資源描述:
《實(shí)驗(yàn)一數(shù)據(jù)報(bào)文分析》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1��、實(shí)驗(yàn)一數(shù)據(jù)報(bào)文分析一���、實(shí)驗(yàn)?zāi)康?����、深入理解以太網(wǎng)原理�;2、理解ARP協(xié)議����、ICMP協(xié)議、IP協(xié)議和TCP協(xié)議的原理;3���、學(xué)握wireshark軟件的使用方法�����。二��、實(shí)驗(yàn)原理1��、以太網(wǎng)的工作原理(1)在以太網(wǎng)中是基于廣播方式傳輸數(shù)據(jù)的���,即所有的物理信號都要經(jīng)過同一網(wǎng)段的所有設(shè)備����。⑵網(wǎng)卡可設(shè)置成混雜模式����,在這種模式下網(wǎng)卡能接收到一切通過它的數(shù)據(jù)��,能不管實(shí)際上的數(shù)據(jù)的目的地址是不是它����。計(jì)算機(jī)直接傳輸?shù)臄?shù)據(jù)是大量的二進(jìn)制數(shù)據(jù),因此一個(gè)網(wǎng)絡(luò)監(jiān)聽程序還必須使川特定的網(wǎng)絡(luò)協(xié)議來分解嗅探到的數(shù)據(jù)��,嗅探器通過解析數(shù)據(jù)包頭部的各字段含義�,能夠識(shí)別出這個(gè)數(shù)據(jù)片段對應(yīng)于哪個(gè)協(xié)議�����,實(shí)現(xiàn)正用戶進(jìn)程用戶進(jìn)程用戶進(jìn)程用戶進(jìn)
2�、程▲A4▲▼▼TCPUDP�;V▼ICMPvL”IPARPRARPIGMP-▲r確得解碼。破件接口應(yīng)用層運(yùn)輸層網(wǎng)絡(luò)層傳輸媒體鏈路層物理層圖TCP/IP協(xié)議族中不同層次的協(xié)議2�����、協(xié)議標(biāo)識(shí)由于TCP��、UDP���、ICMP和IGMP都向IP傳輸數(shù)據(jù)��,因此IP頭部必須加入標(biāo)識(shí)字段��,以表明數(shù)據(jù)屬于哪種協(xié)議�����,在IP的頭部信息中有8bit長度的字段�,稱作協(xié)議域,其中1表示為ICMP,2表示為IGMP,6表示為TCP,17表示為UDP協(xié)議�����。三.實(shí)驗(yàn)所用設(shè)備本實(shí)驗(yàn)中不需耍動(dòng)手連線�����,機(jī)房中所有主機(jī)均通過交換機(jī)相連�����,組成局域網(wǎng)�。相鄰的2名同學(xué)組成一個(gè)小組,完成本次實(shí)驗(yàn)���。四�����、實(shí)驗(yàn)步』1、網(wǎng)絡(luò)命令學(xué)習(xí)(1)點(diǎn)擊“開始”一
3�、“運(yùn)行”,輸入cmd回車����,打開的是dos的命令窗口�����,在命令行中輸入ipconfig命令���,查看計(jì)算機(jī)當(dāng)前的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)�����。添加上參數(shù)�,輸入ipconfig/all記錄木地連接中IP地址,MAC地址(PhysicalAddress),網(wǎng)關(guān)(DefaultGateway)等信息��。如:MAC:00-98-99-00-EA-32IP:222.28.78.X網(wǎng)關(guān):222.28.78.1(2)在命令行下輸入routeprint命令���,查看本機(jī)上路甫表信息��。(3)輸入arp-a命令�����,查看木地高速緩存中IP地址和MAC地址的信息�,并記錄下來。(4)相鄰的兩位同學(xué)組成一組�,輸入命令ping222.
4、28.78.X(對方IP地址)�����,如ping222.28.78.100����,測試當(dāng)前主機(jī)到li的主機(jī)的網(wǎng)絡(luò)連接狀態(tài)。讀懂ping包下血的統(tǒng)計(jì)信息�����,判斷是否連通��。(5)再次輸入arp-a命令���,杳看本地高速緩存中IP地址和MAC地址的信息����,并記錄下來�����。2����、軟件學(xué)習(xí)(1)點(diǎn)擊桌面圖標(biāo)“wireshark",打開網(wǎng)絡(luò)分析軟件。(2)點(diǎn)擊菜單欄中的“capture”->"Interfaces",查看網(wǎng)絡(luò)接口的當(dāng)前狀態(tài)���。在相應(yīng)的接口后而點(diǎn)擊“start”�����,即可開始抓包���。點(diǎn)擊菜單欄的“capture”->“stop”即可停止抓包。(3)點(diǎn)擊菜單欄的“capture”-*“option”�����,在過濾器Capture
5�����、Filter欄輸入etherproto0x0806oripproto1,表明只抓取ARP和ICMP數(shù)據(jù)��。點(diǎn)擊“start”����,開始抓包����,在dos命令行下輸入命令(ping+對方IP),觀察抓到的包���,點(diǎn)擊菜單欄的"capture"->“stop”停止抓包���。分析抓到的一組ARP數(shù)據(jù)包,即請求(request)和應(yīng)答(reply)包���,記錄數(shù)據(jù)鏈路層的源地址和目的地址����。分析一組ICMP數(shù)據(jù)包���,請求(request)和應(yīng)答(reply),記錄數(shù)據(jù)鏈路層的源地址和目的地址��;IP協(xié)議的源地址和目的地址����。(4)抓取TCP協(xié)議的三次握手過程����,并分析TCP數(shù)據(jù)包�,記錄連接的序列號���、確認(rèn)號和標(biāo)識(shí)符(即:seq>S
6、YN��、ACK�����、ack等)���。五�、實(shí)驗(yàn)報(bào)告內(nèi)容及要求每人單獨(dú)提交自己的實(shí)驗(yàn)報(bào)告���,不要以小組為單位提交��?����!疽?����、實(shí)驗(yàn)環(huán)境】本組成員�,設(shè)備連接情況(如:K001—交換機(jī)一K100)?����!径?�、實(shí)驗(yàn)過程】按實(shí)驗(yàn)步驟記錄所有的配置����,接口的MAC地址(如有),IP地址���;端口號portnumber(如有)����;配置的協(xié)議��;失敗的情況��。【三��、數(shù)據(jù)分析】分析抓取的數(shù)據(jù)內(nèi)容�����?���!舅?�、實(shí)驗(yàn)總結(jié)】列出實(shí)驗(yàn)中未解決的問題��,或觀察到的異?��,F(xiàn)象���,以及所學(xué)習(xí)到的知識(shí)、意見和建議等���。六���、數(shù)據(jù)報(bào)文分析實(shí)例1、數(shù)據(jù)鏈路層(以太網(wǎng))數(shù)據(jù)幀分析:字節(jié)以太網(wǎng)MAC幀目的地址源地址類型MAC客戶數(shù)據(jù)(46-1500子節(jié))FCS類型:0800IP數(shù)據(jù)
7、包6624類型:0806ARP請求/應(yīng)答類型:0835RARP請求/應(yīng)答所抓數(shù)據(jù)包為0002A59C259700097B52E40A08()0分析:"0002A59C2597”是廿的MAC地址“00097B52E40A”是源MAC地1卜����,“0800”是數(shù)據(jù)類型,農(nóng)示里面封裝的是IP數(shù)據(jù)包�。2.IP數(shù)據(jù)包分析版本首部長度服務(wù)類型總長度標(biāo)識(shí)標(biāo)志片偏移牛存時(shí)間協(xié)議首部校驗(yàn)和源IP地址目的IP地址長度可變的可選字段填充41631
