資源描述:
《使用網(wǎng)絡(luò)監(jiān)視器iris捕捉和分析協(xié)議數(shù)據(jù)包》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、一.實(shí)驗(yàn)內(nèi)容 主機(jī)A:192.168.42.25(監(jiān)聽端) 主機(jī)B:192.168.42.26(被監(jiān)聽端) ?���。?)安裝IRIS軟件 ①點(diǎn)擊iris.exe出現(xiàn)安裝界面���,接著連續(xù)執(zhí)行“下一步”直到出現(xiàn)“安裝”按鈕為止�,點(diǎn)擊“安裝”按鈕����; ②執(zhí)行iriskeygen軟件��,激活序列號�����; ?��、郯惭bHB-Iris4071漢化補(bǔ)丁����,運(yùn)行完后����,出現(xiàn)圖1的界面,點(diǎn)擊“確定”軟件安裝成功����。 圖1 ?��。?)捕捉數(shù)據(jù)包���,驗(yàn)證數(shù)據(jù)幀、IP數(shù)據(jù)報��、TCP數(shù)據(jù)段的報文格式�����?�!?)用熱鍵CTRL+B彈出如圖2所示的地址表���,在這里我們分別添加主機(jī)A和主機(jī)B的
2�����、IP地址�,為了對抓的包看得更清楚不要添主機(jī)的名字(name),設(shè)置好后關(guān)閉此窗口?�! D2 圖3 2)用熱鍵CTRL+E彈出如圖4所示過濾設(shè)置�����,選擇左欄“IP地址”����,右欄按下圖將地址簿中的地址拽到下面,設(shè)置好后確定���,這樣就這抓這兩臺計(jì)算機(jī)之間的包���。(注:iris軟件是安裝在主機(jī)192.168.42.25上的) 圖4 3)捕捉數(shù)據(jù)包 ①點(diǎn)擊“開始/停止捕獲”按鈕����,開啟抓包功能(先用arp–d清除主機(jī)A上的arp緩存表) ②用熱鍵CTRL+E彈出如圖5所示過濾設(shè)置���,選擇左欄“Layer2,3”�,右欄按下圖設(shè)置,設(shè)置完后點(diǎn)擊“確定”按鈕�����。
3�、 圖5?��、圻x擇菜單filter→ftp.flt?��、軓闹鳈C(jī)A上登錄到主機(jī)B的ftp(主機(jī)B安裝了FTP服務(wù)器) ⑤停止抓包 圖6是ftp的整個過程�。 圖6 我們選擇序號3的數(shù)據(jù)包作為驗(yàn)證�,分別查看它在MAC層,IP層和TCP層的數(shù)據(jù)頭部信息���?��! ?)驗(yàn)證數(shù)據(jù)幀格式: 圖7 從圖7中可以看出一個物理地址的頭部信息包含目的MAC地址,源MAC地址和類型字段���,其目的MAC地址是000C29C447D8,源MAC地址是000C29427B7A���,類型字段0800表示它上層使用的是IP數(shù)據(jù)報��?����!?)驗(yàn)證IP數(shù)據(jù)報格式: 圖8 圖9 由圖
4�、8����,圖9我們可以知道: 1、版本4表示IPV4����,占4位; 2�����、首部長度為5是由于這個單位是32位����,所以這個IP數(shù)據(jù)報首部長度為20個字節(jié); 3�、區(qū)分服務(wù)00占一個字節(jié); 4、總長度0043占兩個字節(jié)����; 5、標(biāo)識0246占兩個字節(jié)����; 6�����、標(biāo)志+片編移4000占兩個字節(jié)�����; 7���、生存時間128跳����; 8�、向上提供的協(xié)議是TCP; 9����、首部檢驗(yàn)和是22EB��; 10�����、源地址是192.168.42.26�; 11��、目的地址是192.168.42.25 6)驗(yàn)證TCP數(shù)據(jù)段的報文格式: 圖10 圖11 源端口為0015��,轉(zhuǎn)化為十進(jìn)制剛好是2
5���、1����,是ftp默認(rèn)的端口�����;目的端口是0470��,占兩個字節(jié)���;序號41E74AF8占四個字節(jié)��;確認(rèn)號F3CEAB87占四個字節(jié)����;首部長度為5;片偏移為18��,其中ACK����、PSH各占一位�;首部檢驗(yàn)和是911B,占兩個字節(jié)�。?��。?)捕捉并分析ARP報文?�!?)步驟:在主機(jī)A運(yùn)行“arp-d”的命令����,然后在設(shè)置過濾器中設(shè)置捕獲ARP協(xié)議�,并且設(shè)置捕獲主機(jī)A與主機(jī)B之間的IP地址數(shù)據(jù)包�����,接著點(diǎn)擊“開始/停止捕捉”���,開始抓包���,圖12就是捕捉到的ARP報文?����! D12 2)分析: 首先我們在主機(jī)A上運(yùn)行了“arp-d”的命令后���,主機(jī)A上的arp緩存表被清空��,當(dāng)我們用
6����、“ping192.168.42.25”命令時����,由于主機(jī)A與主機(jī)B在同一個網(wǎng)段���,且主機(jī)A沒有B的MAC地址,所以它會以廣播形式發(fā)送ARP請求報文��,在ARP請求報文中包含了源IP地址和目的IP地址�,在同一網(wǎng)段的主機(jī)B收到報文并發(fā)現(xiàn)目標(biāo)IP地址與自己的地址一樣,則它向主機(jī)A發(fā)回ARP響應(yīng)報文�,并把自己物理地址封裝在響應(yīng)報文上,從而使主機(jī)A獲得主機(jī)B的MAC地址�����?����!�。?)捕捉并分析ping過程中的ICMP報文����。 1)在主機(jī)B上用“arp-d”命令清除arp緩存表 2)點(diǎn)擊“開始/停止捕捉”�,開始抓包 3)用熱鍵CTRL+E彈出如圖所示過濾設(shè)置,選擇左欄“
7��、Layer2,3”,右欄按下圖設(shè)置�����,設(shè)置完后點(diǎn)擊“確定”按鈕�����?����! D13 4)在主機(jī)A上去ping主機(jī)B的IP地址 5)停止抓包 下圖就是捕捉ping過程中的ICMP報文 圖14 分析:從上圖中可以看出���,我們用命令“ping192.168.42.26“��,回車后ping命令便會向目的主機(jī)B發(fā)一個ICMP請求ECHO報文���,因?yàn)橹鳈C(jī)B正常工作而且響應(yīng)這個ICMP回送請求報文,所以它就發(fā)回ICMP回送回答報文(從序號1�、2中可以看出)。由于主機(jī)A一連發(fā)出四個ICMP回送請求報文��,作為正常工作且可達(dá)的主機(jī)B也相應(yīng)做出四個回答�����,發(fā)回四個ICMP回送回
8、答報文����,所以在抓包界面中有8個ECHO報文。在抓包界面的第一行(序號1)中的數(shù)據(jù)包包含三個信息
