实验目的
1、理解抓包软件的工作原理;
2、掌握Wireshark软件的安装和使用方法。
3、掌握MAC协议分析的技术与方法
实验任务
1、安装和运行Wireshark软件;
2、使用Wireshark软件抓取网络报文;
3、选取两个以上的以太网报文进行深入对比分析。
实验环境及工具
硬件:连接互联网的PC机;
软件:Wireshark 3.6.2。
实验记录(尽可能详细记录每个实验任务的过程与现象)
1、安装和运行Wireshark软件;
到官网下载网络抓包工具Wireshark,可以从https://www.wireshark.org/下载。注意在安装过程中要点勾这个Install Npcap ,下面的提示是说如果崩溃,要以管理员身份运行。后面一直默认Install / Net 就行。
2、使用Wireshark软件抓取网络报文;
1)首先车看自己的电脑的联网状态、连的是什么网,控制面板\网络和 Internet\网络连接。
2)打开Wireshark 网络分析器监听;打开“命令提示符”窗口(win + R -> cmd),输入 ipconfig /all 查看
打开Wireshark,选择捕获过滤器(双击)
3、选取来回的两个以太网的帧进行深入分析。
输入一个互联网地址,例如:win+R ,cmd , ping baidu.com
(以太网帧首部的硬件地址填FF:FF:FF:FF:FF:FF表示广播)
1)查找过滤信息(ip.addr == 目的ip)
第二栏里依次往下是物理层数据帧概况、数据链路层以太网帧、网络层IP、网络层控制信息(icmp)。
2)根据实验目的“重点观察以太网帧的 Destination 和 Source 的 MAC 地址,辨识 MAC 地址类型,解读 OUI 信息、I/G 和 G/L 位”
MAC(硬件)地址长48位(6字节),采用十六进制格式,下图说明了48位的MAC地址及其组成部分。
组织唯一标识符(OUI)由IEEE(电气和电子工程师协会)分配给厂商,它包含24位。厂商再用剩下的24位(EUI,扩展唯一标识符)为其生产的每个网卡分配一个全球唯一的全局管理地址,一般来说大厂商都会购买多个OUI。
I/G(Individual/Group)位,如果I/G=0,则是某台设备的MAC地址,即单播地址;如果I/G=1,则是多播地址(组播+广播=多播)。
G/L(Global/Local,也称为U/L位,其中U表示Universal)位,如果G/L=0,则是全局管理地址,由IEEE分配;如果G/L=1,则是本地管理地址,是网络管理员为了加强自己对网络管理而指定的地址。
思考题
-
使用了显示过滤器后,Wireshark 的抓包工作量会减少吗?
不会减少,过滤只是查找只显示的信息,不会减少任何抓包工作量。
但捕抓过滤会减少,对确定的捕抓类型抓包。 -
MAC 帧的长度和 IP 数据报的长度有怎样的关系?请用你的数据记录进行验证。
MAC帧 = 6字节源mac地址 + 6字节目标mac地址 + 2字节类型(ipv4或ipv6) + ip数据报(46~1500字节)+ 4字节帧检验序列FCS
MAC帧长度是需要在64~1518字节之间的,太长或者太短都是无效的帧。 -
假设本机 IP 地址是 192.168.0.38,在本机上运行 Wireshark 捕获报文,使用 “ip.addr == 192.168.0.38”作为过滤条件,能否过滤出本机发出/收到的 ARP 报文?为什么?
能,免费ARP指主机发送ARP查找自己的IP地址,通常发生在系统引导期间进行接口配置时。与标准ARP的区别就是免费ARP分组的目的IP地址字段封装的是自己的IP地址,即向所在网络请求自己的MAC地址。 -
ping 同一局域网内的主机和局域网外的主机,都会产生 ARP 报文么?所产生的 ARP 报文有何不同,为什么?
Ping查找地址那就都会产生ARP报文。
它们的发送端mac地址不同,同一局域网则是该连接的交换机mac,局域网外则是目的端交换机的mac
-
ARP 请求数据包是支撑 TCP/IP 协议正常运作的广播包。如果滥发或错发 ARP 广播包会产生那些不良影响?如何发现和应对?
会产生ARP攻击文章来源:https://www.toymoban.com/news/detail-428516.html -
什么是免费 ARP(Gratuitous ARP)?它的作用是什么?请使用 Wireshark 进行捕 捉和分析
免费ARP指主机发送ARP查找自己的IP地址,通常发生在系统引导期间进行接口配置时。与标准ARP的区别就是免费ARP分组的目的IP地址字段封装的是自己的IP地址,即向所在网络请求自己的MAC地址。文章来源地址https://www.toymoban.com/news/detail-428516.html
- 一个主机可以通过它来确定另一个主机是否设置了相同的 IP地址。 正常情况下发送免费ARP请求不会收到ARP应答,如果收到了一个ARP应答,则说明网络中存在与本机相同的IP地址的主机,发生了地址冲突。
2)更新其他主机高速缓存中旧的硬件地址信息。 如果发送免费ARP的主机正好改变了硬件地址,如更换了接口卡。其他主机接收到这个ARP请求的时候,发现自己的ARP高速缓存表中存在对应的IP地址,但是MAC地址不匹配,那么就需要利用接收的ARP请求来更新本地的ARP高速缓存表表项。
3)网关利用免费ARP防止ARP攻击有些网关设备在一定的时间间隔内向网络主动发送免费ARP报文,让网络内的其他主机更新ARP表项中的网关MAC地址信息,以达到防止或缓解ARP攻击的效果。
到了这里,关于实验:Wireshark 抓包软件的使用及MAC协议分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!