資源描述:
《課件數(shù)據(jù)報(bào)文分析.doc》由會(huì)員上傳分享��,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫���。
1、實(shí)驗(yàn)一數(shù)據(jù)報(bào)文分析一��、實(shí)驗(yàn)?zāi)康?、深入理解以太網(wǎng)原理��;2����、理解ARP協(xié)議�、ICMP協(xié)議、IP協(xié)議和TCP協(xié)議的原理���;3、掌握wireshark軟件的使用方法�����。二��、實(shí)驗(yàn)原理1�����、以太網(wǎng)的工作原理(1)在以太網(wǎng)中是基于廣播方式傳輸數(shù)據(jù)的���,即所有的物理信號(hào)都要經(jīng)過同一網(wǎng)段的所有設(shè)備��。(2)網(wǎng)卡可設(shè)置成混雜模式,在這種模式下網(wǎng)卡能接收到一切通過它的數(shù)據(jù)����,能不管實(shí)際上的數(shù)據(jù)的目的地址是不是它。計(jì)算機(jī)直接傳輸?shù)臄?shù)據(jù)是大量的二進(jìn)制數(shù)據(jù)�,因此一個(gè)網(wǎng)絡(luò)監(jiān)聽程序還必須使用特定的網(wǎng)絡(luò)協(xié)議來分解嗅探到的數(shù)據(jù)����,嗅探器通過解析數(shù)據(jù)包頭部的各字段含義,能夠識(shí)
2����、別出這個(gè)數(shù)據(jù)片段對(duì)應(yīng)于哪個(gè)協(xié)議,實(shí)現(xiàn)正確得解碼�����。圖TCP/IP協(xié)議族中不同層次的協(xié)議2�����、協(xié)議標(biāo)識(shí)由于TCP�����、UDP����、ICMP和IGMP都向IP傳輸數(shù)據(jù),因此IP頭部必須加入標(biāo)識(shí)字段����,以表明數(shù)據(jù)屬于哪種協(xié)議�,在IP的頭部信息中有8bit長度的字段,稱作協(xié)議域�����,其中1表示為ICMP����,2表示為IGMP�,6表示為TCP,17表示為UDP協(xié)議��。三��、實(shí)驗(yàn)所用設(shè)備本實(shí)驗(yàn)中不需要?jiǎng)邮诌B線,機(jī)房中所有主機(jī)均通過交換機(jī)相連�����,組成局域網(wǎng)。相鄰的2名同學(xué)組成一個(gè)小組���,完成本次實(shí)驗(yàn)��。四��、實(shí)驗(yàn)步驟1����、網(wǎng)絡(luò)命令學(xué)習(xí)(1)點(diǎn)擊“開始”→“運(yùn)行”����,輸入cmd回
3�����、車�,打開的是dos的命令窗口�����,在命令行中輸入ipconfig命令,查看計(jì)算機(jī)當(dāng)前的IP地址�、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)。添加上參數(shù)��,輸入ipconfig/all記錄本地連接中IP地址��,MAC地址(PhysicalAddress)��,網(wǎng)關(guān)(DefaultGateway)等信息�。如:MAC:00-98-99-00-EA-32IP:222.28.78.X網(wǎng)關(guān):222.28.78.1(2)在命令行下輸入routeprint命令�����,查看本機(jī)上路由表信息����。(3)輸入arp–a命令�,查看本地高速緩存中IP地址和MAC地址的信息,并記錄下來����。(4)相鄰的
4�、兩位同學(xué)組成一組��,輸入命令ping222.28.78.X(對(duì)方IP地址)���,如ping222.28.78.100��,測(cè)試當(dāng)前主機(jī)到目的主機(jī)的網(wǎng)絡(luò)連接狀態(tài)���。讀懂ping包下面的統(tǒng)計(jì)信息�,判斷是否連通�����。(5)再次輸入arp–a命令���,查看本地高速緩存中IP地址和MAC地址的信息,并記錄下來��。2�、軟件學(xué)習(xí)(1)點(diǎn)擊桌面圖標(biāo)“wireshark”,打開網(wǎng)絡(luò)分析軟件����。(2)點(diǎn)擊菜單欄中的“capture”→“Interfaces”,查看網(wǎng)絡(luò)接口的當(dāng)前狀態(tài)���。在相應(yīng)的接口后面點(diǎn)擊“start”����,即可開始抓包�。點(diǎn)擊菜單欄的“capture”→“st
5、op”即可停止抓包�����。(3)點(diǎn)擊菜單欄的“capture”→“option”�,在過濾器CaptureFilter欄輸入etherproto0x0806oripproto1���,表明只抓取ARP和ICMP數(shù)據(jù)�����。點(diǎn)擊“start”�����,開始抓包���,在dos命令行下輸入命令(ping+對(duì)方IP),觀察抓到的包�,點(diǎn)擊菜單欄的“capture”→“stop”停止抓包。分析抓到的一組ARP數(shù)據(jù)包�����,即請(qǐng)求(request)和應(yīng)答(reply)包���,記錄數(shù)據(jù)鏈路層的源地址和目的地址�。分析一組ICMP數(shù)據(jù)包��,請(qǐng)求(request)和應(yīng)答(reply)�,記錄數(shù)
6�����、據(jù)鏈路層的源地址和目的地址;IP協(xié)議的源地址和目的地址�。(4)抓取TCP協(xié)議的三次握手過程�,并分析TCP數(shù)據(jù)包,記錄連接的序列號(hào)、確認(rèn)號(hào)和標(biāo)識(shí)符(即:seq���、SYN����、ACK�、ack等)���。五�����、實(shí)驗(yàn)報(bào)告內(nèi)容及要求每人單獨(dú)提交自己的實(shí)驗(yàn)報(bào)告����,不要以小組為單位提交��?!疽弧?shí)驗(yàn)環(huán)境】本組成員����,設(shè)備連接情況(如:K001—交換機(jī)—K100)?!径?���、實(shí)驗(yàn)過程】按實(shí)驗(yàn)步驟記錄所有的配置,接口的MAC地址(如有)��,IP地址��;端口號(hào)portnumber(如有);配置的協(xié)議��;失敗的情況�。【三�、數(shù)據(jù)分析】分析抓取的數(shù)據(jù)內(nèi)容?!舅摹?shí)驗(yàn)總結(jié)】列出實(shí)驗(yàn)中
7���、未解決的問題��,或觀察到的異常現(xiàn)象�,以及所學(xué)習(xí)到的知識(shí)、意見和建議等��。六�����、數(shù)據(jù)報(bào)文分析實(shí)例1�����、數(shù)據(jù)鏈路層(以太網(wǎng))數(shù)據(jù)幀分析:字節(jié)6624目的地址源地址類型MAC客戶數(shù)據(jù)(46~1500子節(jié))FCS以太網(wǎng)MAC幀類型:0800IP數(shù)據(jù)包類型:0806ARP請(qǐng)求/應(yīng)答類型:0835RARP請(qǐng)求/應(yīng)答所抓數(shù)據(jù)包為0002A59C259700097B52E40A0800分析:“0002A59C2597”是目的MAC地址����,“00097B52E40A”是源MAC地址,“0800”是數(shù)據(jù)類型�,表示里面封裝的是IP數(shù)據(jù)包。2����、IP數(shù)據(jù)包分析0
8����、4816192431版本首部長度服務(wù)類型總長度標(biāo)識(shí)標(biāo)志片偏移生存時(shí)間協(xié)議首部校驗(yàn)和源IP地址目的IP地址長度可變的可選字段填充數(shù)據(jù)部分45C00038B6490000FF06C6FAD355CBFED355CB16所抓數(shù)據(jù)包為第一個(gè)字節(jié)“45”高四位是4���,表示此數(shù)據(jù)報(bào)是IPv
