网络协议分析试验指导书

1、网络协议分析课题名称：网络协议分析指导教师：赵红敏专业班级：2014级计算机科学与技术 2班学 号： 20144591姓 名：孙晓阳评语:成绩1 / 232 / 23目录 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 实验一点到点协议PPP 4 HYPERLINK l bookmark6 o Current Document 实验目的4 HYPERLINK l bookmark10 o Current Document 实验环境4 HYPERLINK l bookmark14 o Current Document 实验步骤4 HY

2、PERLINK l bookmark48 o Current Document 实验二地址转换协议ARP 10 HYPERLINK l bookmark50 o Current Document 实验目的10 HYPERLINK l bookmark52 o Current Document 实验环境10 HYPERLINK l bookmark54 o Current Document 实验步骤10 HYPERLINK l bookmark70 o Current Document 实验三Internet控制报文协议ICMP 16 HYPERLINK l bookmark72 o Curre

3、nt Document 实验目的16 HYPERLINK l bookmark74 o Current Document 实验环境16 HYPERLINK l bookmark76 o Current Document 实验步骤16 HYPERLINK l bookmark78 o Current Document 实验四实现“洞”的算法20 HYPERLINK l bookmark80 o Current Document 实验目的20 HYPERLINK l bookmark88 o Current Document 实验环境20 HYPERLINK l bookmark94 o Curr

4、ent Document 实验要求203 / 23实验一点到点协议PPP实验目的.理解PPP协议的工作原理及作用。.练习PPP, CHAP的配置。.验证PPP,CHAP的工作原理。实验环境.安装windows操作系统的PC计算机。. Boson NetSim模拟仿真软件。实验步骤1、绘制实验拓扑图利用Boson Network Designer绘制实验网络拓扑图如图1-1。Devices：620 (1 Eth. 1 时!M044TT-L (24 同 2 Gig):610 (1 Ethr 1 Ser)1640 (4 Ser)de Devicesivilable Rjouters SeriesDO

5、 SeriesDO StrictDO 5s irles00 Series0 SeriesDO SeriesDO Series于屋口3640nerlc SeriesSwitihKSSihtr Df-i*New Topolagy 1 New Topology 2本实验选择两台4500型号的路由器。同时，采用 Serial串行方式连接两台路由器， 并选择点到点类型。其中 DCE端可以任意选择，对于 DCE端路由器的接口 (Serial 0/0) 需要配置时钟信号(这里用 R1的Serial 0/0作为DCE端)。2、配置路由器基本参数绘制完实验拓扑图后，可将其保存并装入 Boson NetSim中开

6、始试验配置。配置时点击4 / 23Boson NetSim程序工具栏按钮 eRouters选才R R1并按下面的过程进行路由器1的基本参数配置：RouterenableRouter#conf tRouter(config)#host R1R1(config)#enable secret c1R1(config)#line vty 0 4R1(config-line)#password c2R1(config-line)#interface serial 0/0R1(config-if)#ip address R1(config-if)#clock rate 64000R1(config-if)

7、#no shutdownR1(config-if)#endR1#copy running-config startup-configtomHZND2 ROUTiE SWITCH TSHOCJTLmb InstnictiQns NetMlp cfLab Desmption谜久要直我的直率一 Con&oksDevices: Routerl Device #1Routerl MSettings.HomeLateNetwodc IDe signerLab Compitef点击工具栏按钮eRouters,选择R2并按下面过程进行路由器的基本参数配置:RouterenableRouter#conf tRo

8、uter(config)#host R2R2(config)#enable secret c15 / 23R2(config)#line vty 0 4R2(config-line)#password c2R2(config-line)#interface serial 0/0R2(config-if)#ip address R2(config-if)#no shutdownR2(config-if)#endR2#copy running-config startup-configFi7B33 Ent er to Stuxrt:Routez:eiiflLbleRouter#conf 七ELat

9、er configui：attIon commmidsjr one per line . End with CHTL/3.Router (conf ig) ihost R2R2 (config) len.ELble secret clR2(config)fline vty 0 4BLZ (config-line) j pas sword c2R2 (config-line) f IntBZface sezrjLa.1 0/0R2(config-if tip address 192,168.0,2 255,255,255.0R-2 (config- f no uhu七down00 : 09:34

10、: %IINK-3-UPIX)WN: Interface Serial0/0r changed state to up0009: 34 s tIiINEPROTO5-UPDOKNs Xiine protocol on Interface 3erial0/0r chajaged sbate to upR2(config*if)fendR21 copy nmningf-czQllf工守 31 azrtij.p con f g(De a t inat i on filenanLe st ar t up- conf ig ?Bui.ldl ln.gf configuration .OKR2#l3、配置

11、、测试PPP选择路由器R1并配置PPP,如下所示:R1#conf tR1(config)#interface serial 0/0R1(config-if)#encapsulation pppR1(config-if)#endR1#copy running-config startup-configRJLf conf tEntec conf 1 gu11 on自事 otle per Une Eoid wlth CNTL/Z.RI (config)1 #interface serial 0/0Rl (ccmf) fenczapsulabIon ppp00:12:58: %LINEPROTO-5-

12、UPDOWN: Line protocol on Interface Serial0/0, changed state to doimRl (aonfig-if) fendRlfcopy muming-config staiztup-conigESestination filename (startup-conf ig ?Building configuxatJLDn. . os选择路由器 R2并配置PPP,如下所示:R2#conf tR2(config)#interface serial 0/0R2(config-if)#encapsulation pppR2(config-if)#endR

13、2#copy running-config startup-config6 / 23R2#conf tEjilzezr congiLixrEitxon conniLajidisr one per 1n石. End with CNTL/ZR2 (conf xg) f intiEXf ace aer*!b1 0/0R2(config-iftencapsulation ppp00:20:49: %lilNEPH0TO5UPDCffl(N: liine protocol on XHterface 3erial0/0f chang已d stzH-tze to upR2 (conf ig-if J1 te

14、ndR2#copy runningconfig 3tartup-configDe31ination filename 3tazrtupconiig ?BuildxTiigi conf iguratIon. 4 +OKI选择路由器R1,按照下面的步骤测试并观察PPP诊断输出:R1# ping R1#debug ppp negotiationR1#conf tR1(config)#interface serial 0/0R1(config-if)# shutdownR1(config-if)#no shutdownR1(config-if)#endR1#undebug allType escape

15、 sequence to abort：.Sending 5. 100-byte 工CMP SchQS tq 192.168.002. tlroeou七 is 2 aconds;Success rate Rlfdebug ppp PPP protocol Hltconf tis 100 percent (5/5)r round-trip min/awg/max = 1/2/4 ms ne-got iat loirEnter conf 1 gmra11 onr one per line, Bnd with CHTL/Z,Rl(config)finterface serial 0/0Rl(confi

16、g-iftshutdown00 : 34 :：092 %liiINK- S - CHANGED: Interface Seral0/0r chajged state to administratively down00:34:09: Se0/000:34:09: Se0/000:34:09: SeQ/000:3-5:09: Se0/000:34:09: Se0/000:34:09: 3eC/0PUP: State is Closed CDPCP: 9 tate is dosed PPP: Phase is TERMINATING 0State is ClosedPPP: Phase is DO

17、WN 0 IPCP: Remote route tosess4r 1 lo-a.d|negotiation debugging is onRl(config-if #no shutdown00:34225: %LINK-3-UPDOWN: Interface SerialO/0, changed state to up0Q;34;25： SeQ/000:34:25: Se0/000:34:25: SeC/00Q;34：25： 30/000:34:25: Se0/000:34:25: Se0/000:34125： 30/0rrr： PPP: LCP: DCF; LCP: LCP: LCPtTre

18、ating connection as a dedicated linePhase is ESTABIiZSHZNGr Active Open 0sessr 1 loadCONFREQ Closed id 15 len 10Mag-xcNLmJhexr OjcOO113F3A (0 x050600118F3A)CONFREQ REQsent id 2 len 10MagicNumber Ox0227C7F9 (Ok05060227C7F9)confjuzk 宜也Q禽叁m七id 2 len 10022.Route r1 X Router2 X7 / 23LIU : 34 : Zh :PROTO-

19、b-UPDOWftf :liine protocolon Xntax-ta.ce SerxalU/Ofchiazigrad state to upRl(config-if)#endRl tun debug 11All possible debugging has been turned offRii|Route r i X RouterZ X4、配置、测试CHAP选择路由器 R1并配置CHAP,如下所示：R1#conf tR1(config)#username R2 password samepwdR1(config)# interface serial 0/0R1(config-if)#pp

20、p authentication chapR1(config-if)#endR1#copy running-config startup-configRliconf Enter configuration commandsr one per line - End with CNTL/W.Rl (conf f uaejmamiB R2 password somcpwdRl(configj iinterface serial 0/0Rl (config-if tppp authent ication chap00:41t 17 2 %IjINEPRCto5ijpdown: line； protoc

21、ol on interface 3erial0/0r changed state to downRl ( configs fend.Eli i copy running - config s taxtup-configDestineition filename st art up-conf ig ?Building eonfigur a t i on,.OKURillRouterl X Router2 X 选择路由器 R2并配置CHAP,如下所示：R2#conf tR2(config)#username R1 password samepwdR2(config)# interface seri

22、al 0/0R2(config-if)#ppp authentication chapR2(config-if)#endR2#copy running-config startup-configR2fconf tEnter conf igniration camnLaiids r one per line End with CNTL/Z .R2 (config) fusername Rl password samepwdK2(config)finterface aerial 0/0R2(config-if)fppp authentication chap00 : 44 : 5 : %IiINE

23、PROTC)-5-UPIX)WN: Line protocol on Interface SerialO/Ojr changed, state to upR2(config-iffendR2 # copy TTiiming-conf ig st artup-con fig Destination filename startup-config? Building configurIon .OKR2t|Router 1 X RouteM X 选择路由器R1,按照下面步骤测试并观察CHAP配置:8 / 23R1#show ip interface briefR1#ping 思考题1、两台路由器上所

24、使用的串行口分别是什么？Serial 0/02、两台路由器的IP地址及子网掩码分别是多少？R1 : R2: 3、那台路由器上的串行接口为DCE端？使用R1#show contR14、本串行链路所使用的时钟频率是多少？640005、在CHAP验证中，对所设置的用户名和密码是否存在什么特殊要求？如果没有配置默认的CHAP密码，则被验证方根据主演正方的用户名在本端的用户表中查找该用户对应密码，并选用找到的密码。密码必须相同，用户名是对方的9 / 23实验二地址转换协议ARP实验目的.能够使用ARP命令对ARP选路表进行简单操作。.学会使用Ethereal捕获ARP数据包并分析其格式。.深入理解ARP

25、工作原理和重要作用。实验环境1、安装windows操作系统的PC计算机一台。2、每台PC具有一块网卡，通过双绞线与局域网相连。3、每台PC运行网络协议分析软件 Etherealo实验步骤1、使用ARP命令打开“命令提示符界面”，键入 arp-a”查看本机ARP表的内容。如图:Z ： UsersDawnarp -a竣 口： 172,22.43.115Internet 地址172. 23.4,238172,23.189.106172. 23. 255.254172. 23. 255.255532210. 0.22224. 0.0. 252239. 255. 255.250255. 255, 255

26、. 255Oxa物理地址 4_14_4b_6b_28_f1 14-14-4b-6b-28-fl 14-14-4b_6b_28-fl ff-ff-ff-ff-ff-ff 00 - cType栏下dynamic字段表明该表项处于动态更新中。如果 20分钟内没有其他10 / 23访问网络白操作，ARP表会自动清空。如果不想等待20分钟，可使用“arp-d”命令主动清空ARP表的内容。此时再 执行“ arp-a”命令，会发现 ARP表已经清空。还可使用“ arp-s”命令手工设置 ARP表项。如：Arp -s 53 00-cd-0d-33-00-34osoit Windows L放小 1U, 0r l

27、aUtiJJ2017 Microsoft Corporationa 保府所有权利&:Windowssystem32/arp -s 192,168.12. 253 00-cd-0d-33-00-34I 1: 172, 22.43. 115Internet 地川-172. 23.4. 238172, 23. 189. 106172. 23. 255. 254172. 23. 255. 255192,168. 12. 253224. 0. 0. 22224, 0. 0. 252239. 255. 255. 250255. 255. 255. 255Oxa物理地址1414-4b-6b-28fl 14-

28、14-4b-6b-28-fl 14-14-4b-6b-28-fl ff-ff-ff-ff-ff-ff 0 Q-cdfdT 3-00-34 01-00=3 白-0U-00T 6 Q1-00-5己-0。-00-fc 01-00-5a ff-ff-ff-ff-ff-ff?: Windowssvstetn322、分析ARP协议工作过程具体操作步骤：(1)相邻两名同学为一组，清除ARP表中的所有项。 运行Ethereal程序，执行分组捕获操作。向另一台机器发送 ping包，稍后停止发ping包。查看Ethereal捕获到的ARP包，分析ARP协议执行的全过程。w 厘vw# 第 Cartim 蛆海仲 的，

29、91Ks出情口电4国虫害受里回 致以做因例回用於 冠Etar ExpnaiM. ar %由Veined.N l.lTJflTi 4T 1.3F当才上bS4 i.Sd3fiD 58 1.7Q9GD9 GO 1.909E95 51 1s?13TB2- 帽 IE” 63 l.adUHl. 64 1.37+647 65 1.37S76finil m.ij.uai.,j.ir-* 11Tall i72.30.ig.M173.30.i*.i? Ttll l?2.3fl.16.172, 30.17.219? Tell i72_3D17.24317Z.Tel l 117 占和，17，工*我 Tel 17Z.3

30、Q.1T,2QZ 1丁3 KilTlig T*ll 1?Z-JQ. ir.n? 172.fea.iJ.251? T*n 173.ld.lF.il!172.H.1K1? Tall 172.30.lfi.f4 172. K. 17.119? T*n 214 Z.NLUSZ N 3.079y) 以上一的的士当 白口 2.11(1626 fll 20127BG6PrOKiC.535idU；飘；针RiifijJM WAidcuE1家 L4 _4b !bb!3E；;fl 斌UCHMi ! SO !而：扪! ：! ffl! U :他 EroKkucFrare 56 CW by cm *irt. OD trc

31、s capcured)ECharnat ic, n cj g：Tb.aE，白m小猫一如etMdF”口n 6力1 (rpply)Hr*dE cypt: ETberncr CjMWl)PfOTCcal ip 0)川 ar： 4froiocal S-1ZC： dDpcodd： rAplyMrritrMac iM-99；的；由 CWrfb; aU ilb:fftFab) if172. M.17.203 (1T2. 3O.17.2D3mv加：fb；L：Hb：r6：g 46:fb:弱：的.f& 咕。Twet IP Bddrws; 172, JQ,17,zoz-5-Tcciju17 1107 I I 1 T

32、7 -an 313?K 5 IF JHa、1TJ. hU 1J1. J 4hu 1722 hu 171.=11 / 23腐 Cnrriit |ti1.27dl0& 54 1.5fl3iM7 SB 1,7Q9GD9 的 1.BQ9Z99 QI L. B13TAZ Z 1.门，丁 63 l.mublJ 64 1.37+6+7 g5 l.a7S7GBM=jj.：T=id ；汽；n :ld T 如 dM：彘.：*9巾白；却 咱：旬阳：酎：甑：孑 &o：fb：i：ab：rr：46 tD：grir,iai it*.岫.工Lamiv -*11 :lt.xli1九 i1之 172. Ml. If. 1? Ti

33、ll 1720.16.0TH11 172.30.lfi. 172u34.L7.Z49? lell 172_30ixl7.243 17Zi M.ie.l? Tel l 172.30.IC.Si 1TZ. W.17.Z197 Tell 172.30,1r,302 ITT.孙 11y T*ll 1?Z-jp.17,11 J U/iSH Till 1T2. Id.lF.ll J 172.H.1*.!? Till IJS.SO.iG.M 172. JO. 17.113? T-fill 21 , o.i icknri mu：*m55 1.493131 7* 2,0Z1057 T, 3.Q9T1 冲上.加。

34、3 白口 2.ilDfiM fll 2.127866- - -_ -!fbndlZN 包M:M:mo-3b：r(.?h ld;ds-deilfijJd EbilBjfl ra：54：.3O1-17.ZO3 Is 90;fti：.Ekit和bVt： SThernec QMQ11PfOTKQlIP (口灿融J5,i W：-frocnl31工七二aDpCddd!(CbMDOOl)aEer WictWrfb; aQ ;-Bb=f4rJSMTrier m MkfHSi 172.30.17.202 C172. IC. 17.202Tjric hk:口口：配1=8_加油也：配！(M: 口口：TW5W.k r

35、 - C TlMin-iFa.i 常 加温Oi JEu -3、用ARP命令查找IP地址冲突主机原理：主机 A在连接网络或者更改 IP地址的时候，就会向网络发送 ARP来广播 自己的IP地址。如果网络中存在相同 IP地址的主机B,那么B就会通过ARP来reply 该地址，当A接收到这个reply后，A就会跳出IP地址冲突的警告，B也会有警告。如果能同时观察到这些主机，那么通过修改其中一台主机的 能观察到其中一台 PC提示“IP地址与网络上其他地址冲突” 台主机设置了相同的IP地址呢？IP地址即可。如果仅 那么应如何确定是哪两将该报警主机的IP地址修改为一个未用的地址。如： 在该机命令提示符界面接

36、入“ping 51 ”执行arp -a”命令。51I HB管理员：命令提示符】二 172. 22.43. 115OxaInternet 也力1:物理地址172. 23. 4. 23814-14-4b-6b-28-fl172. 23. 189. 10614-14-4b-6b-28-fl172. 23. 255. 25414-14-4b-6b-28-fl172. 23. 255. 255ff-ff-ff-ff-ff-ff192. 168, 12, 25300cd-Od330034224. 0. 0. 2201005e000016224. 0. 0, 25201005e-0000fc239. 255

37、. 255, 250。1-Q0-5e7f-ff-fa255. 255. 255. 255ff-ff-ff-ff-ff-ff拉: Windowssysteni32piiig192, 168.12, 251iE/1: Ping 192. 168. 12, 251Ccn+rol-C具仃32字节的数据：Ue : Wi ndowssy steTn32ping192. 168.12. 251| iHfT Ping请求超时.未门11. 1.注苦求超时.东门111.192.1. 21. 2168. 12. 251具 fl 32字恃的数堀二的l国复;无法访问目标主机.的|司? 无法访问II标生机.192. 16

38、8. 12. 251 的 Ping 岂充才信息：敢外;包：已发送=4.己接收=2,丢失=2去 urn =十 - 二为 二“二声 二外二,甲仓缶仓仓仓仓%Td T* T* TJ U T* . T* 1 V一一二*-类动动动睁睁睁静静静50:Rindcjw占 tcm32 ：12 / 23255. 255. 255. 255府态C: Windowssys tem32pirig 192. 16& 12,正在Ping 192. 168. 12. 251具有32字节的数据：Control-CCC: Windowssystem32ping 192. 168.12 251tE在Ping 192. 168. 1

39、2.251具有32字节的数据：请求超时.来自11. L L2的回复：无法访问FI标生机.可求届时.来自1LL1.2的回耳：无法访问目标主机。168. 12. 251 的 Ping 统计信息:数据包：已发送=% 已接收=2,差央=2 （50%丢失）.接口： 172. 22.43. 115Internet 地址172. 23.4. 238172. 23. 189. 106172, 23. 255. 254172. 23. 255. 255192.168,12, 253224. 0. 0. 22224. 0. 0. 252239. 255, 255. 250255. 255. 255. 255Oxa

40、物理地址14-14-4b-6b-28-fl 14-14-4b-6b28f1 14-14-4b-6b-28-fl ff-ff-ff-ff-ff-ff 00-cd-0d-33-00-34 01-00-5e-00-00-16 01005e0000fc Ol-OO-Se-Tf-ff-fa ff-ff-ff-ff-ff-ff型态态态态态态态态态类动动动醺静静静静骸C: Windowssystein32思考题1、结合实验画出地址解析的流程图。处地址解析过程2、根据ARP协议工作机制考虑是否存在地址欺骗的安全隐患？并找出可能的解决途 径。13 / 23C：ffindoTssystem32arp -a存在地址

41、欺骗的安全隐患，因为在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠 ARP表，每台主机（包括网关）都有一个ARP 缓存表。查；阅资料可知：在正常情况下，这个缓存表能够有效的保证数据传输的 一对一性，也就是说主机 A与主机C之间的通讯只通过网关 1和网关2,像主机B 之类的是无法截获 A与C之间的通讯信息的。但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的 ARP缓存表里的相应信息。这就导 致主机B截取主机A与主机C之间的数据通信成

42、为可能。由于局域网的网络流通不是根据IP地址进行，而是按照 MAC地址进行传输。ARP协议并不只在发送了 ARP请求才接收ARP应答。当计算机接收到 ARP应答 数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致 A不能Ping通C!举一个例子加以说明， 假设一个网络环境中，网内有三台主机，分别为主机A、 B、C。主机详细信息如下描述：A 的地址为：IP: 192,168.10.1 MAC: AA-AA-AA-AA-A

43、A-AA B的地址为：IP :192,168.10.2 MAC: BB-BB-BB-BB-BB-BB C 的地址为：IP : MAC: CC-CC-CC-CC-CC-CC正常情况下 A和C之间进行通讯，但是此时B向A发送一个自己伪造的 ARP应答，而这个应答中白数据为发送方IP地址是192,168.10.3 （C的IP地址），MAC地址是 BB-BB-BB-BB-BB-BB （C 的 MAC 地址本来应该是 CC-CC-CC-CC-CC-CC ,这里被 伪造了）。当A接收到B伪造的ARP应答，就会更新本地的 ARP缓存（A被欺骗了）， 这时B就伪装成C 了。同时，B同样向C发送一个ARP应答，

44、应答包中发送方IP地 址四 （A 的 IP 地址），MAC 地址是 BB-BB-BB-BB-BB-BB （A 的 MAC 地 址本来应该是 AA-AA-AA-AA-AA-AA ）,当C收到B伪造的 ARP应答，也会更新本地 ARP缓存（C也被欺骗了），这时B就伪装成了 Ao这样主机A和C都被主机B欺骗， A和C之间通讯的数据都经过了 B。主机B完全可以知道他们之间说的什么）。这就是 典型的ARP欺骗过程。ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种 ARP欺骗的原理是一一截获网关数据。它通知路由器一系列错误的内网 MAC地址，并按照一定的频率不断进行，

45、使真实的地址信息无法通过更新保存在路由 器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常 PC无法收到信息。第二种 ARP欺骗的原理是一一伪造网关。它的原理是建立假网关，让被它欺骗的14 / 23PC向假网关发数据，而不是通过正常的路由器途径上网。在 PC看来，就是上不了网 了，“网络掉线了”。查阅资料可知目前有下面几种方法来控制ARP欺骗：主机静态绑定网关 MAC :使用 ARP命令静态绑定网关 MAC ;网关使用 IP+MAC绑定模式：交换机启用静态 ARP绑定功能，将用户的IP与MAC进行静态绑 定，防止ARP欺骗发生；使用ARP服务器：在局域网内架设ARP服务器，替代主机

46、应答 ARP包；使用防ARP攻击的软件。因为ARP欺骗利用的是 ARP协议本身的缺陷，所以到目前为止，还没有一个 十分有效的方法去控制这种攻击。以下是我们根据资料自己总结出的一些解决ARP欺骗的方案。方案A:IP-MAC绑定通过双向IP-MAC绑定可以抵御 ARP欺骗，解决由于ARP欺骗造成的网络掉 线、IP冲突等问题，保证网络畅通。1、客户机绑定网关IP-MAC2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序3、网关绑定客户机IP-MAC :使用支持IP/MAC绑定的网关设备，在网关设备中设置客户机的静态 IP-MAC列表。注：方案A可以抵御ARP欺骗，保证网络正常运行，但不能定

47、位及清除ARP攻击源。方案B :利用ARP命令及nbtscan定位ARP攻击源1、确定ARP攻击源MAC地址2、定位ARP攻击源计算机3、对ARP攻击源计算机进行全面杀毒。方案C:利用Anti Arp Sniffer实时防护并检测 ARP攻击源1、运行 Anti Arp Sniffer 3.6 ,输入网关 IP及 MAC 地址，点击自动保护。Anti Arp Sniffer可以监控本机的 ARP缓存，自动清除伪造的 ARP条目；监控网内 的ARP欺骗数据包，显示 ARP攻击源的MAC地址及IP地址。2、在只能检测到 ARP攻击源的MAC地址，而检测不到其IP地址时，可以利用Anti Arp S

48、niffer 3.6 附带的 MAC扫描工具 MacScan.exe,查找ARP攻击源 MAC 地址对应的IP地址，根据IP地址定位攻击源计算机。3、XA ARP攻击源计算机进行全面杀毒。15 / 23实验三Internet控制报文协议ICMP实验目的.掌握使用Ethereal工具对ICMP协议进行抓包分析的方法。.理解不同类型ICMP报文的具体意义。.通过实验，进一步了解 ICMP协议。实验环境安装windows操作系统的PC计算机一台。每台PC具有一块网卡，通过双绞线与局域网相连。每台PC运行网络协议分析软件Ethereal。实验步骤1、ping程序使用的ICMP信息包启动Ethereal

49、协议分析工具，选择Capture 一 start”,开始数据包的抓取，接下 来点击“开始”菜单，在运行中输入“ cmd”，进入操作系统命令行模式，在该模式 下输入ping -n IP地址，如图。16 / 23P： Windowssystem32ping 172, 23, 127* 220正在 来自 来自 来自 来自Ping 172. 23.127, 220具有32字节的数据:172. 23. 127. 220172. 23. 127. 220172. 21 127. 220172. 23. 127. 220的 的 的 的IIHl豆：字廿二32可复：字节二32回复：字节二32时间时间二 193n

50、ls TTL=63=99ms TTL=63时间二106ms TTL=63时间=14nis TTL=63172. 23. 127. 220 的 Ping 统计信息:数据也：已发送=4,已接收=4* 往返行程的估计时间(以亳秒为单位):最短-Itan最长I 193mst平均丢失=0 (0%丢失).二 103ms:Windowssysteiu32P加8皿-3 7 J. 3C.l 2Ll：- 171. 3O.i.203 172. H.17uZDZ 172. W.1T.Z03 17?. 3C.1.ZD?11-i 2.a*ndbb 11g 2.992435 143 1691994 HC九啊mM 1H9 L

51、H19TF-lfr. Tha轴 r3w wuac+“。0日耳。附 PrrtKolLdK! IM叫：Lcho (pfrq replyLct (pfraaJ requesiEcho (pirq； replyEcho tp-irq；97 3.Z9M1Q加*0_1中 n；新 C-cr/VIP-zUTP/Pi/U WJhi .uuugjf*Ea=:bdq:4Jvd:LJ 仃3工乐iMCPvfe3强 工4血后白部-上仃出1心Qa ITS_1：上dhcf-.37S 中评附加 9FtKi.Ld46:1 3 : 1 m2 ,.1:2由”6392 1O.433B4fetO: :cc*d: alOaflOJ: 1:

52、2wcn393 lQ.41iZ4.OTteKi-77iaE;erjLB-el ttO2-: 1;Z4XPv4405 IC S555ffl f CSO-； C99d 6 ffOT - -1 ； Z(MCPv4QP x.wjiw iyj. whivdQM 11mlr.aff： kwMl 1c St sdHct s#11E SoMcii SollcTEl依 型 Fr”：T？七1W. 0? 172. W.l.ZDS 172. 34.17.Z0Z TK 3O.1T,2Q3x Fraw 70 (74 by cm virCi 4- tvtes capcured)卜ECharnat :i, srcj鲍什6一1

53、1N曰“6.力M了用猛.比.6:口cst.如：2送-犯：跖：箱中他什中t Trcernpl： PrrjtiKnl. ffre： 1J_ 15. 1 ? t aD J C1TJ. 15,1?, 2P3), Dst： 1 -2-10-178 2&J 1TJ. Ki, 1 ? , 2WIrcerntr tenrraI he+jaq* Pracnccliyp*i 0I可)f*Ql力Cfflifr gChtk5u; -DkI154 enrrenjdmtfflAr: 口33M5WfUtrreglHDCIcwi (32 iT/rtsJMHOMM(HMDjtSHliTEaB MoaTsao evac1七11c

54、bacItUi00616263&65酬fq口门73T*M64 E9. .q . . Jiicddr tjF I jiklan r-ruu JbcdEW hiF*t FTTmnirtimwvcwGlLr q kb qpw 设0 tMBQ妁fdPing结束后，停止 Ethereal抓包程序，并在 Ethereal中的Filter域中键入关键 字“ ICMP”，点击“ Apply ”按钮，将非ICMP过滤掉。查看数据包内容窗口中的“ICMP”，可以看到该ICMP数据包的协议类型和代码,从而可以判断是一个 ICMP什么数据包。分析查看这些ICMP数据包，回答以下问题：本机的IP地址是多少？目标主机的I

55、P地址是多少？本机：02,目标主机：03为什么ICMP协议数据包没有源端口和目的端口号？ICMP是网络层协议，端口号是应用层协议，所以 ICMP没有端口号。查看本机发送的每个 request包，回答这些包的类型号和代码是多少？这些数据包中其他字段有哪些？checksum、sequence identifier字段分别占多少字Type: 8、8、8、8, code： 0、0、0、0, checksum： 16 字节，sequence： 16 字节，identifier ： 16 字节。查看回复的reply数据包，它们的类型号和代码是多少？这些包中还有哪些17 / 23子段？ checksum、s

56、equence identifier 子段分另1J占多少子下？Type: 0、0、0、0, code： 0、0、0、0, checksum： 16 字节，sequence： 16 字节，identifier ： 16 字节。2、traceroute程序使用的ICMP信息包启动Ethereal协议分析工具，选择Capture 一 start”,开始数据包的抓取， 接下来点击“开始”菜单，在运行中输入“ cmd”，进入操作系统命令行模式，在该 模式下输入 tracert ,如图。:Windowssvstem322tracert baidu. com通过最多30个跃点跟踪到 baidu. com 1

57、11. 13. 101.208的路由:,s In 9s m5 6s m53sm4 * *3S m 9 34443*s m8 350ms msms ins ms msms msms172.23. 255. 25410. L0. 242请求超时.61. 187. 22. 5192,168. 193, 24961. 137, 6. 213202. 97. 54. 69202. 97. 57. 198221.183. 30. 53221. 183. 25. 65请求超时 请求超时.请求超时“ UL 13.108.1 谓求超时.Tracert命令结束后，停止 Ethereal抓包程序，并在 Ethere

58、al中的Filter域中键 入关键字“ ICMP”，点击“Apply”按钮，将非ICMP过滤掉。分析查看这些ICMP数据包，回答以下问题：本机的IP地址是多少？目标主机的 IP地址是多少？本机：15,目标主机：9。查看echo数据包，与ping所使用的ICMP包比较一下，看有什么区别？Data类型echo为64字节，ICMP为16字节。查看本error (Time-to-live Exceeded)数据包，这些包比 echo数据包多了哪些字段？这些字段的内容是什么？多了 IP和ICMP ,内容与ICMP包的相同字段一样。18 / 23 Frame 11 (70 byres on wire, 7

59、D byres captured)庄 EChtTMC II, 9TC;(14 ；14 ；4b;b;2A;f 1). Ost;趾；9九衣;d 丸加;心 ; a2 ;d3:6;d2)+ Internet Protocol 4 Src: 10Bla0B 242 (10.1卬 G. 2*2) . Dst: 17 2 * 22.4,115 (1?2 22.43u 115)imerrieT Canirol Message ProiacolType 11 (Tlifc*to-1 iw* 专专日专d)Codes 0 Time to live exceeded in transit)Checksum: 0 xf

60、4ff correct工力r*rnt prntounl1与(： 172工22N.43；. 11.51,口1d.211177, 39 (14. 15.17F.彳方Internet Cofitrol Message Protocal Type: 8- (Echo (ping) request:) code： 口Chedk&ya; Oxf7idW cnrrect I dent i f i er : MMQISequence nuaber: OnOOZI查看最后3个error数据包，这些包与其他 error包有什么不同？ICMP字段的ICMP中的checksum与sequence数值依次递减。思考题1