实验一 wireshark基本操作及ARP协议分析

一、实验目的

1、熟悉并掌握Wireshark的基本使用

2、了解网络协议实体间进行交互以及报文交换的情况

3、分析以太网帧MAC地址和ARP协议。

二、实验环境

与因特网连接的计算机操作系统为Windows安装有Wireshark、IE等软件。

三、预备知识

1wireshark安装

下载地址https://www.wireshark.org/#download

注意操作系统版本特别是32位操作系统和64位操作系统的区别。

安装时选择默认设置即可。

2分组嗅探器

要深入理解网络协议需要观察它们的工作过程并使用它们即观察两个协议实体之间交换的报文序列探究协议操作的细节使协议实体执行某些动作观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。

观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器packet sniffer又称分组捕获器。顾名思义分组嗅探器捕获嗅探你的计算机发送和接收的报文。

图1显示了一个分组嗅探器的结构。

图1

图1右边是计算机上正常运行的协议和应用程序如Web浏览器和FTP客户端。分组嗅探器虚线框中的部分主要有两部分组成第一是分组捕获器其功能是捕获计算机发送和接收的每一个链路层帧的拷贝第二个组成部分是分组分析器其作用是分析并显示协议报文所有字段的内容它能识别目前使用的各种网络协议。

3wireshark简介

Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器是一个开源免费软件。

运行Wireshark程序时其图形用户界面如图2所示。最初各窗口中并无数据显示。Wireshark的界面主要有五个组成部分

图2

命令菜单command menus命令菜单位于窗口的最顶部是标准的下拉式菜单。

协议筛选框display filter specification在该处填写某种协议的名称Wireshark据此对分组列表窗口中的分组进行过滤只显示你需要的分组。

捕获分组列表listing of captured packets按行显示已被捕获的分组内容其中包括分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名可以使分组列表按指定列排序。其中协议类型是发送或接收分组的最高层协议的类型。

分组首部明细details of selected packet header显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息需要查看哪层信息双击对应层次或单击该层最前面的“”即可。

分组内容窗口packet content分别以十六进制左和ASCII码右两种格式显示被捕获帧的完整内容。

四、实验步骤

1、wireshark基本操作

1查看自己的IP地址和MAC地址。Windows系统用命令提示符查看在运行中输入CMD或在开始菜单“Windows附件”/“Windows系统”中打开命令提示符。在命令提示符中输入ipconfig  -all查看本机物理地址和IP地址。MAC系统在系统更偏好设置-网络-选择已连接网络查看本机物理地址和IP地址。

2启动wireshark软件选择准备捕获数据包的网卡接口。

3过几秒钟后停止捕获观察捕获到的数据包。

4在过滤条件中选择查看自己IP地址发出的数据包使用过滤条件“ip.src==步骤2中查看到的IP地址”并在数据包详情窗口查看源MAC地址是否是步骤2中查看到的本机的物理地址。

5重新设置过滤条件选择查看由自己MAC地址接收的数据包使用过滤条件“eth.dst == 步骤2中查看到的物理地址” 注意地址内16进制以冒号隔开并在数据包详情窗口查看目的IP地址是否是自己的IP地址。

6思考

• 每次自己发出或接收的数据包自己的IP地址和MAC是否总是对应的
• 尝试写一条规则查找所有的HTTP协议的数据包。
• 尝试写一条规则查找所有自己的IP地址发出的DNS数据包。

2、ARP协议的分组结构

1在命令提示符输入arp查看arp工具的参数。输入arp –a查看本地的arp缓存表并记录下表不够可添加行

Internet地址

物理地址

类型

1. 输入arp –d若不能运行则在C:/windows/system32中找到cmd.exe单击右键选择“以管理员身份运行”删除本地的arp缓存表使用arp –a再次查看arp缓存表发生了什么变化。

ARP的包减少了

1. 输入“ping 网关地址”再次查看arp缓存表说明发生了什么变化。通过以上实验的结果尝试分析arp缓存表的工作模式。

4运行wireshark抓包分析工具开始进行捕获捕获前或者捕获中运行arp –d清除arp缓存表然后在命令提示符输入“ping 网关地址”过一段时间后停止捕获观察捕获到的数据包。

说明很多时候不需要“ping 网关地址”系统很快也会自动运行ARP协议获得网关物理地址。因此往往在删除缓存表后再查看缓存表时会发现网关的ARP项目仍然存在。

5在过滤栏中设置过滤条件为arp数据包。

6查看从本机mac地址发出的arp数据包查看捕获数据包的第一个分组的链路层帧结构及arp协议分组结构截图并记录下表。

目的MAC地址		源MAC地址				类型
90:e7:10:b8:13:3e		c8:d9:d2:19:fe:c8				ARP
硬件类型	上层协议类型		MAC长度		IP长度		操作类型
Ethernet(1)	IPv4		6		4		Request(1)
源MAC地址				源IP地址
c8:d9:d2:19:fe:c8				10.0.132.22
目的MAC地址				目的IP地址
90:e7:10:b8:13:3e				10.0.132.254

根据捕获的数据包信息思考并回答以下问题

• arp分组结构中的目的MAC地址是多少为什么是这个取值

90:e7:10:b8:13:3e  目的主机收到了该ARP请求之后会发送一个ARP应答里面包含了目的主机的MAC地址。 

• arp分组结构中的硬件类型、上层协议类型、操作类型分别是起什么作用的

硬件类型该字段2个字节用于表明ARP分组是跑在什么类型的网络上的例如如果是我们最常用的以太网值是1。

协议类型该字段2个字节用于表明使用ARP分组的上层协议是什么类型例如如果是我们最常用的IPv4协议值是32。

操作类型该字段2个字节用于表明该ARP分组的类型。现在已经有的类型只有2中ARP请求值是1ARP应答值是2

1. 查看从网关MAC地址发出的arp数据包查看捕获数据包的数据链路层帧结构及arp协议分组结构截图并记录下表。

目的MAC地址		源MAC地址				类型
c8:d9:d2:19:fe:c8		90:e7:10:b8:13:3e				ARP
硬件类型	上层协议类型		MAC长度		IP长度		操作类型
Ethernet(1)	IPv4		6		4		Request(2)
源MAC地址				源IP地址
90:e7:10:b8:13:3e				10.0.132.254
目的MAC地址				目的IP地址
c8:d9:d2:19:fe:c8				10.0.132.22

根据捕获的数据包信息回答以下问题

• 从帧头中的MAC地址来看这个数据帧是谁发给谁的

主机发送给本机

• arp分组结构中的操作类型字段与步骤7中的对应字段有何变化

Request(1)→Request(2)

源IP地址和MAC地址与目的IP地址和MAC地址交换

6思考请根据今天实验的所有实验结果

• 说明arp协议工作的触发条件是什么

在以太网中一个主机和另一个主机进行直接通信必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址查询目标设备的MAC地址以保证通信的顺利进行。

• 分析arp协议在主机中工作的完整工作过程是如何进行的

1、每个主机都会有自己的ARP缓存区中建立一个ARP列表以表示IP地址和MAC地址之间的对应关系
2、当源主机要发送数据时首先检测ARP列表中是否对应IP地址的目的主机的MAC地址。如果有则直接发送数据如果没有就向本网段的所有主机发送ARP数据包。

3、当本网络的所有主机收到该ARP数据包时首先检查数据包中的IP地址是否是自己的IP地址如果不是则忽略该数据包如果是则首先从数据包中取出源主机的IP和mac地址写入到ARP列表中如果以存在则覆盖。然后将自己的mac地址写入arp响应包中告诉源主机自己是它想要找的mac地址。
4、源主机收到ARP响应包后将目的主机的IP和mac地址写入arp列表并利用此信息发送数据如果源主机一直没有收到arp响应数据包表示arp查询失败。

• arp协议可能存在的安全风险是什么

1. 假冒ARP应答

2. 点对点的假冒查询

3. 自动定时ARP欺骗

4. 对网关的干扰

5. 推测ARP解析时间