《网络协议分析》实验

资源描述

《《网络协议分析》实验》由会员分享，可在线阅读，更多相关《《网络协议分析》实验（12页珍藏版）》请在金锄头文库上搜索。

1、实实验验报报告告项目名称：项目名称：网络协议分析仪的应用网络协议分析仪的应用课程名称：课程名称：计算机网络计算机网络B 班级：科 04-2 姓名：成文溪学号： 041504 教师：张晓明信息工程学院计算机系实验一实验一网络协议分析仪的应用网络协议分析仪的应用 1实验目的实验目的 ? 了解协议分析仪的使用方法和基本特点，掌握使用协议分析仪分析协议的方法。 ? 了解 Ping 命令的工作过程； ? 了解 FTP 协议的工作过程。 2实验前的准备实验前的准备 ? 熟悉 Ping 命令，FTP 协议； ? 了解协议分析仪的功能和工作原理； ? 了解 Ethereal 分析

2、仪的使用方法； ? 阅读本实验的阅读文献； 3实验内容实验内容 ? 学习捕获选项的设置和使用。 ? 使用 Ethereal 分析仪捕获一段 Ping 命令的数据流，并分析其工作过程。 ? 登录ftp:/，并下载三个大小不同的文件（小于 1KB、1KB1MB、1MB以上），使用Ethereal分析仪分析其工作过程。 ? 设置显示过滤器，以显示所选部分的捕获数据。 ? 保存捕获的数据，分别是 TEXT 文件和 XML 文件。 4实验要求实验要求 ? 完成上述实验内容； ? 记录捕获的关键数据，并分析协议工作过程。 ? 上交实验报告和保存的实验数据。 5阅读文献阅读文献 ? Ethereal 分析

3、仪网站. http:/ ? 张基温. 计算机网络实验与实践教程. 北京：清华大学出版社，2005.11. ? 福禄克公司关于协议分析（测试）仪的网站. http:/ ? Kenneth D. Reed 著，孙坦等译. 协议分析M. 北京：电子工业出版社，2002. ? 谢鲲，张大方. 共享网段网络协议分析系统设计与实现J. 计算机工程与科学，2002.24(2). 1. ping 命令在一般情况下还可以通过 ping 对方让对方返回给你的 TTL 值大小，粗略的判断目标主机的系统类型是 Windows 系列还是 UNIX/Linux 系列，一般情况下 Windows 系列的系统返回的 T

4、TL 值在 100-130 之间，而 UNIX/Linux 系列的系统返回的 TTL 值在 240-255 之间，当然 TTL 的值在对方的主机里是可以修改的，ping 命令用于确定能否与其他主机交换数据包，通过返回信息判断 tcp/ip 参数是否设置正确以及能否正常运行。若测试成功，则显示 reply from.若测试不成功，则显示 request timed out. ping 命令的参数详解 -a 将目标的机器标识转换为 ip 地址 -t 若使用者不人为中断会不断的 ping 下去 -c count 要求 ping 命令连续发送数据包，直到发出并接收到 count 个请求 -d 为

5、使用的套接字打开调试状态 -f 是一种快速方式 ping。使得 ping 输出数据包的速度和数据包从远程主机返回一样快，或者更快，达到每秒 100 次。在这种方式下，每个请求用一个句点表示。对于每一个响应打印一个空格键。 -i seconds 在两次数据包发送之间间隔一定的秒数。不能同-f 一起使用。 -n 只使用数字方式。在一般情况下 ping 会试图把 IP 地址转换成主机名。这个选项要求 ping 打印 IP 地址而不去查找用符号表示的名字。如果由于某种原因无法使用本地 DNS 服务器这个选项就很重要了。 -p pattern 拥护可以通过这个选项标识 16 pad 字节，把这些字节

6、加入数据包中。当在网络中诊断与数据有关的错误时这个选项就非常有用。 -q 使 ping 只在开始和结束时打印一些概要信息。 -R 把 ICMP RECORD-ROUTE 选项加入到 ECHO_REQUEST 数据包中，要求在数据包中记录路由，这样当数据返回时 ping 就可以把路由信息打印出来。每个数据包只能记录 9 个路由节点。许多主机忽略或者放弃这个选项。 -r 使 ping 命令旁路掉用于发送数据包的正常路由表。 -s packetsize 使用户能够标识出要发送数据的字节数。缺省是 56 个字符，再加上 8 个字节的 ICMP 数据头，共 64 个 ICMP 数据字节。 -v

7、使 ping 处于 verbose 方式。它要 ping 命令除了打印 ECHO-RESPONSE 数据包之外，还打印其它所有返回的 ICMP 数据包。 Ping-注意 : Ping 命令通过向计算机发送 ICMP 回应报文并且监听回应报文的返回，以校验与远程计算机或本地计算机的连接。对于每个发送报文， Ping 最多等待 1 秒，并打印发送和接收把报文的数量。比较每个接收报文和发送报文，以校验其有效性。默认情况下，发送四个回应报文，每个报文包含 64 字节的数据（周期性的大写字母序列）。可以使用 Ping 实用程序测试计算机名和 IP 地址。如果能够成功校验 IP 地址却不能成功

8、校验计算机名，则说明名称解析存在问题。这种情况下，要保证在本地 HOSTS 文件中或 DNS 2.FTP 协议一般来说，用户联网的首要目的就是实现信息共享，文件传输是信息共享非常重要的一个内容之一。 Internet 上早期实现传输文件，并不是一件容易的事，我们知道 Internet 是一个非常复杂的计算机环境，有 PC，有工作站，有 MAC，有大型机，据统计连接在 Internet 上的计算机已有上千万台，而这些计算机可能运行不同的操作系统，有运行 Unix 的服务器，也有运行 Dos、Windows 的 PC 机和运行 MacOS 的苹果机等等，而各种操作系统之间的文件交流问题，需

9、要建立一个统一的文件传输协议，这就是所谓的 FTP。基于不同的操作系统有不同的 FTP 应用程序，而所有这些应用程序都遵守同一种协议，这样用户就可以把自己的文件传送给别人，或者从其它的用户环境中获得文件。文件传送协议 FTP（File Transfer Protocol）是 Internet 文件传送的基础。通过该协议，用户可以从一个 Internet 主机向另一个 Internet 主机拷贝文件。文件传输协议（FTP）使得主机间可以共享文件。 FTP 使用 TCP 生成一个虚拟连接用于控制信息，然后再生成一个单独的 TCP 连接用于数据传输。控制连接使用类似 TELNET 协议

10、在主机间交换命令和消息。 FTP 的主要功能如下：提供文件的共享（计算机程序 / 数据）；支持间接使用远程计算机；使用户不因各类主机文件存储器系统的差异而受影响；可靠且有效的传输数据。 FTP ，尽管可以直接被终端用户使用，但其应用主要还是通过程序实现。 FTP 控制帧即指 TELNET 交换信息，包含 TELNET 命令和选项。然而，大多数 FTP 控制帧是简单的 ASCII 文本，可以分为 FTP 命令或 FTP 消息。 FTP 消息是对 FTP 命令的响应，它由带有解释文本的应答代码构成。 3.协议分析仪协议分析仪就是能够捕获网络报文的设备。协议分析仪的正当用处在于扑捉分析

11、网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用协议分析仪来作出精确的问题判断。 Sniffer程序是一种利用以太网的特性把网络适配卡（NIC，一般为以太网卡）置为杂乱（promiscuous）模式状态的工具，一旦网卡设置为这种模式，它就能接收传输在网络上的每一个信息包。普通的情况下，网卡只接收和自己的地址有关的信息包，即传输到本地主机的信息包。要使 Sniffer 能接收并处理这种方式的信息，系统需要支持 BPF，Linux 下需要支持 SOCKET 一 PACKET。但一般

12、情况下，网络硬件和 TCPIP 堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的 TCPIP 堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备 Bpfilter，而且需要 root 权限来运行这种程序，所以 sniffer 需要 root 身份安装，如果只是以本地用户的身份进人了系统，那么不可能唤探到 root 的密码，因为不能运行 Sniffer。基于 Sniffer 这样的模式，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等

13、一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权 4. Ethereal 分析仪的使用方法 interface: 指定在哪个接口（网卡）上抓包。一般情况下都是单网卡，所以使用缺省的就可以了。 Limit each packet: 限制每个包的大小，缺省情况不限制。 Capture packets in promiscuous mode: 是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。 Filter：过滤器。只抓取满足过滤规则的包（可暂时略过） File：如果需要将抓到的包写到文件中，在这里

14、输入文件名称。 use ring buffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。其他的项选择缺省的就可以了。 2、ethereal 的抓包过滤器抓包过滤器用来抓取感兴趣的包，用在抓包过程中。抓包过滤器使用的是 libcap 过滤器语言，在 tcpdump 的手册中有详细的解释，基本结构是： not primitive and|or not primitive . 如果你想抓取某些特定的数据包时，可以有以下两种方法，你可以任选一种:1).在抓包的时候，就先定义好抓包过

15、滤器，这样结果就是只抓到你设定好的那些类型的数据包；2).先不管三七二十一，把本机收到或者发出的包一股脑的抓下来，然后使用下节介绍的显示过滤器，只让 Ethereal 显示那些你想要的那些类型的数据包； 3、etheral 的显示过滤器在抓包完成以后，显示过滤器可以用来找到你感兴趣的包，可以根据 1)协议 2)是否存在某个域 3)域值 4)域值之间的比较来查找你感兴趣的包。实验结果及其分析：截取部分数据：分析：网卡 ip：129.168.0.24 Pinging 129.168.0.16 with 32 bytes of data: Reply from 129.168.0.16: bytes=32 time=50ms TTL=128 Reply from 129.168.0.16: bytes=32 time=50ms TTL=128 Reply from 129.168.0.16: bytes=32 time=50ms TTL=128 Reply from 129.168.0.16: bytes=32 time=50ms TTL=128 Ping statistics for 129.168.0.16: Packets: Sent = 4, Received = 4, Lost = 20(0 loss) App

展开阅读全文