实验一 wireshark基本操作及ARP协议分析

一、实验目的

1、熟悉并掌握Wireshark的基本使用；

2、了解网络协议实体间进行交互以及报文交换的情况；

3、分析以太网帧，MAC地址和ARP协议。

二、实验环境

与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、预备知识

（1）wireshark安装

下载地址：https://www.wireshark.org/#download

注意操作系统版本，特别是32位操作系统和64位操作系统的区别。

安装时选择默认设置即可。

（2）分组嗅探器

要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。

观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer），又称分组捕获器。顾名思义，分组嗅探器捕获（嗅探）你的计算机发送和接收的报文。

图1显示了一个分组嗅探器的结构。

图1

图1右边是计算机上正常运行的协议和应用程序（如：Web浏览器和FTP客户端）。分组嗅探器（虚线框中的部分）主要有两部分组成：第一是分组捕获器，其功能是捕获计算机发送和接收的每一个链路层帧的拷贝；第二个组成部分是分组分析器，其作用是分析并显示协议报文所有字段的内容（它能识别目前使用的各种网络协议）。

（3）wireshark简介

Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件。

运行Wireshark程序时，其图形用户界面如图2所示。最初，各窗口中并无数据显示。Wireshark的界面主要有五个组成部分：

图2

命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。

协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。

捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名，可以使分组列表按指定列排序。其中，协议类型是发送或接收分组的最高层协议的类型。

分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息，需要查看哪层信息，双击对应层次或单击该层最前面的“＋”即可。

分组内容窗口（packet content）：分别以十六进制（左）和ASCII码（右）两种格式显示被捕获帧的完整内容。

四、实验步骤

1、wireshark基本操作

（1）查看自己的IP地址和MAC地址。Windows系统用命令提示符查看，在运行中输入CMD，或在开始菜单“Windows附件”/“Windows系统”中打开命令提示符。在命令提示符中输入ipconfig  -all，查看本机物理地址和IP地址。MAC系统在系统更偏好设置-网络-选择已连接网络查看本机物理地址和IP地址。

（2）启动wireshark软件，选择准备捕获数据包的网卡接口。

（3）过几秒钟后停止捕获，观察捕获到的数据包。

（4）在过滤条件中，选择查看自己IP地址发出的数据包，使用过滤条件“ip.src==步骤2中查看到的IP地址”，并在数据包详情窗口查看源MAC地址是否是步骤2中查看到的本机的物理地址。

（5）重新设置过滤条件，选择查看由自己MAC地址接收的数据包，使用过滤条件“eth.dst == 步骤2中查看到的物理地址”（ 注意地址内16进制以冒号隔开），并在数据包详情窗口查看目的IP地址是否是自己的IP地址。

（6）思考：

• 每次自己发出或接收的数据包，自己的IP地址和MAC是否总是对应的？
• 尝试写一条规则，查找所有的HTTP协议的数据包。
• 尝试写一条规则，查找所有自己的IP地址发出的DNS数据包。

2、ARP协议的分组结构

（1）在命令提示符输入arp，查看arp工具的参数。输入arp –a，查看本地的arp缓存表，并记录下表（不够可添加行）：

Internet地址

物理地址

类型

1. 输入arp –d（若不能运行，则在C:/windows/system32中找到cmd.exe，单击右键选择“以管理员身份运行”），删除本地的arp缓存表，使用arp –a再次查看arp缓存表，发生了什么变化。

ARP的包减少了

1. 输入“ping 网关地址”，再次查看arp缓存表，说明发生了什么变化。通过以上实验的结果，尝试分析arp缓存表的工作模式。

（4）运行wireshark抓包分析工具，开始进行捕获，捕获前或者捕获中运行arp –d清除arp缓存表然后在命令提示符输入“ping 网关地址”，过一段时间后停止捕获，观察捕获到的数据包。

说明：很多时候不需要“ping 网关地址”，系统很快也会自动运行ARP协议，获得网关物理地址。因此往往在删除缓存表后再查看缓存表时，会发现网关的ARP项目仍然存在。

（5）在过滤栏中，设置过滤条件为arp数据包。

（6）查看从本机mac地址发出的arp数据包，查看捕获数据包的第一个分组的链路层帧结构及arp协议分组结构，截图并记录下表。

目的MAC地址		源MAC地址				类型
90:e7:10:b8:13:3e		c8:d9:d2:19:fe:c8				ARP
硬件类型	上层协议类型		MAC长度		IP长度		操作类型
Ethernet(1)	IPv4		6		4		Request(1)
源MAC地址				源IP地址
c8:d9:d2:19:fe:c8				10.0.132.22
目的MAC地址				目的IP地址
90:e7:10:b8:13:3e				10.0.132.254

根据捕获的数据包信息思考并回答以下问题：

• arp分组结构中的目的MAC地址是多少？为什么是这个取值？

90:e7:10:b8:13:3e  目的主机收到了该ARP请求之后，会发送一个ARP应答，里面包含了目的主机的MAC地址。 

• arp分组结构中的硬件类型、上层协议类型、操作类型分别是起什么作用的？

硬件类型：该字段2个字节，用于表明ARP分组是跑在什么类型的网络上的，例如如果是我们最常用的以太网值是1。

协议类型：该字段2个字节，用于表明使用ARP分组的上层协议是什么类型，例如如果是我们最常用的IPv4协议值是32。

操作类型：该字段2个字节，用于表明该ARP分组的类型。现在已经有的类型只有2中：ARP请求（值是1），ARP应答（值是2）

1. 查看从网关MAC地址发出的arp数据包，查看捕获数据包的数据链路层帧结构及arp协议分组结构，截图并记录下表。

目的MAC地址		源MAC地址				类型
c8:d9:d2:19:fe:c8		90:e7:10:b8:13:3e				ARP
硬件类型	上层协议类型		MAC长度		IP长度		操作类型
Ethernet(1)	IPv4		6		4		Request(2)
源MAC地址				源IP地址
90:e7:10:b8:13:3e				10.0.132.254
目的MAC地址				目的IP地址
c8:d9:d2:19:fe:c8				10.0.132.22

根据捕获的数据包信息回答以下问题：

• 从帧头中的MAC地址来看这个数据帧是谁发给谁的？

主机发送给本机

• arp分组结构中的操作类型字段与步骤（7）中的对应字段有何变化？

Request(1)→Request(2)

源IP地址和MAC地址与目的IP地址和MAC地址交换

（6）思考：请根据今天实验的所有实验结果

• 说明arp协议工作的触发条件是什么？

在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

• 分析arp协议在主机中工作的完整工作过程是如何进行的？

1、每个主机都会有自己的ARP缓存区中建立一个ARP列表，以表示IP地址和MAC地址之间的对应关系
2、当源主机要发送数据时，首先检测ARP列表中是否对应IP地址的目的主机的MAC地址。如果有，则直接发送数据，如果没有，就向本网段的所有主机发送ARP数据包。

3、当本网络的所有主机收到该ARP数据包时，首先检查数据包中的IP地址是否是自己的IP地址，如果不是，则忽略该数据包，如果是，则首先从数据包中取出源主机的IP和mac地址写入到ARP列表中，如果以存在，则覆盖。然后将自己的mac地址写入arp响应包中，告诉源主机自己是它想要找的mac地址。
4、源主机收到ARP响应包后，将目的主机的IP和mac地址写入arp列表，并利用此信息发送数据如果源主机一直没有收到arp响应数据包，表示arp查询失败。

• arp协议可能存在的安全风险是什么？

1. 假冒ARP应答

2. 点对点的假冒查询

3. 自动定时ARP欺骗

4. 对网关的干扰

5. 推测ARP解析时间