实验四--SnifferPro数据包捕获与协议分析-.docVIP

2015 年4 月 10日 实验项目：实验四 SnifferPro数据包捕获与协议分析 实验目的： 1.了解Sniffer的工作原理。 2.掌握SnifferPro工具软件的基本使用方法。 3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。 实验仪器：电脑一台(CPU：Intel?Core(TM)i5-3230M 2.60GHz 内存：4.00GB 操作系统：win8.1 使用软件：VWare 10、 Windows server2003) 实验步骤及内容： 一、规划IP地址，使得虚拟机与主机通信（自定义模式）主机使用虚拟网卡1，主机的1 虚拟机IP 为192.168.1.4子网掩码255.255.255.0 默认网关为 二、抓取以下协议的数据包，并加以分析。 （1）抓取IP数据包，分析IP数据包的头部信息。 可参照下图依次分析： 由上抓包信息可知：IP包头占有20个字节即：，其中“4”是IP协议的版本（Version），说明是IP4。是IHL位，表示IP头部的长度，是一个4bit字段，最大就是1111了，值为1，IP头部的最大长度就是60字节。而这里为，说明是20字节，这是标准的IP头部长度，头部报文中没有发送可选部分数据。，服务类型（Type of Service）。这个8bit字段由3bit的优先权子字段（现在已经被忽略），4 bit的TOS子字段以及1 bit的未用字段（现在为0）构成4 bit的TOS子字段包含：最小延时、最大吞吐量、最高可靠性以及最小费用构成，这四个1bit位最多只能有一个为1，本例中都为0，表示是一般服务。00 3C”，IP数据报文总长，包含头部以及数据，这里表示字节。这字节由20字节的IP头部以及字节的TCP头构成（最后的一个字节为数据）。因此目前最大的IP数据包长度是65535字节。　 4）“01 28” 两个字节，这个是让目的主机来判断新来的分段属于哪个分组。 5）“00 00”其中前三位表示标志位，后面13位表示片段偏移地址。其中第一位是IP协议目前没有用上的，为0。接着的是两个标志DF和MF。DF为1表示不要分段，MF为1表示还有进一步的分段（本例为0）。然后的“0 0000”是分段便移（Fragment Offset）。　 6）“20” 这个字节就是TTL（Time To Live）了，表示一个IP数据流的生命周期，用Ping显示的结果，能得到TTL的值一般主机都有默认的TTL值，不同系统的默认值不一样。比如WINDOWS为128。不过，一般Ping得到的都不是默认值，这是因为每次IP数据包经过一个路由器的时候TTL就减一，当减到0时，这个数据包就消亡了。这也时Tracert的原理。 7）“01” 这个字节表示传输层的协议类型（Protocol）。在RFC790中有定义，表示传输层是协议。　 8)“00 00” 这个16bit是头校验和（Header Checksum）。　 9)“C0 A8 01 04”表示源地址，也就是PC的IP地址，转换为十进制的IP地址就是：192.168.。目标地址，转换为十进制的IP地址就是：192.168..100。 （2）抓取ICMP协议数据包，分析ICMP协议 由上抓包截图可知，ICMP的报头头为：08 00 42 5E 02 00 0B 00 41 42…… 参照以上图并结合ICMP报文头部格式可以进行详细的ICMP数据报格式分析； 1）“08” 表示一个8位类型字段，表示ICMP数据包类型。 2）“00” 表示一个8位代码域，表示指定类型中的一个功能。如果一个类型中只有一种功能，代码域置为0。 3）“42 5E”表示数据包中ICMP部分上的一个16位检验和。 4）“02 00”表示示数据包中ICMP部分的16位识别号。 5）“0B 00” 表示示数据包中ICMP部分的16位报文序列号。 6）“41 42……表示示数据包中ICMP数据包中的的可选项内容。 以下截图是ICMP数据报部分截图； （3）抓取ARP协议数据包，分析ARP协议数据包的信息和封装情况。 由上抓包截图，我们可以清楚看到，ARP帧（28字节）：00 01 08 00 06 04 00 02 00 0C 29 1F 3E D3 C0 A8 01 04 00 50 56 C0 00 03 C0 A8 01 64 在往前看，可知以太网首部（14字节）如下 往最后看，为18字节的填充位： 可知，该ARP数据包并没有填充位。 结合上面抓包信息以及ARP报头结构，可将28字节的ARP帧结构进行如下详细地分析： 00 01 08 00 06 04 00