一、 实验名称:分组嗅探器ethereal的安装使用及ARP协议的理解 二、 实验目的
1. 学会正确安装和配置网络协议分析仪软件Ethereal 2. 掌握正确使用Ethereal分析ARP(地址解析协议)的技能。 3. 深入理解ARP的工作原理和重要作用。
4. 能够使用ARP命令对ARP选路表(下文简称ARP表)进行简单操作。 三、 实验环境
1. 运行Windows XP /2003 Server操作系统的PC机一台 2. 每台PC机具有一块以太网卡,通过双绞线与局域网相连 3. Ethereal工具(可以从http://www.ethereal.com/下载) 四、 实验步骤 1. 安装网络协议分析仪
1) 安装WinPcap。双击WinPcap图标,进入安装过程(如图1)然后根据提示进行确认,可顺利安装系统。安装成功后,将会在“程序”菜单上出现“WinPcap”程序组。 注意:网络协议分析仪软件Ethereal的运行需要软件WinPcap(wpcap.dll)的支持,应当在执行Ethereal前安装WinPcap。
图1
2) 安装Ethereal。双击Ethereal-setup软件图标,选择软件的安装目录后,开始安装过程。当协议分析仪安装成功后,将会在“程序”菜单上出现“Ethereal”程序组。
2. 使用Ethereal分析协议
1) 启动系统。点击“Ethereal”程序组中的“Ethereal”图标,将出现以系统操作界面,如图2
图2 Ethereal系统主界面
2) 点击“Capture/Start”菜单,在菜单capture 下点击interfaces, 选取要抓包的网卡, 这里选取这个网卡抓取数据包,如下图:
图3
3) 选择协议:在图3窗口中点击“Capture filter”如图4。在Filter name 和 String name后面的文本框中填写要分析的协议名称arp,然后点击“save”按钮,如图5。再点击“ok”按钮,返回到图6界面。
图4
图5
图6
4) 然后点击“OK”按钮,系统进入俘获网络分组界面,如图7.
图7
5) 点击“开始——运行”进入图8界面中,输入cmd命令,进入cmd.exe界面,输入ping指令和网络内部某个连接目标机的ip地址,例如图9所示ping 192.168.1.254.
如图8
如图9
键入“arp –a”指令查看本机arp表中的内容,结构如图10所示。
如图10
注意:在arp表中各主机的逻辑地址(IP地址)和物理地址(MAC地址)一一对应,由此形成表项。主机之间进行物理通信前,首先要查找本机的arp表,若果有对应项,则将通信对方的IP地址转换为物理地址。“Type”栏下的“dynamic”字段表明该表项处在动态更新中。如果20分钟诶没有其它访问网络的操作,arp表会自动清空。可以使用“arp –d”命令主动清空arp表的内容。此时再执行“arp –a”命令,就会发现arp表已经清空,如图11所示。
图11 清空arp表
6) 在图7所示的界面中,当按“Stop”(停止)按钮时,系统停止俘获分组并将已经俘获的分组信息装载在分析系统中,如图12。
图12 俘获分组界面
7) 协议分析。如图12,在Ethereal上部的窗口中,有帧编号(No.)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)和信息(Info)等列,各列下方依次排列着俘获的分组。中部的窗口给出选中的某帧的详细内容。下部窗口对应的该协议帧某字段的十六进制数值内容。 例如,可选择其中第2号帧进行分析。如图13
图13对第2帧的分析
抓包说明:
a) Frame 2:
(68 bytes on wire,60 bytes captured)表示所抓得的2号帧是68字节; Arrival time: 表示抓包时间;
Time delta from previous packet: 表示距离前一个帧的时间; Time since reference or first fram:表示距离第一个帧的时间; Frame number:表示帧序列号(例如此帧的序列号为2); Packet length:表示帧的长度。 b) Ethernet II:
ethernet II的封装格式参考下图14:
图14 ethernet II的封装格式
src: 00:eo:fc:1c:95:4b: 表示源物理地址是00:eo:fc:1c:95:4b; Dst: 00:1c: 06:2b:18:00 :目的物理地址是00:1c: 06:2b: 18:00; Type:ARP 表示ARP包;
Frame check sequence:表示校验序列。
c) Address Resolution Protocol (reply) 表示此帧是一个应答帧。请参考图15(若是请求帧则形如Address Resolution Protocol (request)请参考图16)
图15 ARP请求
图16 ARP 应答
以太网的arp 请求和应答的分组格式请参考下图:
图15 以太网的arp 请求和应答的分组格式
Hardware type(size)表示硬件的类型(大小); Protocl type(size)表示协议类型Ip(大小);
Sender MAC address:00:eo:fc:1c:95:4b 表示发送者的物理地址;
Sender IP address:222.22.66.129 表示发送方的IP地址;(如图12所示) Target MAC address:00:1c: 06:2b:18:00表示目标机的物理地址; Target IP address:222.22.66.187表示目标机的IP地址;
图12
8) 使用“arp –s”命令手工设置arp表项,如“arp –s 222.22.66.120 00-0f-0d-33-00-34”。
9) 用ARP命令查找IP地址冲突主机
若网络上由两台或多台主机设置了相同的IP地址,那么主机屏幕上会频繁出现IP地址冲突的提示,这经严重影响网络工作秩序。
若有两台主机设置了相同IP地址(如:222.22.66.100): (1) 我们将报警主机IP地址修改为一个未用地址
(2) 在该机“命令提示符”界面中输入“ping 222.22.66.100”确定该主机是否还在本网中运行,如果有响应,ARP协议就会使其留下痕迹。 (3) 接下来,执行“arp –a”命令,显示该IP地址与MAC地址对应记录,就可以发现哪台主机具有IP地址222.22.66.100了。 五、 相关知识
2. Arp协议工作过程参考步骤:
(1) 在实验单元中选择两台机器,清除ARP表中的所有项。 (2) 运行Ethereal程序,执行分组俘获操作。
(3) 向另一台机器发送ping包,稍后停止发ping包。
(4) 分析ARP协议执行全过程,并画出ARP协议的状态转移图。 3. ARP命令用于显示和修改本主机中由ARP协议所使用的IP地址与MAC地址转换表的内容。如果不熟悉ARP命令及其选项,可用“arp -?”,系
统将列出所有ARP名令的格式、用法和相关说明。
六、 实验结果分析
(1) 根据以上实验步骤总结分析ARP协议基本工作过程,理解ARP协议工作原理。
(2) 分析主机之间通信生成和更新ARP表的过程,分析主机之间是如何利用ARP协议完成IP地址与MAC地址的映射,从而完成局域网内的通信的?
因篇幅问题不能全部显示,请点此查看更多更全内容