試驗(yàn)2網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)聽(tīng)與分析參考答案

1、實(shí)驗(yàn)2網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)聽(tīng)與分析實(shí)驗(yàn)?zāi)康?掌握使用Wireshark軟件監(jiān)聽(tīng)和捕獲網(wǎng)絡(luò)數(shù)據(jù)包。.掌握通過(guò)實(shí)際觀察網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析而了解網(wǎng)絡(luò)協(xié)議運(yùn)行情況。二實(shí)驗(yàn)要求.設(shè)備要求：計(jì)算機(jī)若干臺(tái)(裝有 Windows 2000/XP/2003操作系統(tǒng)、裝有網(wǎng)卡)，局域網(wǎng)環(huán)境，主機(jī)裝有 Wireshark 工具。.每組1人，獨(dú)立完成。三實(shí)驗(yàn)預(yù)備知識(shí)Wireshark 簡(jiǎn)介Wireshark是一個(gè)開(kāi)放源碼的網(wǎng)絡(luò)分析系統(tǒng)，也是是目前最好的開(kāi)放源碼的網(wǎng)絡(luò)協(xié)議分析軟件之一，支持 Linux和Windows平臺(tái)，支持500多種協(xié)議分析。網(wǎng)絡(luò)分析系統(tǒng)首先依賴(lài)于一套捕捉網(wǎng)絡(luò)數(shù)據(jù)包的函數(shù)庫(kù)。這套函數(shù)庫(kù)工作在在網(wǎng)絡(luò)分析系統(tǒng)模

2、塊的最底層。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過(guò)濾規(guī)則取出數(shù)據(jù)包的子集，再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說(shuō)，這套函數(shù)庫(kù)將一個(gè)數(shù)據(jù)包從鏈路層接收，將其還原至傳輸層以上，以供上層分析。在 Linux 系統(tǒng)中，1992 年 Lawrence Berkeley Lab 的 Steven McCanne 和Van Jacobson提出了包過(guò)濾器，稱(chēng)之為 BPF (BSD Packet Filter),設(shè)計(jì)了基于 BPF的捕 包函數(shù)庫(kù)Libpcap。在 Window系統(tǒng)中，意大利人Fulvio Risso和Loris Degioanni提出并實(shí)現(xiàn) 了 Winpcap函數(shù)庫(kù)，其實(shí)現(xiàn)思想來(lái)源于BPF。Wiresha

3、rk的簡(jiǎn)單操作方法安裝 Wireshark之前，需要安裝Winpcap ,安裝過(guò)程比較簡(jiǎn)單。安裝完成后，啟動(dòng)Wireshark ,如圖 2.1 所示。TIih 1: i Iikt kh.1 Bnl viark Jlrml產(chǎn)HE口回區(qū)Eile Edil Bw Bq .iplur$ fl/ialyze- 1自1 及怔a H&W曜，盥0就 2周算的總 團(tuán)毋杳土 眉口 d現(xiàn)|R熊學(xué)岫|gd時(shí)日的j睢|N0P4ikb-圖2.1啟動(dòng)Wireshark后的界面設(shè)置 Capture 選項(xiàng)。選擇Capture - Options,彈出Capture Options”界面，設(shè)置 完成后點(diǎn)擊“ Capture”而開(kāi)

4、始捕獲數(shù)據(jù)，如圖 2.2所示。圖 2.2 Capture Options”界面在Capture Options”界面中，主要選項(xiàng)如下：Interface”是要求選擇在哪個(gè)接口（網(wǎng)卡）上抓包。Limit each packet”是限制每個(gè)包的大小，缺省情況不限制?！癈apture packets in promiscuous mode ”是否打開(kāi)混雜模式。如果打開(kāi)，抓取所有 的數(shù)據(jù)包。一般情況下只需要監(jiān)聽(tīng)本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉該選項(xiàng)?！癈apture Filter”是指過(guò)濾器，可以過(guò)濾掉某些數(shù)據(jù)包而只抓取滿(mǎn)足過(guò)濾規(guī)則的數(shù) 據(jù)包?！癋ile”是指如果需要將抓到的包保存到文件中，在這里輸

5、入文件名稱(chēng)?！癛ing buffer”是指是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫(xiě)文件的時(shí)候才有效。設(shè)置完“Capture Options后，選擇Capture - Start”開(kāi)始捕獲數(shù)據(jù)，如圖 2.3所示。& ElhHrenl： Cnpliizif圖2.3開(kāi)始捕獲數(shù)據(jù)如圖2.4所示。根據(jù)捕獲的數(shù)據(jù)對(duì)各種協(xié)議， 如ARP、ICMP、點(diǎn)擊“Stop”完成數(shù)據(jù)捕獲, TCP、UDP等協(xié)議進(jìn)行分析。(Tlnl i 11 !) |Et bar #1匕由 |，|Eile dil ew 如 ,plure 助31vze 即31謝比3 班制EE翩，噩曰O兄硝與 國(guó)囪不殳 回日

6、以氫我TornttBdUTEjG -bBslinahaniPra1aul*sraidcasi:ARF2 0. 6B733Q172,16-101ergidcast版口who ha? L72-1PJ3,2 Tgll 17?3 口.虱5般g1726.23, 211172.16-I,230UDPEaurSaurca: OD:D3立，2機(jī) 5&Typti ARP (QxOTOft)rr ai l er s miiiiLmiiiiimiiiiiLmiiiiLiii= Ldciress Resolution P=parocDl (request)Harchwre type: ei her net (OxDI

7、XH)aoou00101020003000 al rr超 Tool Tool ss ss r Qol fool rr器11KJ CJ o 1o o 1L015:11 fl- 白旭.0圖2.4捕獲數(shù)據(jù)包后的協(xié)議分析2. Wireshark過(guò)濾器的簡(jiǎn)單使用如果需要抓取某些特定的數(shù)據(jù)包時(shí)，可以有兩種方法，一是在捕獲數(shù)據(jù)包之前定義好包過(guò)濾器，這樣就只能捕獲到設(shè)定好的那些類(lèi)型的數(shù)據(jù)包。包過(guò)濾器用來(lái)捕獲感興趣的數(shù)據(jù)包，用在捕獲數(shù)據(jù)包過(guò)程中。包過(guò)濾器使用的是Libcap過(guò)濾器語(yǔ)言，在 Tcpdump的手冊(cè)中有詳細(xì)的解釋?zhuān)窘Y(jié)構(gòu)是：not primitive and|or not primitive .另外

8、一種方法是捕獲本機(jī)收到或者發(fā)出的全部數(shù)據(jù)包，然后使用顯示過(guò)濾器，只讓 Ethereal顯示所需要的那些類(lèi)型的數(shù)據(jù)包。下面主要介紹這種方法。在捕獲數(shù)據(jù)包完成后，可以根據(jù)“協(xié)議”、“是否存在某個(gè)域”、“域值”和“域值之間的 比較”等四個(gè)規(guī)則來(lái)過(guò)濾數(shù)據(jù)包。例如，如果只需查看使用ARP協(xié)議的數(shù)據(jù)包，在 Wireshark窗口中的“ Filter”中輸入arp （注意是小寫(xiě)），然后回車(chē)或點(diǎn)擊“Apply ”, Wireshark就會(huì)只顯示 ARP協(xié)議的數(shù)據(jù)包, 如圖2.5所示。& (UAtltled) -畫(huà)畫(huà)副氟檔（審小 片0乂出叢因中卓敞再生國(guó)口Em- gxpsession. taar 加閩Nfl.B

9、meSource OeglinalionProtocolD-1A5O4 5L7216.28. 4AfiPWfw r135 L72.1i. 29. 254 Tell 172.1362,6530&917Z.16.23.12Beroidcas陰P-hoL72alftrZ5.23*? Fell 172.72.74-jijlL172u16b29.101sraadtistARPWftCi IM5 172.1623.254? TC11 172.lt1?L 4即日日5araarlcastAfiPwho hi? L*/亂?日，25。丁。11 1 在，LS16-4.14900172.16, 23.41Braadc

10、asi:ARP-tic has 8.25 rell 172.ltIS4.m密口 FL17?. 16.23. 72Broj.dcdstAFWh口 h 54? Tell 172.lt19513707eraadcastAAP心口 ha? ”21M工亂27 Tell 172, L2。白 JMdG1172.16.23,127BraadcaErARPwho has 5*? Ten 172. Lt21MMOL?172. IB. 23. SBSradcastARP-hci ha等 LT11辦；3口MY Toll 172. LC5. *27176172.16. 23.19nroadcasi:ARFhD has

11、L72-16.23.25i? Tell 172. Lt25172lb.28.90BradcastARP口 ha, 172.1629,；254? Tell 172.lt2717Z.- 163,156r04dC35tAAP5口 hasTell346l 674 6LSBraadcasrARF!1iD has 172.16. 28. 25i? Tfill 172.ltB.LT216.2a. 223QraadcjstAKjPh口 Ihas L72-l(i.23. 254 Tall 172. LCs Ethernet nB sre- DO：i4：2.iS5b9-DbB wi- rrifrsrrzrr：rr

12、：rr-Desc 1 nail ci n ff :ff-ff-ff CBraAdcjit) soufiei 00:14;2i:BbS!dh 、!=”等操作符來(lái)構(gòu)造顯示過(guò)濾器，例如ip.addr=0 , ip.addr!=0 , frame.pkt_len10 等。域值可以從Expression中 進(jìn)行選擇，如圖2.6所示。圖2.6添加域值比較表達(dá)式組合表達(dá)式還可以使用“and”、“or”、和“ not”等邏輯操作符，其中邏輯與“and”也可用& ”表示，例如 ip.addr=11&frame.pkt_len 100 ;邏輯或or也可用 “表示，例如 ip.addr=11|ip.addr=54

13、,如圖 2.7 所示;邏輯非 “not” 也可用“ ！”表示，例如!llc 。(Tlrab i l! ! Eli) - Ft tnEr| /Eile Edil Bw 劃 .iplur$ A/iaMe-罰al及怔a 岸W做，廖正 已導(dǎo)算電與 因*電布殳 眉 00,u o -u -u Q Q o -u O1-2jd-i67 Q guaQ QEl- c .J.- .J.- o -J 9 rJ 4 aoz? D 3 5 1 9 D riF Ddbddo21 ooclo SE-DO DO q O1 c c A-7 aQ cf33fl-1 CJ c 7 R- 9 D 5 白 a&oe川 E3 3Lfd99

14、L Q 18 c C53L Q 設(shè)票由爵mHO7Q7Q-仁。LLT 。 00 口-u-ggd Q oaosdso- 6 D B d 9 9 n占 OOF55 _L_ la 3。肝1號(hào) DO Q 9 0CQcr6cca k:ffig5 4 mco1B 7 -1 -h- R- 9 .u re T 701?匚q o G 0日6 a號(hào)a d 8 eb5d?fl. mmMEa曲3翁圖2.7組合表達(dá)式的應(yīng)用四 實(shí)驗(yàn)內(nèi)容與步驟本實(shí)驗(yàn)指導(dǎo)可利用實(shí)驗(yàn)室網(wǎng)絡(luò)進(jìn)行。1.使用Ethereal (Wireshark )捕獲數(shù)據(jù)包，完成如下操作：(1)當(dāng)前網(wǎng)絡(luò)中主要的網(wǎng)絡(luò)協(xié)議是什么？請(qǐng)記錄實(shí)驗(yàn)數(shù)據(jù)。可根據(jù)“協(xié)議分級(jí)統(tǒng)計(jì)”

15、(“統(tǒng)計(jì)”菜單下)來(lái)查看統(tǒng)計(jì)結(jié)果。如下圖所示。Ip7739711|C aa*= ITS 1S7B 2$4* jfprS55ign Kiar ApplyNd.TnmdEBdUTEjG _Dfifflinahan戶(hù) MieIinfa2CL 0543042L9.133u49.173HICQ2-PMCMO?”，133-41L 73IE.92.B992002L5.133u49.17311ICQIT由，儂附，171.163,211rm-UOPmil 咫4 .d.=U.*l it I &. . W133.159325172,16.1,230172.16.29,211UDFsource partt 丈3自 口

16、eulnafEm part26工濃立芋172.16.23,211219.133U9,L73ICQ2S6.0735862L9133.4y.l7a11ICQ296,60544 5219.133,48. 8917Z,16, 28. ?LLUOPSource pan: MQQ DesTinaion part3D6.642492L7216.2a.2H.9DUDPSource part: 制25 DestInit1cm part316.64.34 0172.16. 23. ZLL219.133.43. S9mopSource pori: 4cle12 cKTiniilDn pon珀.61.164. lD1

17、7J.lfi.2S.mUQPourc part:有。0仃 Dn-st InAtlm part：；：；6. 652QW911UDFsource pari: 8 ! Bfra f，, * ., abcdef ghljklrnn apqrstuv wabcdefg hlO Fih： 73poecMEzlgdfepHLOC4LS21T Pa&E匕：11 Dfepl期Ed： 8 Mated; 口mppd: 口 Profile: 口日后ult/Kwtit kcttltvtl. . 1. C . 1im(WSayite.問(wèn)題回答ICMP請(qǐng)求包和應(yīng)答包個(gè)數(shù)共8個(gè)ICMP數(shù)據(jù)包的大小74bytesTTL (Ti

18、me to live )128Data (32 bytes)abcdefghijklmnopqrstuvwabcdefghi(5)給出icmp數(shù)據(jù)包按照網(wǎng)絡(luò)層次封裝的數(shù)據(jù)包名稱(chēng)?？山Y(jié)合icmp分組數(shù)據(jù)包的結(jié)構(gòu)圖說(shuō)明。如圖所示。Frame 71: 74 bytes on wire (592 bits)j 74 bytes captured (592 bits) on interfac Ethernet II, 5rc; EdupInte_L9：Sb:fc (e&:4e：Q6:19:Sb:fc), Dst: Shen2hen_cd:efi:afi Internet Protocol Version

19、 4, Sc: 01, Ost: Internet Control Message ProtocolICMP數(shù)據(jù)包圭搜到IP數(shù)據(jù)包中，IP數(shù)據(jù)包圭裝到Ethernet II包中，然后形成幀F(xiàn)rame 在網(wǎng)絡(luò)中傳輸。五練習(xí)與思考(1)設(shè)置捕獲過(guò)濾器，捕捉并分析局域網(wǎng)上的所有 Ethernet Broadcast幀。在Ethereal W Wireshark )中選擇菜單Capture - “Capture Filters ,彈出Capture Filters ”界面。 “Filter name ”選項(xiàng)為 Fiter 名稱(chēng)，“Filter string ”選項(xiàng)設(shè)置為：broadcast ,如圖 2

20、.8 所示。(2)通過(guò)選擇菜單Capture - Options - aCapture Filter: ,選擇之前建立的 過(guò)濾條件，然后點(diǎn)擊下面的“start”，開(kāi)始捕捉數(shù)據(jù)包。如圖 2.9所示。圖 2.8 設(shè)置“Capture Filters觀察并分析哪些主機(jī)在發(fā)廣播幀（廣播幀是指目的地址為broadcast的數(shù)據(jù)包），這些幀的高層協(xié)議是什么？-0高層協(xié)議可以在“ Protocol ”字段查看，如圖所示。Ylvarc Accelerated! AO ECHct Adapter (Bicrosof-t s Packet Schcdulc-r) (broadcast)Ei Ie drt Mie鐘

21、 Qp Rapture 和石的e Statistics Telshony 工口北 Internals Help國(guó)理辭藏白。X總總I “ .電* t & |國(guó)|圄 0a觀回 函陋窿ids1 Ou odoooo vmware_co:oo:01Broadcast2 78.775B70 192,163,10.10192.168.10,2553 93.477520 192.168.10,10192.168AO.255ARP BROWSEI NBNS60 who has 192.16E.io.io? Tel243 host Anrtounceffiem wimxf,柳i 9? Name query MB CLflDl-FC20?-A 3.4 78218 Vmvare_cO:00:01BroadcastARP60 Who hbas 192. L6fi.10.107 TeV5 96.950935 192-163.1O.L192.13.10.255BROWSE F243 Local Master Announcement CL& 109.663 576 192,160,