計算機網(wǎng)絡基礎實驗八完成報告書

1、實驗完成報告書一、實驗數(shù)據(jù)、實驗結果及分析1.捕捉任何主機發(fā)出的DIX Ethernet V2（即Ethernet II）格式的幀（幀的長度字段>1500，幀的長度字段實際上是類型字段），Wireshark的capture filter的filter string設置為：ether12:2>1500；字段值含義Destination00 24 1d 6f 9d 8a目標地址Source00 24 1d aa 5b 23源地址TypeARP(0X0806)協(xié)議類型為0806 ARPTrailer00000000000000000000000000協(xié)議中填充的數(shù)據(jù)，為了保證幀至少由64

2、個字節(jié)Sender MAC addressb4 14 1d aa 5b 23發(fā)送方MAC地址Sender IP address4發(fā)送方IP地址Target MAC address00 24 1d 1d 6f 9d 8a目標MAC地址Target IP address7目標IP地址實驗分析：Ethernet II的幀的上一層主要是IP報文。2.捕捉并分析局域網(wǎng)上所有的ethernet broadcast幀，Wireshark的capture filter的filter string設置為：ether broadcast；實驗分析：在停止抓包前，一共

3、捕捉到來自同一個地址的4個包。3.捕捉局域網(wǎng)上主機7發(fā)出或接收的所有ARP包，Wireshark的capture filter的filter string設置為：arp host 7。在主機7上執(zhí)行“arp -d”清除ARP緩存。在主機7上ping局域網(wǎng)上的另一主機（例如6）。 實驗分析：在主機7上執(zhí)行的操作都可以被捕捉到。二、實驗過程中出現(xiàn)的問題，分析及解決方法1. 對于主機發(fā)出的Ethernet802.3格式的幀（幀的長度字段<=1500）捕

4、捉不到分析及解決方法：該字段長度的幀由于長度問題難以被捕捉到。2.對于所抓到包，不能很好的對它分析，三、 實驗思考題。1.試述TCP/IP協(xié)議的網(wǎng)絡體系結構要點，包括各層的主要功能和主要協(xié)議：TCP/IP由四個層次組成：數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、應用層。其中IP是在第二層網(wǎng)絡層中，TCP是在第3層傳輸層中，Internet體系結構最重要的是TCP/IP協(xié)議，是實現(xiàn)互聯(lián)網(wǎng)絡連接性和互操作性的關鍵，它把許多臺的Internet上的各種網(wǎng)絡連接起來。Internet的其他網(wǎng)絡協(xié)議都要用到TCP/IP協(xié)議提供的功能，因而稱我們習慣稱Internet協(xié)議族為TCP/IP協(xié)議族，簡稱TCP/IP協(xié)議，也

5、可稱為TCP/IP四層體系結構。1. 數(shù)據(jù)鏈路層： 數(shù)據(jù)鏈路層是物理傳輸通道，是TCP/IP軟件的最低層，負責接收IP數(shù)據(jù)報并通過網(wǎng)絡發(fā)送，或者從網(wǎng)絡上接收物理幀，抽出IP數(shù)據(jù)報，交給IP層?？墒褂枚喾N傳輸介質(zhì)傳輸，可建立在任何物理傳輸網(wǎng)上。比如光纖、雙絞線等。2. 網(wǎng)絡層：其主要功能是要完成網(wǎng)絡中主機間“分組”(Packet)的傳輸。含有4個協(xié)議：（1） 網(wǎng)際協(xié)議IP負責分組數(shù)據(jù)的傳輸，各個IP數(shù)據(jù)之間是相互獨立的。（2） 互聯(lián)網(wǎng)控制報文協(xié)議ICMPIP層內(nèi)特殊的報文機制，起控制作用，能發(fā)送報告差錯或提供有關意外情況的信息。因為ICMP的數(shù)據(jù)報通過IP送出因此功能上屬于網(wǎng)絡的第3層。（3）

6、地址轉換協(xié)議ARP為了讓差錯或意外情況的信息能在物理網(wǎng)上傳送到目的地，必須知道彼此的物理地址，這樣就存在把互聯(lián)網(wǎng)地址（是32位的IP地址來標識，是一種邏輯地址）轉換為物理地址的要求，這就需要在網(wǎng)絡層上有一組服務（協(xié)議）能將IP地址轉換為相應的網(wǎng)絡地址，這組協(xié)議就是APP.（可以把互聯(lián)網(wǎng)地址看成是外識別地址和物理地址看成是內(nèi)識別地址）（4） 反向地址轉換協(xié)議RARPRARP用于特殊情況，當只有自己的物理地址沒有IP地址時，可通過RARP獲得IP地址，如果遇到斷電或重啟狀態(tài)下，開機后還必需再使用RARP重新獲取IP地址。廣泛用于獲取無盤工作站的IP地址。3.傳輸層：其主要任務是向上一層提供可靠的端

7、到端（End-to-End）服務，確?！皥笪摹睙o差錯、有序、不丟失、無重復地傳輸。它向高層屏蔽了下層數(shù)據(jù)通信的細節(jié)，是計算機通信體系結構中最關鍵的一層。包含以下2個重要協(xié)議：1.TCP是TCP/IP體系中的傳輸層協(xié)議處于第4層傳輸層，負責數(shù)據(jù)的可靠傳輸（“三次握手”-建立連接、數(shù)據(jù)傳送、關閉連接）。2.UPD和TCP相比，數(shù)據(jù)傳輸?shù)目煽啃缘?，適合少量的可靠性要求不高的數(shù)據(jù)傳輸。4.應用層：應用層確定進程間通信的性質(zhì)，以滿足用戶的需要。在應用層提供了多個常用協(xié)議：-Telnet(Remote Login)：遠程登錄FTP(File Transfer Protocol)：文件傳輸協(xié)議SMTP(Si

8、mple Mail Transfer Protocol)：簡單郵件傳輸協(xié)議POP3（Post Office Protocol 3）：第三代郵局協(xié)議HTTP（Hyper Text Transfer Protocol）：超文本傳輸協(xié)議NNTP（Network News Transfer Protocol）：網(wǎng)絡新聞傳輸協(xié)議2.查閱資料，簡述sniffing（嗅探）技術的工作原理：網(wǎng)絡監(jiān)聽工具（也稱嗅探器、Sniffer）原本是提供給管理員的一類管理工具，主要用途是進行數(shù)據(jù)包分析，通過網(wǎng)絡監(jiān)聽軟件，管理員可以觀測分析實時經(jīng)由的數(shù)據(jù)包，從而快速的進行網(wǎng)絡故障定位。但是網(wǎng)絡監(jiān)聽工具也是攻擊者們常用的收集

9、信息的工具。被監(jiān)聽的網(wǎng)絡通常包括以下幾種：（1）以大網(wǎng)在實際中應用廣泛，很容易被監(jiān)聽。以大網(wǎng)的工作原理是：將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機，在包中包含著應該接收數(shù)據(jù)包的主機的正確地址。因此，只有與數(shù)據(jù)包中目標地址一致的那臺主機才能接收信包。但是，當主機工作在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標物理地址是什么，主機都將接收。（2）FDDI、Token- ring不是廣播型網(wǎng)絡，但包在傳輸過程中是沿環(huán)傳送的，高的傳輸率使監(jiān)聽變得困難。（3）使用電話線被監(jiān)聽的可能性中等，電話線可以被一些與電話公司協(xié)作的人或者一些有機會在物理上訪問到線路的人搭線竊聽，在微波線路上的信息也會被截獲。在實際中，高速的M

10、ODEM比低速的MODEM搭線困難的多。（4）通過有線電視信道傳送IP被監(jiān)聽的可能性比較高，可以被一些可以物理上訪問到TV電纜的人截獲。（5）微波和無線電被監(jiān)聽的可能性比較高，無線電本來上一個廣播型的傳輸媒介，任何一個無線電接受機的人可以截獲那些傳輸?shù)男畔ⅰniffer可以是硬件，也可以是軟件，它用來接收在網(wǎng)絡上傳輸?shù)男畔?。網(wǎng)絡可以是運行在各種協(xié)議之下的。包括Ethernet、TCP/IP、ZPX等等。Sniffer使網(wǎng)絡接口（如以太網(wǎng)適配器）處于監(jiān)聽模式，從而可從截獲網(wǎng)絡上的所有內(nèi)容。在這種意義上，每一個機器，每一個路由器都是一個Sniffer（或者至少可以說它們可以成為一個Sniffer

11、）。要使一臺機器成為一個Sniffer，則或者需要一個特殊的軟件（Ethernet卡的廣播驅動程序）或者需要一種網(wǎng)絡軟件能使網(wǎng)絡處于監(jiān)聽模式。要使主機工作在監(jiān)聽模式下，需要向網(wǎng)絡接口發(fā)送I/O控制命令，將其設置為監(jiān)聽模式。在Unix系統(tǒng)中，發(fā)送這些命令需要超級用戶的權限。這一點使得普通用戶不能進行網(wǎng)絡監(jiān)聽，只有獲得超級使用戶權限，才能進行網(wǎng)絡監(jiān)聽。但是，在Windows95中，則沒有這個限制。對于一個施行網(wǎng)絡攻擊的人來說，能攻破網(wǎng)關、路由器、防火墻的情況極為少見，在這里完全可以由安全管理員安裝一些設備，對網(wǎng)絡進行監(jiān)控，或者使用一些專門設備，運行專門的監(jiān)聽軟件，并防止任何非法訪問。然而，潛入一臺

12、不引人注意的計算機中，悄悄地運行一個監(jiān)聽程序，一個攻擊者是完全可以做到的。sniffing對來往數(shù)據(jù)包進行偵聽，發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包，就把它存到一個log文件中去。通常設置的這些條件是包含字"username"或"password"的包。Sniffer必須是位于準備進行Sniffer工作的網(wǎng)絡上的，它可以放在網(wǎng)絡段中的任何地方。網(wǎng)絡監(jiān)聽軟件運行時，需要消耗大量的處理器時間，此時就詳細地分析包中的內(nèi)容，許多包就會來不及接收而漏掉，因此，網(wǎng)絡監(jiān)聽軟件通常都是將監(jiān)聽到的包存放在文件中，待以后再分析。sniffer通常運行在路由器，或有路由器功能的主機上。這樣就能對大量的數(shù)據(jù)進行監(jiān)控。sniffer屬第二層次的攻擊。通常是攻擊者已經(jīng)進入了目標系統(tǒng)，然后使用sniffer這種攻擊手段，以便得到更多的信息。當連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網(wǎng)時，如果一臺主機處于監(jiān)聽模式下，它還能接