實(shí)驗(yàn)四、使用wireshark網(wǎng)絡(luò)分析器分析數(shù)據(jù)包

1、.實(shí)驗(yàn)四、使用Wireshark網(wǎng)絡(luò)分析器分析數(shù)據(jù)包一、 實(shí)驗(yàn)?zāi)康?、掌握Wireshark工具的安裝和使用方法2、理解TCP/IP協(xié)議棧中IP、TCP、UDP等協(xié)議的數(shù)據(jù)結(jié)構(gòu)3、掌握ICMP協(xié)議的類型和代碼二、實(shí)驗(yàn)內(nèi)容1、安裝Wireshark2、捕捉數(shù)據(jù)包3、分析捕捉的數(shù)據(jù)包三、實(shí)驗(yàn)工具1、計(jì)算機(jī)n臺(tái)(建議學(xué)生自帶筆記本)2、無(wú)線路由器n臺(tái)四、相關(guān)預(yù)備知識(shí)1、熟悉win7操作系統(tǒng)2、Sniff Pro軟件的安裝與使用(見(jiàn)Sniff Pro使用文檔)五、實(shí)驗(yàn)步驟1、安裝WiresharkWireshark 是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包， 并嘗試顯示包的盡可能詳細(xì)

2、的情況。網(wǎng)絡(luò)包分析工具是一種用來(lái)測(cè)量有什么東西從網(wǎng)線上進(jìn)出的測(cè)量工具，Wireshark是最好的開(kāi)源網(wǎng)絡(luò)分析軟件。Wireshark的主要應(yīng)用如下：（1）網(wǎng)絡(luò)管理員用來(lái)解決網(wǎng)絡(luò)問(wèn)題（2）網(wǎng)絡(luò)安全工程師用來(lái)檢測(cè)安全隱患（3）開(kāi)發(fā)人員用來(lái)測(cè)試協(xié)議執(zhí)行情況（4）用來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)議（5）除了上面提到的，Wireshark還可以用在其它許多場(chǎng)合。Wireshark的主要特性（1）支持UNIX和Windows平臺(tái)（2）在接口實(shí)時(shí)捕捉包（3）能詳細(xì)顯示包的詳細(xì)協(xié)議信息（4）可以打開(kāi)/保存捕捉的包（5）可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式（6）可以通過(guò)多種方式過(guò)濾包（7）多種方式查找包（8）通過(guò)過(guò)濾以多種色

3、彩顯示包（9）創(chuàng)建多種統(tǒng)計(jì)分析五、實(shí)驗(yàn)內(nèi)容1了解數(shù)據(jù)包分析軟件Wireshark的基本情況；2安裝數(shù)據(jù)包分析軟件Wireshark；3配置分析軟件Wireshark；4對(duì)本機(jī)網(wǎng)卡抓數(shù)據(jù)包；5分析各種數(shù)據(jù)包。六、實(shí)驗(yàn)方法及步驟1Wireshark的安裝及界面（1）Wireshark的安裝（2）Wireshark的界面啟動(dòng)Wireshark之后，主界面如圖：主菜單項(xiàng)：主菜單包括以下幾個(gè)項(xiàng)目:File包括打開(kāi)、合并捕捉文件，save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或部分。以及退出Wireshark項(xiàng).Edit包括如下項(xiàng)目：查找包，時(shí)間參考，標(biāo)記一個(gè)多個(gè)包，設(shè)置預(yù)設(shè)參數(shù)。（剪

4、切，拷貝，粘貼不能立即執(zhí)行。）View控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開(kāi)或收縮詳情面版的地樹(shù)狀節(jié)點(diǎn)GO包含到指定包的功能Capture允許您開(kāi)始或停止捕捉、編輯過(guò)濾器。Analyze包含處理顯示過(guò)濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追蹤TCP流等功能。見(jiàn)Statistics包括的菜單項(xiàng)用戶顯示多個(gè)統(tǒng)計(jì)窗口，包括關(guān)于捕捉包的摘要，協(xié)議層次統(tǒng)計(jì)等等。見(jiàn)Help包含一些輔助用戶的參考內(nèi)容。如訪問(wèn)一些基本的幫助文件，支持的協(xié)議列表，用戶手冊(cè)。在線訪問(wèn)一些網(wǎng)站，“關(guān)于”等等。2Wireshark的設(shè)置和使用1）啟動(dòng)Wireshark以后，選擇菜單Capature

5、->Interfaces,選擇捕獲的網(wǎng)卡，單擊Capture開(kāi)始捕獲2）當(dāng)停止抓包時(shí)，按一下stop，抓的包就會(huì)顯示在面板中，并且已經(jīng)分析好了。下面是一個(gè)截圖如圖2-2所示。圖2-2 Wireshark數(shù)據(jù)包分析Wireshark和其它的圖形化嗅探器使用基本類似的界面，整個(gè)窗口被分成三個(gè)部分：最上面為數(shù)據(jù)包列表，用來(lái)顯示截獲的每個(gè)數(shù)據(jù)包的總結(jié)性信息；中間為協(xié)議樹(shù)，用來(lái)顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；最下邊是以十六進(jìn)制形式表示的數(shù)據(jù)包內(nèi)容，用來(lái)顯示數(shù)據(jù)包在物理層上傳輸時(shí)的最終形式。2）設(shè)置capture選項(xiàng)選擇菜單captureInterface，如圖2-3所示，在指定的網(wǎng)卡上點(diǎn)“Prep

6、are”按鈕，設(shè)置capture參數(shù)。圖2-3 capture選擇設(shè)置Interface：指定在哪個(gè)接口（網(wǎng)卡）上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以。Limit each packet：限制每個(gè)包的大小，缺省情況不限制。Capture packets in promiscuous mode：是否打開(kāi)混雜模式。如果打開(kāi)，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽(tīng)本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。Filter：過(guò)濾器。只抓取滿足過(guò)濾規(guī)則的包（可暫時(shí)略過(guò)）。File：如果需要將抓到的包寫(xiě)到文件中，在這里輸入文件名稱。use ring buffer：是否使用循環(huán)緩沖。缺省情況下不使

7、用，即一直抓包。注意，循環(huán)緩沖只有在寫(xiě)文件的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時(shí)回卷。其他的項(xiàng)選擇缺省的就可以了。2顯示過(guò)濾器的使用方法在抓包完成以后用顯示過(guò)濾器，可以在設(shè)定的條件下（協(xié)議名稱、是否存在某個(gè)域、域值等）來(lái)查找你要找的數(shù)據(jù)包。如果只想查看使用TCP協(xié)議的包，在Wireshark 窗口的左下角的Filter 中輸入TCP，然后回車，Wireshark 就會(huì)只顯示TCP協(xié)議的包。如圖2-4所示。圖2-4 設(shè)置過(guò)濾條件為TCP報(bào)文如果想抓取IP 地址是10.20.61.15的主機(jī)，它所接收收或發(fā)送的所有的TCP報(bào)文，那么合適的顯示Filter（過(guò)濾器）就是如

8、圖2-5所示。圖2-5 設(shè)置過(guò)濾條件為IP 地址是10.20.61.15 的主機(jī)所有的TCP報(bào)文七、學(xué)習(xí)使用WireShark對(duì)ARP協(xié)議進(jìn)行分析（1）啟動(dòng)WireShark（2）捕獲數(shù)據(jù)（3） 停止抓包并分析ARP請(qǐng)求報(bào)文將Filter過(guò)濾條件設(shè)為arp，回車或者點(diǎn)擊“Apply”按鈕， （4）ARP請(qǐng)求報(bào)文分析1）粘貼你捕獲的ARP請(qǐng)求報(bào)文2）分析你捕獲的ARP請(qǐng)求報(bào)文第一行 幀基本信息分析（粘貼你的Frame信息）Frame Number（ 幀的編號(hào)）：_1457_（捕獲時(shí)的編號(hào)）Frame Length(幀的大小)：_60_字節(jié)。（以太網(wǎng)的幀最小64個(gè)字節(jié)，而這里只有個(gè)字節(jié)，

9、應(yīng)該是沒(méi)有把四個(gè)字節(jié)的CRC計(jì)算在里面，加上它就剛好。）Arrival Time(幀被捕獲的日期和時(shí)間): _sep 23,_2014 15 :15 :38 .463721000_Time delta from previous captured frame(幀距離前一個(gè)幀的捕獲時(shí)間差):_0.002937000 seconds_Time since refernce or first frame(幀距離第一個(gè)幀的捕獲時(shí)間差)：_24.488816000 seconds_Protocols in frame(幀裝載的協(xié)議)：_eth:arp_第二行 數(shù)據(jù)鏈路層：（粘貼你的數(shù)據(jù)鏈路層信息）Des

10、tination（目的地址）：_Broadcast(ff:ff:ff:ff:ff:ff)_（這是個(gè)MAC地址，這個(gè)MAC地址是一個(gè)廣播地址，就是局域網(wǎng)中的所有計(jì)算機(jī)都會(huì)接收這個(gè)數(shù)據(jù)幀）Source（源地址）：G-ProCom_45:48:16(00:23:24:45:48:16)幀中封裝的協(xié)議類型：ARP(0x0806)（這個(gè)是ARP協(xié)議的類型編號(hào)。）Trailer：是協(xié)議中填充的數(shù)據(jù)，為了保證幀最少有64字節(jié)。第三層 ARP協(xié)議：（粘貼你的ARP請(qǐng)求報(bào)文）在上圖中，我們可以看到如下信息：ardware type（硬件類型）：_Ethernet(1)_rotocol type（協(xié)議類型）： I

11、P(0x0800)_ardware size(硬件信息在幀中占的字節(jié)數(shù))：_6_rotocol size(協(xié)議信息在幀中占的字節(jié)數(shù))：_4_操作碼（opcode）：requset(0X0001)發(fā)送方的地址（Sender MAC address）：G-ProCom_45:48:16(00:23:24:45:48:16)_發(fā)送方的IP地址（Sender IP address）：_10.30.28.22(10.30.28.22)_目標(biāo)的地址（Target MAC address:）：_00:00:00_00:00:00(00:00:00:00:00:00)_目標(biāo)的IP地址（Target IP ad

12、dress:）：_10.30.28.1(10.30.28.1)_（3）分析ARP應(yīng)答報(bào)文（粘貼你的ARP應(yīng)答報(bào)文）應(yīng)答報(bào)文中的操作碼（opcode）：reply(0X0002)發(fā)送方的地址（Sender MAC address）： _0c:da:41:63:03:f4(0c:da:41:63:03:f4)_發(fā)送方的IP地址（Sender IP address）：_10.30.28.1(10.30.28.1)_目標(biāo)的地址（Target MAC address:）：_ G-ProCom_45:47:dd(00:23:24:45:47:dd)_目標(biāo)的IP地址（Target IP address:）：

13、_10.30.28.38(10.30.28.38)_練習(xí)1：對(duì)于上述2、3中的arp請(qǐng)求報(bào)文和應(yīng)答報(bào)文，將ARP請(qǐng)求報(bào)文和ARP應(yīng)答報(bào)文中的字段信息填入表3-1。表3-1 RPP請(qǐng)求報(bào)文和ARP應(yīng)答報(bào)文的字段信息字段項(xiàng)ARP請(qǐng)求數(shù)據(jù)報(bào)文ARP應(yīng)答數(shù)據(jù)報(bào)文鏈路層Destination項(xiàng)Broadcast(ff:ff:ff:ff:ff:ff)G-ProCom_45:47:dd(00:23:24:45:47:dd)鏈路層Source項(xiàng)G-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)網(wǎng)絡(luò)層Sender MA

14、C AddressG-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)網(wǎng)絡(luò)層Sender IP Address10.30.28.22(10.30.28.22)10.30.28.1(10.30.28.1)_網(wǎng)絡(luò)層Target MAC Address00:00:00_00:00:00(00:00:00:00:00:00)G-ProCom_45:47:dd(00:23:24:45:47:dd)網(wǎng)絡(luò)層Target IP Address10.30.28.1(10.30.28.1)10.30.28.38(10.30

15、.28.38)練習(xí)2：ARP報(bào)文是直接封裝在以太幀中的，為此以太幀所規(guī)定的類型字段值為_(kāi)0806h_練習(xí)3：對(duì)地址轉(zhuǎn)換協(xié)議（ARP）描述正確的是（ D ）A ARP封裝在IP數(shù)據(jù)報(bào)的數(shù)據(jù)部分 B 發(fā)送ARP包需要知道對(duì)方的MAC地址C ARP是用于IP地址到域名的轉(zhuǎn)換 D ARP是采用廣播方式發(fā)送的練習(xí)4：ARP欺騙的原理是什么.如何進(jìn)行防范.ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無(wú)法通過(guò)更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無(wú)法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過(guò)正常的路由器途徑上網(wǎng)。防范措施：建立DHCP服務(wù)器；建立MAC數(shù)據(jù)庫(kù)；網(wǎng)關(guān)機(jī)器關(guān)閉機(jī)器