网络协议分析最终版.doc

中南林业科技大学实验报告课程名称： 网络协议与分析 姓 名： 项 学 静 学 号： 20104422 专业班级： 2010级计算机科学与技术 系 （院）： 计算机与信息工程学院 实验时间： 2013年下学期 实验地点： 电子信息楼 602机房 成绩：指导教师评语： 签名： 年 月 日实验一 点到点协议PPP一、实验目的1 理解PPP协议的工作原理及作用。2 练习PPP，CHAP的配置。3 验证PPP,CHAP的工作原理。二、实验环境1 安装windows操作系统的PC计算机。2 Boson NetSim模拟仿真软件。三、实验步骤1、 绘制实验拓扑图利用Boson Network Designer绘制实验网络拓扑图如图1-1。本实验选择两台4500型号的路由器。同时，采用Serial串行方式连接两台路由器，并选择点到点类型。其中DCE端可以任意选择，对于DCE端路由器的接口(Serial 0/0)需要配置时钟信号（这里用R1的Serial 0/0作为DCE端）。2、 配置路由器基本参数 绘制完实验拓扑图后，可将其保存并装入Boson NetSim中开始试验配置。配置时点击Boson NetSim程序工具栏按钮eRouters,选择R1 并按下面的过程进行路由器1的基本参数配置：RouterenableRouter#conf tRouter(config)#host R1R1(config)#enable secret c1R1(config)#line vty 0 4R1(config-line)#password c2R1(config-line)#interface serial 0/0R1(config-if)#ip address 192.168.0.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#no shutdownR1(config-if)#endR1#copy running-config startup-config点击工具栏按钮eRouters，选择R2并按下面过程进行路由器的基本参数配置：RouterenableRouter#conf tRouter(config)#host R2R2(config)#enable secret c1R2(config)#line vty 0 4R2(config-line)#password c2R2(config-line)#interface serial 0/0R2(config-if)#ip address 192.168.0.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#endR2#copy running-config startup-config3、 配置、测试PPP选择路由器R1并配置PPP，如下所示：R1#conf tR1(config)#interface serial 0/0R1(config-if)#encapsulation pppR1(config-if)#endR1#copy running-config startup-config选择路由器R2并配置PPP，如下所示：R2#conf tR2(config)#interface serial 0/0R2(config-if)#encapsulation pppR2(config-if)#endR2#copy running-config startup-config选择路由器R1，按照下面的步骤测试并观察PPP诊断输出：R1# ping 192.168.0.2R1#debug ppp negotiationR1#conf tR1(config)#interface serial 0/0R1(config-if)# shutdownR1(config-if)#no shutdownR1(config-if)#endR1#undebug all4、 配置、测试CHAP选择路由器R1并配置CHAP，如下所示：R1#conf tR1(config)#username R2 password samepwdR1(config)# interface serial 0/0R1(config-if)#ppp authentication chapR1(config-if)#endR1#copy running-config startup-config选择路由器R2并配置CHAP，如下所示：R2#conf tR2(config)#username R1 password samepwdR2(config)# interface serial 0/0R2(config-if)#ppp authentication chapR2(config-if)#endR2#copy running-config startup-config选择路由器R1,按照下面步骤测试并观察CHAP配置：R1#show ip interface briefR1#ping 192.168.0.2思考题1、 两台路由器上所使用的串行口分别是什么？ 分别是 0/0 0/02、 两台路由器的IP地址及子网掩码分别是多少？ 192.168.0.1 255.255.255.0 192.168.0.2 255.255.255.03、 本串行链路所使用的时钟频率是多少？ 640004、 在CHAP验证中，对所设置的用户名和密码是否存在什么特殊要求？ 串口和IP地址必须一致实验二 地址转换协议ARP一、实验目的能够使用ARP命令对ARP选路表进行简单操作。学会使用Ethereal捕获ARP数据包并分析其格式。深入理解ARP工作原理和重要作用。二、实验环境安装windows操作系统的PC计算机一台。每台PC具有一块网卡，通过双绞线与局域网相连。每台PC运行网络协议分析软件Ethereal。三、实验内容（步骤）：1. 打开“命令提示符”窗口，使用“arp -a”命令查看本地计算机ARP高速缓存。2. 使用“arp -d”命令清除本地计算机ARP高速缓存，再使用“arp -a”命令查看。此时，本地计算机ARP高速缓存只有路由的信息了。3. 打开Ethereal，选择菜单命令“Capture”“Interfaces”子菜单项。弹出“Ethereal: Capture Interfaces”对话框。单击“Options”按钮，弹出“Capture Options”对话框。单击“Start”按钮。4. 此时，网络协议分析软件开始捕获数据，在“命令提示符”窗口中PING同一子网中的任意主机。因为PING命令的参数为IP地址，因此使用PING命令前，需要使用ARP机制将IP地址转换为MAC地址，这个过程用户是无法感知的。因为我们在使用PING命令前已经开始网络数据包捕获，因此，此时网络协议分析软件将捕获到ARP解析数据包。5. 单击“Stop”按钮，中断网络协议分析软件的捕获进程，主界面显示捕获到的ARP数据包。6. 观察协议树区中ARP数据包结构，是否符合ARP请求或应答的报文格式。可以在命令提示符窗口使用ipconfig/all命令查看本地计算机的物理网卡地址。观察第一帧的数据包结构：Address Resolution Protocol (request)-地址解析协议（请求）：硬件类型：以太网（0x0001）（2字节）协议类型：IP协议（0x0800）（2字节）硬件地址长度：6（1字节）协议地址长度：4（1字节） 操作类型：请求（0x0002）（2字节）发送方MAC地址：Micro-St_cf:aa:57(00:1d:60:af:84:7d)（6字节）发送方IP地址：192.168.1.6(192.168.1.6)（6字f节）目的MAC地址：00:1b:fc:4a:b6:30(00:1b:fc:4b:b6:30)（6字节）目的IP地址：172.30.17.59(172.30.17.59)（6字节）经上述分析可知：ARP请求或应答的报文格式：ARP报文封装在以太网数据链路帧中传输，如下图所示： 7. 浏览外部网站，确保网络环境通畅。8. 在“命令提示符”窗口中使用“ARP -s”命令在ARP高速缓存中添加对应于网关的静态表项思考题1、 结合实验画出地址解析的流程图。2、 根据ARP协议工作机制考虑是否存在地址欺骗的安全隐患？并找出可能的解决途径。存在地址欺骗的安全隐患，因为在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。查；阅资料可知：在正常情况下，这个缓存表能够有效的保证数据传输的一对一性，也就是说主机A与主机C之间的通讯只通过网关1和网关2，像主机B之类的是无法截获A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机C之间的数据通信成为可能。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！举一个例子加以说明，假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述：A的地址为：IP：192.168.10.1MAC:AA-AA-AA-AA-AA-AAB的地址为：IP：192.168.10.2MAC:BB-BB-BB-BB-BB-BBC的地址为：IP：192.168.10.3MAC:CC-CC-CC-CC-CC-CC正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么）。这就是典型的ARP欺骗过程。ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。查阅资料可知目前有下面几种方法来控制ARP欺骗：主机静态绑定网关MAC：使用ARP命令静态绑定网关MAC；网关使用IP+MAC绑定模式：交换机启用静态ARP绑定功能，将用户的IP与MAC进行静态绑定，防止ARP欺骗发生；使用ARP服务器：在局域网内架设ARP服务器，替代主机应答ARP包；使用防ARP攻击的软件。因为ARP欺骗利用的是ARP协议本身的缺陷，所以到目前为止，还没有一个十分有效的方法去控制这种攻击。以下是我们根据资料自己总结出的一些解决ARP欺骗的方案。方案A：IP-MAC绑定通过双向IP-MAC绑定可以抵御ARP欺骗，解决由于ARP欺骗造成的网络掉线、IP冲突等问题，保证网络畅通。1、客户机绑定网关IP-MAC2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序3、网关绑定客户机IP-MAC：使用支持IP/MAC绑定的网关设备，在网关设备中设置客户机的静态IP-MAC列表。注：方案A可以抵御ARP欺骗，保证网络正常运行，但不能定位及清除ARP攻击源。方案B：利用ARP命令及nbtscan定位ARP攻击源1、确定ARP攻击源MAC地址2、定位ARP攻击源计算机3、对ARP攻击源计算机进行全面杀毒。方案C：利用AntiArpSniffer实时防护并检测ARP攻击源1、运行AntiArpSniffer3.6，输入网关IP及MAC地址，点击自动保护。AntiArpSniffer可以监控本机的ARP缓存，自动清除伪造的ARP条目；监控网内的ARP欺骗数据包，显示ARP攻击源的MAC地址及IP地址。2、在只能检测到ARP攻击源的MAC地址，而检测不到其IP地址时，可以利用AntiArpSniffer3.6附带的MAC扫描工具MacScan.exe，查找ARP攻击源MAC地址对应的IP地址，根据IP地址定位攻击源计算机。3、对ARP攻击源计算机进行全面杀毒。实验三 Internet控制报文协议ICMP一、 实验目的1. 掌握使用Ethereal工具对ICMP协议进行抓包分析的方法。2. 理解不同类型ICMP报文的具体意义。3. 通过实验，进一步了解ICMP协议。二、 实验环境1、 安装windows操作系统的PC计算机一台。2、 每台PC具有一块网卡，通过双绞线与局域网相连。3、 每台PC运行网络协议分析软件Ethereal。三、 实验内容（步骤）打开Ethereal，选择菜单命令“Capture”“Interfaces”子菜单项。弹出“Ethereal: Capture Interfaces”对话框。单击“Options”按钮，弹出“Ethereal: Capture Options”对话框。Capture filter字段填入：“icmp”，单击“Start”按钮开始网络数据包捕获。2. 打开“命令提示符”窗口，使用“Ping”命令测试本机与网关的连通性。在使用“Ping”命令测试本机与网关的连通性时，本地计算机向网关发送4个ICMP数据包，网关也会向本地计算机发送四个应答报文。因此，这8个报文将被网络协议分析软件捕获。3. 单击“Stop”按钮，中断网络协议分析软件的捕获进程，主界面显示捕获到的ICMP数据包。观察协议树区中ICMP数据包结构，是否符合ICMP请求与应答的报文格式。ICMP（Internet Control Message Protocol，因特网控制报文协议）类型（1个字节）：8，表示是一个ICMP回显请求报文； 代码：0，表示网络不可达； 校验和：表示ICMP的0x4a5c；使用IP校验和的算法。 标识：0x0002 序列号：(0x0500)，每一个ICMP回显报文都有一个序列号且是递增的 数据：表示是一个32字节的数据观察协议树区中ICMP数据包结构，可以得知是符合ICMP请求与应答的报文格式。ICMP报文由首部和数据段组成。首部为定长的8个字节，前4个字节是通用部分，后4个字节随报文类型的不同有所差异。ICMP报文的一般格式如图所示。4. 重新开始网络数据包捕获进程，在“命令提示符”窗口中使用“Tracert”命令，停止网络数据报捕获，分析捕获的数据包。网络协议分析软件将捕获“数据报超时报告”，分析捕获的数据包时要注意IP首部中的TTL字段。捕获的数据包的TTL字段从1递增到9，且对应每个相同的TTL有三个数据包，都为64字节。第9个没有ICMP time exceeded消息，因为已到达目的地。5. 重新开始网络数据包捕获进程，在“命令提示符”窗口中使用“Ping 127.0.0.1”命令，停止网络数据报捕获，分析捕获的数据包。未捕获任何数据包。6. 重新开始网络数据包捕获进程，在“命令提示符”窗口中使用“Ping”命令，参数为本机名或本机IP地址，停止网络数据报捕获，分析捕获的数据包。未捕获任何数据包。思考题：1、 ICM