《实验1----网络协议分析Ethereal》由会员分享,可在线阅读,更多相关《实验1----网络协议分析Ethereal(28页珍藏版)》请在金锄头文库上搜索。
1、实验1 网络协议分析Ethereal1实验目的(1)学会正确安装和配置网络协议分析软件Ethereal;(2)掌握使用Ethereal分析各种网络协议的技能,加深对协议格式、协议层次和协议交互过程的理解。 2实验环境(1)运行Windows 20002003 ServerXP操作系统的PC一台; (2)每台PC具有一块以太网卡,通过双绞线与局域网相连; (3)Ethereal程序(可以从网上下载)。3实验步骤 (1)安装网络协议分析仪1)安装winPcap。 注意,网络协议分析软件Ethereal的运行需要软件winPcap(wpcap.dll)的支持,应当在执行Ethereal前先霉装Win
2、PcaP。如果没有安装winPcap,则在执行“EtherealCaptureStar时会出现错误。 2)安装Ethereal。 (2)使用Ethereal分析协议 1)启动系统。点击“Ethereal”程序组中的“Ethereal图标,将会出现如图1-1所示的系统操作界面。图1-1 Ethereal 系统主界面 2)分组俘获。点击“CaptureStart菜单,出现图1-2所示的界面。在“Interface” (接口)框的下拉列表中选择一个适当的接口项,其余项可暂时保持默认配置。然后,点击“OK”按钮,系统开始俘获网络分组。当按“stop” (停止)按钮时,系统停止俘获分组并将已经俘获明分组
3、信息装载在分析系统中。图1-2 俘获分组配置界面3)协议分析。如图1-3所示,在上部的窗口中,有帧编号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列,各列下方依次排列着俘获的分组。中部的窗口给出选中的某帧的详细内容。下部窗口中是与中部窗口对应的该协议帧某字段的十六进制数值内容。图1-3 协议分析界面可以将俘获的帧与网络教材中的ARP、UDP、ICMP、SNMP等协议帧格式进行对照,并分析其中的信息。4 实验结果实验结果分析;数据桢192.168.0.24 Broadcast ARP who has 192
4、.168.0.587 tell 192.168.0.24192168024:网络中的一个节点,机器的IP地址Broadcast:现在的通信方式,在自己的ARQ中未找到192。168。0。587 采用广播来询问其他是否有寻到这个地址who has 192.168.0.587:询问的内容,谁的地址为192。168。0。587 是则返回数据给192。168。0。24 不是则不返回http帧分析:3460 476,614488 192.168.0.46 192.168.0.51 http get/http/1.1请求行:GET(方法),路径是HTTP 1.1版本。头部:表明客户端可以接受任何格式的文档
5、(通配符)。状态行:HTTP/1.1 200 ok我们在IP地址为192.168.0.46的电脑上访问我们自己做好的ftp网站 ,所以desitination显示的是192.168.0.51实验2 理解A R P协议 1实验目的(1)深入理解ARP(地址解析协议)的工作原理和重要作用;(2)能够使用ARP命令对ARP选路表(下文简称ARP表)进行简单操作。 2实验环境(1)运行Windows 20002003 ServerXP操作系统的PC一台;(2)每台PC具有一块以太网卡,通过双绞线与局域网相连;(3)每台PC运行程序协议分析仪Ethereal。3实验步骤 (1)使用ARP命令 打开“命令
6、提示符”界面,键入“arp -a”指令查看本机ARP表中的内容,结果如图2-1所示。图2-1 查看本机ARP表中的内容注意,在ARP表中,各主机的逻辑地址与物理地址是一一对应的,由此形成表项。主机之间进行物理通信前,首先要查找本机ARP表,如果有对应项,则将通信对方的IP地址转换为相应的物理地址。“Type栏下的“dynamic”字段表明该表项处在动态更新中。如果20分钟内没有其他访问网络的操作,ARP表会自动清空(如图2-2所示)。图2-2 20分钟后自行清空ARP表 如果不想等待20分钟,可使用“arp -d命令主动清空ARP表的内容。此时再执行“arp -a命令,会发现ARP表已经清空(
7、见图2-3)。图2-3 主动清空ARP表我们还可以使用“arp -s命令手工设置ARP表表项,如“arp -s 169 .254. 112 .34 00 cd0d3300 34”(如图2-4所示)。图2-4 手工设置ARP表 (2)分析ARP协议工作过程 具体操作步骤: 1)在实验单元中选择本机,显示 ARP表中的所有项。 2)清除ARP表中的所有项。 (3)用ARP命令查找IP地址冲突主机 若网络上有两台或多台主机设置了相同的IP地址,那么主机的屏幕上会频繁出现IP 地址冲突的提示,这将严重影响网络工作秩序。如果能同时观察到这些主机,那么通过修改其一”一台主机的IP地址即可解决问题。但是如果
8、我们仅能观察到其中的一台PC提示 “IP地址如192. 9. 201. 111冲突”,那么应如何确定是哪两台主机设置了相同的IP地址呢? 首先,我们将该报警主机的IP地址修改为一个未用地址。其次,在该机命令提示符界面输入“ping 192 .9.201.111”,确定该主机是否还在本网中运行,如果有响应,ARP协议就会使其留下痕迹。接下来,执行arp a”命令,显示本主机内存中IP地址与MAC:地址对应记录,就可以发现哪台主机具有IP地址192. 9. 20l. 111了(网络管理员通常应当掌握本网中每台主机的网卡MAC地址)。 (4)分析ARP协义的基本工作过程 我们可以用Ethereal来
9、分析主机间通过通信生成和更新ARP表的过程,分析主机问是如何利用ARP协议完成IP地址与MAC地址的映射,从而完成局域网内的通信的。3 实验结果4实验结果分析:ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数
10、据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。ARP解决方案五、 ARP欺骗解决方案: 方案A:IP-MAC绑定 通过双向IP-MAC绑定可以抵御ARP欺骗,解决由于ARP欺骗造成的网络掉线、IP冲突等问题,保证网络畅通。 1、客户机绑定网关IP-MAC:在客户机设置网关IP与MAC为静态映射,将如下内容复制到记事本中并保存为staticarp.reg,(网关IP、网关MAC根据实际情况填写,例:staticarp=arp
11、 s 192.168.0.1 00-01-02-03-04-05) Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun staticarp=arp s 网关IP 网关MAC 将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置,文件名为run.bat,(网关IP、网关MAC根据实际情况填写,例:staticarp=arp s 192.168.0.1 00-01-02-03-04-05) each off regedit /s .r
12、unstaticarp.reg arp -s网关IP 网关MAC 双击运行run.bat 2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序将staticarp.reg、run.bat保存到同一文件夹下,登录Ahnlab Plicy Center Admin,服务器管理登录分发软件添加,选中保存staticarp.reg、run.bat的文件夹,中输入对所选择的文件夹压缩后生成的压缩文件的名称,中输入应用程序名称,中输入简单说明,中输入run.bat,单击。 Ahnlab Plicy Center Admin策略管理中选中需要分发的群组或客户机,点右键,紧急安全指令-分发,选中,选中
13、要分发的软件,点击。 3、网关绑定客户机IP-MAC:使用支持IP/MAC绑定的网关设备,在网关设备中设置客户机的静态IP-MAC列表。注:方案A可以抵御ARP欺骗,保证网络正常运行,但不能定位及清除ARP攻击源。 方案B:利用ARP命令及nbtscan定位ARP攻击源 1、确定ARP攻击源MAC地址 ARP欺骗发作时,在受到ARP欺骗的计算机命令提示符下输入arp a,APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址,则为ARP攻击源的MAC地址,一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址;在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。
14、 2、定位ARP攻击源计算机 已全网面署APC2.5的环境:在Policy Center Admin 2.5中,查找agent,查找ARP攻击源的MAC地址,定位攻击源计算机。未布署APC2.5的环境:运行Nbtscan MAC扫描器gui.exe,输入局域网IP地址范围,点击开始,显示局域网内IP、计算机名与MAC对应关系,查找ARP攻击源MAC对应的IP地址及计算机名,根据IP地址及计算机名定位攻击源计算机。实验3 网络命令使用实验 1实验目的 (1)了解IP、ARP、ICMP、NetBIOS、FTP和Telnet等网络协议的功能。 (2)熟悉各种常用网络命令的功能,了解如何利用网络命令检查和排除网络故障的方法。 (3)熟练掌握WindowsXP下常用网络命令的用法。 2实验内容 练习使用实验下述的各种网络命令,观察并分析运行结果。 3实验设备 计算机多台,每台计算机配有网卡,并连成局域网。客户机通过服务器接入Internet,查看各机器的IP地址及网关 4实验步骤 (1)通过Ping检测网络故障 正常情况下,当用Ping命令来查找问题所在或检验网络运行情况时,需要使用许多Ping命令,
