协议分析试验使用Wireshark检查以太网帧_第1页
协议分析试验使用Wireshark检查以太网帧_第2页
协议分析试验使用Wireshark检查以太网帧_第3页
协议分析试验使用Wireshark检查以太网帧_第4页
协议分析试验使用Wireshark检查以太网帧_第5页
已阅读5页,还剩5页未读 继续免费阅读

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、信息系统安全实验实验-使用Wireshark检查以太网帧Mininet拓扑172.16.0X/12172.16.0X/12目标第1部分:检查以太网II帧中的报头字段第2部分:使用Wireshark捕获和分析以太网帧背景/场景当上层协议互相通信时,数据会向下流到开放式系统互联(OSI)的各层中,并最终被封装进第2层帧。帧的成分取决于介质访问类型。例如,如果上层协议是TCP和IP并且访问介质是以太网,则第2层帧的封装为以太网IIc这是LAN环境的典型情况。在了解第2层的概念时,分析帧报头信息很有帮助。在此实验的第1部分,同学们将复习以太网II帧包含的字段。在第2部分,同学们将使用Wireshark

2、为本地通信和远程通信捕获和分析以太网II帧头字段。所需资源?CyberOpsWorkstationVM?互联网接入计算机科学与工程学院马飞编著计算机科学与工程学院第 2 页,共 7 页马飞编著实验-使用Wireshark检查以太网帧第1部分:检查以太网II帧中的报头字段在第1部分中,同学们需要检查提供给同学们的以太网II帧中的报头字段和内容。Wireshark捕获可用于检查这些字段中的内容。第1步:检查以太网II帧头字段的描述和长度。前导码目的地址源地址帧类型数据FCS8字节6字节6字节2字节461500字节4字节第2步:在Wireshark捕获中检查以太网帧。以下Wireshark捕获显示了

3、从PC主机向其默认网关发出ping操作生成的数据包。Wireshark应用了一个过滤器,以仅查看ARP和ICMP协议。会话首先利用ARP查询网关路由器的MAC地址,然后是四次ping请求和应答。EdriVICA2口Capturetnab/ieStsriiibEiWweles-sTDDII二二7 7山IQIQ* *充/曼1 14 40 0? ?5sstnafewi5sstnafewiLcH-IrifcbIrifcb目te.1BM7IriitrlCcr62iEiJLbdBroad匚匕5.七ARFARF4242hJhohex,192.163.1.1?hJhohex,192.163.1.1?Tell1

4、92.1&S.1,feTell192.1&S.1,fe1 11 1rteTgcar_*ai3is74rteTgcar_*ai3is74lntel.Cor_ti2lntel.Cor_ti2:jb2jb2 bdbdARPARP国工113CN113CN1 1A.S2H33A.S2H331M.16BA.A1M.16BA.A191.1191.1 .1.1.1.1IfflPIfflP7474fchofchopingjrequriii:pingjrequriii:ids-0ids-0中Mlj.&Mlj.&1 14 4明5犯SBICMPICMP7474fctio(pifctio

5、(pi E)rpE)rp】y y1 1557735HitrflhiBirxdstARPARPEQEQ5(5(“3 31 192.iem?92.iem?Tell1Tell1蛇二时2 2二 PrdiMPrdiM1 1:心tntn!(536(536bits42bits42(335Oniftlerf1(335Oniftlerf1Y YfthrrnetIIfthrrnetIIf fSrc:Src:LntrLntrlCcr_62lCcr_62r rMrM:62:lMrM:62:l 2Dit:2Dit:QiEfldsMQiEfldsM(ffrff(ffrff:ff:ff:ff:ff:ff:ff:ff):ff

6、)Destination?Destination?groadcatgroadcatffffff:ffff:ff3ffff3ffsff)sff)SourEB;LntelCcr(f4:8c:50:62:62:Bd)丁评ARP(3X13M6)AddrEsRejli-snPnjtocul(reqjest)wawa计算机科学与工程学院第 3 页,共 7 页马飞编著实验-使用Wireshark检查以太网帧第3步:检查ARP请求的以太网II报头内容。下表使用Wireshark捕获中的第一个帧,并显示以太网II帧头字段中的数据字段值说明前导码捕获中未显示此字段包含同步比特,由网卡硬件处理。目的地址源地址广播(

7、ff:ff:ff:ff:ff:ff)IntelCor_62:62:6d(f4:8c:50:62:62:6d)帧的第2层地址。每个地址的长度都是48位或6个二进制八位数,表示为12个十六进制数字:0-9、A-F。常用格式为12:34:56:78:9A:BC。前六个十六进制数字表示网络接口卡(NIC)的制造商,后六个十六进制数字是网卡的序列号。目的地址可能是全部为1的广播地址,也可能是单播地址。源地址始终是单播地址。帧类型0 x0806对于以太网II帧,此字段包含用来在数据字段中表示上层协议类型的十六进制值。以太网II支持多个上层协议。两种常用的帧类型为:值说明0 x0800IPv4协议0 x08

8、06地址解析协议(ARP)数据ARP包含封装的上层协议。数据字段在461,500个字节之间。FCS捕获中未显示帧校验序列(FCS),供网卡用来查找传输过程中的错误。其值包含帧地址、类型和数据字段,由发送方计算,由接收方验证。关于目的地址字段的内容,需要注意什么?为什么PC会在发送第一个ping请求之前发送广播ARP?第一个帧的源设备的MAC地址是什么?源设备的网卡的供应商ID(OUI)是什么?MAC地址的哪个部分是OUI?源设备的网卡序列号是什么?第2部分:使用Wireshark捕获和分析以太网帧在第2部分中,同学们将使用Wireshark捕获本地和远程以太网帧。然后同学们将检查帧头字段中包含

9、的信息计算机科学与工程学院第 4 页,共 7 页马飞编著实验-使用Wireshark检查以太网帧第1步:检查H3的网络配置。a,使用以下凭证启动并登录同学们的CyberOpsWorkstation:用户名:analyst密码:cyberopsb.打开终端仿真程序以启动Mininet,并在提示符后输入以下命令。系统提示时,输入cyberops作为密码analystsecOps$sudohome/analyst/lab.support.files/scripts/cyberops_topo.pysudopasswordforanalyst:c.在mininet提示符后,启动主机H3上的终端窗口。*

10、启动CLI:mininetxtermH3d,在Node:h3上的提示符后,输入ifconfig以验证Ipv4地址并记录MAC地址。主机-接口IP地址MAC地址H3-eth0e.在Node:H3上的提示符后,输入netstat-r以显示默认网关信息。rootsecOps#netstat-rKernelIProutingtableDestinationGatewayGenmaskFlagsMSSWindowirttIfacedefault10.0.0.10.0.0.0UG000H3-eth010.0.0.00.0.0,0255.255.255.0U000H3-eth0f.主机H3默认网关的IP地址

11、是什么?第2步:开始捕获H3-eth0上的流量。a.在Node:H3的终端窗口中,输入arp-n以显示arp缓存的内容。rootsecOpsanalyst#arp-nb.如果缓存中有任何现有的arp信息,请输入以下命令清除这些信息:arp-dIP-address。重复此操作,直到清除了所有缓存信息。rootsecOpsanalyst#arp-nAddressHWtypeHWaddressFlagsMaskIface10.1.0.11ether5a:d0:1d:01:9f:beCH3-eth0rootsecOpsanalyst#arp-d10.0.0.11AddressHWtypeHWaddre

12、ssFlagsMaskIface10.2.0.11(incomplete)CH3-eth0c,在Node:H3的终端窗口中,打开Wireshark并开始H3-eth0接口的数据包捕获。rootsecOpsanalyst#wireshark-gtk&第3步:从H3对H1执行pin操作。a,从H3上的终端,对默认网关执行ping操作,并在发送5个回应请求数据包后停止。rootsecOpsanalyst#ping-c510.0.0.1b,完成ping操作后,停止Wireshark捕获。实验-使用Wireshark检杳以太网帧第4步:过滤Wireshark,以仅显示ICMP流重。向捕获的流量应

13、用icmp过滤器,以便结果中只显示ICMP流量。第5步:检查Wireshark中的第一个回应(ping)请求。Wireshark主窗口分为三个部分:数据包列表窗格(顶部)、数据包详细信息窗格(中间)和数据包字节窗格(底部)。如果同学们在第3步中选择了正确的接口来捕获数据包,Wireshark应在数据包列表窗格中显示ICMP信息,类似于以下示例。JkJk仲tyty爪titi一一二二e-e-aurcc-aurcc-iitjfioniitjfionProtoc-olProtoc-olLtugthinfoLtugthinfo3e.Mdi711S93e.Mdi711S9ioioa ae.o.iie.o.

14、iiio.G.e.1io.G.e.1ICHPICHPErhErh tptp工叫1 1乡屿2M2MlilittljsWttljsW1(广坪I,11I,11M.4.0.1M.4.0.1io.t.e.llio.t.e.llK K忡MEchoMEcho忤%)EITidid二&寓.til-W(requesttil-W(request5 5ICHPICHPEthoEthoppi i明requrequ ltltld=OxOld=OxO 7f,7f,seqCSlseqCSl九ttliMttliM*八,4 40.0,10.0,1ItItIC#IC#H HEhEh tpiintpiing)g)rtfsly

15、rtfslyidifxtidifxt 7f,7f,工如打5 5】?,ttlttl 64r64r qu*ltqu*lt72.I11H334J72.I11H334J1%Q51%Q53 3KMPKMP站EchvEchv用工叫)tTltTl MCrepljFMCrepljFB2.03W22OBB2.03W22OBifli.o.o.iifli.o.o.iICHPICHP9BEcho9BEcho住上引r/lyr/lyid=e)cQ47f,id=e)cQ47f,4=3/768.1r#DU4=3/768.1r#DU -if-if拿1.044&1.044& S67S67IfLUWIfLUWIG.

16、ft.G.lIG.ft.G.lICHPICHPHEchoHEcho口工mgmg)requestrequestidsGxOelfidsGxOelfe eseq=4/1024.tt1=64(replyseq=4/1024.tt1=64(replyWl.0Wl.0 7271S9i7271S9iio.0.0.1io.0.0.1io.e.e.13io.e.e.13ItHPItHP4BEcho4BEchopingping) )epljfepljfidsGxOeZfidsGxOeZfB Bseq.=4/1024seq.=4/1024B B(reques(reques11111 1九。,才1 1。IMPIMP

17、放部工叫3 3requestrequest面 Q=S/12tOQ=S/12tOF F(tUM(r*pl(tUM(r*pl1212 -0-0、$1$011$01,5 5孑mumuIQ.t.O.lJIQ.t.O.lJICMPICMP“呻,plyply必mg*.mg*.*q*W.*tl*q*W.*tl川tr*qvtr*qv ,k kFrane3zbytFrane3zbytAIAIanviranvir(7B4hit(7B4hit节)%bytsscaptured(7&4bit%)oninterfacebytsscaptured(7&4bit%)oninterface。 EthernetE

18、thernet 1 1: :5 5rere;4242u2&u2&;bzbz:Z4Z4:eDeD:cb(42cb(42:ZBZB;b2b2:?4ze0?4ze0:cb)cb)口StSt:9292:6&6&;&2&2:fofo:1414:Z12l66Z12l66;i2i2;fozfoz1414:Z1JZ1J二二internetProtocolv*rtioninternetProtocolv*rtion3 3Src:Src:1 1以0 0人九OilOilA A*/ /IhtIht rnrn tCentrattCentratg g电专专事g g叁f*ro

19、toe*lf*rotoe*l中部gio00gio0020g3Q20g3Q0G4000G400050-050-(36(360 0HOHO”$1Q00$1Q00106odw106odw。 目i i h hn nitit 2727ItIt强3737b2?4e3b2?4e33 300000 0】OeOfOeOf4545D D# #0909X X箪底部葡7b0*7f(MGb07b0*7f(MGb0(KlUlb(KlUlbItItidid2b22d2b2LDit;92;4t2:f1:MHLDit;92;4t2:f1:M 21(SZ21(SZ;OOsUsftOOsUsft;14;211;14;211I IC

20、SStlMtionCSStlMtion: :Ci6T6ZCi6T6Z:fOfO: :M(9?766M(9?766:67rfD67rfD:lJlJ:71)71)I Iswrcaswrca;4242:7878:b2b2;2424:MiMi:cb(4Zcb(4Z:2828:b2b2:2424:eQeQ;cblcblTpezTpezIPv4IPv4FOFOK KOSDO)OSDO)internetProtocolinternetProtocolyersicnyersicn% %srcsrc! !19.19.D D.0.0.Il,Il,DstDst: :19.0.3.119.0.3.1OrOr口Typ*

21、:0(EchotpinglrtquTyp*:0(Echotpinglrtqu it)it)0 0Chvcksuni;6xa77bcorrBctJChvcksuni;6xa77bcorrBctJ ChecksunChecksunStatus:Status:GoadGoad| |IdeptifLer&IdeptifLer& ) ): :37113711f f白工心餐IdId ntifxciriLbJ;3Z5Z&ntifxciriLbJ;3Z5Z&,H H算7fequiencenumber(HEJ:17fequiencenumber(HEJ:1(O(OJCJCOWI)

22、OWI)SfiqufifKdnumber(LEl!SfiqufifKdnumber(LEl!ZMZMl耻SpEMli是TiTi esestarrapfrciTitarrapfrciTiicmpicmpdatadatar rTimTimestanpestanpf frwiicwpdatarwiicwpdataMtAMtA;0 0 9ftt0be9ftt0be 0d00d0 0flDlll2U14mfllTM191albltldl0flDlll2U14mfllTM191albltldl lflf.iTigthE4iTigthE4电1 1口omseisomseisq?q?6 6电目 ?fnfn14142ia?fth?2ia?fth?户 为tbtbos&os&J5aoJ5aoeeM58eeM58后 &4949醺464691ce3591ce356a6a腼6969比6a6a时.-ft.-ft.串一,F.,F.:T:Trr!$!$ HFHF七0020002000300030电印晦0 03 3曾OBi177bBe7fCB013f3f01MB9ttlOBi177bBe7fCB013f3f01MB9ttldocosdocos中oanboanbDodGtofionnu14

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论