实验二 以太网、IP报文分析
一、实验目的
1.了解并掌握典型的网络命令与应用
2.学会使用网络分析工具wireshark的使用
3.学会选择目标机进行ping测试
二、实验环境
计算机,wireshark;
三、相关原理与知识点
1.以太网协议
本次实验使用的帧格式是Ehternet ||
它的前导码由0、1间隔代码组成,目标和源地址指定接收高层协议,占2个字节,且数据段长度不低于46个字节,帧校验序列包含4个字节的循环冗余校验值,用来确定帧在传送中是否被损坏。2.网络分析工具wireshark主要功能是网络报文捕捉和解码分析,它的跟踪通信步骤为:运行wireshark;设置捕捉条件;开始捕捉;通信过程;结束捕捉;分析数据。
过滤器的规则:这里我们只讲实验中的过滤地址。在wireshark中,分为两种过滤器:捕捉过滤器和显示过滤器。捕捉过滤器只抓自己规定的,而显示过滤器是抓取所有的包,分析时再筛选。3.典型的网络命令与应用
ping:主要功能是用于网络连通测试
ifconfig:主要功能是用于查看网络配置,如IP地址等
arp:主要功能是用于查看和管理arp表(arp表组成是当前网段节点的地址信息,是动态的)
nslookup:主要功能是域名解析,查询某网站的ip地址
四、实验内容
实验任务一:典型网络命令的应用
- 用双绞线剥线器除去2到3厘米外皮
- 分别遵循T567B和T568A标准顺序拨线,用斜口钳留下14mm的长度双绞线。
- 依序把相关线放入引脚中,使线头是否抵达管脚顶端。最后用压线钳压接水晶头。
- 把接好的双绞线分别放入测线器两端,打开对线模式按钮,观察绿点变化。
设计思路:
- ping命令查询示例:ping+”IP地址”
- ifconfig命令查询示例:ifconfig
- arp命令查询示例:arp -a
- nslookup命令查询示例:nslookup + “网站的域名”
关键细节:arp命令如果忘记的话可以在命令行输入”arp”,系统会显示一些arp命令的写法
实验任务二:使用目标机进行ping测试,并用wireshark记录整个过程
设计思路:
- 设置捕捉过滤条件,并启动捕捉功能
- 在命令行中执行ping命令,并停止包捕捉
- 对捕捉的包依次观察和分析
关键细节:设置过滤条件基本是过滤单个的ip地址,且在执行ping命令时要立刻停止,否则难以寻找我们需要的包
五、实验步骤
实验任务一
- 使用ping命令测试本地主机与另一台主机的连通性
ping 192.168.1.3 - 使用ifconfig命令查看本地网络配置,查看本地网卡的物理地址
ifconfig -all(也可以用ifconfig) - 使用arp命令显示本地arp表,删除本地arp表以及查询本网段某机的MAC地址
显示arp表:arp -a
删除arp表:arp -d *
查询本网段某机的MAC地址(默认地址是192.168.1.3) - 使用nslookup命令按域名查询某网站的ip地址
nslookup www.qq.com(这里查询腾讯网站的ip地址)
设计思路:
- ping命令查询示例:ping+”IP地址”
- ifconfig命令查询示例:ifconfig
- arp命令查询示例:arp -a
- nslookup命令查询示例:nslookup + “网站的域名”
关键细节:arp命令如果忘记的话可以在命令行输入”arp”,系统会显示一些arp命令的写法
实验任务二
ping测试并用wireshark跟踪记录整个过程
- 打开wireshark,设定包捕捉过滤条件
host 192.168.1.3 - 在wireshark中启动捕捉功能
- 打开命令行,输入ping 192.168.1.3然后回车执行
ping 192.168.1.3 - 在命令行中命令执行完成后,停止包的捕捉,并将捕捉的结果存档
- 对捕捉的包进行依次观察和分析
六、实验结果和分析
实验任务一结果
结果如下图
- 使用ping命令测试本地主机与另一台主机的连通性
分析:这里输入ping后一定要加空格,否则不能用;下面显示来自192.168.1.3 的回复,表示连通正常;在统计信息中,发现发送数和接收数相等,说明没有丢包,连通性良好。
-
使用ifconfig命令查看本地网络配置,查看本地网卡的物理地址
图略;
分析:ifconfig -all是显示所有网卡的信息,如物理地址,DHCP服务器等;
而ifconfig是显示up状态的网卡信息 -
使用arp命令显示本地arp表,删除本地arp表以及查询本网段某机的MAC地址
显示arp表:
arp -a;
删除arp表:
arp -d *;
查询本网段某机的MAC地址(默认地址是192.168.1.3)
arp -a 192.168.1.3; -
使用nslookup命令按域名查询某网站的ip地址
nslookup www.qq.com;
实验任务二结果:
结果如下:
ping测试并用wireshark跟踪记录整个过程
- 打开wireshark,点击以太网,设定包捕捉过滤条件
- 在wireshark中启动捕捉功能
- 打开命令行,输入ping 192.168.1.3然后回车执行
- 在命令行中命令执行完成后,停止包的捕捉,并将捕捉的结果存档
分析:因为原先我们在过滤器中写了host 192.168.1.3,所以图中有粉色条框的抓取的包信息是我们所要使用和分析的,且上面也写了192.168.1.3和本 机的ip地址。
5.对捕捉的包进行依次观察和分析
分析:
- 第一行的帧Frame 235指的是要发送的数据块,其中,所抓的序号 是235,捕获字节等于传送字节:74byte。
- Arrival Time是到达时间,值为Oct 23,…
- [ Time delta from previous captured frame: 0.000256000 seconds]指的是与之 前捕获的数据帧时间差了0.000256000秒;
[Time delta from previous displayed frame: 0.000256000 seconds]:与之前显示 的帧时间差了0.000256000秒;
[Time since reference or first frame: 25.783499000 seconds]:距参考帧或第 一帧的时间差25.783499000秒;- Frame Number: 235,指帧的编号为235;
- Frame Length: 74 bytes (560 bits),指帧长度为74字节;
Capture Length: 74 bytes (560 bits),指捕获到的长度为74字节;- [Frame is marked: False],说明帧标记:无;
[Frame is ignored: False],说明帧被忽略:无;- [Protocols in frame: eth:ethertype:ip:icmp:data],代表协议帧:eth(以太网)、 enthertype、ip、icmp、data
- [Coloring Rule Name: ICMP],是色彩规则名称:ICMP;
[Coloring Rule String: icmp||icmpv6],是色彩规则字符串:ICMP;
分析:这是对Frame信息的分析
- Destination: LcfcHefe_cd:a7:ad (54:e1:ad: cd:a7:ad),指的是目标Mac 地址为54:e1:ad: cd:a7:ad
- Source: LcfcHefe_cd:aa:5b (54:e1:ad: cd:aa:5b),源Mac地址为 54:e1:ad: cd:aa:5b
- Type: IPv4 (0x0800),类型是IPv4数据包
分析:这是对IPv4协议的信息分析
- version 4:IP协议版本为IPv4,Header Length:20byte意思是头部数据长度为 20字节
- Differentiated Services Field: 0x00 (DSCP CS0, ECN: Not-ECT ),代表区分的 服务领域为0x00
- Flags: 0x00,支持分组;Fragment offset: 0,分组偏移量为0
- Time to live: 64,TTL,生存时间为64
- Source: 192.168.1.3,源IP地址为192.168.1.3;
Destination: 192.168.1.42,目标IP地址为192.168.1.42;
七、实验总结
- 在做实验任务一时,我对网络的典型的命令还不是太熟悉,最后在网上进行搜索,进一步了解这些网络命令的用法。
- 当在实验课教室使用nslookup命令时,系统产生报错,在上网查找发现这个命令要在联网的情况下使用,因为它是查询某网站的ip地址,若没有网络,网站无法打开,也是无法获取其ip地址的。
- 在做实验任务二时,使用ping测试出现一些问题。比如我们指定检测192.168.1.3时,直接ping 192.168.1.3后才开始对包的捕捉,导致没有捕捉到相应的包。这是操作失误。
- 在按照相应步骤执行后,成功获得我们要的包。但是看不懂它显示的数据和内容,在一些博客论坛搜索后了解了相关协议和捕捉包所显示的内容。
参考文献:
[1]: 博客园:20179213LiuLei https://www.cnblogs.com/lv6965/p/7707291.html