实验二使用wireshark分析arp协议

计算机⽹络实验报告

年级：姓名：学号：___________实验⽇期:_________________________实验名称：实验⼆：利⽤Wireshark分析ARP协议⼀、实验项⽬名称及实验项⽬编号ARP协议学习与分析⼆、课程名称及课程编号计算机⽹络三、实验⽬的和要求实验⽬的：通过本实验使学⽣：

1．学习ARP协议的⼯作原理以及ARP分组格式；2．学习使⽤WireShark对ARP协议进⾏分析。实验要求：

实验结果分析报告名称：实验⼀ ARP协议实验结果分析_姓名.doc四、实验原理Wireshark介绍

Wireshark 是⽹络包分析⼯具。⽹络包分析⼯具的主要作⽤是尝试捕获⽹络包，并尝试显⽰包的尽可能详细的情况。⽹络包分析⼯具是⼀种⽤来测量有什么东西从⽹线上进出的测量⼯具，Wireshark 是最好的开源⽹络分析软件。Wireshark的主要应⽤如下：（1）⽹络管理员⽤来解决⽹络问题（2）⽹络安全⼯程师⽤来检测安全隐患（3）开发⼈员⽤来测试协议执⾏情况（4）⽤来学习⽹络协议

（5）除了上⾯提到的，Wireshark还可以⽤在其它许多场合。Wireshark的主要特性

（1）⽀持UNIX和Windows平台（2）在接⼝实时捕捉包

（3）能详细显⽰包的详细协议信息（4）可以打开/保存捕捉的包

（5）可以导⼊导出其他捕捉程序⽀持的包数据格式（6）可以通过多种⽅式过滤包（7）多种⽅式查找包

（8）通过过滤以多种⾊彩显⽰包（9）创建多种统计分析五、实验内容

1．了解数据包分析软件Wireshark的基本情况；2．安装数据包分析软件Wireshark；3．配置分析软件Wireshark；

4．对本机⽹卡抓数据包；5．分析各种数据包。六、实验⽅法及步骤1．Wireshark的安装及界⾯（1）Wireshark的安装（2）Wireshark的界⾯

启动Wireshark之后，主界⾯如图：

主菜单项：

主菜单包括以下⼏个项⽬:File

包括打开、合并捕捉⽂件，save/保存,Print/打印,Export/导出捕捉⽂件的全部或部分。以及退出Wireshark项.Edit

包括如下项⽬：查找包，时间参考，标记⼀个多个包，设置预设参数。（剪切，拷贝，粘贴不能⽴即执⾏。）View

控制捕捉数据的显⽰⽅式，包括颜⾊，字体缩放，将包显⽰在分离的窗⼝，展开或收缩详情⾯版的地树状节点GO

包含到指定包的功能Capture

允许您开始或停⽌捕捉、编辑过滤器。Analyze

包含处理显⽰过滤，允许或禁⽌分析协议，配置⽤户指定解码和追踪TCP流等功能。见Statistics

包括的菜单项⽤户显⽰多个统计窗⼝，包括关于捕捉包的摘要，协议层次统计等等。见Help

包含⼀些辅助⽤户的参考内容。如访问⼀些基本的帮助⽂件，⽀持的协议列表，⽤户⼿册。在线访问⼀些⽹站，“关于”等等。2．Wireshark的设置和使⽤

1）启动Wireshark以后，选择菜单Capature->Interfaces,选择捕获的⽹卡，单击Capture开始捕获

2）当停⽌抓包时，按⼀下stop，抓的包就会显⽰在⾯板中，并且已经分析好了。下⾯是⼀个截图如图2-2所⽰。

图2-2 Wireshark数据包分析

Wireshark和其它的图形化嗅探器使⽤基本类似的界⾯，整个窗⼝被分成三个部分：最上⾯为数据包列表，⽤来显⽰截获的每个数据包的总结性信息；中间为协议树，⽤来显⽰选定的数据包所属的协议信息；最下边是以⼗六进制形式表⽰的数据包内容，⽤来显⽰数据包在物理层上传输时的最终形式。2）设置capture选项

选择菜单capture→Interface，如图2-3所⽰，在指定的⽹卡上点“Prepare”按钮，设置capture 参数。

图2-3 capture选择设置

Interface：指定在哪个接⼝（⽹卡）上抓包。⼀般情况下都是单⽹卡，所以使⽤缺省的就可以。Limit each packet：每个包的⼤⼩，缺省情况不。

Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。⼀般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。只抓取满⾜过滤规则的包（可暂时略过）。File：如果需要将抓到的包写到⽂件中，在这⾥输⼊⽂件名称。

use ring buffer：是否使⽤循环缓冲。缺省情况下不使⽤，即⼀直抓包。注意，循环缓冲只有在写⽂件的时候才有效。如果使⽤了循环缓冲，还需要设置⽂件的数⽬，⽂件多⼤时回卷。其他的项选择缺省的就可以了。2．显⽰过滤器的使⽤⽅法

在抓包完成以后⽤显⽰过滤器，可以在设定的条件下（协议名称、是否存在某个域、域值等）来查找你要找的数据包。如果只想查看使⽤TCP协议的包，在Wireshark 窗⼝的左下⾓的Filter 中输⼊TCP，然后回车，Wireshark 就会只显⽰TCP协议的包。如图2-4所⽰。

图2-4 设置过滤条件为TCP报⽂

如果想抓取IP 地址是10.20.61.15的主机，它所接收收或发送的所有的TCP报⽂，那么合适的显⽰Filter（过滤器）就是如图2-5所⽰。

图2-5 设置过滤条件为IP 地址是10.20.61.15 的主机所有的TCP报⽂七、学习使⽤WireShark对ARP协议进⾏分析（1）启动WireShark（2）捕获数据

（3）停⽌抓包并分析ARP请求报⽂

将Filter过滤条件设为arp，回车或者点击“Apply”按钮，（4）ARP请求报⽂分析1）粘贴你捕获的ARP请求报⽂

2）分析你捕获的ARP请求报⽂第⼀⾏帧基本信息分析（粘贴你的Frame信息）

Frame Number（帧的编号）：______1457___（捕获时的编号）

Frame Length(帧的⼤⼩)：____60____字节。（以太⽹的帧最⼩个字节，⽽这⾥只有６０个字节，应该是没有把四个字节的CRC计算在⾥⾯，加上它就刚好。）

Arrival Time(帧被捕获的⽇期和时间): __sep 23,_201415 :15 :38 .463721000______

Time delta from previous captured frame(帧距离前⼀个帧的捕获时间

差):____0.002937000 seconds____

Time since refernce or first frame(帧距离第⼀个帧的捕获时间差)：___24.488816000 seconds____________

Protocols in frame(帧装载的协议)：__eth:arp__________第⼆⾏数据链路层：

（粘贴你的数据链路层信息）

Destination（⽬的地址）：_Broadcast(ff:ff:ff:ff:ff:ff)_________（这是个MAC 地址，这个MAC地址是⼀个⼴播地址，就是局域⽹中的所有计算机都会接收这个数据帧）Source（源地址）：G-ProCom_45:48:16(00:23:24:45:48:16)帧中封装的协议类型：ARP(0x0806)（这个是ARP协议的类型编号。）Trailer：是协议中填充的数据，为了保证帧最少有字节。第三层 ARP协议：（粘贴你的ARP请求报⽂）

在上图中，我们可以看到如下信息：

Ｈardware type（硬件类型）：___Ethernet(1)_________Ｐrotocol type（协议类型）： IP(0x0800)____________

Ｈardware size(硬件信息在帧中占的字节数)：__6_____________ Ｐrotocol size(协议信息在帧中占的字节数)：_____4_________操作码（opcode）：requset(0X0001)

发送⽅的ＭＡＣ地址（Sender MAC address）：G-ProCom_45:48:16(00:23:24:45:48:16)____发送⽅的IP地址（Sender IP address）：__10.30.28.22(10.30.28.22)_________________⽬标的ＭＡＣ地址（Target MAC address:）：

_______00:00:00_00:00:00(00:00:00:00:00:00)____________ ⽬标的IP地址（Target IP address:）：

____10.30.28.1(10.30.28.1)________________（3）分析ARP应答报⽂（粘贴你的ARP应答报⽂）

应答报⽂中的

操作码（opcode）：reply(0X0002)

发送⽅的ＭＡＣ地址（Sender MAC address）：_0c:da:41:63:03:f4(0c:da:41:63:03:f4)_______________发送⽅的IP地址（Sender IP address）：_10.30.28.1(10.30.28.1)_________________⽬标的ＭＡＣ地址（Target MAC address:）：___ G-ProCom_45:47:dd(00:23:24:45:47:dd)________________⽬标的IP地址（Target IP address:）：

_______10.30.28.38(10.30.28.38)_____________

练习1：对于上述2、3中的arp请求报⽂和应答报⽂，将ARP请求报⽂和ARP应答报⽂中的字段信息填⼊表3-1。

练习2：ARP报⽂是直接封装在以太帧中的，为此以太帧所规定的类型字段值为___0806h____________练习3：对地址转换协议（ARP）描述正确的是（ D ）A ARP封装在IP数据报的数据部分B 发送ARP包需要知道对⽅的MAC地址

C ARP是⽤于IP地址到域名的转换D ARP是采⽤⼴播⽅式发送的

练习4：ARP欺骗的原理是什么？如何进⾏防范？

ARP欺骗分为⼆种，⼀种是对路由器ARP表的欺骗；另⼀种是对内⽹PC的⽹关欺骗。第⼀种ARP欺骗的原理是——截获⽹关数据。它通知路由器⼀系列错误的内⽹MAC地址，并按照⼀定的频率不断进⾏，使真实的地址信息⽆法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC⽆法收到信息。第⼆种ARP欺骗的原理是——伪造⽹关。它的原理是建⽴假⽹关，让被它欺骗的PC向假⽹关发数据，⽽不是通过正常的路由器途径上⽹。

防范措施：建⽴DHCP服务器；建⽴MAC数据库；⽹关机器关闭机器ARP动态刷新的过程，使⽤静态路由；⽹关监听⽹络安全。练习5：有⼈认为：“ARP协议向⽹络层提供了转换地址的服务，因此ARP应当属于数据链路层。”这种说法为什么是错误的？

练习6：ARP 协议的作⽤是（A）

A．由IP地址查找对应的MAC地址B．由MAC 地址查找对应的IP 地址C．由IP地址查找对应的端⼝号D．由MAC 地址查找对应的端⼝号ARP 报⽂封装在（A）中传送。

A．以太帧B．IP 数据报C．UDP 报⽂D．TCP 报⽂