网络协议分析netbios协议

1、实验十八 NETBIOS 协议分析【实验目的】1、理解 NETBIOS 协议；2、理解 WINS 协议3、了解 WINS 协议报文的格式；4、了解 NETBIOS 数据报报文的格式。【实验学时】2 学时【实验环境】本实验要求内的主机设置网络共享，并可互相。内的每一台实验主机都需要安装锐捷协议分析教学系统，既是捕获端，同时也为其他主机的实验设备。实验拓扑图如图 5- 107 所示：图 5- 107 实验拓扑图【实验内容】1、通过发送 WINS 报文，学习 WINS 协议和 NETBIOS 协议；2、学习 WINS 协议的报文格式，了解 NETBIOS 使用的端口；3、理解 WINS 协议和 DN

2、S 协议的不同。【实验流程】开始Y问题？N结束图 5- 108 实验流程图【实验原理】在 Windows 操作系统中，默认情况下在安装 TCP/IP 协议后会自动安装 NETBIOS 协议。NETBIOS 的报文类型较多、结构复杂，在不同的网络环境和不同的用途中会使用不同的报文，可用端口进行区分， WINS 协议使用的 NETBIOS 名字报文使用 UDP 137 端口，NETBIOS 数据报报文使用 UDP 138 端口，NETBIOS 会话报文使用 TCP 139 端口。NETBIOS 数据报报文格式NETBIOS 数据报报文的总体格式如下：消息类型(1 bytes)标志(1 bytes)

3、数据报 ID (2 bytes)源 IP 地址（4 bytes）源端口(2 bytes)数据报长度(2 bytes)报文偏移量(2 bytes)数据Step5:保存并分析捕获的数据帧Step4:在主机之间拷贝文件捕获NETBIOS报文Step3:捕获WINS过程报文理论复习再次验证Step2:利用协议数据发生器编辑NETBIOS名字服务请求报文Step1:设定实验环境其中，如果消息类型字段内容为 0 x10、0 x11、0 x12 时，分别说明 NETBIOS 的数据报为发送给相邻的特定主机、发送给直连网段内的全部主机还是广播给全部主机的数据报，此时的报文格式为：WINS 协议报文格式WINS

4、 协议使用的报文即为 NETBIOS 的名字报文，其总体格式如下：2 字节的通用标志中更详细的字段划分为：报文的前 12 字节总称为 NETBIOS 名字报文的首部，具体的每字段含义为：事务 ID：请求方为每次名字服务请求所设定的 ID 值，响应要填入这个事务 ID 值；操作代码：指示报文的类型；操作标志：操作标志位；结果代码：在响应报文中指示请求的结果；相应的响应报文中问题个数：在问题部分数量，如果是响应报文，该字段为 0；操作代码（5 bits）操作标志（7 bits）结果代码（4 bits）事务 ID(2bytes)通用标志(2bytes)问题个数(2bytes)回答个数(2bytes)

5、个数(2bytes)附加个数(2bytes)问题（若干字节）回答（若干字节）（若干字节）附加（若干字节）消息类型(1 bytes)标志(1 bytes)数据报 ID (2 bytes)源 IP 地址（4 bytes）源端口(2 bytes)数据报长度(2 bytes)包偏移量(2 bytes)源名字（若干字节）源名字（若干字节）目的名字（若干字节）用户数据（若干字节）数据回答个数：在回答个数：在个数：在附加部分的回答数量；部分的部分的数量；数量。附加NETBIOS 名字报文中最常见的是携带问题的报文，问题的格式如下：NETBIOS 会话报文格式NETBIOS 会话报文具有通用的 4 字节首部和

6、与类型相关的报文内容：其中：类型：指明 NETBIOS 会话报文的类型，可用的值有：0 x00：会话消息0 x81：会话请求0 x82：正面会话响应0 x83：会话响应0 x84：重定向会话响应0 x85：会话保活标志：06 位保留未用，第 7 位作为扩展的长度位，使 NETBIOS 会话报文的内容部分最多可以达到 128k 字节。长度：NETBIOS 会话报文的内容部分的长度，不包括首部的 4 字节。【实验步骤】步骤一：利用协议数据发生器编辑 NETBIOS 名字服务请求报文利用协议数据发生器编辑 NETBIOS 名字请求包，在网络协议分析仪端观察结果，理解WINS 的报文格式。步骤如下：l

7、、给主机 A 配置 IP 地址 192.168.1.10/24，主机 B 配置 IP 地址 192.168.1.20/24，主机 A 和主机 B 上分别设置一个共享文件夹（设置可读写权限），并安装锐捷协议分析教学系统，在实验中互为实验设备和捕获端，后面的实验步骤均以主机 A 作为捕获端进行讲解。2、在主机 B 上打开协议数据发生器，在上选择“添加”，会弹出“网络包模版”框，选择“WINS”，建立一个 WINS 报文，如图 5- 109 所示：类型（1 byte）标志（1 byte）长度（2 bytes）内容（若干字节）问题名称（若干字节）问题类型(2 bytes)问题类别(2 bytes)图

8、5- 109 建立WINS 协议报文2、填写其中以太网帧头、IP 首部、UDP 首部和 WINS 报文的内容：填写以太网协议首部信息：目的物理地址：在地址本中选择主机 A（192.168.1.10），确认后自动填入主机B 的 MAC 地址：00-15-58-2F-7E-7E；源物理地址：在地址本中选择主机 B（192.168.1.20），确认后自动填入主机 B的 MAC 地址：00-0C-29-BE-4F-E5；类型或长度：该字段应为 0800（即 IP 协议的类型值）。填写 IP 协议头信息：总长度字段：包括 UDP 段内容的总长度，20 IP+8 UDP+18 WINS = 46；协议字段

9、：即上层协议类型为 17（UDP 协议的类型为 17）；发送 IP 地址：在地址本中选择主机 B，确认后自动填入主机 B 的 IP 地址192.168.1.20；目标 IP 地址：在地址本中选择主机 A，确认后自动填入主机 A 的 IP 地址192.168.1.10；点击中的“校验和”按钮计算 IP 头校验和。填写 UDP 协议的各个字段信息：16 位源端：填入 WINS 服务使用的UDP 源端137；137；16 位目的端：填入 WINS 服务使用的 UDP 目的端16 位 UDP 长度：8 UDP + 18 WINS = 26；UDP 校验和：点击中的“校验和”按钮计算 UDP 校验和。5

10、、填写 WINS 协议的各个字段信息：事务 ID：任意填写，例如填入 1234；操作编码：5 位操作编码全部为 0，填入 0；操作标志：7 位操作标志为 0010000，第 3 位为 1 表示这是一个名字服务请求报文，填入 16；结果代码：4 位结果代码全部为 0，填入 0问题数：l；数：0；数：0；附加数：0；问题数据：由于前面填写报文长度时 NETBIOS 报文都是按 18 字节计算的，去除 12 字节 WINS 报文头部，此处应填入 6 字节数据，例如：aaaaaa。图 5- 110 编辑 WINS 报文内容3、点击上的“发送”按钮，将编辑好的 WINS 数据报文发送，可设置循环发送。4

11、、在主机 A 上运行网络协议分析仪，捕获数据，捕获结果如图 5- 111 所示：图 5- 111 捕获编辑WINS 报文步骤二：分析 WINS在步骤二中需要使用 nbts过程命令。 nbts命令可以用来查询涉及到 NETBIOS 信息的网络主机。另外，它还可以用来消除 NETBIOS 高速缓存器和预加载 Lmhosts 文件。这个命令在进行安全检查时非常有用。Nbts命令的参数很多，此处会使用到-n 和 -R 两个参数，分别用于显示本机的NETBIOS 名字和清空 NETBIOS 缓存。1、察看主机 A 是否为 DNS 服务器或客户端，若是，则删除其对 DNS 的配置。2、获取主机 B 的 N

12、ETBIOS 名字（主机 B 在命令行方式下，输入“nbts可以看到为 student-1。-n”命令），图 5- 112 主机 B 的NETBIOS 名3、在主机 A 启动网络协议分析仪进行数据捕获并设置过滤条件，在点击“过滤器”按钮，会弹出“设置&过滤器”框，在“过滤器类型”中选择“类型过滤器”，类型值中选择“netbios 协议”，点击“设置参数”按钮后“确定”：图 5- 113 设置NETBIOS 报文过滤条件4、在主机 A 上使用命令“nbts5、在主机 A 上使用命令“-R” 命令，清除 NETBIOS 名字缓存。主机B 的 NETBIOS 名字”，即student-1：图 5- 114从主机主机 B 的NETBIOS 名字6、察看主机 A 捕获的数据，会捕获到 2 个数据报文，一个名字服务请求报文，一个名字服务响应报文：图 5- 115 WINS过程的捕获结果7、根据捕获结果填写下表：表 5-15 捕获结果表步骤三：在计算机之间拷贝文件1、在主机 A问主机 B：方法一：在 IE 浏览器的地址栏中输入：主机 B 的 IP 地址；方法二：点击：，并在地址栏中输入：主机 B 的 IP 地址；2、在弹出的主机 B 的文件夹中选择一个文件并拷贝下来，粘贴到本机；3、在主机 A 的网络协议分析仪上