一.实验目的:
理解tcp/ip的四层模型
理解帧格式ip格式
了解网络传输过程
二.实验内容:
- 抓取一个ping包 (icmp报文),分析其格式
- 抓取一个http包 ,分析其格式
- 抓取一个arp包,分析其格式
三.实验方法
使用抓包工具:WireShark
WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。本文主要内容包括:
1、Wireshark软件下载和安装以及Wireshark主界面介绍。
2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。
3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。
四. 实验步骤及运行结果
1、抓取一个ping包 (icmp报文),分析其格式
通过cmd的ipconfig指令查看我的IP(IPv4)地址和MAC地址(6个字节48位)
通过ping指令,测试连接,这里连接的是IP地址为10.187.16.9的学生机,ping通后如上图所示。Ping不同则显示请求超时。
通过抓包工具,可以查看我发送的包(ping时发4个包回4个包),打开软件后能看到非常多的包,可以通过上面的命令行进行筛选,这里这里筛选IP为10.187.16.9(学生机)的包,筛选语句为:ip.addr==10.187.16.9,筛选后可以看到源地址(Source)为10.91.41.181的机器发送给目的地址(Destionation)的10.187.16.9,找协议(Protocol)为ICMP的包。点击查看包的信息。
确定是哪个包后,就能看到具体信息,Frame 为整个数据包,帧号为1912,后面为以太V2帧,后面为IP包,之后为icmp包。每一层可以点开查看具体信息。
下面的框为包的数据的具体信息。可以看到abcdef…,这是用于测试连接的数据。没有实际意义。
2、抓取一个http包 ,分析其格式
抓取http包,
可以看到共有5层点开text data 可以看到网站的具体信息。
HTTP包同理,在准备抓包前先停止抓包软件,准备重新抓取,抓取前要先进行访问才能抓取,这里以河北大学为例,打开河大官网的某个网页,刷新,同时抓取软件开始抓取包,这里筛选语句为,IP为10.191.20.240(服务器的地址),并筛选协议为HTTP的包,浏览网页原理就是向网站服务器发送请求,这里为GET请求,
3、抓取一个arp包,分析其格式
如果之前缓存就有,ARP协议就不会运行,先运行arp -d清楚缓存,来抓取ARP协议的包。
确保缓存没有学生机信息后,进行ping操作,测试连接,筛选语句:arp && addr==(我的mac地址),就能找到arp包。
可以看到,我发出的广播(Broadcast),信息是谁是8,告诉7,下面的包是8发给我的,成功接受到7,并向7发送回应。
查看回应包的具体信息可以看到,彼此的物理地址,以及协议类型(ARP0x0806)
广播包的目的地址是全1,即向所有机器发送,以确保7收到能够回复。
这里又ping了9号机
五.实验总结
遇到的问题或者注意事项:
1.当进行网站抓包时,要先关闭抓包工具,将网站提前打开,抓包时先刷新再抓取。
2.一些指令如arp -d,需要管理员权限,右键命令行以管理员身份运行。
3.一直提示:The helper program for “Admin only Mode”,再安装Npcap时不要勾选
5501
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
