实验二-使用wireshark分析arp协议

计算机网络实验报告年级：姓名：学号：___________实验日期:_________________________实验名称：实验二：利用Wireshark分析ARP协议一、实验工程名称及实验工程编号ARP协议学习与分析二、课程名称及课程编号计算机网络三、实验目的和要求实验目的：通过本实验使学生：1．学习ARP协议的工作原理以及ARP分组格式；2．学习使用WireShark对ARP协议进行分析。实验要求：实验结果分析报告名称：实验一ARP协议实验结果分析_姓名.doc四、实验原理Wireshark介绍Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark是最好的开源网络分析软件。Wireshark的主要应用如下：〔1〕网络管理员用来解决网络问题〔2〕网络平安工程师用来检测平安隐患〔3〕开发人员用来测试协议执行情况〔4〕用来学习网络协议〔5〕除了上面提到的，Wireshark还可以用在其它许多场合。Wireshark的主要特性〔1〕支持UNIX和Windows平台〔2〕在接口实时捕捉包〔3〕能详细显示包的详细协议信息〔4〕可以翻开/保存捕捉的包〔5〕可以导入导出其他捕捉程序支持的包数据格式〔6〕可以通过多种方式过滤包〔7〕多种方式查找包〔8〕通过过滤以多种色彩显示包〔9〕创立多种统计分析五、实验内容1．了解数据包分析软件Wireshark的根本情况；2．安装数据包分析软件Wireshark；3．配置分析软件Wireshark；4．对本机网卡抓数据包；5．分析各种数据包。六、实验方法及步骤1．Wireshark的安装及界面〔1〕Wireshark的安装〔2〕Wireshark的界面启动Wireshark之后，主界面如图：主菜单项：主菜单包括以下几个工程:File包括翻开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或局部。以及退出Wireshark项.Edit包括如下工程：查找包，时间参考，标记一个多个包，设置预设参数。〔剪切，拷贝，粘贴不能立即执行。〕View控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在别离的窗口，展开或收缩详情面版的地树状节点GO包含到指定包的功能Capture允许您开始或停止捕捉、编辑过滤器。Analyze包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能。见Statistics包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。见Help包含一些辅助用户的参考内容。如访问一些根本的帮助文件，支持的协议列表，用户手册。在线访问一些网站，“关于〞等等。2．Wireshark的设置和使用1〕启动Wireshark以后，选择菜单Capature->Interfaces,选择捕获的网卡，单击Capture开始捕获2〕当停止抓包时，按一下stop，抓的包就会显示在面板中，并且已经分析好了。下面是一个截图如图2-2所示。图2-2Wireshark数据包分析Wireshark和其它的图形化嗅探器使用根本类似的界面，整个窗口被分成三个局部：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。2〕设置capture选项选择菜单capture→Interface，如图2-3所示，在指定的网卡上点“Prepare〞按钮，设置capture参数。图2-3capture选择设置Interface：指定在哪个接口〔网卡〕上抓包。一般情况下都是单网卡，所以使用缺省的就可以。Limiteachpacket：限制每个包的大小，缺省情况不限制。Capturepacketsinpromiscuousmode：是否翻开混杂模式。如果翻开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Filter：过滤器。只抓取满足过滤规那么的包〔可暂时略过〕。File：如果需要将抓到的包写到文件中，在这里输入文件名称。useringbuffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。其他的项选择缺省的就可以了。2．显示过滤器的使用方法在抓包完成以后用显示过滤器，可以在设定的条件下〔协议名称、是否存在某个域、域值等〕来查找你要找的数据包。如果只想查看使用TCP协议的包，在Wireshark窗口的左下角的Filter中输入TCP，然后回车，Wireshark就会只显示TCP协议的包。如图2-4所示。图2-4设置过滤条件为TCP报文如果想抓取IP地址是的主机，它所接收收或发送的所有的TCP报文，那么适宜的显示Filter〔过滤器〕就是如图2-5所示。图2-5设置过滤条件为IP地址是10.20.61.15的主机所有的TCP报文七、学习使用WireShark对ARP协议进行分析〔1〕启动WireShark〔2〕捕获数据〔3〕停止抓包并分析ARP请求报文将Filter过滤条件设为arp，回车或者点击“Apply〞按钮，〔4〕ARP请求报文分析1〕粘贴你捕获的ARP请求报文2〕分析你捕获的ARP请求报文第一行帧根本信息分析〔粘贴你的Frame信息〕FrameNumber〔

帧的编号〕：______1457___〔捕获时的编号〕FrameLength(帧的大小)：____60____字节。〔以太网的帧最小64个字节，而这里只有６０个字节，应该是没有把四个字节的CRC计算在里面，加上它就刚好。〕ArrivalTime(帧被捕获的日期和时间):__sep23,_202315:15:38.463721000______Timedeltafrompreviouscapturedframe(帧距离前一个帧的捕获时间差):____0.002937000seconds____Timesincerefernceorfirstframe(帧距离第一个帧的捕获时间差)：___24.488816000seconds____________Protocolsinframe(帧装载的协议)：__eth:arp__________第二行数据链路层：〔粘贴你的数据链路层信息〕Destination〔目的地址〕：_Broadcast(ff:ff:ff:ff:ff:ff)_________〔这是个MAC地址，这个MAC地址是一个播送地址，就是局域网中的所有计算机都会接收这个数据帧〕Source〔源地址〕：G-ProCom_45:48:16(00:23:24:45:48:16)帧中封装的协议类型：ARP(0x0806)〔这个是ARP协议的类型编号。〕Trailer：是协议中填充的数据，为了保证帧最少有64字节。第三层ARP协议：〔粘贴你的ARP请求报文〕在上图中，我们可以看到如下信息：Ｈardwaretype〔硬件类型〕：___Ethernet(1)_________Ｐrotocoltype〔协议类型〕：IP(0x0800)____________Ｈardwaresize(硬件信息在帧中占的字节数)：__6_____________Ｐrotocolsize(协议信息在帧中占的字节数)：_____4_________操作码〔opcode〕：requset(0X0001)发送方的ＭＡＣ地址〔SenderMACaddress〕：G-ProCom_45:48:16(00:23:24:45:48:16)____发送方的IP地址〔SenderIPaddress〕：__10.30.28.22(10.30.28.22)_________________目标的ＭＡＣ地址〔TargetMACaddress:〕：_______00:00:00_00:00:00(00:00:00:00:00:00)____________目标的IP地址〔TargetIPaddress:〕：____10.30.28.1(10.30.28.1)________________〔3〕分析ARP应答报文〔粘贴你的ARP应答报文〕应答报文中的操作码〔opcode〕：reply(0X0002)发送方的ＭＡＣ地址〔SenderMACaddress〕：_0c:da:41:63:03:f4(0c:da:41:63:03:f4)_______________发送方的IP地址〔SenderIPaddress〕：_10.30.28.1(10.30.28.1)_________________目标的ＭＡＣ地址〔TargetMACaddress:〕：___G-ProCom_45:47:dd(00:23:24:45:47:dd)________________目标的IP地址〔TargetIPaddress:〕：_______10.30.28.38(10.30.28.38)_____________练习1：对于上述2、3中的arp请求报文和应答报文，将ARP请求报文和ARP应答报文中的字段信息填入表3-1。表3-1RPP请求报文和ARP应答报文的字段信息字段项ARP请求数据报文ARP应答数据报文链路层Destination项Broadcast(ff:ff:ff:ff:ff:ff)G-ProCom_45:47:dd(00:23:24:45:47:dd)链路层Source项G-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)网络层SenderMACAddressG-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)网络层SenderIPAddress10.30.28.22(10.30.28.22)10.30.28.1(10.30.28.1)_网络层TargetMACAddress00:00:00_00:00:00(00:00:00:00:00:00)G-ProCom_45:47:dd(00:23:24:45:47:dd)网络层TargetIPAddress10.30.28.1(10.30.28.1)10.30.28.38(10.30.28.38)练习2：ARP报文是直接封装在以太帧中的，为此以太帧所规定的类型字段值为___0806h____________练习3：对地址转换协议〔ARP〕描述正确的选项是〔D〕AARP封装在IP数据报的数据局部B发送ARP包需要知道对方的MAC地址CARP是用于IP地址到域名的转换DARP是采用播送方式发送的练习4：ARP欺骗的原理是什么？如何进行防范？ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。防范措施：建立DHCP效劳器；建立MAC数