《计算机网络教学资料-贾德良》2014年《计算机网络》实验指南辅修版.docVIP

网络报文抓取与分析 1．实验目的 （1）学习了解网络侦听。 （2）学习抓包工具wireshark的简单使用。 （3）对所侦听到的信息作初步分析。 （4）从侦听到的信息中分析TCP的握手过程，进行解释。 （5）分析了解TCP握手失败时的情况。 2．实验环境 2.1 Wireshark介绍 Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络资料。网络分析软件的功能可想像成 电工技师使用电表来量测电流、电压、电阻 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。 网络分析软件非常昂贵Ethereal/wireshark 开源软件的出现改变了这。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前世界最广泛的网络分析软件之一。/download.html#release下载，或者可以在其他网站下载。 注意：下载后双击执行二进制安装包即可完成wireshark的安装。安装包里包含了WinPcap，并不需要单独安装WinPcap。 3.2 查看本机的网络适配器列表 操作：单击菜单Capture中的Interfaces选项 记录下你看到的信息，并回答问题： （1）、你机器上的网络适配器有几个？ （2）、它们的编号分别是？ 3.3 在指定网络适配器上进行监听 操作：在步骤3.2中弹出的Interfaces选项中，选择指定的网络适配器并单击start按钮 记录并解释wireshare所监听的包内容（解释两个记录即可） 3.4 记录一个TCP三次握手过程 操作：在步骤3.3的基础上，单击start按钮后，打开命令行窗口并输入：telnet ，然后停止继续侦听网络信息。 在wireshark的Filter中输入表达式： (ip.src==00 or ip.dst==00) and (tcp.dstport==23 or tcp.srcport==23) 其中00是你所在机器的IP，telnet服务是tcp协议并且其默认端口是23。 在wireshark窗口中，记下所显示的内容（可事先通过重定向的方式记录）并回答问题。 （1）根据得到的信息解释所键入的filter定制中的参数的含义？ （2）请从得到的信息中找出一个TCP 的握手过程。并用截图形式记录下来。 （3）结合得到的信息解释TCP 握手的过程。 3.5 一个TCP握手不成功的例子 操作：在步骤3.3的基础上，单击start按钮后，打开命令行窗口并输入：telnet 01，然后停止继续侦听网络信息。 在wireshark的Filter中输入表达式： ip.src==00 or ip.dst==00 and (tcp.dstport==23 or tcp.srcport==23) 其中00是你所在机器的IP，telnet服务是tcp协议并且其默认端口是23。 上面的IP 01 可改为任何没有打开telnet 服务的IP。比如：可以用身边同学的IP。（注：此IP 的机器上要求没有打开telnet 服务，但要求机器是开的，否则将无法主动拒绝一个TCP 请求） （1）试从得到的信息中找出一个TCP 的握手不成功的过程，并用截图记录下来 （2）并结合所得到的信息解释这个握手不成功的例子。 3.6 侦听网络上的ARP包 关于 ARP 的说明：IP 数据包常通过以太网发送。但以太网设备并不识别32 位IP 地址:它们是以48 位以太网地址传输以太网数据包的。因此，必须把IP 目的地址对应到以太网的MAC 地址。在这两种地址之间存在着某种静态的或算法的映射，常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。 ARP 工作时,送出一个含有所希望的IP 地址的以太网广播数据包。目的地主机或另一个代表该主机的系统以一个含有IP 和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来，以后再需要向这个IP 发送消息时，通过直接查表就可以得要这台主机对就的MAC 地址了。 要看本机的 ARP 表（也即IP 与MAC 地址对应表）中的内容，只需在命令行方式下键入：arp –a命令即可。在下面的实验中，为了能够捕捉到ARP 消息，最好的做法是先将本机的ARP 表中的内容清空。这样当你使用Ping 命令时，它会首先使用arp 消息来查询IP 的MAC 地址。（当本地的ARP 表中有这个IP 对应的MAC 地址时，是不会再查询的）。要将本机的ARP 表中的内容清空，请使用命令：arp –d *。关于ARP 更进一步的说明，请同