《网络协议分析》实验指导书
显示的是数据报文的协议信息。在报文列表窗口选择不同条目则协议树窗口的内容随之改变为相应的协议信息。下部为16 进制报文窗口,可以显示报文在物理层的数据形式。 在抓包完成后,显示过滤器可以用来找到你感兴趣的包,也可根据协议、是否存在某个域、域值、域值之间的关系来查找你感兴趣的包。
1..Wireshark 的显示过滤器
可以使用下面的操作符来构造显示过滤器: eq == 等于:如 ip.addr==10.1.10.20 ne != 不等于:如 ip.addr!=10.1.10.20 gt > 大于:如 frame.pkt_len>10
lt < 小于:如 lt < frame.pkt_len<10 ge >= 大等于:如 frame.pkt_len>=10 le <= 小等于:如 frame.pkt_len<=10
也可以使用下面的逻辑操作符将表达式组合起来:
and &&逻辑与:如 ip.addr=10.1.10.20&&tcp.flag.fin
or || 逻辑或:如 ip.addr=10.1.10.20||ip.addr=10.1.10.21 xor ^^ 异或:如 tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not ! 逻辑非:如 !llc
例如:你想抓取IP 地址是 192.168.7.87 的主机所收或发的所有的HTTP 报文,则显示过滤器 (Filter )为:ip.addr=192.168.7.87 and http
图 7 组合过滤器设置
注意:当在Filter 的输入,显示绿色背景时 (图7 上图)说明表达式是正确的,显示红色背景时 (图7 下图)说明表达式是错误的。
3.网络层协议分析
该层是网络互联层,负责相邻计算机之间的通信。该层上的主要协议是IP 协议,此外, 这一层还包括三个子协议:ICMP 协议、ARP 协议和RARP 协议。
* 互联网控制信息协议 (ICMP,Internet Control Message Protocol)
ICMP 是TCP/IP 协议簇的的一个子协议,它和IP 协议属于同一层, 但ICMP 数据报是被封装在IP 数据报中发送的。ICMP 协议通常被用于在IP 主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。该协议经常被用作调试和监视网络。 * 网际协议 (IP,Internet Protocol)
这个协议是 TCP/IP 协议中最主要的协议之一,他负责处理来之传输层的分组发送请求 和输入的数据报文。该层以上各层的协议都要使用IP 协议。
* 地址解析协议 (ARP )和反地址解析协议 (RARP,Reverse Address Resolution Protocol) 它们分别负责实现从IP 地址到物理地址 (如以太网网卡MAC 地址)和从物理地址到IP 地址
第 11 页 共 49 页
《网络协议分析》实验指导书
的映射。
实验一 ARP协议分析
一.实验目的
1.熟悉以太网帧的封装 2.熟悉ARP协议报文格式
3.理解ARP协议的工作原理及其作用,能够使用ARP命令对ARP缓存进行操作。
二.实验内容
1.使用ARP命令对ARP缓存进行一些简单操作; 2.捕获ARP报文,并进行分析。
三.实验原理
1.ARP 协议介绍
ARP 是地址解析协议 (Reverse Address Resolution Protocol)的缩写,负责实现从IP 地址到物理地址 (如以太网MAC 地址)的映射。在实际通信中,物理网络使用硬件地址进行报文传输。IP 报文在封装为数据链路层帧进行传送时,就有必要把 IP 地址转换为对应的硬件地址,ARP 正是动态地完成这一功能的。
(1)ARP 报文格式
图8 ARP 报文格式
ARP 协议报文是定长的,其格式如图8 所示,报文中每一字段的含义如下: * 硬件类型:表示物理网络的类型,“0X0001”表示以太网; * 协议类型:表示网络网络协议类型,“0X0800”表示IP 协议; * 硬件地址长度:指定源/ 目的站物理地址的长度,单位为字节; * 协议地址长度:指定源/ 目的站IP 地址的长度,单位为字节; * 操作:指定该报文的类型,“1”为ARP 请求报文,“2”为ARP 响应报文; * 源端硬件/IP 地址:由ARP 请求者填充;
* 目的站物理地址:在请求报文中为0,在响应报文中,由由发送响应报文的主机填写接收该报文的目的主机的物理地址;
* 目的站IP 地址:由ARP 请求者填充,指源端想要知道的主机的IP 地址。只有IP 地址等于该IP 地址的主机才向源主机发送相应报文。
第 12 页 共 49 页
《网络协议分析》实验指导书
(2)ARP 的工作方式
在以太网中,每台使用ARP 协议实现地址解析的主机都在自己的高速缓存中维护着一个地址映射表,这个ARP表中存放着最近和它通信的同网络中的计算机的 IP地址和对应的MAC 地址。 当两台计算机通信时,源主机首先查看自己的ARP 表中是否有目的主机的 IP 地址项,若有则使用对应的MAC 地址直接向目的主机发送信息;否则就向网络中广播一个ARP 请求报文,当网络中的主机收到该ARP 请求报文时,首先查看报文中的目的IP 地址是否与自己的IP 地址相符,若相符则将请求报文中的源IP 地址和MAC 地址写入自己的ARP 表中;然后,创建一个ARP 响应报文,将自己的MAC 地址填入该响应报文中,发送给原主机。
注意:ARP响应报文不再广播,而是直接发送给请求者。
源主机收到响应报文后,取出目的IP 地址和 MAC 地址加入到自己的 ARP 表中,并利用获得的目的MAC 地址向目的端主机发送信息。
在实际中,为了节省内存空间和ARP 表的查询时间,若某一个ARP 地址项很久没有使用,则会从地址映射表中删除。
2.Arp 命令简介
本次实验使用的Windows 自带的Arp 命令提供了显示和修改地址解析协议所使用的地址映射表的功能。
Arp 命令的格式要求如下:
ARP -s inet_addr eth_addr [if_addr] ARP -d inet_addr [if_addr]
ARP -a [inet_addr] [-N if_addr] 其中: * -s:在 ARP 缓存中添加表项:将 IP 地址 inet_addr 和物理地址 ether_addr 关联,物理地址由以连字符分隔的 6 个十六进制数给定,使用点分十进制标记指定IP 地址,添加项是永久性的;
* -d:删除由inet_addr 指定的表项;
* -a:显示当前ARP 表,如果指定了inet_addr 则只显示指定计算机的IP 和物理地址; * inet_addr:以点分十进制标记指定IP 地址; * -N:显示由if_addr 指定的ARP 表项;
* if_addr:指定需要选择或修改其地址映射表接口的IP 地址; * ether_addr:指定物理地址;
四.实验步骤
实验需要网络环境(局域网连接即可)。每两位同学一组,合作开展实验。 1.验证ARP命令,并记录实验结果
(1)在命令行窗口中执行arp -d命令,记录实验结果; (2)执行arp –a命令,记录实验结果。
(2)在两台中的任一台上执行ping 另一台的IP;
(3)执行完成后执行arp -a命令,记录实验结果,注意和(2)相比,结果的变化。
2.在执行步骤1的同时捕获ARP报文,并对捕获的结果进行分析,记录在如下表格中。
表1 ARP 报文分析
第 13 页 共 49 页
《网络协议分析》实验指导书
ARP 请求报文 字段 硬件类型 协议类型 硬件地址长度 协议地址长度 操作 源站物理地址 源站IP 地址 目的站物理地址 目的站IP 地址 报文信息及参数 字段 硬件类型 协议类型 硬件地址长度 协议地址长度 操作 源站物理地址 源站IP 地址 目的站物理地址 目的站IP 地址 ARP 应答报文 报文信息及参数 附录:(假设实验的两台计算机为192.168.7.85和192.168.7.87) 实验步骤1的可能结果:
步骤2:在执行步骤1时,如果同时抓取报文,则抓取的结果中应包含ARP的请求报文和响应报文。 请求报文如下:
第 14 页 共 49 页
《网络协议分析》实验指导书
响应报文为:
实验二 IP 协议分析
一.实验目的
1.熟悉IP协议的报文格式; 2.理解IP地址的作用。
二.实验内容
捕获IP协议报文,并进行分析。
三.实验原理
1. IP 协议介绍
(1)IP 地址的编址方法
IP 地址是为每个连接在互联网上的主机分配的唯一识别的 32 位标识符。IP 地址的编址方法共经历了三个阶段,其中最初采用的是分类的IP地址,这是一种基于分类的两级IP 地址编址的方法。
第 15 页 共 49 页