1.实验目的及环境
目的:
熟练使用网络流量捕获工具
掌握使用Wireshark分析网络协议的方法
掌握常用的与网络操作相关的系统内部命令
了解常用的网络应用服务内部的协议工作过程
环境:
1)本地流量的捕获
特点:捕获流进或者流出本地主机网卡的流量,十分简单方便
2)相同冲突域(集线器)流量的捕获
特点:无需额外的硬件或配置,直接利用集线器的物理层广播特性,捕获同一冲突域内所有的通信流量
3)交换机多端口流量的捕获
主机A捕获B、C之间通信流量的方法:
端口镜像:
将主机B和C连接的交换机端口配置成镜像的源端口
主机A连接的交换机端口配置成镜像的目的端口
ARP欺骗:
利用ARP协议本身的不足,实现的攻击行为
主机A可以利用虚假的ARP地址,来更新B或C的ARP缓存,从而截获属于B或C的流量
2.实验内容
1)捕获并解析ICMP报文:
执行PING命令产生特定类型的ICMP
设定过滤条件捕获ICMP报文
解析ICMP报文格式
2)捕获并解析ARP报文:
执行ARP系统内部命令查看本地ARP高速缓存
设定过滤条件,捕获ARP报文
解析ARP报文格式
3)网页提取过程的协议分析:
准备工作:清空浏览器历史记录、清空本地DNS缓存
运行浏览器软件,输入网址或点击链接
设定过滤条件,捕获HTTP报文、DNS报文、TCP报文
分析协议工作过程
3.实验工具
wireshark特点:
跨平台(Windows、Macos、Linux/Unix)、开源、功能强大、操作方便
wireshark功能:
抓包分析协议报文
深析协议工作流程
诊断解决网络故障
找寻网络安全问题
wireshark下载:
www.wireshark.org
4.实验原理
1)捕获并解析ICMP报文
命令格式:
ping x.x.x.x如ping www.njupt.edu.cn
检测本机到此web服务器是否连通
原理:
2)捕获并解析ARP报文
arp进程在本局域网上广播发送一个ARP请求分组
本局域网上所有主机上运行的arp进程都收到此arp请求分组
本局域网的另一台主机发现自己的IP地址与arp请求分组中要查询的IP地址一致,就收下此arp请求分组,并向查询的主机以单播形式,回应arp响应分组
3)网页提取过程的协议分析
标识对象,URL:统一资源定位符,标识WWW中的资源,如ftp://ftdm.mit.edu/pub/abc.txt
域名解析:将域名转换成互联网地址:DNS 如www.njupt.edu.cn——>202.119.224.201
本地DNS缓冲:存放历史解析结果
HTTP,超文本传输协议,基于会话的请求回答,过程:首先建立TCP连接,发送HTTP请求;接收HTTP应答,断开TCP连接
5.实验过程
1)捕获并解析ICMP报文
电脑连接的无线网,则首先点击“无线网络连接”,然后点击“Start”
为了过滤出需要的ICMP报文,在“filter”中输入“icmp”
打开DOS,进行ping,产生ICMP报文
则在Wireshark页面产生了8个ICMP报文,由成对的请求与回答报文构成
打开DOS,输入“ipconfig”,验证8个ICMP报文确实是本次ping产生
2)捕获并解析ARP报文
打开DOS,输入arp -a查看arp高速缓存
输入arp -d清空arp高速缓存
利用Wireshark进行抓包
第一个报文信息:
request类型
源MAC地址:本主机MAC地址
源IP地址:本主机IP地址
目的MAC地址:硬件广播地址
第二个报文信息:
reply类型
源MAC地址:网关MAC地址
源IP地址:网关IP地址
目的MAC地址:本主机MAC地址
目的IP地址:本主机IP地址
3)网页提取过程的协议分析
首先打开浏览器,清楚浏览记录
打开DOS,清空DNS缓存
打开浏览器,访问百度服务器
利用Wireshark进行抓包
设置过滤条件
(ip.src==192.168.1.103||ip.dst==192.168.1.103)&&dns.qry.name==www.baidu.com查看报文
设置过滤条件
(ip.src==180.97.33.108||ip.dst==180.97.33.108)&&http查看报文
