使用网络监视器(IRSI)捕捉和分析协议数据包

转载请注明原地址。

实验名称:  理解子网掩码、网关和ARP协议的作用            

一、实验目的和要求

(1) 熟悉IRIS的使用

(2) 验证各种协议数据包格式

(3) 学会捕捉并分析各种数据包。

二、主要仪器设备

环境: Windows XP

软件:IRIS软件

三、实验内容及过程

主机1:192.168.2.110(监听方)

主机2:192.168.2.109(被监听方)

(1) 安装IRIS软件

(2) 捕捉数据包,验证数据帧、IP数据报、TCP数据段的报文格式。

选择菜单 查看à地址簿中加入主机1和主机2 的IP地址。

设置过滤器

在開始捕获数据包之前,先用arp –d清除一下arp缓存表。

点击開始捕获,开启抓包功能。

选择菜单 过滤器à编辑过滤器。设置过滤设置。更改完毕后点击确定。

选择菜单 过滤器àftp.flt

从主机1登陆到主机2的ftp(主机2中安装了ftpserver)

停止抓包,抓包结果图。

以上就是捕捉数据包的过程。接下来是验证数据帧、IP数据报和TCP数据段的报文格式。

我们选择序号4的数据包作为验证,分别查看它在MAC层、IP层和TCP层的数据头部信息。

验证数据帧格式

当中00 24 1D 09 28 6B是监听方主机的MAC地址

00 24 1D AE 10 45是被监听方主机的MAC地址

08 00则是类型字段,表示它上层使用的是IP数据报。

验证IP数据报格式

由以上两图我们能够知道:

版本号4表示IPV4,占4位

首部长度为5是因为这个单位是32位,所以这个IP数据报首部长度为20个字节

区分服务00占一个字节,4表示版本号,5表示首部长度

总长度00 43占两个字节,标识6C 49占两个字节

标志+片偏移40 00占两个字节

生存时间128跳

向上提供的协议是TCP

首部检验和是840

源地址是192.168.2.109,目的地址是192.168.2.110

验证TCP数据段的报文格式

源port00 15 转化为十进制刚好是21,是ftp默认的port

目的port是0E 93占两个字节

序号21 7B 54 6C各占4个字节

确认号5A 1D 33 21占4个字节

首部长度为5,片偏移为18,

当中ACK、PSH各占一位

首部检验和是7CC1,占两个字节

(3) 捕捉并分析ARP报文。

在主机1执行arp –d命令。然后在菜单过滤器à编辑过滤器中设置捕获ARP协议。而且设置捕获A机和B机之间的IP地址数据包。接着点击“開始/停止捕捉”,開始抓包。

先执行arp –d命令。再执行ping 192.168.2.109命令

捕捉到的ARP报文

分析

首先,我们在主机1上执行了arp -d的命令后,主机1上的arp缓存表被清空。当我们用ping 192.168.2.109命令时,因为主机1和主机2在同一个网段,且主机1没有主机2的MAC地址,所以。它会以广播形式发送ARP请求报文,在ARP请求报文中包括了源IP地址和目的IP地址,在同一网段的主机2收到报文并发现目标IP地址与自己的地址一样,则它向主机1发回ARP响应报文。并把自己物理地址封装在响应报文上。从而使主机1获得主机2的MAC地址。

(4) 捕捉并分析ping过程中的ICMP报文。

在主机2用arp –d命令清除arp缓存表

点击“開始/停止捕捉”。開始抓包

编辑过滤器,设置例如以下

在主机1上ping主机2的ip地址

停止抓包

下图就是捕捉ping过程中的ICMP报文

分析

从上图能够看出。我们用命令ping 192.168.2.109,回车后ping命令便会向目的主机2发一个ICMP请求ECHO报文。由于主机2正常工作并且响应这个ICMP回送请求报文,所以它就发回ICMP回送回答报文(序号1、2能够看出)。由于主机1一连发出4个ICMP回送请求报文,作为正常工作且可达的主机2也对应做出4个应答,发回4个ICMP回送回答报文。所以在抓包界面中有8个ECHO报文。在抓包界面的第一行(序号1)中的数据报包括3个信息,各自是以太网、IP和ICMP。

以太网头信息,它的内容是00 24 1D AE 10 45 00 24 1D 09 28 6B 08 00

前6个字节00 24 1D AE 10 45是目的主机2的MAC地址

后6个字节00 24 1D 09 28 6B是源主机1的MAC地址

最后两个字节08 00代表包的类型是DOD IP

IP头信息,它的内容是

45 00 00 3C 1D BE 00 00 80 01 96 D7 C0 A8 02 6E C0 A8 02 6D

它表示IP的版本号是4,首部长度是5。总长度60字节。标识7614

生存时间128跳。向上提供的协议是ICMP,首部检验和是9607

源地址是192.168.2.110,目的地址是192.168.2.109

ICMP头信息

当中开头的08表示类型,00表示代码。15 5C表示检验和。34 00表示序号,剩下的为数据。

(5) 捕捉并分析tracert过程中的ICMP报文。

更改过滤器设置

開始捕捉数据包,下面就是捕捉到的结果。

分析:

由上图可知。tracert命令依靠ICMP协议来实现的,数据报从路由器发出之后。每经过一个路由器,便会在该数据报的选项字段中增加该路由器的地址信息。当这条信息到达目的主机的时候,便会生成一条新的ICMP数据报,这个数据报记录了刚才所经过的路由信息,返回给源主机,这样源主机就知道了刚才所经过的路由信息。

由上图表明。因为主机1和主机2在同一个网段,所以不用经过路由器,因此当我们用tracert命令去追踪时,仅仅显示主机2的IP地址。

(6) 捕捉并分析TCP三次握手建立连接的过程。

測试样例:将主机2的一个文件通过ftp下载到主机1中

设置过滤器,而且选择过滤器àftp.flt

主机1先执行arp –d命令。然后点击“開始/停止捕捉”

将ftpserver上的任意一个目录下载到主机1中

捕捉结果

分析

当中序号1、2、3为建立连接时的3次握手

第一次握手

ACK 00 00 00 00

SEQ 4D 7E C1 A8

第二次握手

ACK 4D 7E C1 A9

SEQ F1 59 F5 88

第三次握手

ACK F1 59 F5 89

SEQ 4D 7E C1 A9

首先。主机1向主机2发送一个连接请求报文,这时候A初始化一个初始序号SEQ为4D 7E C1 A8,确认信号为0。当主机2收到主机1的请求报文后,由于2允许连接,就向1发送一个确认报文,此时2也初始化一个初始序号SEQ为F1 59 F5 88。而且确认ACK为1发送过来数据报的SEQ+1即4D 7E C1 A9。当1收到2数据包的时候再次向2发送确认信号。此时1又会产生一个初始序号SEQ4D 7E C1 A9,确认ACK为B发送过来的数据包的SEQ+1即F1 59 F5 89,这时,TCP协议就建立起连接。

(7)选作

TCP採用了拥塞控制机制。其实,TCP開始发送数据时,使用了慢启动。利用网络监视器观察TCP的传输和确认。在每一确认到达之后,慢启动过程中发生了什么?(选做)

在TCP知道往返时间之前,TCP必须准备重发初始段(用于打开一个连接的一个段)。

TCP应等多久才重发这一段?TCP应重发多少次才干宣布它不能打开一个连接?为找到结果尝试向一个不存在的地址打开一个连接,并使用网络监视器观察TCP的通信量。(选做)

尝试使用Winpcap自行设计实现一个简单的网络数据包监听与捕捉程序。同一时候将捕获的数据包进行分析并将结果显示在屏幕上。參考Winpcapde  的有关资料http://winpcap.polito.it(课后选做)。

(8)附件

下载地址http://down.51cto.com/data/991237

时间: 2024-10-07 23:02:30

使用网络监视器(IRSI)捕捉和分析协议数据包的相关文章

从零开始学安全(四十二)●利用Wireshark分析ARP协议数据包

wireshark:是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换,是目前全世界最广泛的网络封包分析软件 什么是ARP协议    协议分析篇第一个要研究的就是ARP协议.ARP(Address Resolution Protocol,地址解析协议)用于将IP地址解析为物理地址(MAC地址).这里之所以需要使用MAC地址,是因为网络中用于连接各个设备的交换机使用了内容可寻址

TCP/IP协议数据包文件PCAP分析器

一.设计原理 1.PCAP文件构成 参考http://blog.csdn.net/gulu_gulu_jp/article/details/50494909 PCAP文件由一个PCAP文件头和多个PCAP数据包组成,PCAP数据又由数据包头和数据包内容组成.数据包内容才是我们将要进行分析还原的TCP/IP协议数据.PCAP总体结构如图 11所示: 图 11 PCAP文件总体结构 以TCP协议为例,详细解析PCAP文件格式.PCAP前24个字节为文件头,包含了文件信息,其结构如图 11所示.接着1

学习:ARP协议/数据包分析

ARP(Address Resolution Protocol)即地址解析协议, 用于实现从IP地址到MAC地址的映射,即实现通过目标IP找到对应的MAC地址. 在网络通信中,主机和主机通信的数据包需要依据OSI模型从上到下进行数据封装,当数据封装完整后,再向外发出.所以在局域网的通信中,不仅需要源目IP地址的封装,也需要源/目MAC的封装. 上层应用程序更多关心IP地址而不关心MAC地址,所以需要通过ARP协议来获知目的主机的MAC地址,完成数据封装. 问题:内网中当 主机A 发送消息给 主机

macos或类linux 系统安装ettercap + gtk3 抓取并分析邻居数据包

最近邻居夜生活猖獗,打游戏"砸键盘".搞直播弹琴唱歌以及各种与人视频聊天,每天半夜十二点以后,笑声.骂声.弹琴声.唱歌声轮番上阵,先前公用路由是我控制的,密码只有我一人知道,还能限个速.这两天这哥们找个了人把路由器初始化,然后自己设置了管理密码,更疯狂的猖獗的闹腾了.好吧,你有张良计,我有过墙梯. "Ettercap是一款强大的可以被称为神器的工具,同类型软件中的佼佼者.Ettercap是开源企且跨平台 的,Ettercap在某些方面和dsniff有相似之处,同样可以很方便的

第一次实验报告:使用Packet Tracer分析HTTP数据包

目录 1 实验目的 2 实验内容 3. 实验报告 1 实验目的 熟练使用Packet Tracer工具.分析抓到的HTTP数据包,深入理解:HTTP协议,包括语法.语义.时序. 2 实验内容 客户端向服务器发送请求报文,服务器向客户端发送响应报文.具体包含: 建立网络拓扑结构 配置参数 抓包 分析数据包 3. 实验报告 在写报告之前,先仔细阅读:将作业提交到班级博客的一些注意事项. (1)在博文开头给出你的个人信息 姓名 学号 班级 (2)建立网络拓扑结构 给出网络拓扑结构图,并简要解释. (3

使用Wireshark mac下抓取分析iphone数据包 --IOS端

mac系统版本:mac 10.10 Yosemite xcode版本:6.3.1 在追踪bug或者分析借鉴其他公司的app通讯思路时,抓包这件事是非常有必要的.下面说说Wireshark怎么截获iphone的数据包. 安装wireshark wireshark是依赖x11的,所以首先确认安装了x11,mac自带,可以打开升级一下.前往-实用工具-x11,打开后点击菜单栏上的x11,检查更新 即可.中间提取包内容过程比较长,耐心等待. 下载Wireshark最新版,尽量去官网下载:https://

mac下抓取分析iphone数据包 - 使用Wireshark

mac系统版本:mac 10.10 Yosemite xcode版本:6.3.1 在追踪bug或者分析借鉴其他公司的app通讯思路时,抓包这件事是非常有必要的.下面说说Wireshark怎么截获iphone的数据包. 安装wiresharkwireshark是依赖x11的,所以首先确认安装了x11,mac自带,可以打开升级一下. 前往-实用工具-x11,打开后点击菜单栏上的x11,检查更新 即可.中间提取包内容过程比较长,耐心等待. 下载Wireshark最新版,尽量去官网下载: https:/

Wireshark数据包分析之数据包信息解读

*此篇博客仅作为个人笔记和学习参考 数据包概况 Frame:物理层的数据帧概况;EthernetⅡ:数据链路层以太网帧头部信息;Internet Protocol Version 4:互联网层IP包头部;Transmission Control Protocol:传输层的数据段头部信息Hypertext Transfer Protocol:应用层的信息,这里的是HTTP; 物理层的数据帧概况 Frame 29: 213 bytes on wire (1704 bits), 213 bytes c

网络教程(10)回顾ARP和ping数据包

Ping 192.168.20.2 ICMP Echo (Internet Control Message Protocol ICMP Echo request ICMP Echo reply 收到ICMP Echo的会回复,ICMP Echo reply Wireshark 打开终端ping一下192.168.20.2, Ehternet 开头的这些f代表广播地址 也可以点开第三个直接看这里解析好的信息: 查看reply: 这个广播最终让hostA知道了目的mac地址应该是什么 Mac中还有这