实验名称
实验一 分组嗅探器的使用和网络协议的层次观察
重点难点
重点:802.3协议、以太网帧格式; 难点:探索IP数据包的结构、组成以及各字段具体的物理意义,熟悉以太网帧的格式;
实验目的
1、 了解网络协议的层次结构
2、 初步掌握分组嗅探器Wireshark 的使用方法
实验环境
与因特网连接的计算机网络系统;主机操作系统为windows;WireShark、IE等软件;实验文件“计算机网络实验.cap”。
实验步骤
1、Wireshark 介绍
Wireshark(www.wireshark.org、Wireshark 4.0.4)是一个优秀的网络数据包分析软件,可以捕获(Capture) 和浏览(Display) 网络侦测的内容,还可以定义Filters 规则,监视所有在网络上被传送的封包,并分析其内容。Wireshark 通常用来检查网络运作的状况,或是用来发现网络程序的bugs。它可以分析的协议有:RTP、IP、ISAKMP、ICMP、SMB、SMB-PIPE、VTP、SNMPv3、Ethernet、GRE、EIGRP、DHCP、IPX、X.25、RSVP 等。
2、Wireshark 的使用
启动Wireshark 后,选择“捕获”菜单定义获取数据包的方式。主要选项有,Interface: 指定在哪个接口(网卡)上抓包;Limit each packet: 限制每个包的大小以避免数据过大,缺省情况下可不限制;Capture packets in promiscuous mode: 是否打开混杂模式。如果打开,则抓取共享网络上可以探测的所有数据包。一般情况下只需要监听本机收到或者发出的包,可以关闭这个选项。Filter:设定过滤规则,只抓取满足过滤规则的包;File:如果需要将抓到的包写到文件中,在这里输入文件名称。其他的项选择缺省的就可以了。选择start 开始抓包。
选择stop,则停止抓包。
3 .文件“计算机网络实验.cap”的获取
该实验文件的建立是在本人主机上完成的,运行以下命令,期间通过浏览器访问www,baidu.com,同时使用Wireshark 抓取期间网络数据包:
ipconfig /release (释放当前IP 配置)
arp –d (释放当前ARP 缓存)
ipconfig /flushdns (释放当前DNS 缓存)
pause (准备开始抓取网络数据包)
ipconfig /renew (重新配置当前IP 配置,本人主机需要执行DHCP 协议)
ping -l 2000 -f 219.222.170.254 (不拆分2000 字节数据包,发送至网关 )
ping -l 2000 219.222.170.254 (发送2000 字节数据包至网关,允许拆分)
tracert www.sina.com (跟踪当前主机到www.sina.com 的路由)
pause
4.数据包的分析
将以上抓取期间获得的网络数据包保存为文件“计算机网络实验.cap”,这是一个包括204 个分组的网络通信记录,当前主机IP 地址是219.222.170.14 、网关地址是219.222.170.254、文件中出现的119.75.217.56 是百度公司的IP 地址、172.30.0.19 是东莞理工学院网络中心提供的 Windows Server Update Services (WSUS)。
文件详细记录了分组的序号、相对时间、源地址、目标地址、协议类型、内容,如图1是对第52 个分组的详细信息。在协议框内,分别显示了该分组的各层协议:接口层以太网协议(eth)、网络层IP 协议、传输层UDP 协议、应用层DNS 协议,对于这些协议可以进一步显示非常多的信息,(这些信息的含义以后会陆续介绍);右面的16 进制数字,则是传递的最原始数据(比特流)。
第52 个分组的部分信息如下:
源物理地址00:25:11:4e:02:34;目标物理地址00:04:96:10:64:30;源IP 地址219.222.170.14;目的IP 地址219.222.191.9; 协议类型分别是Ethernet、IP(Internet Protocol)、UDP(UserDatagram Protocol )、DNS。该数据包的任务是查询域名www.baidu.com 的IP 地址。
图1 分组52 的网络通信记录
4.网络协议的层次结构
计算机网络的体系结构(architecture)是计算机网络的各层及其协议的集合。 TCP/IP 是四层的体系结构(见图2):应用层、运输层、网际层和网络接口层,最下面的网络接口层并没有具体内容。
应用层为了解决某一类应用问题(Http、SMTP、FTP、DNS……),规定应用进程在通信时所遵循的协议。
运输层为应用进程之间提供端到端的逻辑通信(但网络层是为主机之间提供逻辑通信),运输层还要对收到的报文进行差错检测;运输层需要有两种不同的运输协议,即面向连接的TCP 和无连接的 UDP。
网络层负责网络不同主机间通信,IP 是 TCP/IP 体系中两个最主要的协议之一,配套使用的还有ARP(地址解析协议)、ICMP(因特网控制报文协议)。
图2 TCP/IP 的四层体系结构
5.数据包的自行抓取和分析
参照以上内容, 练习抓取本机网络的数据包, 期间可在系统输入命令“ ping
www.163.com”, 详细步骤如下:
(1)启动主机上的web浏览器。
(2)启动Wireshark。只是窗口中没有任何分组列表。
(3)开始分组俘获:选择“Capture”下拉菜单中的“Interface”命令,其中显示计算机所具有的网络接口(即网卡)。当计算机具有多个活动网卡时,需要选择其中一个用来发送或接收分组的网络接口(如某个有线接口)。随后,单击“Start”开始进行分组俘获,所有由选定网卡发送和接收的分组都将被俘获。
(4)界面里还有一个“Options”窗口,可以设置分组俘获的选项。
(5)开始分组俘获后,会出现分组俘获统计窗口。该窗口统计显示各类已俘获分组的数量。在该窗口中有一个“Stop”按钮,可以停止分组的俘获。但此时你最好不要停止俘获分组。
问题一
1. 根据“计算机网络实验.cap”回答以下问题,你的主机的48位以太网地址是多少?该地址是什么设备的以太网地址?
回答
E8-6F-38-DF-0A-C5
问题二
2. 第1 个分组的源物理地址、目标物理地址、源IP 地址、目的IP 地址、每层的网络协议类型、传递的信息内容是怎样的?
回答
源物理地址
00:25:11:4e:02:34
目的物理地址
ff:ff:ff:ff:ff:ff
源IP 地址
0.0.0.0
目的IP 地址
255.255.255.255
每层的网络协议类型
接口层Ethernet II 网络层IPv4
传输层UDP 应用层DHCP
传递的信息内容
客户端设备在网络中寻找DHCP服务器时发送的DHCP发现消息,并且这个消息具有特定的事务ID
问题三
3. 第8 个分组的源物理地址、目标物理地址、源IP 地址、目的IP 地址、每层的网络协议类型、传递的信息内容是怎样的?
回答
源物理地址
00:25:11:4e:02:34
目的物理地址
ff:ff:ff:ff:ff:ff
源IP 地址
219.222.170.14
目的IP 地址
219.222.170.14
每层的网络协议类型
接口层Ethernet II 网络层ARP
传递的信息内容
用于通知网络上的其他设备,
IP地址219.222.170.14与
MAC地址00:25:11:4e:02:34相关联。
问题四
4. 第32 个分组的源物理地址、目标物理地址、源IP 地址、目的IP 地址、每层的网络协议类型、传递的信息内容是怎样的?
回答
源物理地址
00:25:11:4e:02:34
目的物理地址
00:04:96:10:64:30
源IP 地址
219.222.170.14
目的IP 地址
172.30.0.19
每层的网络协议类型
接口层Ethernet II 网络层IPv4
传输层TCP 应用层HTTP
传递的信息内容
向IP地址172.30.0.19服务器发送了一个HTTP 的GET请求,请求获取/secars/secars.dll资源,并且携带参数h
问题五
5. 观察这个记录,以分组184、73 为例,参考图2 举例说明DNS、HTTP 的下层支撑协议。(重点说明DNS、HTTP 分别使用那种传输层协议?)
回答
DNS为应用层协议,下层传输层使用不可靠传输协议UDP,再下层网络层使用IP协议,接口层使用Ethernet II协议;
HTTP为应用层协议,下层传输层使用可靠传输协议TCP,再下层使用IP协议,接口层使用Ethernet II协议。
