資源描述:
《協(xié)議分析軟件抓包分析》由會(huì)員上傳分享���,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)�����。
1、實(shí)驗(yàn)協(xié)議分析軟件wireshark抓包分析一���、實(shí)驗(yàn)?zāi)康模?)理解數(shù)據(jù)鏈路層幀格式(2)掌握抓包軟件的使用(2)掌握通過(guò)抓包軟件抓取幀并進(jìn)行分析的辦法。二����、相關(guān)理論數(shù)據(jù)鏈路層的傳輸單位為幀(Frame或稱分組),在發(fā)送端數(shù)據(jù)鏈路層將網(wǎng)絡(luò)層的數(shù)據(jù)按照一定格式打包為幀并發(fā)送給物理層�����,在接收端數(shù)據(jù)鏈路層將物理層的數(shù)據(jù)按照一定格式解包為幀并發(fā)送給網(wǎng)絡(luò)層�����。目前�,在數(shù)據(jù)鏈路層使用比較多的是以太網(wǎng)(Ethernet)協(xié)議。以太網(wǎng)幀格式如下:目的Mac地址源Mac地址類型數(shù)據(jù)校驗(yàn)碼6字節(jié)6字節(jié)2字節(jié)46-1500字節(jié)4字節(jié)各部分含義如下:目的Mac地址:下一跳的Mac地址����,幀每經(jīng)過(guò)一跳(即每經(jīng)過(guò)一臺(tái)
2、網(wǎng)絡(luò)設(shè)備如交換機(jī))該地址會(huì)被替換�����,直到最后一跳被替換為接收端的Mac地址�����。源Mac地址:發(fā)送端Mac地址�。類型:用來(lái)指出以太網(wǎng)幀內(nèi)所含的上層協(xié)議���。對(duì)于IP報(bào)文來(lái)說(shuō)���,該字段值是0x0800��。對(duì)于ARP信息來(lái)說(shuō)���,以太類型字段的值是0x0806�。數(shù)據(jù):從上層或下層傳來(lái)的有效數(shù)據(jù)�,如果少于46個(gè)字節(jié)����,必須增補(bǔ)到46個(gè)字節(jié)����。校驗(yàn)碼:CRC校驗(yàn)碼���,校驗(yàn)數(shù)據(jù)在傳輸過(guò)程中是否出錯(cuò)。三�、實(shí)驗(yàn)內(nèi)容(1)安裝Wireshark軟件�����。(2)掌握抓包軟件的使用(3)掌握通過(guò)抓包軟件抓取幀并進(jìn)行分析的辦法。四�����、實(shí)驗(yàn)步驟(1)常用的抓包軟件包括Sniffer��、NetXRay�、Wireshark(又名EtheRe
3�、al)�����。我們采用免費(fèi)的Wireshark,可以從http://www.wireshark.org或其他網(wǎng)站下載�。安裝完成后�,Wireshark的主界面和各模塊功能如下:命令菜單(commandmenus):最常用菜單命令有兩個(gè):File、Capture��。File菜單允許你保存捕獲的分組數(shù)據(jù)或打開(kāi)一個(gè)已被保存的捕獲分組數(shù)據(jù)文件���。Capture菜單允許你開(kāi)始捕獲分組���。顯示篩選規(guī)則(displayfilterspecification):在該字段中����,可以填寫協(xié)議的名稱或其他信息���,根據(jù)此內(nèi)容可以對(duì)分組列表窗口中的分組進(jìn)行過(guò)濾。捕獲分組列表(listingofcapturedpackets)
4��、:按行顯示已被捕獲的分組內(nèi)容���,其中包括:Wireshark賦予的分組序號(hào)�����、捕獲時(shí)間���、分組的源地址和目的地址��、協(xié)議類型�����、分組中所包含的協(xié)議說(shuō)明信息。在該列表中�,所顯示的協(xié)議類型是發(fā)送或接收分組的最高層協(xié)議的類型。分組首部明細(xì)(detailsofselectedpacketheader):顯示捕獲分組列表窗口中被選中分組的頭部詳細(xì)信息����。包括:與以太網(wǎng)幀有關(guān)的信息,與包含在該分組中的IP數(shù)據(jù)報(bào)有關(guān)的信息�。如果利用TCP或UDP承載分組���,Wireshark也會(huì)顯示TCP或UDP協(xié)議頭部信息�。最后���,分組最高層協(xié)議的頭部字段也會(huì)被顯示�。分組內(nèi)容窗口(packetcontent):以ASCII碼
5���、和十六進(jìn)制兩種格式顯示被捕獲幀的完整內(nèi)容。(2)下面我們進(jìn)行抓包練習(xí)����。在capture菜單中選中options,可以設(shè)置抓包選項(xiàng)����,如下圖所示,這里我們需要選擇要對(duì)其進(jìn)行抓包的網(wǎng)卡��。選擇完成后按“star+t”開(kāi)始抓包���。過(guò)幾秒鐘后選擇菜單capture->stop停止抓包�����。顯示抓包結(jié)果:任意選中一幀���,可以看到該幀所在的各層分組的頭部如下:通過(guò)頭部信息可以看出�,該幀在數(shù)據(jù)鏈路層使用的是EthernetII協(xié)議����,到網(wǎng)絡(luò)層被封裝為IP數(shù)據(jù)包�,到傳輸層被封裝為UDP數(shù)據(jù)包,沒(méi)有應(yīng)用層協(xié)議。點(diǎn)開(kāi)Ether.netII前的+號(hào)��,可以看到該幀在數(shù)據(jù)鏈路層的詳細(xì)信息:可以看出該幀的源Mac地址為00
6、:30:18:a9:c5:aa,目的Mac地址為:94:0C:6d:66:00:8a,類型特征碼為0800(即表示IP封裝)����,在數(shù)據(jù)區(qū)可以看到該幀的完整數(shù)據(jù)(16進(jìn)制表示,可以在數(shù)據(jù)區(qū)右鍵選擇2進(jìn)制表示)�����。從16進(jìn)制表示的數(shù)據(jù)上可以看出該幀完全符合以太網(wǎng)幀格式。(3)下面我們進(jìn)行抓包實(shí)戰(zhàn)并按要求回答問(wèn)題���。假定如下拓?fù)洌航粨Q機(jī)主機(jī)A主機(jī)B我們用主機(jī)Aping主機(jī)B,同時(shí)進(jìn)行抓包:在抓包結(jié)果中我們可以看到如下4個(gè)包:依次選中這4個(gè)包,點(diǎn)開(kāi)首部明細(xì)區(qū)EthernetII前的+號(hào)��,可以看到詳細(xì)信息:分析這些信息����,可以發(fā)現(xiàn)ping的過(guò)程如下:(兩人一組實(shí)驗(yàn)���,按實(shí)際實(shí)驗(yàn)結(jié)果填寫)1.主機(jī)A發(fā)出
7、ARP包詢問(wèn)“誰(shuí)知道主機(jī)B的Mac,請(qǐng)告訴我”��,該ARP包所在的幀的目的Mac地址為_(kāi)______________________________,說(shuō)明這是一個(gè)廣播包�。2.機(jī)房中的所有機(jī)器都收到了這個(gè)廣播包,其中有一臺(tái)機(jī)器回答了一個(gè)ARP包��,該包說(shuō):主機(jī)B的Mac地址為_(kāi)______________________________,回答的機(jī)器是:□主機(jī)B□交換機(jī)因?yàn)樵揂RP包所在的幀的源地址為_(kāi)______________________________3.主機(jī)A向主
