协议分析软件抓包分析.doc

实验 协议分析软件wireshark抓包分析一、实验目的（1）理解数据链路层帧格式（2）掌握抓包软件的使用（2）掌握通过抓包软件抓取帧并进行分析的办法。二、相关理论数据链路层的传输单位为帧（Frame或称分组），在发送端数据链路层将网络层的数据按照一定格式打包为帧并发送给物理层，在接收端数据链路层将物理层的数据按照一定格式解包为帧并发送给网络层。目前，在数据链路层使用比较多的是以太网（Ethernet）协议。以太网帧格式如下：目的Mac地址源Mac地址类型数据校验码6字节6字节2字节46-1500字节4字节各部分含义如下：目的Mac地址： 下一跳的Mac地址，帧每经过一跳（即每经过一台网络设备如交换机）该地址会被替换，直到最后一跳被替换为接收端的Mac地址。源Mac地址： 发送端Mac地址。类型：用来指出以太网帧内所含的上层协议。对于IP报文来说，该字段值是0x0800。对于ARP信息来说，以太类型字段的值是0x0806。数据： 从上层或下层传来的有效数据，如果少于46个字节，必须增补到46个字节。校验码： CRC校验码，校验数据在传输过程中是否出错。三、实验内容（1）安装Wireshark软件。（2）掌握抓包软件的使用（3）掌握通过抓包软件抓取帧并进行分析的办法。四、实验步骤（1）常用的抓包软件包括Sniffer、NetXRay、Wireshark (又名EtheReal)。 我们采用免费的Wireshark，可以从或其他网站下载。安装完成后，Wireshark的主界面和各模块功能如下：命令菜单（command menus）：最常用菜单命令有两个：File、Capture。File菜单允许你保存捕获的分组数据或打开一个已被保存的捕获分组数据文件。Capture菜单允许你开始捕获分组。显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：Wireshark赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关的信息。如果利用TCP或UDP承载分组， Wireshark也会显示TCP或UDP协议头部信息。最后，分组最高层协议的头部字段也会被显示。分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被捕获帧的完整内容。（2）下面我们进行抓包练习。在capture菜单中选中options,可以设置抓包选项，如下图所示，这里我们需要选择要对其进行抓包的网卡。选择完成后按“star+t”开始抓包。过几秒钟后选择菜单capture-stop停止抓包。显示抓包结果：任意选中一帧，可以看到该帧所在的各层分组的头部如下：通过头部信息可以看出，该帧在数据链路层使用的是Ethernet II协议，到网络层被封装为IP数据包，到传输层被封装为UDP数据包,没有应用层协议。点开E II前的+号，可以看到该帧在数据链路层的详细信息：可以看出该帧的源Mac地址为00：30：18：a9：c5：aa,目的Mac地址为：94：0C：6d：66：00：8a, 类型特征码为0800（即表示IP封装），在数据区可以看到该帧的完整数据（16进制表示，可以在数据区右键选择2进制表示）。从16进制表示的数据上可以看出该帧完全符合以太网帧格式。（3）下面我们进行抓包实战并按要求回答问题。假定如下拓扑： 交换机主机A主机B我们用主机A ping 主机B,同时进行抓包：在抓包结果中我们可以看到如下4个包：依次选中这4个包，点开首部明细区Ethernet II前的+号，可以看到详细信息：分析这些信息，可以发现ping的过程如下：（两人一组实验，按实际实验结果填写）1主机A发出ARP包询问“谁知道主机B的Mac,请告诉我”，该ARP包所在的帧的目的Mac地址为_,说明这是一个广播包。2. 机房中的所有机器都收到了这个广播包，其中有一台机器回答了一个ARP包，该包说：主机B的Mac地址为_, 回答的机器是：主机B交换机因为该ARP包所在的帧的源地址为_3.主机A向主机B发出一个ping request(ping请求)包，该包所在的帧的类型字段的值为_