《tcp_ip协议分析》魏刘宏11054126实验1数据链路层和ip层数据包分析

1、学 院计算机学院专业网络工程指导教师胡维华/黄杰学生姓名魏刘宏学号11054126实验日期2013. 11一.以太帧格式的分析1 抓取方法描述第步：打开wireshark抓包软件，开始抓包。第二步：在电脑（本机 ）命令提示符下ping 下本局域网内的某台开启的主机的地址（ ）第三步：分析抓取的icmp包的格式。2. 记录抓取的过程：第一步（选取网络）:本接t2 wireshark 1.10.2 (svn rev 51934 from /trunk-1.10)wireshark： capture interfaces| capture anal

2、yze statistics telephony jools rternals help画直e 7 2 l|s|s|i溪 i 回第二步（ping目标主机）:mjsersliuhong>ping 在自自自自ping 19292.168.168 137.137. 137. 137.7 v.3 atfawuah.1ims ttl=64-32 b" |b=71ns ttl=64=32:于t-32 时|8=5ns ttl=64 772ms ttl=64 的 pins 统计信息：裁堀色丄耳

3、孩送-iz em- 4,丢失-0 <0丢失,往返锂呈的估计帘卵以量秒为葷位:取短=ins,販长=172ns,平均=62ms3. 抓取数据的内容icmp报文:198 83.8591050icmp74 echo (ping)requestid»0x0001f199 83.8640630 192.16&137.2200 84.8903180 192.16& 137.1201 85.0626310192.16&137.2icmp ic

4、mpicmp74 echo (ping)74 echo (ping)74 echo foinareply request reolvid-oxoool, id-oxooolf id«0x0001.se se ses 田 s 曰frame 198: 74 bytes on wire (592 bits) t 74 bytes captured (592 bits) on interface 0ethernet iit src: 52:f8:da:a4:a3:22 (52汁8:da:a4:a3:22)9 dst: amoielec_c4:el:49 (00:12:40:c4:el:49)

5、 internet protocol version 4t src: (). dst: (192.16&137.2) internet control message protocoltype: 8 (echo (ping) |request) 类型code: 0代冯checksum: 0x41b0 "correct 校验和identifier (be): 1 (0x0001)identifier (le): 256 (0x0100) sequence number (be): 2987 (ox

6、obab) sequence number (le): 43787 (oxabob)数据部分rsdor>se frame: 1991 $ data (32 bytes)以太帧:no timesourcedestination/ on丿丿vnudu 丿止 o ua an w miwv i e i v ex nprotocol length infom»trfaxuo. x/ x i > au i o ua. cih . cc198 83. 8591050 icmp74 "ho (ptng)qquqst i “0x

7、0001. seq2987/43787.199 83.864168.137.2icmp74 echo coina) reolv id-oxoool. sea-2987743787. ttl-64s frame 198:on wire (592 bits) f 74 bytes captured (592 bits) on interface 0interface大小encapsulation type: ethernet arrival time: nov 9. 2013 10:44:10. 754687000 阿阿阿肚 111 ? ifttltimeepochtim

8、etimetimeprameframecapture length: 74 bytes (592 bits)frame is marked: falseframe is ignored: falseprotocols in frame: eth:ip:icmp:datacoloring rule name: icmpcoloring rule string: iemp 11 35pv6e ethernet ii, src: 52:f8:da:a4:a3:22 (52?f8:da:a4:a3:"l) dst: amoielec_c4:el:49d destination: amoiel

9、ec.c4:el:49 (00:12:40:c4:el:49)$ source: 52:f8:da:a4:a3:22 (52:f8:da:a4:a3:22)rypef ip |(0x0800) internet protocol version 4t src: (), dst: () internet control message protocolshift time: delta delta sincefor this packet: 0.000000000 seconds 1383

10、965050.754687000 seconds from previous captured frame: 0.308742000 seconds from previous displayed frame: 0.308742000 seconds reference or first frame: 83.859105000 secondsnumber: 198length: 74 bytes (592 bits)伸mac的mac刁0： w：49b4、抓取数据的格式解释（可直接在抓取数据的内容旁边标注） 源mac地址 目的mac地址 类型长度校验和以太帧类型见上面的图5、补充说明（如果有需要

11、补充的内容写在这）其实是一部手机。二、arp协议的分析1、抓取方法描述2、记录抓取的过程（以上两步方法同上题）2、抓取数据的内容 a）请求数据包：183 77.6239730 52:f 8:da:a4 :a3:22 amoielecc4 :el:49 arp42 who has ? tell 184 77.6793170 amoielec.c4:el:49 52:f 8:da:a4 :a3:22 arp42 is at 00:12:40:c4 :el :49182 77 3906370 1

12、224.0 0.252丄lmnr 86 standard query 0x900a ptr 2 137.168j.92. jp± frame 183: 42 bytes on wire (336 bits) f 42 bytes captured (336 bits) ori interface 0二 ethernet ii9 src: 52:f8:da:a4:a3:22 (52:f8:da:a4:a3:22)f dst: tamoieleclc4:el:49 (00:12:40:c4:el:49) ffi destination: amoielec.c4 :

13、el :49 (00:12:40:c4；el:49)vwb(*yr) 删灣 3983：似乎 tw 以wjscfts&, source: 52:f8:da:a4:a3:22 (52:f8:da:a4:a3:22)type: arp (0x0806)曰 address resolution protocol (request)hardware type: ethernet (1)碇件坨：i匕型protocol type: ip (0x0800) 二 坨:丄h.hardware size: 6硬4牝址枚度protocol size: 4 汾；xits吐opcode: request (1)

14、衆作sender mac address: 52:f8:da:a4:a3:22 (52:f8:da:a4:a3:22)支卫方麥牛sender ip address: ()跖k方协咖址target mac address: amoielec_c4:el:49 (00:12:40:c4:el:49) 咯*方淡址target ip address: ()參牧 r二b）应答数据包：184 77. 6793170 amoielec_c4 :el:4952:f8:da:a4:a3:22 arp42

15、 1is at 00:12:40:c4:el:49|"5el ®tcp74t" rk”znriyinnl 柠、"erv-frlframe 184: 42 bytes on wirw (336 bits), 42 bytes captureg (3m6 bits) on tmwrfage 0ethernet ii9 src: amoielec_c4:el:49 (00:12:40:c4:el:49)|d,t: 52:f8:da:a4:a3:22 |(52:f8:da:a4:a3:22)(t destination: 52:f8:d

16、a:a4:a3:22 (52:f8:da:a4:a3:22) & source: amoielec_c4:el:49 (00:12:40:c4:el:49)type: arp (0x0806)address resolution protocol |(replhardware type: ethernet (1protocolhardwareprotocol应誓报艾type: ip size: 6size: 4慶件地址类型:以太网（0x0800）炳 413 : 6协议地址4opcode: reply (2) 械作：应答sender mac address: amoie1 ec.c4:e

17、l:49 (00:12:40:c4:el:49)鼻二三慶*(mtsender ip address: () 发送方协议岂target mac address: 52 :f8:da:a4 :a3:22 (52 :f8:da:a4 :a3:22) sn坊理住地址target ip address: () 冬方湖工上二4、抓取数据的格式解释（可直接在抓取数据的内容旁边标注） 分别指出arp请求数据包和应答数据包中各个字段的内容 指出arp请求报文和应答报文的发送方式见上面的图5、请说明你是如何

18、伪造arp报文使某台计算机不能上网的，以及是否成功？我用"arpresponsepacketsender"软件在windows7 32位系统上伪造arp报文来攻击自身。a.攻击前准备：在主机上用arp -a命令查看arp表：c： mjsersliuhong>arp -a接 : |28| 0xainternet jffillt物理地址x92jl68213100-5p-56-ch8h92 j68 213.2网关地址i 00-50-56-f3-4d-60|55ff-ff-ff-ff-ff-ff201-00

19、-5e-00-00-16类动动520i-00-5e-00-00-fc255.255.2s5.255型态态态态态态再用ipconfig /all命令查看其它相关信息:mjsersliuhong>ipconf ig /all用m 用启詡 启已磐 击已国翻 名ns雜2 机 d点 wnss 主王卄tipihdnwin-g7sqsk1qqi9innd 合cal 归柴呆口1o以太网适配器本地连接:日0的的 nf?勺只 掩租讨i默认网关dhop服务盘dhcpu6 iaid .dhcpvg 客户端 duidlocaldonainintel<r> pro/1000 mt ne

20、tviork connection 00-0c-29-d6-0d-14）本机maoftftt iif e80：411cjc569 ：c8ec ：92dcz10< 目选 久9216匚313128|c首选 255：255二255：02013年11月10日 星期日13:05:57201311 月 10豆 星期百 13:35:46 192168212.25423488413700-01-00-01-19-04-4a-55-00-0c-29-d6-0d-14可知：主机 ip28 ;主机 mac00-0c-29-d6-0d-14 ;网关 ip192

21、.168.213.2;网关 mac00-50-56-f3-4d-60 ;b.构造arp包：arp包的接收方的ip地址和mac地址都填本机的地址；发送方的ip地址填网关ip地址；发送方的mac地址填一个不存在的mac地址（修改了源地址的最后一个字节）;发送次数填大一点，避免观察时过早停止；点击按钮开始发送。（如下图:）c arpresponsepacketsenderauthonray qq:14992508旦上型童鼻n«tadapt«rrpcap：/devicenpf b682962c-617a-4baa-ac58-76261dc090c8 rpcap：/devicenpf

22、.b682962c-617a-4baa-ac58-76261dc090c8network adapter ' intel (r) pr0/1000 mt network connection" on local host ethernet000c29d60d14pcapst&tistics： receivedp<cketdroppedpacketsenderip网关地址mac地址 c ：sendermac0050-56-f3-4d-00设为惜溪的强.g :ff-ff-ff-ff-ff-fftargetip192.1

23、68.213. 128目tsieftb殳为本weste. g. ：192 168. 1. 1targetmacq0-x-29-d6-0d-14e.c :ff-ff-ff-ff-ff-ffstuincs 二三二 n gsendtimes囹| delayperpacket grs) e囹sended:21007s«nd/stopversion:1.0.4758.42716c.开始攻击及结果:在持续的发送伪造的arp包过程中,网页就无法浏览了 ：j qi fjc? 爾百度0登录 8最新irat列浸 酬i$j20ii 0百度云 0衣园论坛 d加入我的文岸 囿 百度逅 囿 百度知遵论坛 网站建

24、设'0 arpresponsepacketsenderauthorray qq:14992508netadapterrpc p: /dtvi cnpf. (b682962c-617a-4baa-ac58-76261dc090c8回e. c :ff-ff-ff-ff-ff-ffe.c :ff-ff-ff-ff-ff-ffasend/stopversion:1.0.4758.42716rpcap：/dtvicenpf-.b682962c-617a-4baa-ac58-76281dc090c8network adapter * intel (r) pr0/1000 iit network c

25、onnection" on local host 0ethernet 000c29d60d14 pcapsitiistics： rtctivtdp/packetsenderifsendermactarcttiptarcetmacsettingssendtimes 100000e.：192.168 1.1e. c ：192.168 1.1deltyperpackei g»s) 0192. 168.213.2192.168 213.在待续的发送过建中网页无法ie常浏空了！sended:27926停止发送后，网页立即恢复正常浏览:j§ g冏出 q ：.沁让 ir -;0

26、登录c?最新章列表贰i$j2on 0百度云 0家园论坛 d力臥我的文库囿百度述囿百度知道9滚动x +翁:：网站建设田门户瓶win8r iphone丈豪iphone"(lg (winb丈豪win8/win7廉方5. 05下载大全:网友设计i-个顶圾ps新手和徴软忻苹果桌而微软surf小术耳机2软蝶科技linux 01 大 mift*:6、补充说明（如果有需要补充的内容写在这）win8.1系统下使用arp -a命令时不出现mac地址，不知如何解决。三、ip协议的分析1.抓取方法描述启动抓包软件，过滤器输入ip/浏览器打开新浪首页，进行抓包和分析。2.记录抓取的过程:0 broadcom

27、netxtreme gigabit ethernet driver (wireshark 17.0 (svn rev 39768 from /trunk)file edit view go capture analyze statistics telephony tools internals helpsource沢守r i qd今乔殳回o q q | expression.destinationclearprotocc.c n；思0h5黑无口金翌试x oa迥丫迥天曰豆 网工梦想不远迭择去向v修改密码安全退出斬闻军事社会体肓英超n3a博喜徽13： jusersjohnson>ping f

28、ron 61.172.2al.195: bytes=32 fron 95: bytes=32 f ronfron 95: bytes*3295： bytes-32time=5ms tine=5ns time«6nsttl=246ttl«246ttl-246time0ns ttl-2463、抓取数据的内容（包括分片的、未分片的、带各种选项字段的）no. timetcp> http |syn：win»8192 len=0 m：< 一- frame 22: 66 bytes on wir

29、e (528 bits). 66 bytes captured (528 bits)ethernet ii9 src: compalln_4d:le:e7 (70:5a:b6:4d:le:e7), dst: quantacobb:e2:d6 (00:26:9e:bb:e2:d6)丄uu丿 dst:internet protocoi version 4 t src:當黔爲挥柚冰es头起长度20字节s differentiated services field: oxoc? (dscp 0x00: default; ecn: 0x00: not-ect (not ecn-capable trans

30、port) total length: 52 总长殳52identification: 0x340b (13323)标识符:0x340bflags: 0x02 (don t fragment)fragment offset: 0time to live: 64 ttlprotocol: tcp (6) “.thea header checksum: 0x0000 tincorrect, should be ox3d3d (maybe caused by "ip checksum offload1*?) good: falsee|bad: true5ourcq： 192¥81

31、二2°9,19?：16冬1,丄凹？一:目ip地址destination: 61.17>. ioi. 195 (95) -一 so卄ce geoipj "known 1目标ip地址(莎良首处destination geolp:unknowns texoert info (error/checksum"): bad checksumtransmission control protocol, src port: 53473 (53473), dst port: http (80), seq: 0t len: 04、抓取数据的格式解释（可直

32、接在抓取数据的内容旁边标注） 分别指出ip数据包中各个字段的内容（见上图）5、哪些选项的ip报文无法扑捉到应答，分析其原因1）目标不可达2）超时3）分组过大等6、补充说明（如果有需要补充的内容写在这）四.icmp协议的分析1、抓取方法描述第一步：打开wireshark抓包软件，选择抓icmp包,开始抓包。第二步：在电脑（本机00 ）命令提示符下ping 下本局域网内的某台开启的主机的地 址”如 ；第三步：分析抓取的icmp包的格式。2、记录抓取的过程第一步：口 icmp wireshark 1.7.0 (svn rev 39768 frcm /tru

33、nk；'file £dit yiew fio capture analyze statistics telephony tools internals helptime1 0.00000000(2 0.00059700(3 0.08368600(tt startctriectrreo 界殳 |gb q q q | expression.» stop袒 bestart够 capture filters.mationctrkr.255.255.255adcast adcastprotocol length info dhcparparp334 dhc60 who60 w

34、ho辺j wireshark: capture optionscapturebroadcom netxtreme gigabit< fha5flscoe：leiae33bethernet1921681100enabled defaultmicrosoft devkenpf588ef4 20:3027 7i6t3,ld 72“ethernet0000enabled defaultvmware virtual ethernet adaptef0：85b7：78c21b3-90ifethernet1911682401enabled defaultiii capture on all inter

35、facesj、capture all in promiscuous modeadd remote interfacesfie icse muixipietiiescapture file(s)browse.< use pcapng formatmegabyte(s)minute(s)filesdisplay options丿update list of packets in real time< automatic scrolling in live capturej hide capture info dialogname resolution2 enable mac name

36、resolutioni . afteri . after1 ?packet(s)megabyte(s)1冃minute(s)file(s)stop capture. . afterenable network name resolutionhelp/ enable transport name resolution第二步:administrator command prompticrosoft windows (uersion 6.1.7601) copyright <c> 2009 microsoft corporation. all rights reserved.c：xusersxjohnso