网络监听实验-arp-icmp.docx

网络监听实验1. 熟悉 IP 地址与 MAC 地址的概念2. 理解 ARP 协议原理3. 理解 ICMP 协议原理4. 掌握网络监听方法二、实验环境与设备本实验在连接因特网的局域网环境中进行操作，需要的设备有：两台PC机， WireShark监听软件。WireShark监听软件可从网址：/下 载。实验配置如图所示。交换机因特网MODEM三、实验原理1IP 地址、MAC 地址和 ARP 协议 在计算机网络体系结构中，协议栈的每一层都分配唯一的编号来区别各个实体。其中，IP 地址用于标识因特网上的主机，端口号则用于区别在同一主机上运行 的不同网络应用程序，在数据链路层采用 MAC 地址来识别不同的网络设备。在因特网上，IP 地址用于主机间通信，无论它们是否属于同一局域网。在同一 局域网中各主机之间进行数据传输前，要先用 MAC 地址封装数据帧，如果发送方不 知道接收方的 MAC 地址，则要先根据目的 IP 地址转化为对应的 MAC 地址。ARP 协议 的功能就是实现 IP 地址到 MAC 地址的转换。2ICMP 协议ICMP 协议是配合 IP 协议使用的网络层协议，它的报文不是直接传送到数据链 路层0，而是封装成 IP 数据报后再传送到数据链路层。ICMP 能够报告网络层事31件的 状态。一些 ICMP 报文会请求信息，一些 ICMP 报文在网络层发生错误时发送。ICMP 回送请求报文与回送应答报文格式如下：类型：8 或 0代码：0校验和标识符序号可选数据说明：类型为 8-回送请求，为 0-回送应答3.PING 命令PING 是 ICMP 协议的一个重要应用，它使用 ICMP 回送请求与回送应答报文，用 来测试网络是否通畅或者网络连接速度的命令。它的工作原理是：网络上的机器都 有唯一确定的 IP 地址，我们给目标 IP 地址发送一个数据包，对方就要返回一个同 样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断 目标主机的操作系统等。在 DOS 窗口中键入：ping /? 回车。可以显示 PING 命令的所有参数。在此， 我们只掌握一些基本的很有用的参数就可以了。z-t 表示将不间断向目标 IP 发送数据包，直到我们强迫其停止（按下组合 键 CTRL+C）。z-l 定义发送数据包的大小，默认为 32 字节，最大为 65500 字节。结合上 面介绍的-t 参数一起使用，会有更好的效果。4. TRACERT 命令TRACERT 程序是 ICMP 协议的另一个应用，命令格式为：tracert 目的地址。 它基于 ICMP 协议和 IP 首部的 TTL 字段。说明：因为在分组交换网络中每个数据报是独立路由的，所以由 TRACERT 发 送的每个数据报的传输路径实际上可能是不相同的，因此，TRACERT 可能暗示一条 主机间并不存在的连接。因特网路径经常变动，在不同的时间对同一个目的主机执 行几次 TRACERT 命令，得到的探测结果可能是不一样的。四、实验内容1. 查看本机 IP 地址与 MAC 地址2. 地址解析协议 ARP3. ICMP 协议的应用 PING4. ICMP 协议的应用 TRACERT五、实验步骤1. 查看本机 IP 地址与 MAC 地址在命令行窗口中输入命令：ipconfig /all ，在显示结果中可以看到本机的 MAC 地址，IP 地址，子网掩码，默认网关等信息。请以截屏形式记录你的主机的运行结 果。2. 地址解析协议 ARP（1）查看高速缓存中的 ARP 表命令格式：arp a/显示 ARP 表中所有项目ARP 表项在没有进行手工配置前，通常都是动态 ARP 表项，所以在不同时间运 行 arp a 命令，运行结果也不大相同。运行 arp a 命令，查看运行结果。如果高速 Cache 中的 ARP 表为空，则输出 的结果为“NO ARP Entries Found”；运行 WireShark 软件，选择 capture-options，在 capture filter 文本框中输入：arp and host 本机 IP 地址，例如：arp and host 13，这个 过滤条件的意思是指只监听进出主机 13 的 arp 数据包，过滤局域网 中其它主机通信报文。点击 start 开始监听。执行命令 ping 7 去 ping 局域网中的其它主机 B（主机 B 的 IP 地址为：7），且主机 B 的 IP 地址不在本机的 ARP 高速缓存中。WireShark 中开始监听到数据包，当没有数据包到来后，停止监听并保存监听记录为 3-1.pcap。 示例监听结果如下图：因为主机 A 的 ARP 缓存中没有主机 B 的 IP 地址和 MAC 地址对应表项，所以这 条命令的运行过程是：主机 A 向局域网发送一个 ARP 广播请求报文；局域网中的所 有主机都收到这个报文，但只有主机 B 向主机 A 发送应答报文；然后，主机 A 向主 机 B 发送 PING 请求；主机 A 的 ARP 缓存中添加了主机 B 的表项，同时在主机 B 的 ARP 缓存中也有主机 A 的表项。打开监听文件 3-1.pcap，对监听到的数据进行分析并记录：z在监听记录中找出主机 A 发送的 ARP 广播请求报文，并查看该报文的目的 地址是什么？z在监听记录中找出主机 B 向主机 A 发送的应答报文，并查看该报文的目的 地址是什么？z选择第一条监听记录，分析 ARP 报文格式，并画出来。再次用命令 arp -a 查看 ARP 表项的变化情况，可以发现多了 B 的表项。此时，在 WireShark 中设置 capture filter 为：host 13 and arp or icmp。点击 start 按钮进行监听。当主机 A 的 ARP 缓存中已有主机 B 的表项，用 ping 命令再去 ping 主机 B，此 时，主机 A 不需要再发送 ARP 广播报文，而是直接向主机 B 发送 PING 请求，保存 监听记录为 3-2.pcap。在监听记录中，我们知道没有 ARP 报文产生，下图为监听结 果示例。隔 2 分钟后，再次使用 arp a，从命令执行结果中可以看出此时 ARP 表项中 没有主机 B 的表项，这是由于 Windows 操作系统的主机其动态 ARP 表项的默认生命 期是 2 分钟。用 ping 命令去 ping 局域网中的一台没有开机的主机（9），由于 主机 A 的 ARP 缓存中没有该未开机主机的表项，所以主机 A 又执行 ARP 协议，向局 域网发送 ARP 广播请求报文，由于没有主机应答该广播报文，所以在监听记录里， 我们只看到 ICMP 回送请求报文，而监听不到 ICMP 回送应答报文。再次查看主机 A 的 ARP 表，看看是否发生了什么变化？（2）添加 ARP 静态表项命令格式：arpsIP 地址MAC 地址把在第（1）步中找到的一个合法 IP 地址（例如：7）和对应 MAC 地址添加进 ARP 表中。命令格式为：arp s700-C0-9F-FF-E9-E5。 查看 ARP 表项，可发现增加了一个类型为 static 的表项；隔一段时间后，再次使用 arp a，可以看到 ARP 缓存里 static 表项一直存在， 除非人为删除或重启机器。（3）删除 ARP 静态表项 命令格式：arpdIP 地址 例如：arp d 7（4）清空 ARP 高速缓存 命令格式：arpd*3. ICMP 协议的应用 PING（1）在局 域网中的 一 台主机 A （ 00 ）中执行命令： PING，并把监听结果保存在 3-4.pcap 文件中。 这个 IP 地址是主机 A 的默认网关，它是一个本地路由器，该命令 向本地路由器发送 4 个 ICMP 回送请求分组，并接收到 4 个 ICMP 回送应答分组。打开监听文件 3-4.pcap，并对监听结果进行分析：z请在监听记录中找出这 4 个回送请求分组，回送请求分组的类型号是多 少？数据部分是什么内容？z请在监听记录中找出这 4 个回送应答分组，回送应答分组的类型号是多 少？zICMP 报文是被包含在 IP 数据报的数据部分中，请找出 IP 首部中协议字段 的值是多少？（该字段的值表明数据部分是 ICMP 报文）z如果 IP 数据报的数据部分是 TCP 报文段或是 UDP 数据报时，首部中的协 议字段值又是多少？（2）PING 域名在命令窗 口中输入 ： PING ，可得百 度的 IP地址为 05。另外，从返回的 TTL 值可初步判断出目的主机的操作系统类型。各种操作系统 的默认 TTL 值如下：Windows NT/2000/XP 系统的 TTL 值为 128, UNIX 主机的 TTL 值 为 255,Linux 系统的 TTL 值为 64。因此，百度服务器的操作系统可能为 Linux。 说明 操作系统 TTL 值是可以被修改的，根据 TTL 来猜测操作系统不一定 100%准 确。4. ICMP 的应用 tracert（1）监听准备运行 WireShark 软件，选择 capture-options，在 capture filter 文本框中 输入 icmp，点击 start 开始监听。（2）运行命令 tracert打开命令行程序，输入命令：tracert ，观察返回信息。并且可以 发现WireShark中收集了一连串记录，保存监听记录为 3-5.pcap。（3）分析监听结果打开监听文件 3-5.pcap，对监听结果进行分析：z选择一条“Time to live exceeded”记录，请问 ICMP 超时差错报告报文 的类型号是多少？z选择一条“Time to live exceeded”记录，其中有两个 IP 首部，这两个 IP 首部的内容相同吗？为什么？z针对各条“Echo(ping) request”记录，观察每个 IP 数据报的初始 TTL