《2022年网络监听实验 .pdf》由会员分享,可在线阅读,更多相关《2022年网络监听实验 .pdf(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 福建农林大学计算机与信息学院实 验 报 告课程名称:计算机网络姓名:学院:专业:年级:学号:指导教师:职称:年月日名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 19 页 -2 实验项目列表序号实验项目名称成绩指导教师1 TCP/IP 实用程序的使用2 Windows 的安全策略3 TCP/IP 协议分析4 总评5 6 名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 19 页 -实验二:网络监听实验2 实验报告实验二:网络监听实验一、实验目的1、熟悉 IP 地址与 MAC 地址的概念2、理解 ARP 协议及 ICMP 协议原理3、了解 TELNET 应用4、掌握
2、网络监听方法二、实验原理1、IP 地址与 MAC 地址、ARP 协议数据链路层使用物理地址(即 MAC 地址),网络层使用IP 地址,当数据包在网络层和数据链路层之间传输时,需要进行MAC 地址和 IP 地址的转换。ARP 协议的功能是实现IP 地址到 MAC 地址的转换。每个主机都设有一个ARP 高速缓存,操作系统通常会将从网络中得到的IP 地址和 MAC 地址的映射关系存放在本机的高速缓存中,使用arp 命令,可以查看、添加和删除高速缓冲区中的ARP 表项。在 Windows 操作系统中,高速缓存中的ARP 表项可以包含动态和静态表项,动态表项随时间推移自动添加和删除,而静态表项则一直保留
3、在高速缓存中,直到人为删除或重启计算机。2、ICMP 协议ICMP 协议是配合IP 协议使用的网络层协议,它的报文不是直接传送到数据链路层,而是封装成 IP 数据报后再传送到数据链路层。分组网间探测PING 是 ICMP 协议的一个重要应用,它使用ICMP 回送请求与回送应答报文,用来测试两个主机之间的连通性。命令格式为:ping 目的 IP 地址。ICMP 回送请求与回送应答报文格式如下:类型:8 或 0 代码:0 校验和标识符序号可选数据说明:类型为8-回送请求,为0-回送应答TRACERT 程序是 ICMP 协议的另一个应用,命令格式为:tracert 目的地址。Tracert 从源主机
4、向目的主机发送一连串的IP 数据报 P1,P1 的 TTL 设置为 1,当它到达路径上的第一个路由器R1 时,R1 先收下它,把P1 的 TTL 值减 1,变成 0,R1 丢弃 P1,并向源主机发送一个 ICMP 超时差错报告报文。源主机接着又发送第二个TTL 值为 2 的 IP 数据报 P2,路径上的第一个路由器把P2 的 TTL 值减小 1,当 P2 到达路径上第二个路由器时,第二个路由器把P2 丢弃,并向源主机发送一个ICMP 超时差错报告报文。如此继续,最后一个IP 数据报到达目的主机时,目的主机和源主机间发送ICMP 回送请求与回送应答报文。路径上的这些路由器和目的主机向源主机发送的
5、ICMP 报文告诉源主机,到达目的主机所经过的路由器的IP 地址及往返时间。3、远程终端协议TELNET Telnet 协议基于TCP 协议,默认端口号为23。应用 Telnet 协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。Telnet 远程登录服务分为以下4 个过程:1)本地与远程主机建立连接。该过程实际上是建立一个TCP 连接,用户必须知道远程主机的名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 19 页 -实验二:网络监听实验3 Ip 地址或域名;2)将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT(Net Virtual Terminal)
6、格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP 数据报;3)将远程主机输出的NVT 格式的数据转化为本地所接受的格式送回本地终端,包括输入命令回显和命令执行结果;4)最后,本地终端对远程主机进行撤消连接。该过程是撤销一个TCP 连接。4、网络监听原理在共享式局域网中,位于同一网段的每台主机都可以截获在网络中传输的所有数据,正常情况下,一个网卡只响应目的地址为单播地址和广播地址的MAC 帧而忽略其它MAC 帧,网卡接收这两种帧时,通过CPU 产生一个硬件中断,然后由操作系统负责处理该中断,对数据帧中的数据做进一步处理。如果将网卡设置为混杂(promiscuous)模式,则可接
7、收所有经过该网卡的数据帧。交换式网络设备能将数据准确地发给目的主机,而不会同时发给其他计算机,所以在交换网络环境下,实现数据包的监听要复杂些,主要方法有:(1)对交换机实行端口镜像,将其他端口的数据全部映射到镜像端口,连接在镜像端口上的计算机就可以实施监听了。(2)将监听程序放在网关或代理服务器上,可抓取整个局域网的数据包。网络监听的防范方法主要有:从逻辑或物理上对网络分段;以交换机代替共享集线器;使用加密技术;划分VLAN。本次上机建议采用WireShark 软件(网络协议分析器,如 WireShark 是一个能记录所有网络分组,并以人们可读的形式显示的软件)。官方下载地址:http:/ww
8、w.wireshark.org/三、实验步骤与结果分析1、查看本机IP 地址与 MAC 地址在命令行中输入命令:ipconfig/all,记录显示结果。在输入 ipconfig/all 命令后显示的结果如图1 所示:图 1 2、操作本机高速缓存中的ARP 表(1)查看高速缓存中的ARP 表查看命令:arp-a 运行 arp a 命令,查看运行结果如图2 所示:名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 19 页 -实验二:网络监听实验4 图 2 因为 ARP 表项在没有进行手工配置前,通常都是动态ARP 表项,所以不同时间运行arp a 命令,运行结果也不大相同。运行 Wir
9、eShark 软件,选择capture-options,在 capture filter 文本框中输入:arp and host 本机IP 地址,例如:arp and host 172.31.62.36,这个过滤条件的意思是指只监听进出主机172.31.62.36 的arp 数据包。点击start 开始监听。用 ping 命令去 ping 局域网中的其它主机B(172.31.62.35),且主机 B 的 IP 地址不在本机的ARP高速缓存中。WireShark 中开始监听到数据包,当没有数据包到来后,停止监听并保存监听记录为2-1.pcap。示例监听结果如图3 所示:名师资料总结-精品资料欢迎
10、下载-名师精心整理-第 5 页,共 19 页 -实验二:网络监听实验5 图 3 对监听到的数据进行分析:结合arp 协议工作原理对监听记录进行分析;选择第一条监听记录,分析 ARP 报文格式。答:ARP 报文格式如下:(1)硬件类型:Ethernet(0 x0001);协议类型:IP(0 x0800);硬件地址长度:6;协议长度:4;opcode:request(0 x0001);发送方硬件地址:00:1b:b9:b7:dd:f2;发送方ip 地址:172.31.62.36;目标硬件地址:00:00:00_00:00:00(00:00:00:00:00:00);目标 ip 地址:172.31.
11、62.35(2)硬件类型是指发送方想知道的硬件类型,对以太网,值为1。协议类型指发送方提供的高层协议类型,对TCP/IP 互联网,采用IP 地址,值为十六进制的0806。在以太网环境下的ARP 报文,硬件地址为48 位。再次用命令arp-a查看 ARP 表项的变化情况,可以发现多了B 的表项。如图4 所示:名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 19 页 -实验二:网络监听实验6 图 4 此时,在WireShark 中设置 capture filter 为:host 172.31.62.36 and arp or icmp。点击 start 按钮进行监听。用 ping 命
12、令再去ping 主机 B,保存监听记录为2-2.pcap。结果如图5、图 6 所示:图 5 名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 19 页 -实验二:网络监听实验7 图 6 对监听结果进行分析:结合ICMP 协议的工作原理对监听记录进行分析;选择一条监听记录,分析 IP 报文和 ICMP 询问报文的格式;查看ICMP 询问报文的数据部分。答:(1)IP 报文格式:版本字段:为 4。版本占 4 比特。用来表明IP 协议实现的版本号,当前一般为IPv4,即为 0100。报头长度字段:为20bytes。报头长度占4比特,是头部占30 比特的数字,包括可选项。服务类型字段:为0
13、 x00。服务类型占8 比特。总长度字段:为60。总长度占16比特,指明整个数据报的长度。最大长度为65535 字节。标志字段:为0 x0460(1120)。标志字段占16 比特。用来唯一地标识主机发送的每一份数据报。生存期字段:为128。生存期占8 比特,用来设置数据报最多可以经过的路由器数。协议字段:为ICMP。协议字段占8 比特,指明IP 层所封装的上层协议类型。源 IP 地址:172.31.62.36;目标 IP 地址:172.31.62.35,这两种各占32比特。还有标志字段、段偏移字段、可选项字段格式组成。(2)ICMP 询问报文格式:ICMP 报文的前32bits 都是三个长度固
14、定的字段,其中包括:type 类型字段(8 位)、code代码字段(8 位)、checksum校验和字段(16 位)。类型字段跟代码字段决定了ICMP 报文的类型,校验和字段包括数据在内的整个ICMP数据包的校验和,其计算方法和IP 头部校验和的计算方法一样。一个ICMP 报文包括IP 头部、ICMP 头部和 ICMP 报文。选择第三条监听记录查看ICMP 询问报文的数据部份如图所示:名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 19 页 -实验二:网络监听实验8 与上一次监听结果进行比较,两次监听结果的不同说明了什么问题?答:协议ARP 报文解决问题的方法是在主机ARP 高速
15、缓存中存放一个从IP 地址到硬件地址的映射表,并且这个映射表还经常动态更新(新增或超时删除)。而能够连接到因特网的主机只需拥有统一的IP 就能解决非常复杂的硬件地址转换工作,因此在通信时给广大的计算机用户带来很大的方便,而用ARP 协议对用户来说是看不见这种调用的过程。隔 2 分钟后,再次使用arp a,记录 ARP 表项的变化情况如图7 所示,并分析原因。图 7 答:结果显示所访问的主机B 的 IP 地址不在其中,这是由于时间超过,当路由器收到生存时间为零时的数据报时,除丢弃该数据报外,还要向源点发送时间超过报文,发生ICMP 差错。IP 数据报首部的检验和并不检验IP 数据的内容,因此IC
16、MP 报文产生错误,访问不到。用 ping 命令去ping 局域网中的一台没有开机的主机(172.31.62.34),再查看ARP 表。保存监听记录为2-3.pcap,其操作步骤如图8、9 所示:名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 19 页 -实验二:网络监听实验9 图 8 图 9(2)添加 ARP 静态表项命令:arp s IP 地址MAC 地址把第(1)步中找到的一个合法IP 地址(如:172.31.62.35)和对应 MAC 地址添加进ARP 表中,命令为:arp s 172.31.62.35 00-1b-b9-b7-d5-94。查看 ARP 表项,可发现增加了
17、一个类型为static 的表项;结果如图10 所示:名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 19 页 -实验二:网络监听实验10 图 10 隔 2 分钟后,再次使用arp a,看看 static 表项是否存在。答:2 分钟后,再次使用arp-a,static表项存在。(3)删除 ARP 静态表项的命令:arp d IP 地址例如:arp d 172.31.62.35,其结果如图11 所示:图 11(4)清空 ARP 高速缓存的命令:arp d*名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 19 页 -实验二:网络监听实验11 图 12 3、ICMP 的
18、应用 tracert(由于机房网络问题,无法上网,此步经老师同意允许在个人计算机内完成,特此表明。)(1)监听准备运行 WireShark 软件,选择capture-options,在 capture filter 文本框中输入icmp,点击 start 开始监听。(2)运行命令tracert 打开命令行程序,输入命令:tracert ,观察返回信息。并且可以发现WireShark 中收集了一连串记录。如图13 所示:名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页,共 19 页 -实验二:网络监听实验12 图 13 保存监听记录为2-4.pcap,如图 14 所示:图 14(3)分
19、析监听结果利用监听结果,分析ICMP 超时差错报告报文:选择一条“Time to live exceeded”记录,分析ICMP 超时差错报告报文的格式;答:ICMP 超时差错报告报文的格式要有type 字段和code字段,即类型字段的值若为11,代码字段为0 时就代表超时。选择一条“Time to live exceeded”记录,其中的两个IP 首部是一样的吗?为什么?;答:不一样,一个是源IP(客户端),另一个是目标IP(服务器),利用ICMP查询报文进行远程监听。针对“Echo(ping)request”记录,观察每个IP 数据报的初始TTL 值及数据部分内容;记录源主机到目的主机所经
20、过的路径及花费的时间。答:选择第一条Echo(ping)request 监听可知TTL 的值为 1ms;如图所示:选择第二条Time to live exceeded 记录监 听源主机到目的主机的路径为:110.88.48.1 到192.168.1.100;花费的时间为:254ms-1ms=253ms。如图所示:名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页,共 19 页 -实验二:网络监听实验13 4、远程登录Telnet 应用本实验需要局域网环境下的两台PC 机,主机A(设 IP 地址为:172.31.62.35)充当客户端,主机 B(设 IP 地址为:172.31.62.36
21、)充当服务器。(1)在主机B 中创建管理员用户在主机 B 上创建一个新的用户名,并让它属于管理员组,用来进行登录测试。创建新用户的方法为:“管理”-“管理工具”-“本地用户和组”-“用户”;在“操作”菜单中选择“新用户”,设置用户名为testuser,密码为fortest;把新用户添加进管理员组的方法:右击“testuser”项,选择“属性”-“隶属于”-“添加”-“高级”-“立即查找“-选择“Administrators”组-确定 ,即可把用户testuser 添加到管理员组中。具体操作步骤如图1517 所示:图 15 名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页,共 19 页
22、 -实验二:网络监听实验14 图 16 图 17 名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页,共 19 页 -实验二:网络监听实验15(2)在主机B 上启动 telnet 服务启动方法:右击我的电脑,选择“管理”-“服务和应用程序”-“服务”,在列表中找到Telnet选项。右击 Telnet 属性,在启动类型中改禁用为手动,点击应用。最后再点击服务状态下的启动按钮,确定退出。如图18 所示:图 18(3)在主机A 上监听启动监听软件WireShark,过滤条件(capture filters)设置为:port 23,点击 start,开始监听。(4)在主机A 上登录主机B“开始
23、”-“运行”输入命令cmd,打开命令行窗口。输入命令:telnet 169.254.240.102,出现欢迎界面,并提示安全信息(如图所示),输入 y 后回车,进入登录界面,在login:处输入登录用户名 testuser,在 password:处输入密码fortest。其操作步骤如图1920 所示:名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页,共 19 页 -实验二:网络监听实验16 图 19 图 20(5)操作主机B 中的数据主机B 验证用户名和密码正确无误后,主机A 可以进入主机B 的目录c:Documents and 中,此时主机A 即可任意操作主机B 中所有的数据资料,
24、包括创建、删除、修改、拷贝等操作,就像控制自己机器上的数据一样。例如,输入e:回车,可进入E 盘。如图21 所示:名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页,共 19 页 -实验二:网络监听实验17 图 21(6)输入 dir 命令,可以看到主机B 上在 D 盘中的所有文件和文件夹信息。如图22 所示:图 22(7)输入 help 命令,显示可用的DOS 命令。然后,尝试删除D 盘上某个文件或文件夹,如:type 1.txt,del 1.txt 等。输入exit 命令,断开跟服务器的连接。(8)在主机A 上点击 stop,停止监听,保存监听结果为2-5.pcap。若第 15 条
25、监听记录的窗口下文内容处看到登录提示login:,则从第 16 条记录开始查看远程登录所用的用户名和密码信息。如图 23所示:图 23 名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页,共 19 页 -实验二:网络监听实验18 四、总结此次的实验由于事先没有温习好,整个实验的过程做起来比较费尽,但觉得很充实,在用远程登入 Telnet 命令进行对用户的设置账号密码时,因步骤过程中疏忽,造成在访问服务器时要求第一次登入要重新修改密码的错误,后经检查已解决。与此同时对ARP、IP、ICMP 报文格式的了解掌握和对网络协议分析器的运用进一步的加深学习。名师资料总结-精品资料欢迎下载-名师精心整理-第 19 页,共 19 页 -