實驗四、使用Wireshark網(wǎng)絡分析器分析數(shù)據(jù)包

1、實驗四、使用Wireshark網(wǎng)絡分析器分析數(shù)據(jù)包一、 實驗目的1、掌握Wireshark工具的安裝和使用方法2、理解TCP/IP協(xié)議棧中IP、TCP、UDP等協(xié)議的數(shù)據(jù)結構3、掌握ICMP協(xié)議的類型和代碼二、實驗內容1、安裝Wireshark2、捕捉數(shù)據(jù)包3、分析捕捉的數(shù)據(jù)包三、實驗工具1、計算機n臺(建議學生自帶筆記本)2、無線路由器n臺四、相關預備知識1、熟悉win7操作系統(tǒng) 2、Sniff Pro軟件的安裝與使用(見Sniff Pro使用文檔)五、實驗步驟1、安裝WiresharkWireshark 是網(wǎng)絡包分析工具。網(wǎng)絡包分析工具的主要作用是嘗試捕獲網(wǎng)絡包， 并嘗試顯示包的盡可能詳細

2、的情況。網(wǎng)絡包分析工具是一種用來測量有什么東西從網(wǎng)線上進出的測量工具，Wireshark 是最好的開源網(wǎng)絡分析軟件。Wireshark的主要應用如下：（1）網(wǎng)絡管理員用來解決網(wǎng)絡問題（2）網(wǎng)絡安全工程師用來檢測安全隱患（3）開發(fā)人員用來測試協(xié)議執(zhí)行情況（4）用來學習網(wǎng)絡協(xié)議（5）除了上面提到的，Wireshark還可以用在其它許多場合。Wireshark的主要 特性（1）支持UNIX和Windows平臺（2）在接口實時捕捉包（3）能詳細顯示包的詳細協(xié)議信息（4）可以打開/保存捕捉的包（5）可以導入導出其他捕捉程序支持的包數(shù)據(jù)格式（6）可以通過多種方式過濾包（7）多種方式查找包（8）通

3、過過濾以多種色彩顯示包（9）創(chuàng)建多種統(tǒng)計分析五、實驗內容1了解數(shù)據(jù)包分析軟件Wireshark的基本情況；2安裝數(shù)據(jù)包分析軟件Wireshark；3配置分析軟件Wireshark；4對本機網(wǎng)卡抓數(shù)據(jù)包；5分析各種數(shù)據(jù)包。六、實驗方法及步驟1Wireshark的安裝及界面（1）Wireshark的安裝（2）Wireshark的界面啟動Wireshark之后，主界面如圖：主菜單項：主菜單包括以下幾個項目:File包括打開、合并捕捉文件，save/保存,Print/打印,Export/導出捕捉文件的全部或部分。以及退出Wireshark項. Edit包括如下項目：查找包，時間參考，標記一個多個包，設

4、置預設參數(shù)。（剪切，拷貝，粘貼不能立即執(zhí)行。） View控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀節(jié)點 GO包含到指定包的功能 Capture允許您開始或停止捕捉、編輯過濾器。 Analyze包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。見 Statistics包括的菜單項用戶顯示多個統(tǒng)計窗口，包括關于捕捉包的摘要，協(xié)議層次統(tǒng)計等等。見 Help包含一些輔助用戶的參考內容。如訪問一些基本的幫助文件，支持的協(xié)議列表，用戶手冊。在線訪問一些網(wǎng)站，“關于”等等。 2Wireshark的設置和使用1）啟動Wireshark

5、以后，選擇菜單Capature->Interfaces,選擇捕獲的網(wǎng)卡，單擊Capture開始捕獲2）當停止抓包時，按一下stop，抓的包就會顯示在面板中，并且已經(jīng)分析好了。下面是一個截圖如圖2-2所示。圖2-2 Wireshark數(shù)據(jù)包分析Wireshark和其它的圖形化嗅探器使用基本類似的界面，整個窗口被分成三個部分：最上面為數(shù)據(jù)包列表，用來顯示截獲的每個數(shù)據(jù)包的總結性信息；中間為協(xié)議樹，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；最下邊是以十六進制形式表示的數(shù)據(jù)包內容，用來顯示數(shù)據(jù)包在物理層上傳輸時的最終形式。2）設置capture選項選擇菜單captureInterface，如圖2-3所

6、示，在指定的網(wǎng)卡上點“Prepare”按鈕，設置capture參數(shù)。圖2-3 capture選擇設置Interface：指定在哪個接口（網(wǎng)卡）上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以。Limit each packet：限制每個包的大小，缺省情況不限制。Capture packets in promiscuous mode：是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機收到或者發(fā)出的包，因此應該關閉這個選項。Filter：過濾器。只抓取滿足過濾規(guī)則的包（可暫時略過）。File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。use ring buffer：是

7、否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫文件的時候才有效。如果使用了循環(huán)緩沖，還需要設置文件的數(shù)目，文件多大時回卷。其他的項選擇缺省的就可以了。2顯示過濾器的使用方法在抓包完成以后用顯示過濾器，可以在設定的條件下（協(xié)議名稱、是否存在某個域、域值等）來查找你要找的數(shù)據(jù)包。如果只想查看使用TCP協(xié)議的包，在Wireshark 窗口的左下角的Filter 中輸入TCP，然后回車，Wireshark 就會只顯示TCP協(xié)議的包。如圖2-4所示。圖2-4 設置過濾條件為TCP報文如果想抓取IP 地址是10.20.61.15的主機，它所接收收或發(fā)送的所有的TCP報文，那么合適的顯

8、示Filter（過濾器）就是如圖2-5所示。圖2-5 設置過濾條件為IP 地址是10.20.61.15 的主機所有的TCP報文七、學習使用WireShark對ARP協(xié)議進行分析（1）啟動WireShark（2）捕獲數(shù)據(jù)（3） 停止抓包并分析ARP請求報文將Filter過濾條件設為arp，回車或者點擊“Apply”按鈕， （4）ARP請求報文分析1）粘貼你捕獲的ARP請求報文 2）分析你捕獲的ARP請求報文第一行 幀基本信息分析（粘貼你的Frame信息）Frame Number（ 幀的編號）：_1457_（捕獲時的編號）Frame Length(幀的大小)：_60_字節(jié)。（以太網(wǎng)的幀最

9、小64個字節(jié)，而這里只有個字節(jié)，應該是沒有把四個字節(jié)的CRC計算在里面，加上它就剛好。）Arrival Time(幀被捕獲的日期和時間): _sep 23,_2014 15 :15 :38 .463721000_ Time delta from previous captured frame(幀距離前一個幀的捕獲時間差):_0.002937000 seconds_ Time since refernce or first frame(幀距離第一個幀的捕獲時間差)：_24.488816000 seconds_ Protocols in frame(幀裝載的協(xié)議)：_eth:arp_第二行 數(shù)據(jù)鏈

10、路層：（粘貼你的數(shù)據(jù)鏈路層信息）Destination（目的地址）：_Broadcast(ff:ff:ff:ff:ff:ff)_（這是個MAC地址，這個MAC地址是一個廣播地址，就是局域網(wǎng)中的所有計算機都會接收這個數(shù)據(jù)幀）Source（源地址）：G-ProCom_45:48:16(00:23:24:45:48:16)幀中封裝的協(xié)議類型：ARP(0x0806)（這個是ARP協(xié)議的類型編號。）Trailer：是協(xié)議中填充的數(shù)據(jù)，為了保證幀最少有64字節(jié)。第三層 ARP協(xié)議：（粘貼你的ARP請求報文）在上圖中，我們可以看到如下信息：ardware type（硬件類型）：_Ethernet(1)_ro

11、tocol type（協(xié)議類型）： IP(0x0800)_ardware size(硬件信息在幀中占的字節(jié)數(shù))：_6_rotocol size(協(xié)議信息在幀中占的字節(jié)數(shù))：_4_操作碼（opcode）：requset(0X0001)發(fā)送方的地址（Sender MAC address）：G-ProCom_45:48:16(00:23:24:45:48:16)_發(fā)送方的IP地址（Sender IP address）：_10.30.28.22(10.30.28.22)_目標的地址（Target MAC address:）：_00:00:00_00:00:00(00:00:00:00:00:00)_目

12、標的IP地址（Target IP address:）：_10.30.28.1(10.30.28.1)_（3）分析ARP應答報文（粘貼你的ARP應答報文）應答報文中的 操作碼（opcode）：reply(0X0002)發(fā)送方的地址（Sender MAC address）： _0c:da:41:63:03:f4(0c:da:41:63:03:f4)_發(fā)送方的IP地址（Sender IP address）：_10.30.28.1(10.30.28.1)_目標的地址（Target MAC address:）：_ G-ProCom_45:47:dd(00:23:24:45:47:dd)_目標的IP地址（

13、Target IP address:）：_10.30.28.38(10.30.28.38)_練習1：對于上述2、3中的arp請求報文和應答報文，將ARP請求報文和ARP應答報文中的字段信息填入表3-1。表3-1 RPP請求報文和ARP應答報文的字段信息字段項ARP請求數(shù)據(jù)報文ARP應答數(shù)據(jù)報文鏈路層Destination項Broadcast(ff:ff:ff:ff:ff:ff)G-ProCom_45:47:dd(00:23:24:45:47:dd)鏈路層Source項G-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:6

14、3:03:f4)網(wǎng)絡層Sender MAC AddressG-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)網(wǎng)絡層Sender IP Address10.30.28.22(10.30.28.22)10.30.28.1(10.30.28.1)_網(wǎng)絡層Target MAC Address00:00:00_00:00:00(00:00:00:00:00:00)G-ProCom_45:47:dd(00:23:24:45:47:dd)網(wǎng)絡層Target IP Address10.30.28.1(10.30.28

15、.1)10.30.28.38(10.30.28.38)練習2：ARP報文是直接封裝在以太幀中的，為此以太幀所規(guī)定的類型字段值為_0806h_練習3：對地址轉換協(xié)議（ARP）描述正確的是（ D ）A ARP封裝在IP數(shù)據(jù)報的數(shù)據(jù)部分 B 發(fā)送ARP包需要知道對方的MAC地址C ARP是用于IP地址到域名的轉換 D ARP是采用廣播方式發(fā)送的練習4：ARP欺騙的原理是什么？如何進行防范？ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網(wǎng)PC的網(wǎng)關欺騙。第一種ARP欺騙的原理是截獲網(wǎng)關數(shù)據(jù)。它通知路由器一系列錯誤的內網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關。它的原理是建立假網(wǎng)關，讓被它欺騙的PC向假網(wǎng)關發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。防范措施：建立DHCP服務器；建立MAC數(shù)據(jù)庫；網(wǎng)關機器關閉機器ARP動態(tài)