收藏
下载资源

网络监听实验-arp-icmp

上传人:子 文档编号:44822432 上传时间:2018-06-14 格式:DOCX 页数:7 大小:1.31MB
返回 下载 相关 举报
网络监听实验-arp-icmp_第1页
第1页 / 共7页
网络监听实验-arp-icmp_第2页
第2页 / 共7页
网络监听实验-arp-icmp_第3页
第3页 / 共7页
网络监听实验-arp-icmp_第4页
第4页 / 共7页
网络监听实验-arp-icmp_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《网络监听实验-arp-icmp》由会员分享,可在线阅读,更多相关《网络监听实验-arp-icmp(7页珍藏版)》请在金锄头文库上搜索。

1、网络监听实验网络监听实验1. 熟悉 IP地址与 MAC地址的概念 2. 理解 ARP协议原理 3. 理解 ICMP 协议原理 4. 掌握网络监听方法 二、实验环境与设备 本实验在 连接因特网 的局域网环 境中进行操 作,需要的 设备有:两 台PC 机, WireShark监听软件。 WireShark监听软件可从网址: http:/www.wireshark.org/下 载。实验配置如图所示。交换机因特网MODEM三、实验原理1IP 地址、MAC 地址和 ARP 协议 在计算机网络体系结构中,协议栈的每一层都 分配唯一的编号来区别各个实 体。其中,IP 地址用于标识因特网上的主机,端口号则用于

2、区别在同一主机上运行 的不同网络应用程序,在数据链路层采用 MAC地址来识别不同的网络设备。 在因特网上,IP 地址用于主机间通信,无论它们是否属于同一局域网。在同一 局域网中各主机之间进行数据传输前,要先用 MAC 地址封装数据帧,如果发送方不 知道接收方的 MAC 地址, 则要先根据目的 IP 地址转化为对应的 MAC 地址。 ARP 协议 的 功能就是实现 IP 地址到 MAC 地址的转换。2ICMP 协议 ICMP 协议是配合 IP 协议使用的网络层协议,它的报文不是直接传送到数据链 路层0,而是封装成 IP 数据报后再传送到数据链路层。ICMP 能够报告网络层31 件的 状 态。一些

3、 ICMP 报文会请求信息,一些 ICMP 报文在网络层发生错误时发送。ICMP 回 送请求报文与回送应答报文格式如下:类型:8 或0代码:0校验和标识符序号可选数据说明:类型为8-回送请求,为0-回送应答3.PING 命令 PING是 ICMP协议的一个重要应用, 它使用 ICMP回送请求与回送应答报文, 用 来 测试网络是否通畅或者网络连接速度的命令。它的工作原理是:网络上的机器都 有唯一确定的 IP 地址,我们给目标 IP 地址发送一个数据包,对方就要返回一个同 样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断 目标主机的操作系统等。 在 DOS 窗口中键入:pi

4、ng /? 回车。可以显示 PING 命令的所有参数。在此, 我们只掌握一些基本的很有用的参数就可以了。 z-t 表示将不间断向目标 IP 发送数据包,直到我们强迫其停止(按下组合 键 CTRL+C。 z-l 定义发送数据包的大小,默认为 32 字节,最大为 65500 字节。结合上 面介绍的-t参数一起使用,会有更好的效果。4. TRACERT 命令 TRACERT 程序是 ICMP 协议的另一个应用,命令格式为:tracert 目的地址。 它基于 ICMP协议和 IP 首部的 TTL 字段。 说明:因为在分组交换网络中每个数据报是独立路由的,所以由 TRACERT 发 送的每个数据报的传输

5、路径实际上可能是不相同的,因此,TRACERT 可能暗示一条 主机间并不存在的连接。因特网路径经常变动,在不同的时间对同一个目的主机执 行几次 TRACERT 命令,得到的探测结果可能是不一样的。 四、实验内容 1. 查看本机IP 地址与 MAC 地址 2. 地址解析协议 ARP 3. ICMP 协议的应用 PING 4. ICMP 协议的应用 TRACERT 五、实验步骤 1. 查看本机 IP 地址与 MAC 地址 在命令行窗口中输入命令: ipconfig /all , 在显示结果中可以看到本机的 MAC 地址,IP 地址,子网掩码,默认网关等信息。请以截屏形式记录你的主机的运行结 果。2

6、. 地址解析协议 ARP (1)查看高速缓存中的 ARP 表 命令格式:arp a/显示ARP表中所有项目 ARP 表项在没有进行手工配置前,通常都是动态 ARP 表项,所以在不同时间运 行 arp a命令,运行结果也不大相同。 运行 arp a 命令,查看运行结果。如果高速 Cache 中的 ARP表为空,则输出 的 结果为“NO ARP Entries Found” ;运行 WireShark 软件,选择 capture-options,在 capture filter 文本框中 输入:arp and host 本机 IP 地址,例如:arp and host 120.92.114.213

7、,这个 过滤条件的意思是指只监听进出主机 120.92.114.213 的 arp 数据包,过滤局域网 中其它主机通信报文。点击 start开始监听。 执行命令 ping 120.92.112.77 去 ping 局域网中的其它主机 B(主机 B 的 IP 地 址为:120.92.112.77且主机B的IP地址不在本机的ARP高速缓存中WireShark 中开始监 听到数据包, 当没有数据包到来后, 停止监听并保存监听记录为 3-1.pcap。 示例监听 结果如下图:因为主机 A 的 ARP 缓存中没有主机 B 的 IP 地址和 MAC 地址对应表项,所以这 条 命令的运行过程是:主机 A 向

8、局域网发送一个 ARP 广播请求报文;局域网中的所 有 主机都收到这个报文,但只有主机 B 向主机A 发送应答报文;然后,主机 A 向主 机 B 发送 PING 请求;主机 A 的 ARP 缓存中添加了主机 B 的表项,同时在主机 B 的 ARP 缓存 中也有主机 A 的表项。 打开监听文件 3-1.pcap,对监听到的数据进行分析并记录: z在监听记录中找出主机 A 发送的ARP广播请求报文,并查看该报文的目的 地址是什么? z在监听记录中找出主机 B 向主机A 发送的应答报文,并查看该报文的目的 地址是什么? z选择第一条监听记录,分析 ARP 报文格式,并画出来。再次用命令 arp -a

9、 查看ARP 表项的变化情况,可以发现多了 B 的表项。此时,在 WireShark 中设置 capture filter 为:host 120.92.114.213 and arp or icmp。点击 start 按钮进行监听。 当主机 A 的 ARP 缓存中已有主机 B 的表项,用 ping 命令再去 ping 主机 B,此 时, 主机 A 不需要再发送 ARP 广播报文,而是直接向主机 B 发送 PING 请求,保存 监听记 录为 3-2.pcap。在监听记录中,我们知道没有 ARP 报文产生,下图为监听结 果示例。隔 2 分钟后,再次使用 arp a,从命令执行结果中可以看出此时 A

10、RP 表项中 没有主机 B的表项,这是由于 Windows 操作系统的主机其动态 ARP 表项的默认生命 期 是 2 分钟。 用 ping 命令去 ping 局域网中的一台没有开机的主机(120.92.112.79),由于 主 机 A 的ARP 缓存中没有该未开机主机的表项,所以主机 A又执行 ARP协议,向局 域网 发送 ARP 广播请求报文,由于没有主机应答该广播报文,所以在监听记录里, 我们 只看到 ICMP 回送请求报文,而监听不到 ICMP回送应答报文。 再次查看主机 A 的ARP表,看看是否发生了什么变化?(2)添加 ARP 静态表项 命令格式:arpsIP 地址MAC 地址 把在

11、第(1)步中找到的一个合法 IP 地址(例如:120.92.112.77)和对应 MAC 地址添加进 ARP 表中。 命令格式为:arp s120.92.112.7700-C0-9F-FF-E9-E5。 查看 ARP 表项,可发现增加了一个类型为 static 的表项;隔一段时间后, 再次使用 arp a, 可以看到 ARP 缓存里static 表项一直存在, 除 非人为删除或重启机器。 (3)删除ARP 静态表项 命令格式: arpdIP 地址 例如:arp d 120.92.112.77 (4)清空ARP 高速缓存 命 令格式:arpd* 3. ICMP 协议的应用 PING ( 1)在

12、局域网中 的一台主 机 A (192.168.0.100)中执行命令: PING 192.168.0.1,并把监听结果保存在 3-4.pcap 文件中。 192.168.0.1这个 IP 地址是主机 A 的默认网关, 它是一个本地路由器, 该命令 向 本地路由器发送 4 个ICMP 回送请求分组,并接收到 4 个ICMP 回送应答分组。打开监听文件 3-4.pcap,并对监听结果进行分析: z请在监听记录中找出这 4 个回送请求分组,回送请求分组的类型号是 多 少?数据部分是什么内容? z请在监听记录中找出这 4 个回送应答分组,回送应答分组的类型号是 多 少? zICMP 报文是被包含在 I

13、P数据报的数据部分中, 请找出 IP 首部中协议字段 的 值是多少?(该字段的值表明数据部分是 ICMP 报文) z如果 IP 数据报的数据部分是 TCP 报文段或是 UDP 数据报时,首部中的协 议字段值又是多少?(2)PING 域名 在 命 令窗 口 中 输入 : PING , 可 得百 度 的 IP 地 址 为 61.135.169.105。另外,从返回的 TTL 值可初步判断出目的主机的操作系统类型。各种操作系统 的默认 TTL值如下:Windows NT/2000/XP 系统的TTL 值为128, UNIX 主机的 TTL 值 为 255,Linux 系统的TTL值为 64。因此,

14、百度服务器的操作系统可能为 Linux。 说明 操作系统 TTL 值是可以被修改的,根据 TTL 来猜测操作系统不一定 100%准 确。 4. ICMP 的应用 tracert (1)监听准备 运行 WireShark 软件,选择 capture-options,在 capture filter 文本框中 输 入 icmp,点击 start开始监听。 (2)运行命令 tracert 打开命令行程序,输入命令:tracert ,观察返回信息。并且可以 发现WireShark中收集了一连串记录,保存监听记录为 3-5.pcap。(3)分析监听结果 打开监听文件 3-5.pcap,对监听结果进行分析

15、: z选择一条“Time to live exceeded”记录,请问 ICMP 超时差错报告报文 的类 型号是多少? z选择一条“Time to live exceeded”记录,其中有两个 IP 首部,这两个 IP 首 部的内容相同吗?为什么? z针对各条“Echo(ping) request”记录,观察每个 IP 数据报的初始 TTL 值的 变化情况,数据部分内容是什么? z记录源主机到目的主机所经过的路径及花费的时间。 六、 实验报告要求1按实验步骤中的要求进行分析,附上截屏。 2. 本次实验提交内容: 实验报告和实验监听文件 3-1.pcap到 3-5.pcap, 压缩 成一个 RAR文档,文件命名:学号+姓名+实验名称。 七、思考 运行网络监听的主机只是被动地接收在局域网上传输的信息,不会主动与其他 主机交换信息,也不会修改网络中传输的数据包。那么,如何检测网络中是否存在 的监 听行为?

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号