搜档网
当前位置:搜档网 › 实验1网络协议分析Ethereal

实验1网络协议分析Ethereal

实验1 网络协议分析Ethereal

1.实验目的

(1)学会正确安装和配置网络协议分析软件Ethereal;

(2)掌握使用Ethereal分析各种网络协议的技能,加深对协议格式、协议层次和协议交互

过程的理解。

2.实验环境

(1)运行Windows 2000/2003 Server/XP操作系统的PC一台;

(2)每台PC具有一块以太网卡,通过双绞线与局域网相连;

(3)Ethereal程序(可以从网上下载)。

3.实验步骤

(1)安装网络协议分析仪

1)安装winPcap。

注意,网络协议分析软件Ethereal的运行需要软件winPcap(wpcap.dll)的支持,应当在执行Ethereal前先霉装WinPcaP。如果没有安装winPcap,则在执行“Ethereal/Capture /Star时会出现错误。

2)安装Ethereal。

(2)使用Ethereal分析协议

1)启动系统。点击“Ethereal”程序组中的“Ethereal"图标,将会出现如图1-1所示的系统操作界面。

图1-1 Ethereal 系统主界面

2)分组俘获。点击“Capture/Start’’菜单,出现图1-2所示的界面。在“Interface”(接口)框的下拉列表中选择一个适当的接口项,其余项可暂时保持默认配置。然后,点击“OK”按钮,系统开始俘获网络分组。当按“stop”(停止)按钮时,系统停止俘获分组并将已经俘获明分组信息装载在分析系统中。

图1-2 俘获分组配置界面

3)协议分析。如图1-3所示,在上部的窗口中,有帧编号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列,各列下方依次排列着俘

获的分组。中部的窗口给出选中的某帧的详细内容。下部窗口中是与中部窗口对应的该协议帧某字段的十六进制数值内容。

图1-3 协议分析界面

可以将俘获的帧与网络教材中的ARP、UDP、ICMP、SNMP等协议帧格式进行对照,并分析其中的信息。

4实验结果

实验结果分析;

数据桢192.168.0.24 Broadcast ARP who has 192.168.0.587 tell 192.168.0.24 192.168.0.24:网络中的一个节点,机器的IP地址

Broadcast:现在的通信方式,在自己的ARQ中未找到192。168。0。587 采用广播来询问其他是否有寻到这个地址

who has 192.168.0.587:询问的内容,谁的地址为192。168。0。587 是则返回数据给192。168。0。24 不是则不返回

http帧分析:3460 476,614488 192.168.0.46 192.168.0.51 http get/http/1.1

请求行:GET(方法),路径是HTTP 1.1版本。

头部:表明客户端可以接受任何格式的文档(通配符)。

状态行:HTTP/1.1 200 ok

我们在IP地址为192.168.0.46的电脑上访问我们自己做好的ftp网站,所以desitination显示的是192.168.0.51

实验2 理解A R P协议

1.实验目的

(1)深入理解ARP(地址解析协议)的工作原理和重要作用;

(2)能够使用ARP命令对ARP选路表(下文简称ARP表)进行简单操作。

2.实验环境

(1)运行Windows 2000/2003 Server/XP操作系统的PC一台;

(2)每台PC具有一块以太网卡,通过双绞线与局域网相连;

(3)每台PC运行程序协议分析仪Ethereal。

3.实验步骤

(1)使用ARP命令

打开“命令提示符”界面,键入“arp -a”指令查看本机ARP表中的内容,结果如图2-1所示。

图2-1 查看本机ARP表中的内容

注意,在ARP表中,各主机的逻辑地址与物理地址是一一对应的,由此形成表项。主机之间进行物理通信前,首先要查找本机ARP表,如果有对应项,则将通信对方的IP地址转换为相应的物理地址。“Type"栏下的“dynamic”字段表明该表项处在动态更新中。如果20分钟内没有其他访问网络的操作,ARP表会自动清空(如图2-2所示)。

图2-2 20分钟后自行清空ARP表

如果不想等待20分钟,可使用“arp -d"命令主动清空ARP表的内容。此时再执行“arp -a"命令,会发现ARP表已经清空(见图2-3)。

图2-3 主动清空ARP表

我们还可以使用“arp -s"命令手工设置ARP表表项,如“arp -s 169 .254. 112 .34 00 – cd -0d-33-00-34”(如图2-4所示)。

图2-4 手工设置ARP表

(2)分析ARP协议工作过程

具体操作步骤:

1)在实验单元中选择本机,显示ARP表中的所有项。

2)清除ARP表中的所有项。

(3)用ARP命令查找IP地址冲突主机

若网络上有两台或多台主机设置了相同的IP地址,那么主机的屏幕上会频繁出现IP 地址冲突的提示,这将严重影响网络工作秩序。如果能同时观察到这些主机,那么通过修改其一”一台主机的IP地址即可解决问题。但是如果我们仅能观察到其中的一台PC提示“IP 地址如192. 9. 201. 111冲突”,那么应如何确定是哪两台主机设置了相同的IP地址呢?

首先,我们将该报警主机的IP地址修改为一个未用地址。其次,在该机命令提示符界面输入“ping 192 .9.201.111”,确定该主机是否还在本网中运行,如果有响应,ARP协议就会使其留下痕迹。接下来,执行"arp –a”命令,显示本主机内存中IP地址与MAC:地址对应记录,就可以发现哪台主机具有IP地址192. 9. 20l. 111了(网络管理员通常应当掌握本网中每台主机的网卡MAC地址)。

(4)分析ARP协义的基本工作过程

我们可以用Ethereal来分析主机间通过通信生成和更新ARP表的过程,分析主机问是如何利用ARP协议完成IP地址与MAC地址的映射,从而完成局域网内的通信的。

3 实验结果

4实验结果分析:ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。

从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。

第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,“网络掉线了”。

ARP解决方案

五、ARP欺骗解决方案:

方案A:IP-MAC绑定

通过双向IP-MAC绑定可以抵御ARP欺骗,解决由于ARP欺骗造成的网络掉线、IP冲突等问题,保证网络畅通。

1、客户机绑定网关IP-MAC:在客户机设置网关IP与MAC为静态映射,

将如下内容复制到记事本中并保存为staticarp.reg,(网关IP、网关MAC根据实际情况填写,例:"staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05")

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run]

"staticarp"="arp –s 网关IP 网关MAC "

将如下内容复制到记事本并保存到与staticarp.reg相同的文件夹位置,文件名为run.bat,(网关IP、网关MAC根据实际情况填写,例:"staticarp"="arp –s 192.168.0.1 00-01-02-03-04-05")

@each off

regedit /s .\runstaticarp.reg

arp -s网关IP 网关MAC

双击运行run.bat

2、利用APC的软件分发功能给客户机分发IP-MAC绑定程序

将staticarp.reg、run.bat保存到同一文件夹下,登录Ahnlab Plicy Center Admin,服务器管理—登录分发软件—添加,<要分发的文件夹>选中保存staticarp.reg、run.bat的文件夹,<执行压缩文件名>中输入对所选择的文件夹压缩后生成的压缩文件的名称,<登录包名称>中输入应用程序名称,<说明>中输入简单说明,<解压缩后执行文件>中输入run.bat,单击<确定>。

Ahnlab Plicy Center Admin—策略管理中选中需要分发的群组或客户机,点右键,紧急安全指令-分发,选中<一般软件>,选中要分发的软件,点击<确认>。

3、网关绑定客户机IP-MAC:使用支持IP/MAC绑定的网关设备,在网关设备中设置客户机的静态IP-MAC列表。

注:方案A可以抵御ARP欺骗,保证网络正常运行,但不能定位及清除ARP攻击源。

方案B:利用ARP命令及nbtscan定位ARP攻击源

1、确定ARP攻击源MAC地址

ARP欺骗发作时,在受到ARP欺骗的计算机命令提示符下输入arp –a,APP缓存中网关IP对应的MAC地址如果不是真实的网关MAC地址,则为ARP攻击源的MAC地址,一个MAC地址对应多个IP地址的为ARP攻击源的MAC地址;在网关ARP缓存中一个MAC对应多个IP的为ARP攻击源的MAC地址。

2、定位ARP攻击源计算机

已全网面署APC2.5的环境:在Policy Center Admin 2.5中,查找agent,查找ARP攻击源的MAC地址,定位攻击源计算机。

未布署APC2.5的环境:运行Nbtscan MAC扫描器gui.exe,输入局域网IP地址范围,点击开始,显示局域网内IP、计算机名与MAC对应关系,查找ARP攻击源MAC对应的IP地址及计算机名,根据IP地址及计算机名定位攻击源计算机。

相关主题