计算机网络协议分析实验

xx

《计算机网络》实验报告

专业班级 学生学号 学生姓名 实验项目 实验类别 xx xx xx 实验地点 实验学时 实验时间 协议分析 操作性（√） 验证性（ ） 设计性（ ） 综合性（ ） 其它（ ） xx 8 第15 周~第16周 星期 二 五 实验目的及要求 1. 掌握SnifferPro软件的应用，并能应用该软件进行网络中的数据进行抓包。 2. 通过应用SnifferPro对数据进行抓包，以此深入了解网络传输中的各种协议以及协议对应的数据。 3. 分析常用协议在网络中的工作原理。 成 绩 评 定 表 类 别 上机表现 报告质量 说明： 评阅教师： 日 期： 2011 年 x 月 10 日 评 分 标 准 积极出勤、遵守纪律 认真完成设计任务 操作规范、功能正确 填写完整、体现收获 分值 30分 70分 得分 合 计 《计算机网络实验报告》

实验内容：

A：熟悉sniffer软件的界面，对常用菜单项进行了解。 1、首先打开sniffer软件，对所要监听的网卡进行选择

2、选择网卡按确定后，进入sniffer工作主界面，对主界面上的操作按钮加以熟悉。

捕获条件编辑选择捕获条件捕获开始捕获暂停捕获停止捕获停止并查看捕获查看

第 1 页

《计算机网络实验报告》

B：设置捕获条件进行抓包 基本的捕获条件有两种：

1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。

2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉。

任意捕获条件编辑协议捕获编辑缓冲区编辑基本捕获条件链路层捕获IP层捕获链路层捕获地址条件数据流方向

高级捕获条件

在“Advance”页面下，你可以编辑你的协议捕获条件，如图：

选择要捕获的协议错误帧是否捕获捕获帧长度条件保存过滤规则条件

高级捕获条件编辑图

在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。

在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。 在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。

在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。 C：捕获报文的察看：

Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供

第 2 页

《计算机网络实验报告》

了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析系统专家分析系统捕获报文的图形分析捕获报文的其他统计信息

专家分析

专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

双击此记录可以查看详细信息

解码分析

下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的

第 3 页

《计算机网络实验报告》

报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。

对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

捕获的报文报文解码二进制内容

功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。

过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。

问题1：按照图例学习捕获ip数据包，并选取其中一条记录解释其构造。

第 4 页

《计算机网络实验报告》

如上图显示的记录号为30的记录。源地址为119.124.72.164的主机与目的地址为171.113.92.127进行通信。图片中间是IP数据报的首部，包含版本号，头部长度，总长度等信息，图片下面是数据报的二进制内容。

问题2：察看Matrix，Host Table，Portocol Dist. Statistics的页面框，并解释每个页面框主要描述了网络什么样的信息。

答：Matrix: 两台通信的主机的网络通信情况。

Host Table:提供了被连接的主机与网络的连接情况。

Portocol Dist:提供了观察网络协议使用情况的手段，用户可以通过它来了解各种协议在网络中的应用情况。

Statistics:用户可以对网络上的传输的数据包尺寸统计分布规律和相应的利用率有所

了解。

E、： 报文的发送 1、编辑报文发送

Sniffer软件报文发送功能就比较弱，如下是发送的主面板图：

发送报文编辑

发送前，你需要先编辑报文发送的内容。点击发送报文编辑按钮。可得到如下的报文编辑窗口：

发送间隔发送模式指定报文长度发送内容

首先要指定数据帧发送的长度，然后从链路层开始，一个一个将报文填充完成。

第 5 页

《计算机网络实验报告》

2、捕获编辑报文发送

将捕获到的报文直接转换成发送报文，然后修修改改就可。如下是一个捕获报文后的报文查看窗口：如下图

选中某个捕获的报文，用鼠标右键激活菜单，选择“Send Current Packet”，这时你

就会发现，该报文的内容已经被原封不动的送到“发送编辑窗口”中了。这时，你在修修改改，就比你全部填充报文省事多了。

发送模式有两种：连续发送和定量发送。可以设置发送间隔，如果为0，则以最快的速度进行发送。

第 6 页

《计算机网络实验报告》

问题 1：ARP欺骗过程中捕获报文并进行修改的目的是什么，修改的是以太网帧的那部分

内容？

答：是为了修改MAC地址以便窃取数据或修改数据进行转发。修改的是以太网帧的MAC

地址。

问题 2：用实例证明 TCP的3次握手协议，截图说明

答：主机IP地址分别为171.113.116.211和171.113.91.145的两台主机进行连接。

三次握手如下图

第一次握手

第二次握手

第 7 页

《计算机网络实验报告》

第三次握手

问题3：若要捕获从本机上发出的，去往www.263.net的上行报文，请写出sniffer操作的一

整套流程，并对捕获到的报文选取其中一条进行详细解释。（主要是过滤器的设置部分）

答：流程如下：

一、 点击Define Filter，选择Adress 在其中的Station1和Station2中分别填写本

机的IP地址和你要跑发送报文的主机的IP地址。

二、 在“Advance”页面下，编辑协议捕获条件，选择ICMP、TCP、UDP。点击Profiles

进行过滤。

第 8 页

《计算机网络实验报告》

三、点击开始捕获，之后点击查看

分析：如上图是一个TCP报文的首部，包括源端口号5141，目的端口号26346，序列号446773862，确认号3581297294，偏移数,20字节。ＡＣＫ为1和ＳＹＮ为0等信息。最下面的是该数据包的二进制信息。

实验小结： 通过本次实验我对sniffer软件有了一定的了解，熟悉了sniffer软件的基本用法。了解了ARP欺骗的基本原理以及其危害，进一步了解TCP三次握手的过程，是对课本知道的巩固和加强。

第 9 页