网络监听实验(二)网络监听实验(二).doc

实 验 报 告 实验三 网络监听实验（二） 一、实验目的 1、熟悉IP地址与MAC地址的概念 2、理解ARP协议及ICMP协议原理 3、了解TELNET应用 二、实验原理 1、IP地址与MAC地址、ARP协议 数据链路层使用物理地址（即MAC地址），网络层使用IP地址，当数据包在网络层和数据链路层之间传输时，需要进行MAC地址和IP地址的转换。ARP协议的功能是实现IP地址到MAC地址的转换。 每个主机都设有一个ARP高速缓存，操作系统通常会将从网络中得到的IP地址和MAC地址的映射关系存放在本机的高速缓存中，使用arp命令，可以查看、添加和删除高速缓冲区中的ARP表项。 在Windows操作系统中，高速缓存中的ARP表项可以包含动态和静态表项，动态表项随时间推移自动添加和删除，而静态表项则一直保留在高速缓存中，直到人为删除或重启计算机。 2、ICMP协议 ICMP协议是配合IP协议使用的网络层协议，它的报文不是直接传送到数据链路层，而是封装成IP数据报后再传送到数据链路层。 分组网间探测PING是ICMP协议的一个重要应用，它使用ICMP回送请求与回送应答报文，用来测试两个主机之间的连通性。命令格式为：ping 目的IP地址。 ICMP回送请求与回送应答报文格式如下： 类型：8或0 代码：0 校验和 标识符 序号 可选数据 说明：类型为8---回送请求，为0---回送应答 TRACERT程序是ICMP协议的另一个应用，命令格式为：tracert 目的地址。 Tracert从源主机向目的主机发送一连串的IP数据报P1，P1的TTL设置为1，当它到达路径上的第一个路由器R1时，R1先收下它，把P1的TTL值减1，变成0，R1丢弃P1，并向源主机发送一个ICMP超时差错报告报文。源主机接着又发送第二个TTL值为2的IP数据报P2，路径上的第一个路由器把P2的TTL值减小1，当P2到达路径上第二个路由器时，第二个路由器把P2丢弃，并向源主机发送一个ICMP超时差错报告报文。如此继续，最后一个IP数据报到达目的主机时，目的主机和源主机间发送ICMP回送请求与回送应答报文。 路径上的这些路由器和目的主机向源主机发送的ICMP报文告诉源主机，到达目的主机所经过的路由器的IP地址及往返时间。 3、远程终端协议TELNET Telnet协议基于TCP协议，默认端口号为23。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。 Telnet远程登录服务分为以下4个过程： 1）本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程主机的Ip地址或域名； 2）将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT（Net Virtual Terminal）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报； 3）将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果； 4）最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。 本次上机建议采用WireShark软件（网络协议分析器）。 官方下载地址：/ 三、实验步骤 1、查看本机IP地址与MAC地址 在命令行中输入命令：ipconfig /all ，记录显示结果 2、操作本机高速缓存中的ARP表 （1）查看高速缓存中的ARP表 查看命令：arp -a ARP表项在没有进行手工配置前，通常都是动态ARP表项，所以不同时间运行arp –a命令，运行结果也不大相同。 运行arp –a命令，查看运行结果。 运行WireShark软件，选择capture---options，在capture filter文本框中输入：arp and host 本机IP地址，例如：arp and host 01，这个过滤条件的意思是指只监听进出主机01的arp数据包。点击start开始监听。 用ping命令去ping局域网中的其它主机B（00），且主机B的IP地址不在本机的ARP高速缓存中。WireShark中开始监听到数据包，当没有数据包到来后，停止监听并保存监听记录为5-1.pcap。示例监听结果如下图： 对监听到的数据进行分析：结合arp协议工作原理对监听记录进行分析；选择第一条监听记录，分析ARP报文格式。 再次用命令arp -a查看ARP表项的变化情况。 此时，在WireShark中设置capture filter为：host 01 and arp or icmp。点击start按钮进行监听。 用ping命令再去ping主机B，保存监