协议分析上机实验报告

网络协议分析实验报告专业：学号：姓名：一、实验目的z掌握Sniffer工具的使用；z学会分析网络流量中各协议的分布情况z掌握监听网络数据包的方法；z通过抓包工具，观察Mac帧、IP包格式、ARP、ICMP报文，掌握基本的网络协议分析方法。二、设备与环境z计算机，局域网环境zWindows操作系统zTCP/IP协议zSniffer软件Sniffer软件是NAI公司推出的单机协议分析软件，同时具有发送报文的功能。它运行在微机上,利用微机的网卡，截获或发送网络数据，并做进一步分析。可以应用于通信监视流量分析、协议分析、故障管理、性能管理、安全管理等方面。Sniffer的主要功能有捕获网络流量进行详细分析，诊断问题，实时监控网络活动，收集网络信息：如利用率和错误等。三、实验内容要求掌握网络抓包软件Sniffer内容包括：捕获网络流量进行详细分析实时监控网络活动收集网络利用率和错误等协议分析（一）：IP协议，内容包括：IP头的结构IP数据报的数据结构分析3．协议分析（二）：ARP协议，内容包括：ARP协议的工作原理ARP数据结构分析4．协议分析（三）：ICMP协议分析。1．安装SnifferPro工具软件，运行SnifferPro,选择相应网卡单击开始一〉程序一〉SnifferPro-〉Sniffer,启动监视工具SnifferPro。在Sniffer软件界面中单击File—〉SelectSettings,弹出网卡选择对话框。选择完成单击确定回到主界面。利用Sniffer软件进行网络监听、进行网络流量分析。在Sniffer中选择Capture->Start。开始进行网络流量捕获，打开浏览器登陆某个网站增加网络流量。然后停止捕获,对所截获的网络流量进行分析。1）选择Dashboard（网络流量表）査看网络状态。点击图1-2中①所指的图标，出现三个表，第一个表显示的是网络的使用率（Utilization），第二个表显示的是网络的每秒钟通过的包数量（Packets），第三个表显示的是网络的每秒错误率（Errors）。通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。d"，亦・|・|*|处|&|[~Gg|H|❷| 创彌IQIWI•❷Iral勿魁®I|口51«DtshlbutlonPmd"，亦・|・|*|处|&|[~Gg|H|❷| 创彌IQIWI•❷Iral勿魁®I|口51«DtshlbutlonPm3図»|・|・|*|舛I£||i內33578.17521QI2Q16#11427QCMS082943O□0n«*^3I3T1込|~3]|Si/eDishiiMMioii|DBtaHE“(N$□DeCEfrorBSbMTwm'LongTwm«ShowTotal「ShowAverageR«te(petsecond)匚口□二¥»»>»图1-2点击Detail查看具体数值。

选择图1-2中②所指的选项将显示如图1-4所示的更为详细的网络相关数据的曲线图。i(rrioAT^nCDdadErrors53■ucAhm^2wi(rrioAT^nCDdadErrors53■ucAhm^2w■<：.0im•:3■□ »i<ft2>yvEl■囲i-@■WMeOT六114CB图1-42）选择Decode进行分析。如图1-5，可以看到详细的数据流，如arp，tcp和dns等等图1-53）在菜单栏中选择Monitor屈Matrix,点击IP标签，在左边竖边条中选择Map,观察当前网络中主机通信矩阵；非常直观的显示流量分布情况。如图1-6。

丄才FileMonitorCaptureDisplayToolsDatabaseWindowHelp：丄才FileMonitorCaptureDisplayToolsDatabaseWindowHelp：|\MAC入IP人IPX/ForHelp,,pressFl图1-6FileMonitorCaptureDisplayToolsDatabaseWindowHelp二LeJ凶

-|g|x||DeFmult TI口旧I副副倒樹①恤I詞Ml剧圈玄I堅I剑I|目Howl1 |月Packek|月Bytes|禺Bytes |囘Pack忑|凰Hml2昌1;;II;禺禺禺禺禺Help,pressFl图1-7当前主机通信流量4）在菜单栏中选择Monitor屈ProtocolDistribution,在左边竖边条中选择相应的查看方式观察协议分布。如图1-8。

-|g|x|副圖I创釧詞制霾I陋I划御型FileMonitorCapturepimplayToolsDatabaseWindowHelp^^SniEferPortable-Local,Ethernet(Linespeedat100ll>ps)—[ProtocolDistribution]iiniloKI-|g|x|副圖I创釧詞制霾I陋I划御型FileMonitorCapturepimplayToolsDatabaseWindowHelp^^SniEferPortable-Local,Ethernet(Linespeedat100ll>ps)—[ProtocolDistribution]iiniloKI卜堆盹去|\MAC入IP人IPX/ForHelp”pressFl图1-8当前主机协议分布对于Matrix，HostTable，PortocolDist.Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了。4.在命令符下运行：arp-d〃目的是：清除arp缓存5．重新启动Sniffer监听网络数据包。6.在命令符下，Ping相邻的主机（属于同一个网段的机器）。同时Sniffer捕获ping程序过程中相关的数据包，并分析这些数据包：包括MAC地址，帧的类型，帧的大小，IP地址等，最好能分析出数据包的应答顺序。（本过程主要涉及的网络层协议有IP、ICMP、ARP柱状图饼状图表格Bytes计数包计数的）。7．停止捕获，对监听到的数据包进行分析。五、实验结果：观察主机间通信，并完成通信矩阵，填入表1-1。z主机间流量统计，完成流量统计表格，完成表1-1。A、 在主机下方的空格中填上主机的IPB、 如果某两台主机之间存在通信，请在交叉处的第一个方格中打勾C、 在交叉处第二个方格出填入观察时的通信流量z观察并统计各个协议分布，统计当前流量最大的五种协议，及各种协议所占比重，完成表1-2。表1-2网络中存在的协议有ICMPHTTPSNMP-TRAPDNSNetblos-NS各种协议的比重0.19%25.45%0.82%0.63%6.14%1、IP协议分析IP数据包的各字段含义如下表字段报文信息说明版本4IP协议类型为IPv4头长20BytesIP数据包的头长度服务类型0x00数据报的的处理方式总长度1500总长度指首部和数据之和的长度标识0x5310用于分片操作中

标志0x20用于分片操作中片偏移1480用于分片操作中生存周期128数据报的存活时间协议ICMP(0x01)说明法师宏数据报的上层协议校验和0x3c9f数据报头部的完整性校验源地址75标识发送方通信终端设备的IP地址目的地址52标识接收方通信终端的IP地址FragnentEdIFpratozol(prato-lCMP4xQ18口”・1斗開)"机彌电也丽3P"*0<协C^otO^KMP ・CiTFYWOerm:ndIPprctocol(pr«rco-l€HPOxDl,,aff-JWO：pWCi讥HPIO*EchD(ping)r<qu*5：tbftfflEdLICMPE<bc([Jiruj}replyIP Fp8absentedIPFragnentEdIFpratozol(prato-lCMP4xQ18口”・1斗開)"机彌电也丽3P"*0<协C^otO^KMP ・CiTFYWOerm:ndIPprctocol(pr«rco-l€HPOxDl,,aff-JWO：pWCi讥HPIO*EchD(ping)r<qu*5：tbftfflEdLICMPE<bc([Jiruj}replyIP Fp8absentedIP”口穴：小，「工aRHPwg0fF4M<sp ”审芦■皿雹SP FrAOWio*1emw切rtQM^c:>■ FrigponrndIPprnrDCol(praca«ICMPOxffiL.off«4i)IF ftjflrtefflisa-Tp-prScflMitprfft&»io4POxftLPaf?*i?510#ECM(pdnQjF«plyIPFrh«nt・d3Pd「6x^!〔prgu-IW*QW□阡YQM Fr edipfiretKOlfpr枫0・1£即◎耳01・0阡-1』轴；fPPrA^anTFidIDpratncolrproto-lCHPOmCXL.off-14SOjl>EP-，钙时戸L^iZ.l&Sul码I聒沾t92.16®rl99B37-4I'SZ.163.1flWSTl-92.16^-1fl^SQ&S1^2.163-1蒔网0弟孔工讯J中沁?ll192.14^.1“兀已■住吞此耳E旳E9■越193,1^9.1WSfliBI«2.144rlwqojl1^2.163-1射仙7 M2.168-1詢咻百1^2.163.1M^DSZL?IS143.1曲命冲1$ 碍，1的&3汀L9Z.l&9ul鸽餌珥14>2r144.1175IM1&51削3.B5IBS3-75171LS5削135i?$175诃17?20 .121 122 1ChfeWimnLW.lL4B.1】個直1%19?1921^?19?1W19?14«.lL^.lm.iLM.l打兽护阳tncl护prc-TDCfllCpf^eo-^ChpOxOtL・of?-2Wc!- IPprgfmliCpr«Q^J<^iP・QFF・4jIP FrAgqsntBd]Pprat&coltprato-KHPgg.□阡・1比閣：p Frfsisaenxe^IP"iM.X©T(pa-dfQsTd-MPflxftL.口和门呦In-tcrraEtPrErtocal-Src; fi.l!Si?JLti&al-L?'^JKfrstz 191tlW.IfrSn.l&tjVerjiofl：4we-cdBrTtng^h:2-£rby^es：0Olf^>riarM：1ic«<flftrvlotsFlitld:a»KiCdscp EMdTjiuliE；IKM!OmDO)toxilLQngEh:15M<】帥旷1■姑朋佃皿舱+J=l^ss如號(HereFfi^flencsJ賁汕<冋帼OffSJT；1硝口Tine萌HvifeSiMfrfflmlsI€MPC^01)tjMa-iderchecksum:Ox却匚肝[cnrrHCt]SWJTCtf-：L92„Its.1.175(1«?.IM.1-175)fwiinirW:：1W-I&a-L-1E;5(1M-1M-1..1S5!)^^■j-E-ig^-Hb Intrannl?B酎石'帀颐- —2、ARP协议分析ARP请求报文ARP应答报文字段报文信息及参数字段报文信息及参数硬件类型Ethernet(0x0001)硬件类型Ethernet(0x0001)协议类型IP(0x0800)协议类型IP(0x0800)硬件地址长度6硬件地址长度6协议地址长度4协议地址长度4操作Request(0x0001)操作Reply(0x0002)源站物理地址a5:a9:el(00:13:20:a5:a9:e源站物理地址1)a5:a9:f1(00:13:20:a5:a9:f源站IP地址49(49)源站IP地址56(56)目的站物理地址dell_a5:a9:f1目的站物理地址dell_aa:df:30目的站IP地址69(69)目的站IP地址63(69)数据报如下：3Frsrtie20£42byresanwire(.J36 42ftyrescapiured(S36blrs^Ai-rlv^lTimesDSC13,201216:11634^000I~||~I~「]I~IEpMhTine:1211336157-1L6246DMIseconds[tImdelrafromtirevlauscapiuredfr^ne:0.oaOQLBOOQseconds][Tirwds-ltafranpreviousdisplayedframe:0.000013000isf匚ends;[Ttr*esincereferencearfirstframe:6a93MM00Ciseconds]FrangNunb^r:?QFr-arteLength;42byies〔賄■&bles5CdprureLength;J2byres<336bits)[FrancIs-md-rked::Fiilse][Fra*ieis1ig«KireS!false][Protocolsinfrane:rth:arp][color5ngRule忖抽轨akp][Colar1ngn.ul«String：«rp]HEthei^ei：II) M11_C3^2!3d(13:03:73£4：3:t2!ad)feDSC!HaHg2hou_bB；ar:DD〔兀：掰油钿DR；目仁&(D隆DesrinationjHangzhouJDa：&f:00(3c；E5;a6:b8;6f;00)両弓口urce:Dell_cJ:c2泊日(16:02:73=£3:c2:6d)Type;arp(0^0806)SAddro-^sRH-salLTti口n戸厂此尢口1(rfiplly-)Hir^iretype!Ethernet(1)Prptg^gltypt^IP(QxIMOQ)HiFdwar-esize:6Proracolsize:J3、ICMP协议分析ICMP报文分析扌报文号源IP目的IP报文格式类型代码标识序列号1685750(Echo(ping)reply)00xda5b0x02001775858(Echo(ping)request)00xd15b0x02006175858(Echo(ping)request)00xbb5b0x02006285750(Echo(ping)reply)00xc35b0x020011775858(Echo(ping)request)00xa25b0x020011885750(Echo(ping)reply)00xaa5b0x0200实验数据如下：

Wfl.MHMn IM-LW.1-155工片0・0WS>2!> 工常.Ltt.1.L?$Wfl.MHMn IM-LW.1-155工片0・0WS>2!> 工常.Ltt.1.L?$M號驱冏» 1^-1W,a.IS?211D.COO945 19Z.LM：.1.1752f10.WWl?19J,1«8-,氛卫」11.OiM<l13 l'iJ.Lefi.l-LTTi卫IU.«S«51：L強.148-.1.1«53.2.1«.IM.1.175ia.cwy?gi^>-IM-3.68.1.ISE1M.165-1.173f■-—、严■.= ■■fqi -Echo<p1r-a)FW鞋国{p1r^3rRqMCSTEChti(ping)reply/临<p+ngjEcho<pirq)replyecho(plftfl)rwei^Echoipirvq)r-oolyuaoisiBt