映射對，所有的arp條目都具有一個老化時間，當一個條目超過老化時間沒有得到更新，將被刪除。要看本機的 arp 表（也即ip 與mac 地址對應表）中的內(nèi)容，只需在命令行方式下鍵入：arp a命令即可。在下面的實驗中，為了能夠捕捉到arp 消息，首先將本機的arp 表中的內(nèi)容清空。這樣當你使用ping 命令時，它會首先使用arp請求報文來查詢被ping機器ip 的mac 地址。（當本地的arp 表中有這個ip 對應的mac 地址時，是不會再查詢的）。要將本機的arp 表中的內(nèi)容清空，請使用命令：arp d *

12、。關(guān)于arp 更進一步的說明，請同學到網(wǎng)上查閱相關(guān)資料。3.6.1 驗證實驗操作：在步驟3.3的基礎(chǔ)上，單擊start按鈕后，打開命令行窗口并輸入：arp d (清除arp表)ping 01 (ping 任意一個和你的主機在同一個局域網(wǎng)的ip，說明:被ping 的主機不能開防火墻）。在wireshark的filter中輸入表達式：arp，然后就能會出現(xiàn)arp 消息的記錄。請根據(jù)記錄回答以下問題：（1） 記錄下你所看到的信息，用截圖形式。（找到arp請求和arp應答兩個報文）（2） 請分析解釋你的記錄中的內(nèi)容表示什么意思，從而說明arp的工作原理。有一個請求和一個應答，表達

13、arp發(fā)出的一個請求和一個應答，即arp通過廣播使得對方接收到我的廣播包，并且得到對方的以太網(wǎng)地址應答。arp的工作原理：在自己主機上構(gòu)建一個數(shù)據(jù)包，然后發(fā)送一個廣播包，等待應答。然后這兩個過程使用的協(xié)議就是arp。（3） 3.6.2 設(shè)計一個arp緩存刷新機制的驗證為了避免子網(wǎng)中頻繁發(fā)起arp請求，讓arp工作得更加高效，每臺主機（包括路由器）內(nèi)部的內(nèi)存中都開辟了一個arp緩存空間，叫arp表。按照教材上的講解，arp表的刷新因素主要有：（1）從應答中提取ip-mac映射對；（2）從機器啟動的時候發(fā)送的免費arp請求（gratuitous arp）中提取源ip-mac映射對；（3）從子網(wǎng)中偵

14、聽到的普通arp請求廣播幀中讀取源ip-mac映射對。在pt模擬演示中，已經(jīng)看到：偵聽到arp廣播請求的主機，并沒有刷新自己的arp表。請設(shè)計一個實驗來分析說明現(xiàn)實網(wǎng)絡(luò)中，上述第二條和第三條刷新機制是否存在或者被實現(xiàn)。注意：（1）實驗室b3-230、231的所有pc的 consel 網(wǎng)卡都處于同一個大子網(wǎng)中（）。（2）建議：這個設(shè)計實驗，以48人的組來完成，并請組長在實驗報告中寫明實驗方法，得到的結(jié)論，分析過程等，盡量詳細。（組長一人寫，并寫明協(xié)助一起完成的組成員；組成員在自己的實驗報告中，只需說明參加哪位組長的實驗即可。）（3）如果時間來不及，請在宿舍繼續(xù)完成該項。

15、3.6.2 設(shè)計一個arp緩存刷新機制的驗證為了避免子網(wǎng)中頻繁發(fā)起arp請求，讓arp工作得更加高效，每臺主機（包括路由器）內(nèi)部的內(nèi)存中都開辟了一個arp緩存空間，叫arp表。按照教材上的講解，arp表的刷新因素主要有：（1）從應答中提取ip-mac映射對；（2）從機器啟動的時候發(fā)送的免費arp請求（gratuitous arp）中提取源ip-mac映射對；（3）從子網(wǎng)中偵聽到的普通arp請求廣播幀中讀取源ip-mac映射對。在pt模擬演示中，已經(jīng)看到：偵聽到arp廣播請求的主機，并沒有刷新自己的arp表。請設(shè)計一個實驗來分析說明現(xiàn)實網(wǎng)絡(luò)中，上述第二條和第三條刷新機制是否存在或者被實現(xiàn)。注意：

16、（1）實驗室b3-230、231的所有pc的 consel 網(wǎng)卡都處于同一個大子網(wǎng)中（）。（2）建議：這個設(shè)計實驗，以48人的組來完成，并請組長在實驗報告中寫明實驗方法，得到的結(jié)論，分析過程等，盡量詳細。（組長一人寫，并寫明協(xié)助一起完成的組成員；組成員在自己的實驗報告中，只需說明參加哪位組長的實驗即可。）（3）如果時間來不及，請在宿舍繼續(xù)完成該項。實驗設(shè)計與實驗過程：arp表刷新因素（1）在實驗3.6.1已驗證；arp表刷新因素（2）、（3）的驗證環(huán)境如下：實驗環(huán)境：六臺實驗pc通過無線連接到同一個子網(wǎng)（）,網(wǎng)關(guān)為電

17、腦編號操作系統(tǒng) ip macpc1 win7 ultimate 35 44-6d-57-48-8a-f5pc2 win7 ultimate5244-6d-57-60-2a-a6pc3 win8.1 029c-2a-70-1f-24-1cpc4 win7 ultimate 0760-36-dd-b0-fa-a9pc5 win7 ultimate 5474:e5:43:64:77:22pc6 win7 ultimate 18e0:06:e6:c

18、b:3a:b2實驗過程：pc1、pc2、pc3、pc4、pc5、pc6連接網(wǎng)絡(luò)后執(zhí)行arp d,再執(zhí)行arp -a查看arp信息并記錄，然后pc1、pc2運行wireshark抓包；pc3-pc4斷開網(wǎng)絡(luò)后連接該網(wǎng)絡(luò)，此時pc1-pc2運行arp -a查看arp信息并記錄；pc5、pc6運行arp -d清除arp表，pc5 ping pc6 后，pc1、pc2再運行arp -a查看并記錄arp表。實驗記錄：pc1的wireshark截圖：截圖分析：pc3、pc4連接網(wǎng)絡(luò)后，第一時間請求網(wǎng)關(guān)mac并發(fā)送gratuitous arp，結(jié)合pc1的arp表變化可以得出機制（2）生效；但結(jié)合pc2的a

19、rp表變化，無法得出機制（2）生效；（再進行一次實驗）截圖分析：發(fā)現(xiàn)ip為35的主機發(fā)送gratuitous arp，可以得出網(wǎng)絡(luò)上的主機每個一段時間都會發(fā)送gratuitous arp；pc1的cmd操作及結(jié)果：c:userszwxarp -dc:userszwxarp -a接口: 35 - 0xb internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài)c:userszwxarp -a接口: 35 - 0xb internet 地址物理地址類型 192.168.19

20、9.1 d4-ee-07-08-a1-6a 動態(tài) 02 9c-2a-70-1f-24-1c 動態(tài) 07 60-36-dd-b0-fa-a9 動態(tài) 2 01-00-5e-00-00-16 靜態(tài)c:userszwxarp -a接口: 35 - 0xb internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 02 9c-2a-70-1f-24-1c 動態(tài) 07 60-36-dd-b0-fa-a9 動態(tài) 2

21、2 01-00-5e-00-00-16 靜態(tài)c:userszwxarp -a接口: 35 - 0xb internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 02 9c-2a-70-1f-24-1c 動態(tài) 07 60-36-dd-b0-fa-a9 動態(tài) 2 01-00-5e-00-00-16 靜態(tài)pc2的cmd操作及結(jié)果：c:windowssystem32arp -dc:windowssystem32arp -a接口: 192.168

22、.199.152 - 0xb internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 55 ff-ff-ff-ff-ff-ff 靜態(tài) 52 01-00-5e-00-00-fc 靜態(tài)c:windowssystem32arp -a接口: 52 - 0xb internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 55 ff-ff-ff-ff-ff-ff 靜態(tài) 2 01-00-5e-00-0

23、0-16 靜態(tài) 52 01-00-5e-00-00-fc 靜態(tài)c:windowssystem32arp -a接口: 52 - 0xb internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 55 ff-ff-ff-ff-ff-ff 靜態(tài) 2 01-00-5e-00-00-16 靜態(tài) 52 01-00-5e-00-00-fc 靜態(tài)c:windowssystem32arp -a接口: 52 - 0xb internet

24、 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 55 ff-ff-ff-ff-ff-ff 靜態(tài) 2 01-00-5e-00-00-16 靜態(tài) 52 01-00-5e-00-00-fc 靜態(tài)再一次實驗：三臺實驗pc通過無線連接到同一個子網(wǎng)（）,網(wǎng)關(guān)為電腦編號操作系統(tǒng) ip macpc1 win7 ultimate 35 44-6d-57-48-8a-f5pc2 win7 ultimate 5

25、244-6d-57-60-2a-a6pc3 win8.1 029c-2a-70-1f-24-1cpc2打開wireshark抓包；pc1-pc3執(zhí)行arp d 清除arp緩存，pc1執(zhí)行arp a查看arp緩存變化；-c:userszwxarp -a接口: 35 - 0xb internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 02 9c-2a-70-1f-24-1c 動態(tài) 07 60-36-dd-b0-fa-a9 動態(tài)

26、2 01-00-5e-00-00-16 靜態(tài)-pc3連接wifi；（結(jié)果分析：連接新網(wǎng)絡(luò)，主機會發(fā)送gratuitous arp請求）pc1執(zhí)行arp a查看arp緩存變化（結(jié)果分析：pc1并沒有因為gratuitous arp的請求而刷新arp緩存，也沒有主機對gratuitous arp請求作出應答，因此，得知機制（2）無效）-c:userszwxarp -a接口: 35 - 0xb internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 02 9c-2a-70-1f-24-1c 動態(tài) 1

27、07 60-36-dd-b0-fa-a9 動態(tài) 2 01-00-5e-00-00-16 靜態(tài)-然后pc1 ping pc3；pc1執(zhí)行arp a查看arp緩存變化（結(jié)果分析，發(fā)送arp請求得到pc3的mac）-c:userszwxarp -a接口: 35 - 0xb internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 02 9c-2a-70-1f-24-1c 動態(tài) 2 01-00-5e-00-00-16 靜態(tài)-同時，pc2執(zhí)行arp a，（結(jié)果分析：機制（3）無效）-c:windowssystem32arp -a接口: 52 - 0xb internet 地址物理地址類型 d4-ee-07-08-a1-6a 動態(tài) 55 ff-ff-ff-ff-ff-ff 靜態(tài) 2 01-00-5e-00-00-16 靜態(tài) 52 01-00-5e-00-00-fc 靜態(tài)-實驗結(jié)論：arp表的刷新因素主要有：（1）從應答中提取ip-mac映射對；（2）從機器啟動的時候發(fā)送的免費arp請求（gr