计算机网络实验二.docx

实验二 网络监听实验

一、实验目的

1、熟悉IP地址与MAC地址的概念

2、理解ARP协议及ICMP协议原理

3、了解TELNET应用

4、掌握网络监听方法二、实验原理

1、IP地址与MAC地址、ARP协议

数据链路层使用物理地址（即MAC地址），网络层使用IP地址，当数据包在网络层和数据链路层之间传输时，需要进行MAC地址和IP地址的转换。ARP协议的功能是实现IP地址到MAC地址的转换。

每个主机都设有一个ARP高速缓存，操作系统通常会将从网络中得到的IP地址和MAC地址的映射关系存放在本机的高速缓存中，使用arp命令，可以查看、添加和删除高速缓冲区中的ARP表项。

在Windows操作系统中，高速缓存中的ARP表项可以包含动态和静态表项，动态表项随时间推移自动添加和删除，而静态表项则一直保留在高速缓存中，直到人为删除或重启计算机。

2、ICMP协议

ICMP协议是配合IP协议使用的网络层协议，它的报文不是直接传送到数据链路层，而是封装成IP数据报后再传送到数据链路层。

分组网间探测PING是ICMP协议的一个重要应用，它使用ICMP回送请求与回送应答报文，用来测试两个主机之间的连通性。命令格式为：ping目的IP地址。

ICMP回送请求与回送应答报文格式如下：

类型：8或0

标识符可选数据

代码：0 校验和序号

说明：类型为8---回送请求，为0---回送应答TRACERT程序是ICMP协议的另一个应用，命令格式为：tracert目的地址。

Tracert从源主机向目的主机发送一连串的IP数据报P1，P1的TTL设置为1，当它到达路径上的第一个路由器R1时，R1先收下它，把P1的TTL值减1，变成0，R1丢弃P1，并向源主机发送一个ICMP超时差错报告报文。源主机接着又发送第二个TTL值为2的IP数据报P2，路径上的第一个路由器把P2的TTL值减小1，当P2到达路径上第二个路由器时，第二个路由器把P2丢弃，并向源主机发送一个ICMP超时差错报告报文。如此继续，最后一个IP数据报到达目的主机时，目的主机和源主机间发送ICMP回送请求与回送应答

报文。

路径上的这些路由器和目的主机向源主机发送的ICMP报文告诉源主机，到达目的主机所经过的路由器的IP地址及往返时间。

3、远程终端协议TELNET

Telnet协议基于TCP协议，默认端口号为23。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。

Telnet远程登录服务分为以下4个过程：1）本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程

主机的Ip地址或域名；

将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT（NetVirtualTerminal）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报；

将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果；

最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。

4、网络监听原理

在共享式局域网中，位于同一网段的每台主机都可以截获在网络中传输的所有数据，正常情况下，一个网卡只响应目的地址为单播地址和广播地址的MAC帧而忽略其它MAC帧，网卡接收这两种帧时，通过CPU产生一个硬件中断，然后由操作系统负责处理该中断，对数据帧中的数据做进一步处理。如果将网卡设置为混杂（promiscuous）模式，则可接收所有经过该网卡的数据帧。

交换式网络设备能将数据准确地发给目的主机，而不会同时发给其他计算机，所以在交换网络环境下，实现数据包的监听要复杂些，主要方法有：

对交换机实行端口镜像，将其他端口的数据全部映射到镜像端口，连接在镜像端口上的计算机就可以实施监听了。

将监听程序放在网关或代理服务器上，可抓取整个局域网的数据包。

网络监听的防范方法主要有：从逻辑或物理上对网络分段；以交换机代替共享集线器；使用加密技术；划分VLAN。

本次上机建议采用WireShark软件（网络协议分析器，如WireShark是一个能记录所有网络分组，并以人们可读的形式显示的软件）。官方下载地址：/

三、实验步骤

1、查看本机IP地址与MAC地址

在命令行中输入命令：ipconfig/all，记录显示结果

2、操作本机高速缓存中的ARP表

查看高速缓存中的ARP表查看命令：