计算机网络验二.doc

实验二 网络监听实验 一、实验目的 1、熟悉IP地址与MAC地址的概念 2、理解ARP协议及ICMP协议原理 3、了解TELNET应用 4、掌握网络监听方法 二、实验原理 1、IP地址与MAC地址、ARP协议 数据链路层使用物理地址（即MAC地址），网络层使用IP地址，当数据包在网络层和数据链路层之间传输时，需要进行MAC地址和IP地址的转换。ARP协议的功能是实现IP地址到MAC地址的转换。 每个主机都设有一个ARP高速缓存，操作系统通常会将从网络中得到的IP地址和MAC地址的映射关系存放在本机的高速缓存中，使用arp命令，可以查看、添加和删除高速缓冲区中的ARP表项。 在Windows操作系统中，高速缓存中的ARP表项可以包含动态和静态表项，动态表项随时间推移自动添加和删除，而静态表项则一直保留在高速缓存中，直到人为删除或重启计算机。 2、ICMP协议 ICMP协议是配合IP协议使用的网络层协议，它的报文不是直接传送到数据链路层，而是封装成IP数据报后再传送到数据链路层。 分组网间探测PING是ICMP协议的一个重要应用，它使用ICMP回送请求与回送应答报文，用来测试两个主机之间的连通性。命令格式为：ping 目的IP地址。 ICMP回送请求与回送应答报文格式如下： 类型：8或0 代码：0 校验和 标识符 序号 可选数据 说明：类型为8---回送请求，为0---回送应答 TRACERT程序是ICMP协议的另一个应用，命令格式为：tracert 目的地址。 Tracert从源主机向目的主机发送一连串的IP数据报P1，P1的TTL设置为1，当它到达路径上的第一个路由器R1时，R1先收下它，把P1的TTL值减1，变成0，R1丢弃P1，并向源主机发送一个ICMP超时差错报告报文。源主机接着又发送第二个TTL值为2的IP数据报P2，路径上的第一个路由器把P2的TTL值减小1，当P2到达路径上第二个路由器时，第二个路由器把P2丢弃，并向源主机发送一个ICMP超时差错报告报文。如此继续，最后一个IP数据报到达目的主机时，目的主机和源主机间发送ICMP回送请求与回送应答报文。 路径上的这些路由器和目的主机向源主机发送的ICMP报文告诉源主机，到达目的主机所经过的路由器的IP地址及往返时间。 3、远程终端协议TELNET Telnet协议基于TCP协议，默认端口号为23。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。 Telnet远程登录服务分为以下4个过程： 1）本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程主机的Ip地址或域名； 2）将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT（Net Virtual Terminal）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报； 3）将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果； 4）最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。 4、网络监听原理 在共享式局域网中，位于同一网段的每台主机都可以截获在网络中传输的所有数据，正常情况下，一个网卡只响应目的地址为单播地址和广播地址的MAC帧而忽略其它MAC帧，网卡接收这两种帧时，通过CPU产生一个硬件中断，然后由操作系统负责处理该中断，对数据帧中的数据做进一步处理。如果将网卡设置为混杂（promiscuous）模式，则可接收所有经过该网卡的数据帧。 交换式网络设备能将数据准确地发给目的主机，而不会同时发给其他计算机，所以在交换网络环境下，实现数据包的监听要复杂些，主要方法有： （1）对交换机实行端口镜像，将其他端口的数据全部映射到镜像端口，连接在镜像端口上的计算机就可以实施监听了。 （2）将监听程序放在网关或代理服务器上，可抓取整个局域网的数据包。 网络监听的防范方法主要有：从逻辑或物理上对网络分段；以交换机代替共享集线器；使用加密技术；划分VLAN。 本次上机建议采用WireShark软件（网络协议分析器，如WireShark是一个能记录所有网络分组，并以人们可读的形式显示的软件）。官方下载地址：/ 三、实验步骤 1、查看本机IP地址与MAC地址 在命令行中输入命令：ipconfig /all ，记录显示结果 2、操作本机高速缓存中的ARP表 （1）查看高速缓存中的ARP表 查看命令：arp -a ARP表项在没有进行手工配置前，通常都是动态ARP表项，所以不同时间运行arp –a命令，运行结果也不大相同。 运行arp –a命令，查看运行结果。 运行WireShark软件，选择capture---options，在capture f