1.實驗目的及環境
目的:
熟練使用網絡流量捕獲工具
掌握使用Wireshark分析網絡協議的方法
掌握常用的與網絡操作相關的系統內部命令
瞭解常用的網絡應用服務內部的協議工作過程
環境:
1)本地流量的捕獲
特點:捕獲流進或者流出本地主機網卡的流量,十分簡單方便
2)相同衝突域(集線器)流量的捕獲
特點:無需額外的硬件或配置,直接利用集線器的物理層廣播特性,捕獲同一衝突域內所有的通信流量
3)交換機多端口流量的捕獲
主機A捕獲B、C之間通信流量的方法:
端口鏡像:
將主機B和C連接的交換機端口配置成鏡像的源端口
主機A連接的交換機端口配置成鏡像的目的端口
ARP欺騙:
利用ARP協議本身的不足,實現的攻擊行爲
主機A可以利用虛假的ARP地址,來更新B或C的ARP緩存,從而截獲屬於B或C的流量
2.實驗內容
1)捕獲並解析ICMP報文:
執行PING命令產生特定類型的ICMP
設定過濾條件捕獲ICMP報文
解析ICMP報文格式
2)捕獲並解析ARP報文:
執行ARP系統內部命令查看本地ARP高速緩存
設定過濾條件,捕獲ARP報文
解析ARP報文格式
3)網頁提取過程的協議分析:
準備工作:清空瀏覽器歷史記錄、清空本地DNS緩存
運行瀏覽器軟件,輸入網址或點擊鏈接
設定過濾條件,捕獲HTTP報文、DNS報文、TCP報文
分析協議工作過程
3.實驗工具
wireshark特點:
跨平臺(Windows、Macos、Linux/Unix)、開源、功能強大、操作方便
wireshark功能:
抓包分析協議報文
深析協議工作流程
診斷解決網絡故障
找尋網絡安全問題
wireshark下載:
www.wireshark.org
4.實驗原理
1)捕獲並解析ICMP報文
命令格式:
ping x.x.x.x如ping www.njupt.edu.cn
檢測本機到此web服務器是否連通
原理:
2)捕獲並解析ARP報文
arp進程在本局域網上廣播發送一個ARP請求分組
本局域網上所有主機上運行的arp進程都收到此arp請求分組
本局域網的另一臺主機發現自己的IP地址與arp請求分組中要查詢的IP地址一致,就收下此arp請求分組,並向查詢的主機以單播形式,迴應arp響應分組
3)網頁提取過程的協議分析
標識對象,URL:統一資源定位符,標識WWW中的資源,如ftp://ftdm.mit.edu/pub/abc.txt
域名解析:將域名轉換成互聯網地址:DNS 如www.njupt.edu.cn——>202.119.224.201
本地DNS緩衝:存放歷史解析結果
HTTP,超文本傳輸協議,基於會話的請求回答,過程:首先建立TCP連接,發送HTTP請求;接收HTTP應答,斷開TCP連接
5.實驗過程
1)捕獲並解析ICMP報文
電腦連接的無線網,則首先點擊“無線網絡連接”,然後點擊“Start”
爲了過濾出需要的ICMP報文,在“filter”中輸入“icmp”
打開DOS,進行ping,產生ICMP報文
則在Wireshark頁面產生了8個ICMP報文,由成對的請求與回答報文構成
打開DOS,輸入“ipconfig”,驗證8個ICMP報文確實是本次ping產生
2)捕獲並解析ARP報文
打開DOS,輸入arp -a查看arp高速緩存
輸入arp -d清空arp高速緩存
利用Wireshark進行抓包
第一個報文信息:
request類型
源MAC地址:本主機MAC地址
源IP地址:本主機IP地址
目的MAC地址:硬件廣播地址
第二個報文信息:
reply類型
源MAC地址:網關MAC地址
源IP地址:網關IP地址
目的MAC地址:本主機MAC地址
目的IP地址:本主機IP地址
3)網頁提取過程的協議分析
首先打開瀏覽器,清楚瀏覽記錄
打開DOS,清空DNS緩存
打開瀏覽器,訪問百度服務器
利用Wireshark進行抓包
設置過濾條件
(ip.src==192.168.1.103||ip.dst==192.168.1.103)&&dns.qry.name==www.baidu.com
查看報文
設置過濾條件
(ip.src==180.97.33.108||ip.dst==180.97.33.108)&&http
查看報文