实验六网络侦听及协议分析.docx-淘文阁

资源描述

《实验六网络侦听及协议分析.docx》由会员分享，可在线阅读，更多相关《实验六网络侦听及协议分析.docx（13页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、实验六：网络侦听及协议分析一、实验目的和要求(1)学会在Windows环境下安装Sniffer；(2)熟练掌握Sniffer的使用；(3)能够熟练运用Sniffer捕获报文，结合以太网的相关知识，分析一个自己捕获的以太网的帧结构。二、实验原理1数据报文分层如下图所示，对于四层网络结构，其不同层次完成不通功能。每一层次有众多协议组成。应用层传输层网络层链路层Telnet FTP和 e-mail等TCP 和 UDPIP ICMP IGMP设备驱动程序及接口卡DLC: Ethertype=0800z size=229 bytesIP: D=10.65.64.255 S=10.65.64.14

2、0 LEN=195 ID=4372UDP: D=138 S=138 LEN=195NETB: D=XXYC S=CUK2 Datagram. 105 bytes (of 173)CIFS/SMB: C TransactionSMBMSP: Write mail slot MAILSLOTBROUSEBROWSER: Election Force如上图所示在Sniffer的解码表中分别对每一个层次协议进行解码分析。链路层对应 “DLC” ；网络层对应“IP” ；传输层对应“UDP” ；应用层对对应的是“NETB”等高层协议。Sniffer可以针对众多协议进行详细结构化解码分析。并利用树形结构良

3、好的表现出来。2、以太网报文结构Ethernetll以太网帧结构Ethemet_IIDMAC SMAC Type DATA/PAD FCSEthernet JI以太网帧类型报文结构为：目的MAC地址(6bytes) +源MAC地址 + (6bytes)上层协议类型(2bytes) + 数据字段(461500bytes) +校验(4bytes)。削匚.：.i-日国0-国Sniffer 自动DLC: DLC Header添加时间戳Q DLC:_Q DLC: Frame 4 arrived at 15:01:30.9407; frame size islOS (0067 hex) bytes.目

4、DLC: Destination = Station Xircom7BFE84DLC: Source= Station HuaweiOOllO.目的岫C目 DLC: Ethertype= 0800 (1)t 源MAC地) 地址Qdlc：上菟翦议址、)IP: D=10.11.104.254 S=172.16.1,突至 jL J00000000:00000010:00000020:00000030:00000040:00000050:00000060:00 10 a400 59 4d68 fe 0044 70 6a20 46 5420 66 6f64 79 2e7b fe 3f 40 15 06

5、 06 00 50 2072 2084 00 eO00 7c 0649 3e 9f00 32 3253 65 7257 69 6e Od 0ao C 7 d 5 f 0 7d 2 6 605 08 00 4500一 El 幡10 01 ca 0a0b| .您？.？.65 ab 30 5018h?.IS4?e?P.65 72 76 2d55Dpj.220-Serv-U20 76 33 2e30FTP Server v3.06b 20 72 6561for UinSock rea dv1 c 1 3 2 31 a O 5 7 6FTP: R PORT=1609 220-Serv-U FTP Ser

6、ver v3.0 for UinSock ready.Sniffer会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。源目的MAC地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc为华为，010042为Cisc。等等。如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址，在下面的表格中会突出显示该地址的16进制编码。IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议， 0x806为ARP协

7、议。IEEE802.3以太网报文结构LLC子层LLC子层MAC子层BBDLDDDDnuLLDnMDDUDLDLDLDLDLDLLLLLLLLLLLDLC Header Frame 1 arrived at 12:13:38.8809; frame size is 64 (0040 hex)Destination = Multicast 0180C2000000z Bridge_Group_AddrSource = Station Cisco EC9c54802.3 length = 38LLC Header DSAP Address = 42, DSAP IG Bit = 00 (Indivi

8、dual Address)SSAP Address = 42z SSAP CR Bit = 00 (Command) Unnumbered f rame: UI上图为IEEE802.3SNAP帧结构，与Ethernetll不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。并多了 LLC子层。3、IP t办议IP报文结构为IP协议头+载荷，其中对IP协议头部的分析，时分析IP报文的主要内容之一，关于IP报文详细信息请参考相关资料这里给出了 IP协议头部的一个结构。版本：4IPv4首部长度：单位为4字节，最大60字节TOS： IP优先级字段总长度：单位字节，最大65535字节标

9、识：IP报文标识字段标志：占3比特，只用到低位的两个比特MF (More Fragment)MF=1,后面还有分片的数据包MF=0,分片数据包的最后一个DF (Dont Fragment)DF=1,不允许分片DF=0,允许分片段偏移：分片后的分组在原分组中的相对位置，总共13比特，单位为8 字节寿命：TTL (Time To Live)丢弃TTL=0的报文协议：携带的是何种协议报文1 ： ICMP6 ： TCP17： UDP 89： OSPFIP目目目目目目目目目目目目目目目昌白D目D目目T-:.-】头部检验和：对IP协议首部的校验和源IP地址：IP报文的源地址目的IP地址：IP报文的目的

10、地址 :IP HeaderIP: IP: Version = 4, header length = 20 bytes IP: Type of service = 00 IP:000 = routineIP:.0 . = normal delayIP:. 0. = normal throughputIP:0 . . = normal reliabilityIP:0. = ECT bit - transport protocolIP:0 = CE bit - no congestionIP: Total length = 166 bytes IP: Identif icat ion = 32897

11、 IP: Flags= OXIP:. 0= may fragmentIP:. . 0= last fragmentIP: Fragment of fset = 0 bytes IP: Time to live= 64 seconds/hopsIP: Protocol= 17 (UDP)IP: Header checksum = 7A58 (correct) IP: Source address = 172.16.19.1 IP: Destination address = 172.16.20.76 IP: No options IP:上图为Sniffer对IP协议首部的解码分析结构，和IP首部

12、各个字段相对应，并给出了各个字段值所表示含义的英文解释。如上图报文协议(Protocol)字段的编码为0x11,通过Suffer解码分析转换为十进制的17,代表UDP协议。其他字段的解码含义可以与此类似，只要对协议理解的比较清楚对解码内容的理解将会变的很容易。4、以下为ARP报文结构硬件类型协议类型硬件长度协议长度操作请求1,回答2发送站硬件地址1（例如，时以太瞅是6字节）发送站协议地址（例如，对外节）目标硬件地址（例如，对以太网是6字节）目标协议地址（例如，对I更停节）ARP分组具有如下的一些字段: HTYPE （硬件类型）：这是一个16比特字段，用来定义运行ARP的网络的类型

13、。每一个局域网基于其类型被指派给一个整数。例如，以太网是类型1。ARP可使用在任何网络上。PTYPE （协议类型）：这是一个16比特字段，用来定义协议的类型。例如，对IPv4协议，这个字段的值是0800。ARP可用于任何高层协议。HLEN （硬件长度）：这是一个8比特字段，用来定义以字节为单位的物理地址的长度。例如，对以太网这个值是6。PLEN （协议长度）：这是一个8比特字段，用来定义以字节为单位的逻辑地址的长度。例如，对IPv4协议这个值是4。0PER （操作）：这是一个16比特字段，用来定义分组的类型。已定义了两种类型：ARP请求（1） , ARP 回答（2） oSHA （发送

14、站硬件地址）：这是一个可变长度字段，用来定义发送站的物理地址的长度。例如，对以太网这个字段是6字节长。SPA （发送站协议地址）：这是一个可变长度字段，用来定义发送站的逻辑（例如，IP）地址的长度。对于IP协议，这个字段是4字节长。THA （目标硬件地址）：这是一个可变长度字段，用来定义目标的物理地址的长度。例如, 对以太网这个字段是6字节长。对于ARP请求报文，这个字段是全0,因为发送站不知道目标的物理地址。TPA （目标协议地址）：这是一个可变长度字段，用来定义目标的逻辑地址（例如，IP地址）的长度。对于IPv4协议，这个字段是4字节长。DLC: Frame 16 arrived

15、at 14:24:09.9803; frameDLC: Destination = Station Xircom7BFE84h-Q DLC: Source= Station Huawei001105h-Q DLC: Ethertype= 0806 (ARP)Lq DLC:ST ARP ：ARP/RARP frameIQ ARP:jARP： Hardware type = 1 (10Mb Ethernet)ARP: Protocol type = 0800 (IP)h-Q ARP： Length of hardware address = 6 bytesARP: Length of protoc

16、ol address = 4 bytes：-Q ARP: Opcode 1 (ARP request)9目 ARP: Senders hardware address = 00E0FC001105h-Q ARP: Senders protocol address = 10.11.107.254ARP: Target hardware address= 000000000000ARP: Target protocol address= 10.11.104.159DLC: Frame 17 arrived at 14:24:09.9804; frameDLC: -Q DLC: I -Q DLC:

17、I。DLC: =)T ARP:-Destination = Station Huawei001105Source = Station Xircom7BFE84ARP/RARP frame Ethertype = 0806 (ARP)ARP:ARP: Hardware type = 1 (10Mb Ethernet)ARP: Protocol type = 0800 (IP)ARP: Length of hardware address = 6 bytesARP: Length of protocol address = 4 bytesARP: Opcode 2 (ARP reply)ARP:

18、Senders hardware address = 0010A47BFE84ARP: Senders protocol address = 10.11.104.159ARP: Target hardware address= 00E0FC001105ARP: Target protocol address= 10.11.107.254上面为通过Sniffer解码的ARP请求和应答报文的结构。三、实验内容1、链路层数据帧分析实验步骤:1 .【开始】【Sniffer软件】打开“当前设置窗口”选中网络适配器确定2 . Sniffer Monitor Define Filter在 Address

19、选项卡下的 Address 下拉选择 IPStationl 中填入本机IP，Station2中输入Any选取CaptureStart菜单项，等待截取报文5 1loot, t卜一，、* (Une at Q0He Mcxwtor Cptur* Onplsy TookWindow H4p圜囿印对寓闻闿倒酬：7l”“s、】肥.”.31 包理-C:Wndowsiyitem)2cmd.eMeIlcrosoFt Windows1版本 1微权所有 2M9 Microsoft Corpr|*inM192.16a .2S4:叫192.1G8,254，不是内BP戒外郁密令做批如1文件.|C： Miners M

20、Hi!192. IGtt.tl 168.0 16H.il 168.08 A 6、s6 2 2 2 2咫河利 .2的在 OKDaxnT, 的臂.4 日Ml 器.估22nlyi. F,也不是可运行的程序irL*12H-35rb TTL-128 TTL-128丢失 96mtCloture Rter On3 .【开始】“cmd” 弹出“命令提示符窗口键入ping 192.168O254” 选择Sniffer 的 ucapture ” stop and display显示截获的数据报文结果选择Decode”选项卡查看报文解码其中表示同网段的计算机IP地址4、下图是Sniffer捕获的报文解码，在数据链

21、路层（DLC）和源MAC地址后紧跟着0800, 代表该帧数据部分封装的是IP报文，由于0800大于05FF,所以它是EthernetV2帧。提示：选中摘要（summary）框的“ICMP Echo”报文项查看。Sn -er Pcrtabe - Local, Ethernet .Line speed at ICO NHe Monitor Capture DispUy Tods Database Window HelpNo.SWus |SouceAdeuDatAddew| SurmayLenfl M TmeDeh I me| Abi Tine1M 192 168 0 136210 34 0 14

22、IjNS C ID-7948 OP-QUEP? NAME-tereio ipv6 me850 00 000000 0000002016-05-18 16 23 532(210 34.0 14192 168 0.138)： DHS: R ID-7948 OP-QUER-? STAT-Naxe error NAME187 | 0:00 000010.001IB2016-05-18 16 23:53350BD5F5856423CD92349E340 1RF C ?A=192 168 0.136) PRO匚P600:00:049984.9976482016-05-18 16 23:5843CD92B4

23、9BB4050BD5F585642 1RP R Pi-192 168 0.136 HA3OW2B4t3B4C PR600 00 049980 0000252016-05-18 16 23 585192 168 0 136(182 254 12 1511 7DF D*M00 S-59719 LEN-522 (corrupted or 1556 0 00 086143 6159962016-05-18 16 24 016192.168.0.136V DDP: D-59719 S-8000 IN490S240:00:086430.0290142016-05-18 16 24 017192.168.0

24、.136210.52 214 183| ETTr C Port-49* -hies Data9460 00 086750.0319462016-05-18 16 24 018210 52 214 18-192 168 0.136J| TCP D-49732 S-8013678 VIN-501 |600 00 087160 0409652016-05-18 16 24 019(210 52.214 18：(192 168 0.136) K7TF R ?ox:-49*32 Graphics 二a258 0:00 087220.0056192016-05-18 16 24 0110192,168.0

25、.136(182.254.12 151|T：F D=B0 -50607 STH SEQ=203875630 LEN=0 UI|660:00:088540.1324622016-05-18 16 24 0111182 254 12 151“92 168.0.13611 TCP DW0607 s80 STH ACH203875631 SEQ“2351600 00 088900 0353882016-05-18 16 24 01No.SWus |SouceAdeuDatAddew| SurmayLenfl M TmeDeh I me| Abi Tine1M 192 168 0 136210 34 0

26、 14 IjNS C ID-7948 OP-QUEP? NAME-tereio ipv6 me850 00 000000 0000002016-05-18 16 23 532(210 34.0 14192 168 0.138)： DHS: R ID-7948 OP-QUER-? STAT-Naxe error NAME187 | 0:00 000010.001IB2016-05-18 16 23:53350BD5F5856423CD92349E340 1RF C ?A=192 168 0.136) PRO匚P600:00:049984.9976482016-05-18 16 23:5843CD

27、92B49BB4050BD5F585642 1RP R Pi-192 168 0.136 HA3OW2B4t3B4C PR600 00 049980 0000252016-05-18 16 23 585192 168 0 136(182 254 12 1511 7DF D*M00 S-59719 LEN-522 (corrupted or 1556 0 00 086143 6159962016-05-18 16 24 016192.168.0.136V DDP: D-59719 S-8000 IN490S240:00:086430.0290142016-05-18 16 24 017192.1

28、68.0.136210.52 214 183| ETTr C Port-49* -hies Data9460 00 086750.0319462016-05-18 16 24 018210 52 214 18-192 168 0.136J| TCP D-49732 S-8013678 VIN-501 |600 00 087160 0409652016-05-18 16 24 019(210 52.214 18：(192 168 0.136) K7TF R ?ox:-49*32 Graphics 二a258 0:00 087220.0056192016-05-18 16 24 0110192,1

29、68.0.136(182.254.12 151|T：F D=B0 -50607 STH SEQ=203875630 LEN=0 UI|660:00:088540.1324622016-05-18 16 24 0111182 254 12 151“92 168.0.13611 TCP DW0607 s80 STH ACH203875631 SEQ“2351600 00 088900 0353882016-05-18 16 24 012 Snifl: Decode. 12/181 Ethernet Frames.cpmmm eTTTTTTTTTTTTTTTTTTT IRIDmDRn &Source

30、 portDestination portSequence nu&ber=50607 (OynaMic and/or Private)-80 (WV/WV-HTTP/HTTP) 203875631Next expected Seq nber= 203875631 Acknovledgnent n-inber - 4235397195Data offsetReserved BitsFlags9mdovChecksuxUrgent pointerNo TCP options- 20 bytesReserved for Future Use (Not shov* m the Hex Dump) -

31、10 0(Nourgentpointer).1.2Acknovledgxent.0.(Nopush)0a(Noreset)0 x (No SYH)0 (Mo FIH) 65535 =84E0 (should be 6EFA)00000000: 50tdSt5856423cd92b49bb400800，5CCRXVBDefine Filter 弹出对话框在 “Address” 中选择 “Hardware” 在“Station1”处键入本机的MAC地址“Station2”处填入“Any”3、同网段ARP的解析：“Capture” “Start 在命令提示符窗口键入arp - d arpa ping

32、 192.168.0.254 zzCapture “Stop and Display” 分析报文nitor Capture Display ToolsWindow Hlp闻昼凰匈色1剑创DLC Header Q ScM，21/7! F，h-cxF，r“ISooceo io fisa1-1，.294 .,MiI CHF ICMP ICHP ICMP XCMP ICHF1 2i 5*17nT OIHC16g 0 13616。 0 2C4n192 166 0192 169 0，92 “8 0192 169 0192 16G 0192 168 0192 U9 0192 X60 0EhoEcho rep

33、ly Echo Echo reply EchoEcho reply01 ，9Q0 04 03407 0703S 03, 036 036039Q414.435 ooo ooo ooo 002 DOO 002200 9Go224 87410Q 8422016-0-10 2016-05-lfi 2016-05-ld 2016-0S-10 2016-05-19 20X6-0S-19 2016-0S-ie 2016-05-19 2(HS-94V494 494 -2016-05-1。 lb 49 SIFxake 21 arrived at 1649:Si 9252; fxas size is 60 (00

34、3C hex) bytes teat mat ion - Stat &on 3CD92D49DD2FSource - Stat ion 3CD92B49BB40Ethvrtype - 0806 (ARFHardvore type 1 (lONb Ethernet) Protocol type 0800 (IP Length of hdrdvare address - 6 bytes Length of protocol oddxoos 4 bytw Opcode 2 (ARP reply)Sender * hrdvr xldreaa 3CD92B4 9BH4 0Senders protocol

35、 Address 192.160.0 136)Taxoot hardware address - 3CD92B49BB2FTarset protocol addressTT16:M2016-05 18（二）不同网段的解析:前面步骤同（一）,在DOS窗口输入:ping 210.34.0.13stop and display截获报文并显示。不同网段的ARP请求和应答报文Re Monitor Capture DispUy Tools Database Window Help国旦鱼G!却叫o -001到固倒1NO IjStWutOr Adg噌 in im 1 Bum lmimiJ32T50BD5FS8

36、5S4213cp92B49BB4。IARP： R PAT 192 ISD .11 MS0BDSFSgSJ2 PROT 60 1 0：。0 00 00。1 0 0。0 252 厂2016-05T8 16 58 :081Q 5i，6 D “ ：，2 F，h，r，T，vn。，FraM 1 arrived t 16 58 08 93401 60(003C h-M)bytMDestination Station 50BDSFS8S642Source - Station 3CD92B49BB40Ethertype - 0306 (ARP)RPRPRPRPRPRPRPRPRPRPRPRPARP/RAHP l

37、rae Haxdvaxe type - 1 (10Mb Ethernet)Protocol type - 0800 (IPLength of hardware addxess 6 bytesLength of protocol address - 4 bytesQpcote 1 (ARP xequMt)Sender , s hardvare address - 3CD92B49BB40Senders protocol address (192.168.0 136Target hardvare address S0BDSFS9S642Target protocol address1192.168

38、.0 1FrdMe padding)18 bytes00000000000000100000002000000030For Help. FlCH - 716:58-72016 sl83、IPv4协议分析实验步骤：运行 SniffercapturestartiS DOS 窗口中输入ping 210.34.0.13stop and display）选择Decode选项分析截获的报文填入表格DestinationSourceSender MAC AddressSender IP AddressTargetMACAddressTarget IP AddressDestinationSourceSender MAC AddressSender IP AddressTargetMACAddressTarget IP AddressStation 50BD5F585642Station 3CD92B49BB403CD92B49BB4050BD5F585642Station 3CD92B49BB40Station 50BD5F58564250BD5F5856423CD92B49BB40ARP应答报文字段项ARP请求报文四、实验心得与体会字段报文信息字段报文信息版本4片偏移0b首部长度20b生存周期128s00ICMP总长度60b校验和67F4标识16237源地址标志OX目的地址

展开阅读全文