Wireshark抓包工具计算机网络实验

ARP协议用于将目的IP转换为对应的MAC地址。Arp命令用来观察和操作缓存中的内容。虽然arp命令和ARP有一样的名字,很容易混淆,但它们的作用是不同的。在命令提示符下输入arp可以看到在你所在电脑中ARP缓存中的内容。为了观察到你所在电脑发送和接收ARP信息,我们需要清除ARP缓存,否则你所在主机很容易找到已知IP和匹配的MAC地址。 步骤如下:

(1)清除ARP cache,具体做法:在MSDOS环境下,输入命令arp –d * command ,The –d 表示清除操作, * 删除all table entries.

(2)选择 工具->Internet 选项->删除文件 (3)启动Wireshark分组俘获器 (4)在浏览器地址栏中输入如下网址:

http://gaia.cs.umass.edu/wireshark-labs/ HTTP-wireshark-lab-file3.html (5)停止分组俘获。

(6)选择 Analyze->Enabled Protocols->取消IP选项->选择OK。如图3所示:

图3 利用Wireshark俘获的ARP分组 四、实验报告

6

根据实验,回答下面问题:

由于此实验是关于Ethernet 和ARP 的,所以,只需在分组俘获列表中显示IP层下面的协议,具体做法为:选择 Analyze->Enabled Protocols->不选择IP协议->select ok如图2所示:

7

实验三 使用Wireshark分析IP协议

一、实验目的

1、分析IP协议 2、分析IP数据报分片 二、实验环境

与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。 三、实验步骤

IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址,然后被发送到网络中。如果源主机和目的主机不在同一个网络中,那么一个被称为路由器的中间机器将接收被传送的数据报,并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。

IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。IP能够使数据报适应于其途径的每个网络。例如,每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。

在4_1_JoiningTheInternet下打开已俘获的分组,分组名为:dhcp_isolated.cap。感兴趣的同学可以在有动态分配IP的实验环境下俘获此分组,此分组具体俘获步骤如下:

1、使用DHCP获取IP地址 (1)打开命令窗口,启动Wireshark。

(2)输入“ipconfig /release”。这条命令会释放主机目前的IP地址,此时,主机IP地址会变为0.0.0.0

(3)然后输入“ipconfig /renew”命令。这条命令让主机获得一个网络配置,包括新的IP地址。

(4)等待,直到“ipconfig /renew”终止。然后再次输入“ipconfig /renew” 命令。 (5)当第二个命令“ipconfig /renew” 终止时,输入命令“ipconfig /release” 释放原来的已经分配的IP地址

(6)停止分组俘获。如图1所示:

8

图1 Wireshark俘获的分组 下面,我们对此分组进行分析:

IPconfig 命令被用于显示机器的IP地址及修改IP地址的配置。当输入命ipconfig /release命令时,用来释放机器的当前IP地址。释放之后,该机没有有效的IP地址并在分组2中使用地址0.0.0.0作为源地址。

分组2是一个DHCP Discover(发现)报文,如图2所示。当一台没有IP地址的计算机申请IP地址时将发送该报文。DHCP Discovery报文被发送给特殊的广播地址:255.255.255.255,该地址将到达某个限定广播范围内所有在线的主机。理论上,255.255.255.255能够广播到整个因特网上,但实际上并不能实现,因为路由器为了阻止大量的请求淹没因特网,不会将这样的广播发送到本地网之外。

在DHCP Discover报文中,客户端包括自身的信息。特别是,它提供了自己的主机名(MATTHEWS)和其以太网接口的物理地址(00:07:e9:53:87:d9)。这些信息都被DHCP用来标识一个已知的客户端。DHCP服务器可以使用这些信息实现一系列的策略,比如,分配与上次相同的IP地址,分配一个上次不同的IP地址,或要求客户端注册其物理层地址来获取IP地址。

在DHCP Discover报文中,客户端还详细列出了它希望从DHCP服务器接收到的信息。在Parameter Request List中包含了除客户端希望得到的本地网络的IP地址之外的其他数据项。这些数据项中许多都是一台即将连入因特网的计算机所需要的数据。例如,客户端必须知道的本地路由器的标识。任何目的地址不在本地网的数据报都将发送到这

9

台路由器上。也就是说,这是发向外网的数据报在通向目的端的路径上遇到的第一台中间路由器。

图2 DHCP Discovery

客户端必须知道自己的子网掩码。子网掩码是一个32位的数,用来与IP地址进行“按

10

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4