《实验四--snifferpro数据包捕获与协议分析-》由会员分享,可在线阅读,更多相关《实验四--snifferpro数据包捕获与协议分析-(17页珍藏版)》请在金锄头文库上搜索。
1、 2015 年 4 月 10 日实验项目:实验四 SnifferPro 数据包捕获与协议分析实验目的: 1.了解 Sniffer 的工作原理。2.掌握 SnifferPro 工具软件的基本使用方法。3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。实验仪器:电脑一台(CPU:IntelCore(TM)i5-3230M 2.60GHz 内存:4.00GB 操作系统:win8.1 使用软件:VWare 10、 Windows server2003)实验步骤及内容:一、规划 IP 地址,使得虚拟机与主机通信(自定义模式)主机使用虚拟网卡 1,主机 IP 为 192.168.1.100 子网掩码
2、 255.255.255.0 ,共享的 VMNET1 虚拟机 IP 为 192.168.1.4 子网掩码255.255.255.0 默认网关为 192.168.1.4,首选 DNS 为 114.114.114.114。二、抓取以下协议的数据包,并加以分析。(1)抓取 IP 数据包,分析 IP 数据包的头部信息。可参照下图依次分析:附注附注(续)由上抓包信息可知:IP 包头占有 20 个字节,即:45 00 00 3C 01 28 00 00 20 01 00 00 C0 A8 01 04 C0 A8 01 641)可知, “45”,其中“4”是 IP 协议的版本(Version ) ,说明是
3、IP4。 “5”是 IHL 位,表示 IP 头部的长度,是一个 4bit 字段,最大就是 1111 了,值为 15(表示有 15 行,一行有 32bit) ,IP 头部的最大长度就是 60 字节。而这里为“5” ,说明是 20 字节,这是标准的 IP 头部长度,头部报文中没有发送可选部分数据。2) “00”,为服务类型(Type of Service) 。这个 8bit 字段由 3bit 的优先权子字段(现在已经被忽略),4 bit 的 TOS 子字段以及 1 bit 的未用字段(现在为 0)构成。4 bit 的 TOS 子字段包含:最小延时、最大吞吐量、最高可靠性以及最小费用构成,这四个 1
4、bit 位最多只能有一个为 1,本例中都为 0,表示是一般服务。3) “00 3C”,为 IP 数据报文总长,包含头部以及数据,这里表示 60 字节。这 60 字节由 20 字节的IP 头部以及 40 字节的 TCP 头构成(最后的一个字节为数据) 。因此目前最大的 IP 数据包长度是65535 字节。4) “01 28” 两个字节为数据包封装标识信息,与后面的偏移量一起用,这个是让目的主机来判断新附注(续)来的分段属于哪个分组。5) “00 00”其中前三位表示标志位,后面 13 位表示片段偏移地址。其中第一位是 IP 协议目前没有用上的,为 0。接着的是两个标志 DF 和 MF。DF 为
5、1 表示不要分段,MF 为 1 表示还有进一步的分段(本例为 0) 。然后的“0 0000”是分段便移(Fragment Offset) 。6) “20” 这个字节就是 TTL(Time To Live)了,表示一个 IP 数据流的生命周期,用 Ping 显示的结果,能得到 TTL 的值 48(将十六进制的 20 转化为十进制得 48) 。注:一般主机都有默认的 TTL 值,不同系统的默认值不一样。比如 WINDOWS 为 128。不过,一般Ping 得到的都不是默认值,这是因为每次 IP 数据包经过一个路由器的时候 TTL 就减一,当减到 0 时,这个数据包就消亡了。这也时 Tracert
6、的原理。7) “01” 这个字节表示传输层的协议类型(Protocol) 。在 RFC790 中有定义,1 表示传输层是ICMP 协议(课本 P31) 。8)“00 00” 这个 16bit 是头校验和(Header Checksum) 。9)“C0 A8 01 04”表示源地址,也就是 PC 的 IP 地址,转换为十进制的 IP 地址就是:192.168.1.4。10) “C0 A8 01 64”表示目标 IP 地址,转换为十进制的 IP 地址就是:192.168.1.100。以下截取的是 TP 头部的部分对应的详细信息。(2)抓取 ICMP 协议数据包,分析 ICMP 协议的头部信息。由上
7、抓包截图可知,ICMP 的报头头为:08 00 42 5E 02 00 0B 00 41 42参照以上图并结合 ICMP 报文头部格式可以进行详细的 ICMP 数据报格式分析;1) “08” 表示一个 8 位类型字段,表示 ICMP 数据包类型。2) “00” 表示一个 8 位代码域,表示指定类型中的一个功能。如果一个类型中只有一种功能,代码域置为 0。3) “42 5E”表示数据包中 ICMP 部分上的一个 16 位检验和。4) “02 00”表示示数据包中 ICMP 部分的 16 位识别号。5) “0B 00” 表示示数据包中 ICMP 部分的 16 位报文序列号。6) “41 42表示示
8、数据包中 ICMP 数据包中的的可选项内容。以下截图是 ICMP 数据报部分截图;(3)抓取 ARP 协议数据包,分析 ARP 协议数据包的信息和封装情况。由上抓包截图,我们可以清楚看到,ARP 帧(28 字节):00 0108 00 06 04 00 02 00 0C 29 1F 3E D3 C0 A8 01 0400 50 56 C0 00 03 C0 A8 01 64在往前看,可知以太网首部(14 字节)如下往最后看,为 18 字节的填充位:可知,该 ARP 数据包并没有填充位。结合上面抓包信息以及 ARP 报头结构,可将 28 字节的 ARP 帧结构进行如下详细地分析:00 0108
9、00 06 04 00 02 00 0C 29 1F 3E D3 C0 A8 01 0400 50 56 C0 00 03 C0 A8 01 641) “00 01”该两个字节表示硬件类型,这里为 1,为以太网。2) “08 00” 该两个字节表示协议类型,这里为 IP 协议。3) “06”该字节表示硬件地址(MAC 地址)长度为 6。4) “04” 该字节表示议地址(IP 地址)长度为 4。5) “00 02” 该两个字节表示应答操作。6) “00 0C 29 1F 3E D3 ” 表示源主机 MAC 地址为:00:0C:29:1F:D3:C0 。7) “C0 A8 01 04 ” 表示源主
10、机主机 IP 地址为:192.168.1.4.。8) “00 50 56 C0 00 03 ” 表示源主机 MAC 地址为:9) “C0 A8 01 64” 表示目的主机主机 IP 地址为:192.168.1.100以下是 ARP 数据包头中部分的分析:(4)抓取 TCP 协议数据包,分析 TCP 协议的头部信息04 30 00 15 3C F3 42 08 00 00 00 00 70 02FA F0 81 35 00 00 02 04 05 B4 01 01 04 02TCP 协议的头结构由上截图和 TCP 协议的头部结构图,可进行一下详细分析:TCP 包头占有 20 个字节,后面 02
11、04 05 B4 01 01 04 02 部分是可选项和数据部分。1) “04 30”表示源端口号位:10722) “00 15”表示目的端口号为:21,可知用了 FTP 文件文件传输。3)“3C F3 42 08”表示数据包顺序号(Sequence Number) 。4) “00 00 00 00”表示(Acknowledgment Number) ,简写为 ACKNUM。在此为全 0,表示没有连接成功,无确认。5) “70 02 ”两字节中,前 4 位为头部长度,用十进制表示为 7,转化为字节,总共有 74=28 字节;中间六位为保留,都为 0,在 TCP 协议没有用上;后面 6 位为 0
12、00010,是重要的 6 个标志位,此时SYN=1,ACK=0,连接响应时,表示连接向应超时。8) “FA F0”两个字节表示窗口大小为 64240。9) “81 35”这个 16bit 是头校验和( Header Checksum) 。10) “00 00”为紧急指针,此时表示没有,当且仅当 URG 同时置 1 才有效。为了进一步加深分析,一下简要接触部分 TCP 头部信息;(5)抓取 UDP 协议数据包,分析 UDP 协议的头部信息UDP 协议的头结构:结合抓包截图和 UDP 的包头结构,可进行以下详细分析:04 03 00 35 00 26 47 23 1) “04 03”表示源端口号,将其转化为十进制为:1027 端口(从后面的截图,额可以直观看出) 。2) “00 35”表示目的端口号,将其转化为十进制为:53 端口,故是 DNS 程序。3) “00 26”表示数据包的封装长度,为 38.4) “47 23”表示数据包的校验和为 4723以下为 UDP 数据包的的各部分截图。(6)监测网络中计算机的连接状况 (7)监测网络中数据的协议分布实验结果分析通过本次试验,巩固了 TCP/IP 协议簇的协议数据包结构的分析。教师批阅:
