用Wireshark抓取arp、snmp、icmp、dhcp等报文的方法
1.ARP 基础知识学习
1.1.ARP 协议的概念
ARP ,即地址解析协议,实现通过IP得知其物理地址。在CP/IP网络环境下,每个主机分配了一个32位的IP地址,这种互联网地址是在网际范围表示主机的一种逻辑地址。为了让报文在物理线路上的传输,必须知道对方目的主机的物理地址。这样就存在把IP地址变成物理地址的转换问题。一以太网环境为例,为了正确的向目的主机传送报文,就必须将主机的32位IP地址转换成48位的以太网的地址。这就需要在互联层有一组服务将IP地址转换成物理地址,这组协议就是ARP协议。
1.2 ARP 协议实现的基本功能
在以太网协议中,同一局域网中的一台主机要和另一台主机进行直接通信,必须知道目标主机的MAC地址。而在TCP/IP协议栈中,网络层和传输层只关心目标主机的IP地址。这就导致再以太网中使用IP协议时,数据链路层的以太网协议连接到上层IP协议提供的数据中,只包含目的的IP地址。于是需要一种方法,更具目的主机的IP的地址,获取其MAC 地址。这就是ARP协议要做的事。所谓地址解析(address resolution)就是主机再发送阵前将目标地址转换成目标MAC地址的过程。
另外,当发送主机和目标及不在同一个局域网时,即便知道目的主机的MAC地址,两者也不能直接通信,必须有路由转发才行。所以此时,发送主机通过ARP协议获得的将不是目的主机的真实MAC地址,而是一台可以通往局域网外地路由器的某个端口的MAC 地址。于是此后发送主机发送目的和主机的所有帧,都将发往该路由,通过他向外发送。这种情况成为ARP代理(ARP Proxy).
1.3 工作的原理
每台装有TCP/IP协议的电脑里都有一个ARP缓存表,表里IP与MAC地址是一一对应的。
例如,主机A (192.168.1.5)主机B(192.168.1.1)发送数据.当发送数据时,主机A 会在自己的ARP缓存表中查找是否有目标IP地址。如果找到了,也就知道了目标MAC地址,直接将目标MAC地址写进帧里发送就可以了;如果缓存表中没有找到目标IP地址,主机A 就会在网络上发送一个广播,A主机MAC地址就是“主机A的MAC地址”,”,这表示向同一网段内的所有主机发出这样的询问:“我是192.168.1.5,我的硬件地址是"主机A的MAC 地址".请问IP地址为192.168.1.1的MAC地址是什么?”网络上其他主机并不响应ARP询问,
只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表(因为A在询问的时候把自己的IP和MAC地址一起告诉了B),下次A再向主机B或者B向A发送信息时,直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制(即设置了生存时间TTL),在一段时间内(一般15到20分钟)如果表中的某一行没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加快查询。
1.4抓包并分析报文
1.4.1抓包
环境搭建方法:用一根网线连接两台主机,不妨记做主机A 、主机B。主机A 向主机B 通信。
操作步骤如下:
1.测试环境,用一根网线将主机A 、主机B连接起来,并进行ping操作(ping 对方的IP),直到ping 同为止。
2.打开主机B的“本地连接状态”,查看IP地址,也可以在主机B上进行ipconfig/all操作,得到IP。
3.在主机A 上进行arp -d操作,目的是清空ARP缓存表。
4.在主机A 上进行arp –a操作,目的是查看ARP缓存表的内容是否被清空。
5.在主机A 上打开抓包软件Wireshark,并正确配置网管。
6在主机A 上ping 主机B的IP地址。
7.过滤报文,并进行分析。
1.4.2 报文分析
如下所示,图1.1是具体的操作命令,图1.2是主机A 向网络发出的请求报文,图1.3是主机B向主机A 发出的响应报文。、
从图1.2 可以看出,源MAC地址为:44:37:e6:46:e7:98,源IP地址为10.1.22.11;目的MAC 为:00:00:00:00:00:00,目的IP为10.1.11.22。其中源是指主机A ,目的是指B主机。
从图1.3可以看出,源MAC地址为:f4:6d:04:c1:0b:de,源IP为:10.1.11.22;目的MAC 地址为:44:37:e6:46:e7:98,目的IP为:10.1.22.11。其中,源是指主机B ,目的是指主机A 。
从图1.3可以看出,
图1.1
图1.2
图1.3
2. DHCP的相关学习
2.1.DHCP的基础概念
DHCP (Dynamic Host Configuration Protolo)是一个局域网协议,使用UDP 协议工作,主要有两个用途:给内部网络或网络服务商自动分配IP地址给用户和给内部网络管理员作为对所有计算机做中央管理的手段。
2.2 DHCP 结构介绍
DHCP是动态主机配置协议,他的前身是BOOTP。网络主机使用BOOT POM 而不是磁盘启动,BOOTP则可以自动地为那些主机设定TCP/IP环境。但BOOTP 的缺点是,在设定前必须获得客户端的硬件地址,而且,与IP是相对静止的。换言之,BOOTP缺乏“动态性”,而DHCP可以说是BOOTP的增强版本,它分为两部分:一个是服务器端,一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户的DHCP要求;而客户端则会服从服务器分配下来的IP环境数据。比较BOOTP ,DHCP通过“租约”的概念,有效且动态的分配TCP/IP设定,而且,作为兼容考虑,DHCP完全照顾了BOOTP Client的需求。DHCP的分配形式,首先,必须至少一台DHCP工作在网络上面,他会监听网络的DHCP请求,并与客户端磋商TCP/IP的设定环境。
2.3地址分配
IP地址分配方式主要有3中,即手动分配(Manual Allocation)、自动分配(Automatic Allocation)和动态分配(Dynamic Allocation)。
手动分配是指,网络管理员为某些少数特定的Host绑定固定IP地址,且地址不会过期。
自动分配是指,一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址之后,就永远使用这个地址。
动态分配是指,当DHCOP客户端第一次从DHCP服务器租到IP后,就永久使用该地址,只要租约到期,就释放(release)这个IP地址。
2.4工作原理
下图是首次登陆时,DHCP工作过程。
DHCP discove r:
功能是:寻找DHCP服务器。具体过程如下:
当DHCP客户端第一次登录网络的时候,客户发现本机上没有任何IP数据设定,他会向网络发出一个DHCP DISCOVER 封包。因为客户端还不知道自己属于哪一个网络,所以封包的来源地址会为0.0.0.0,而目的地址则为255.255.255.255,然后再附上DHCP discover 的信息,向网络进行广播。在Linux下,DHCP dscover的等待时间设为4秒,也就是,当客户端将第一个DHCP Discover 封包发送出去后,在4秒内没有得到响应的话,将执行第二次DHCP discover广播。如果一直得不到响应的情况下,再执行第三次、第四次,一共只
能执行4次,他们的等待时间一次为4秒、8秒、16秒、32秒,最大到64,秒,此时,客户端认为服务器不可达。之后,客户端再等待一段时间(Linux下通常为5m)重新尝试。DHCP offer:
功能是:提供IP租约。具体过程如下:
当DHCP 服务器监听到客户端发出的DHCP discover广播后,它会从那些还没有租出去的地址范围内,选择最前面的空值IP,其他的TCP/IP设定,响应给客户端一个DHCP OFFER 封包。由于客户端在开始的时候还没有IP 地址,所以在其DHCP discover 封包内会带有其MAC地址信息,DHCP服务器相应的DHCP offer 封包会根据这些资料传递给要求租约的客户。根据服务器端的设定,DHCP offer封包会包含一个租约期限的信息。
DHCP request:
功能是:接受IP租约。其具体过程如下:
如果客户端收到网络上多台DHCP服务器的响应,会挑选其中一个DHCP offer(通常是最先抵达的那个),并且向网络中发送一DHCP request广播封包,告诉所有的DHCP服务器它将指定接受哪一台服务器提供的IP地址。同时,客户端还会向网络发送一个ARP封包,查询网络上面有没有其他机器使用该IP地址;如果发现该IP已被占用,客户端则会发出一个DHCPDECLIENT封包该DHCP服务器,拒绝接受其DHCP offer,并重新发送DHCP discover 信息。客户端也可以发送DHCP request向服务器提出DHCP选择。
问题:DHCP服务器提供给客户端的IP都是没有被租出去的,为什么客户端会发现地址冲突呢?
DHCP ACK
功能是:确认租约。其具体过程如下:
当DHCP服务器收到客户端的DHCP resqust 之后,会向客户端发送一个DHCPACK响应,确认租约的正式生效,也就结束了一个完整的DHCP 工作过程。
DHCP发送流程第一次登陆之后:一旦DHCP 客户端成功的从服务器那里获取DHCP 租约之后,除非其租约已经失效并且IP地址也重新设定回0.0.0.0,否则就无需发送DHCP discover 信息了,而会直接使用已经租用到的IP地址向之前的DHCP 服务器发出DHCP request 信息。DHCP 服务器会尽量让客户端使用原来的IP 地址,如果没有问题的话,直接响应DHCPARK来确认即可。如果地址已经无效或已被其他机器使用了,服务器则会相应一个DHCPNARK封包给客户端,要求其重新执行DHCP discover 。至于IP 的租约期限是非常讲究的,在开机时候发出DHCP requst请求之外,在租约期限一半时也会发出,如果此时得不到DHCP服务器的确认的话,客户端还是可以继续用的,但当租约期限过了87.5%的时候,还是无法与当初的DHCP服务器联系不上,他将和其他的DHCP 服务器通信,如果此时没有其他的服务器的话,客户端必须停止使用该IP,并发送一个DHCP discover封包开始。
抓包并分析
抓包步骤:
1.打开Wireshark,选择正确的网关;
2.ipconfig/all命令操作,查看本机的IP地址、子网掩码、默认网关、DHCP 服务器等;
3.ipconfig/release命令操作,释放本机的Ip地址和子网掩码;
4.对抓的包进行过滤;
5.分析报文。
报文分析:
如图2.2是DHCP release封包,户端端给DHCP服务器的。包括的信息有:客户端MAC 地址:44:37:e6:46:e7:98,
客户端IP 地址:10.1.95.45,DHCP服务器MAC :00:90:fb:2e:88:85,DHCP服务器的IP:10.1.95.45。
如图2.3是DHCP discover封包,户端端给DHCP服务器的,其目的是,寻找DHCP service。包括的信息有:客户端MAC地址:44:37:e6:46:e7:98,客户端IP 地址:0.0.0.0;DHCP 服务器MAC :ff:fff:ff:ff:ff:ff, DHCP 服务器IP地址:255:255:255:255。由此可以判断,这是一个广播包。
图2.4是DHCP offer 封包,是DHCP服务器发给客户端的。其目的是,提供IP。包括的信息有:DHCP 服务器的MAC:00:90:fb:2e:88:85,DHCP服务器的IP:10.1.95.45;客户端MAC 地址:44:37:e6:46:e7:98,提供给客户端的IP地址是:10.1.95.45,
但实际上这时端的IP任然为:0.0.0.0。除此之外,DHCP offer 封包里面还包含了IP租约期限(30 minutes)。
图2.5是DHCP request 封包,是客户端发给DHCP 服务器的。其目的是,接受IP 。包括的信息有:客户端的IP: 0.0.0.0, 客户端MAC是:44:37:e6:46:e7:98;DHCP服务器的MAC: ff.ff.ff.ff.ff.ff ,DHCP服务器的IP:0.0.0.0。可以判断这是一个广播包。
图2.6是DHCP ACK 封包,是DHCP服务器发给客户端的。其目的是,确认租约。包括的信息有:DHCP服务器的MAC:00:90:fb:2e:88:85,DHCP服务器的IP:10.1.95.45;客户端MAC 地址:44:37:e6:46:e7:98,客户端的IP地址是:10.1.95.45。
图2.1
图2.2
图2.3
图2.4
图2.5
图2.6
3.ICPM协议的简单介绍
3.1 ICMP 协议的简单介绍
ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
ICMP 是一个:“错误侦测与回报机制”其目的就是让我们能够监测网路的连接状况,也能确保连线的准确性。其功能有:侦测远端主机是否存在、建立及维护路由资料、重导路由传输路径、资料流量控制。ICMP 在沟通中透过不同的类别(Type)与代码(code)让机器来辨别不同的连线状况。
ICMP 协议对网络安全有重要的意义。ICMP 本身的特点决定了它非常容易用于攻击网
络上的路由器和主机。比如,可以利用操作系统规定的数据包最大尺寸不超过64KB这一规
定,向主机发起“Ping of Death”(死亡之Ping )攻击。“Ping of Death”攻击原理是:如果数据包的尺寸超过了64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,导致主机死机。(现在操作系统已经取消了发送ICMP数据包的大小的限制,解决了这个漏洞)此外,向目标主机长时间、连续、大量地发送ICMP数据包时,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”,市的目标主机耗费大量的CPU资源处理,疲于奔命。
3.2 ICMP消息类型的过滤规则
Echo Request 和Reply (类型8和0)
允许Ecto Request 消息出战以便于内部用户能够PING 一个远程主机。阻止入站Ecto Request和出战Echo Reply可以防止外部网络的主机对内部网络进行扫描。如果您使用了位于外部网络的监视器来监视内部网络,就应该只允许来自特定外部IP的Echo Request 进入您的网络。限制ICMP Echo包的大小可以组织“Ping Floods”的攻击,并且可以阻止那些利用Echo Request 和Reply来“偷运”数据通过防火墙的木马程序。
Dastination unreachable (类型3)
允许其入站以便于内部网络可以使用traceroute。需要注意的是,有些攻击者可以使用它来进行针对绘画的DoS攻击,如果您曾经经历过类似的攻击,也可以阻止它。组追出站的ICMP Dastination unreachable 消息,因为它可能会泄露内部网络的结构。不过有一个例外,对于那些允许外部网络通过TCP访问的内部主机(如位于DMZ区的Web服务器)发出来的Dastnation unreachable,应该允许他通过。为了能够支持“Path MTU Discovery”,您应该允许出站的“Packet Too Big”消息(类型3,代码4)到达那些主机。
Source quench (类型4)
阻止其入站,因为他可以作为一种DoS攻击,能够降低发送者的发送速度。允许其出站以便于内部主机能够控制发送端发出数据的速度。有些防火墙会回略所有直接发送到防火墙端口的Source Quench消息,以防止针对于防火墙的DoS攻击。
Reddirect (类型5,9,10):
Redirect(重定向)、Router announcement、Router selection(类型5,9,10):这些消息存在潜在危险,因为它们可以用来把数据重定向到攻击者的机器。这些消息应该被阻止。TTL exceeded (类型11):
允许其进站以便于内部用户可以使用traceroute。“firewalking”使用很低的TTL值来对网络进行扫描,甚至可以通过防火墙对内部网络进行扫描,所以就应该禁止其出站。一些防
火墙可以阻止TTL值小于设定值的数据包进入防火墙。
Parameter problem (类型12)
禁止其进站和出站。通常使用一个能用数据包一致性检查的防火墙,错误和恶意的数据包都会被阻塞。
3.3 Ping 和traceroute
Ping 和traceroute 命令都依赖于ICMP。ICMP也可以看做是IP协议的伴随协议。ICMP 报文被封装在IP数据报发送。
一些ICMP报文会请求信息。如:在ping 中,一个ICMP回应请求报文会发给远程主机。如果对方主机存在,期望它们返回一个ICMP回应应答报文。
一些ICMP在网络层发生错误时发送。例如,有一种ICMP报文类型表示目的不可达。造成不可达的原因很多,ICMP报文确定这一问题。如,可能是主机关闭或整个网络连接断开。
有时候,主机本身可能没有问题,但不能发送数据报。例如IP首部有个协议字段,它指明了什么协议应该处理IP 数据包中的数据部分。IANA公布了代表协议的数字的列表。例如,如果字段是6,代表TCP报文段,IP层会把数据发给TCP层进行处理;如果字段为1,则代表ICMP报文,IP层会将数据传给IMCP处理。如果操作系统不支持到达数据包中协议字段的协议号,它将返回一个指明“协议不可达”的ICMP报文。
Traceroute是基于ICMP灵活用法和IP首部的生存时间字段的。发送数据报时生存时间字段被初始化为能够穿越网络的最大跳数。每经过一个中间点,该数据字减1。
生存时间字段用于避免数据在网络上无休止的传输下去。数据包的发送路径是由中间路由器决定的。通过与其他路由器交换信息,路由器决定数据包的下一条路径。最好的“下一跳”经常由于网络环境的变化而动态改变。这可能导致路由器形成选路循环也会导致正确路径冲突。在路由循环中,这种情况时可能发生的。例如,路由器A 认为数据报应该发送到路由器B,而路由器B又认为数据报应该发送给路由器A,这时数据报便处于循环选路中。
生存时间字段长为8位,所以因特网路径的最大长度为28-1即255跳。大多数源主机将该值初始化为更小的值。将生存时间设置过小可能会使数据报不能达到远程目的主机,而设置过大有可能导致处于无限循环的选路中。
因为在分组交换网络中发送每个数据包时是独立的,所以有traceroute发送的每个数据报的路径实际上相同。每个数据包沿着一条路径对中间节点进行取样,因为traceroute可能暗示一条主机间并不存在的连接。因特网路径经常变动。在不同的日子或一天的不同时间对同
一个主机执行几次traceroute命令来探寻这种变化都会得到不同的结果。
为了体现Internet路由的有限可见性,许多网路都维护了一个traceroute服务器。Traceroute 服务器将显示出从本地网到一个特定目的地执行traceroute的结果。
3.3.1 ping 和ICMP
1、打开Windows命令提示符窗口。
2、启动Wireshark协议分析软件,在过滤窗口上输入“icmp”,开始Wireshark分组俘获。
3、输入“ping https://www.360docs.net/doc/a113596870.html,”。
4、当ping程序停止时,停止俘获。
上述步骤完成后,出现下列命令窗口:
图3.1 命令窗口
停止俘获后,出现如图3.2所示的界面:
图3.2 :停止俘获后Wireshark的界面
从图上可以得到,这是一个ICMP回应请求报文,本机IP的地址是10.1.95.45,目的主机的
IP是119.75.218.45。ICMP的type 和code分别是8和0。
停止俘获后,出现如图3.3所示的界面:
图3.3 :停止俘获后Wireshark的界面
从图上可以看出,这是一个ICMP回应应答报文,源主机的IP是119.75.218.45,目的主机的IP时10.1.95.45,ICMP的type和code 都是0 。
3.3.2 Traceroute 和ICMP
1、打开Windows命令提示符窗口。
2、启动Wireshark协议分析软件,在过滤窗口上输入“icmp”,开始Wireshark分组俘获。
3、输入“tracert https://www.360docs.net/doc/a113596870.html,”。
4、当程序停止时,停止俘获。
上述步骤完成后,出现下列命令窗口:
图3.4 命令窗口
图3.4 停止俘获后Wireshark界面
4. HTTP 协议的简单介绍
HTTP (Hyper Text Transfer Protocol),即超文本传输协议,是互联网上应用最为广泛的一种网络协议。所有的www都遵循这个协议。
一次HTTP操作成为一个事务,其工作过程可以分为四步:
首先客户机与服务器需要建立连接。只要单击某个超级链接,HTTP的工作就开始了。
建立连接回购,客户机发送一个请求给服务器,请求方式的格式为:统一资源标示符(URL)、协议版本号,后面是MIME信息包括请求修饰符、客户机信息和可能的内容。
服务器接到请求后,基于相应的响应信息,其格式为一个状态行,包括信息的协议版本号、一个成功或错误的代码,后面是MIME信息包括服务器信息、实体信息和可能的内容。
客户端接收到服务器返回的信息通过浏览器显示在用户的显示屏上,然后客户机与服务
器断开连接。
5. Wireshark捕获并分析ARP报文
实验四Wireshark捕获ARP报文 一、捕获报文 启动Wireshark,清空ARP缓存,然后ping网关。 二、分析ARP协议 1.ARP请求报文和响应报文是封装在IP报文中还是封装在MAC 帧中发送? 2.ARP请求报文中目的MAC地址是什么? 3.对于ARP协议,其在MAC帧中的协议字段的值是多少? 4.封装ARP请求报文和响应报文的MAC帧,其目的地址分别 是什么?这说明ARP请求报文和响应报文分别是广播还是单 播发送? 5.根据捕获到的报文,分析ARP报文的格式,说明报文各字段 的作用? 6.如果要模拟某种ARP欺骗攻击,例如物理机欺骗虚拟机,说 自己是网关。该如何构造ARP响应报文?写出该ARP响应报 文的十六进制代码。 硬件类型:要转换成的地址类型,2字节。以太网为0001 协议类型:被转换高层协议类型,2字节。IP协议为0800 硬件地址长度:1字节。以太网为6字节48位,即06 协议长度:1字节。Ip地址为4字节32位,即04 操作类型:2字节。请求为0001,响应为0002,RARP为0003 发送方硬件地址:源主机MAC地址
发送发协议地址:源主机IP地址 目标硬件地址:目标主机MAC地址(请求包中为00-00-00-00-00-00) 目标协议地址: 物理机欺骗虚拟机时,发送ARP响应报文,单播。源主机本应为网关,但物理机欺骗虚拟机,即源主机IP地址填网关IP,硬件地址填物理机的硬件地址。目标主机为虚拟机。 0001 0800 06 04 0002 物理机硬件地址(欺骗用)10.1.65.254(网关IP) 虚拟机硬件地址虚拟机IP地址
snmp协议的分析
竭诚为您提供优质文档/双击可除 snmp协议的分析 篇一:实验三snmp协议分析 实验三snmp协议分析 一、实验目的 (1)掌握嗅探工具ethereal协议分析软件的使用方法(2)利用ethereal软件工具截snmp数据包并完成报文分析 二、实验环境 局域网,windowsserver20xx,snmputil,ethereal,superscan 三、实验步骤(0、snmp的安装配置) 1、理解应用层snmp协议工作原理; 2、使用windows平台上的snmputil.exe程序实现snmp 交互; 3、利用协议分析和抓包工具ethereal抓取分析snmp 协议报文。 四、实验内容 内容一:
1.打开ethereal软件开始抓包, 输入命令: snmputilget[目标主机ip地址]团体 名.1.3.6.1.2.1.1.2.0停止抓包。对snmp包进行过滤。(给出抓包结果截图) 2.找出一对snmp协议请求包和相对应的应答包。给出抓包结果截图。 3.对上面这对请求和应答包进行分析,根据snmp协议数据包格式填值。 请求包报文分析 应答包报文分析 内容二: 1.通过snmptuil.exe与snmp交互: 输入snmputilwalk[目标主机ip地址]团体 名.1.3.6.1.2.1.1命令列出目标主机的系统信息。 2.打开ethereal软件开始抓包,再次输入上面命令后,停止抓包。对snmp包进行过滤。给出抓包结果截图。 3.找出一对snmp协议请求包和相对应的应答包。给出抓包结果截图。 4.对上面这对请求和应答包进行分析,根据snmp协议数据包格式填值。 请求包报文分析
实验二 SNMP协议工作原理验证与分析
实验二SNMP协议工作原理验证与分析 一、实验目的 本实验的主要目的是学习捕获SNMP报文,通过分析该报文理解SNMP协议的工作过程、SNMP的报文结构、MIB-2树的结构、理解管理信息结构SMI及其规定的ASN.1。 二、实验内容 1、分析并验证SNMP协议的工作过程; 2、分析并验证SNMP协议数据单元的格式; 3、分析MIB-2树的结构; 4、分析理解管理信息结构SMI及其规定的ASN.1。 三、实验工具 数据包捕获软件Iris或Wireshark、MIB浏览器AdventNet、或基于UNIX、LINUX/FreeBSD平台的SNMP命令行工具、MIB文件。 四、实验步骤 1、分别打开软件Iris和MIB浏览器; 2、首先设置Iris中捕获报文的过滤条件,将其设置为只捕获管理站和代理之间的SNMP报文。用鼠标单击左侧“Filters”控件,在打开的对话框中分别设置Layer2,3和IP address项。其中,Layer2,3选中DoD IP 和SNMP;IP address加入代理主机和管理站主机的IP地址。“确定”保存该设置;
3、点击Iris中工具栏的start capture,开始捕获SNMP报文; 4、用MIB浏览器MibBrowser访问MIB被管对象,然后观察Iris中右侧内容面板中显示的信息。单击任一信息,右下侧将显示详细的报文数据; 5、用鼠标单击右下侧的报文数据,在右侧会有相关的解析与之对应。 五、实验报告 1、设置iris过滤器,使其只监测管理工作站和代理之间的通信。获取ip 组的ipForwarding对象值,写出管理工作站和代理之间的SNMP通信情况,验证SNMP协议的工作过程。 (1)获取ip组的ipForwarding对象值
实验yi:网络协议分析工具Wireshark的使用
实验一: 一、实验目的 学习使用网络协议分析工具Wireshark的方法,并用它来分析一些协议。 二、实验原理和内容 1、tcp/ip协议族中网络层传输层应用层相关重要协议原理 2、网络协议分析工具Wireshark的工作原理和基本使用规则 三、实验环境以及设备 Pc机、双绞线 四、实验步骤(操作方法及思考题) 1.用Wireshark观察ARP协议以及ping命令的工作过程:(20分) (1)用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址;(2)用“arp”命令清空本机的缓存; (3)运行Wireshark,开始捕获所有属于ARP协议或ICMP协议的,并且源或目的MAC地址是本机的包(提示:在设置过滤规则时需要使用(1)中获得的本机的MAC地址); (4)执行命令:“ping 缺省路由器的IP地址”; 写出(1),(2)中所执行的完整命令(包含命令行参数),(3)中需要设置的Wireshark的Capture Filter过滤规则,以及解释用Wireshark所观察到的执行(4)时网络上出现的现象。 -------------------------------------------------------------------------------- (1)ipconfig/all (2)arp –d (3)( arp or icmp ) and ether host 18-03-73-BC-70-51, ping 192.168.32.254 后的截包信息图片:
首先,通过ARP找到所ping机器的ip地址,本机器发送一个广播包,在子网中查询192.168.32.254的MAC地址,然后一个节点发送了响应该查询的ARP分组,告知及其所查询的MAC地址。接下来,本机器发送3个请求的ICMP报文,目的地段回复了三个响应请求的应答ICMP报文。在最后对请求主机对应的MAC地址进行核查。 2.用Wireshark观察tracert命令的工作过程:(20分) (1)运行Wireshark, 开始捕获tracert命令中用到的消息; (2)执行“tracert -d https://www.360docs.net/doc/a113596870.html,” 根据Wireshark所观察到的现象思考并解释tracert的工作原理。 ----------------------------------------------------------- 实验室路由跟踪显示有6个路由器
snmp报文分析
SNMP报文格式分析 报文格式 snmp简介 snmp工作原理 SNMP采用特殊的客户机/服务器模式,即代理/管理站模型。对网络的管理与维护是通过管理工作站与SNMP代理间的交互工作完成的。每个SNMP从代理负责回答SNMP管理工作站(主代理)关于MIB定义信息的各种查询。 管理站和代理端使用MIB进行接口统一,MIB定义了设备中的被管理对象。管理站和代理都实现相应的MIB对象,使得双方可以识别对方的数据,实现通信。 管理站向代理请求MIB中定义的数据,代理端识别后,将管理设备提供的相关状态或参数等数据转换成MIB定义的格式,最后将该信息返回给管理站,完成一次管理操作。 snmp报文类型 SNMP中定义了五种消息类型:Get-Request、Get-Response、 Get-Next-Request、Set-Request和Trap 。 1.Get-Request 、Get-Next-Request与Get-Response SNMP 管理站用Get-Request消息从拥有SNMP代理的网络设备中检索信息,而SNMP代理则用Get-Response消息响应。Get-Next- Request用于和 Get-Request组合起来查询特定的表对象中的列元素。 2.Set-Request SNMP管理站用Set-Request 可以对网络设备进行远程配置(包括设备名、设备属性、删除设备或使某一个设备属性有效/无效等)。 3.Trap SNMP代理使用Trap向SNMP管理站发送非请求消息,一般用于描述某一事件的发生,如接口UP/DOWN,IP地址更改等。
上面五种消息中Get-Request、Get-Next-Request和Set-Request是由管理站发送到代理侧的161端口的;后面两种Get-Response和Trap 是由代理进程发给管理进程的,其中Trap消息被发送到管理进程的162端口,所有数据都是走UDP封装。 snmp报文格式图 SNMP报文的形式大致如下图所示。 snmp报文编码格式 SNMP(简单网络管理协议)是目前在计算机网络中用得最广泛的网络管理协议,它使用(Abstract Syntax Notation One抽象语法表示法.1)来定义SNMP报文格式和MIB(Management Information Base管理信息库)变量的名称。 是一种描述数据和数据特征的正式语言,它和数据的存储及编码无关。根据标准定义,数据类型分为: a.简单数据类型: boolean布尔值
计算机网络实验-使用Wireshark分析IP协议
实验三使用Wireshark分析IP协议 一、实验目的 1、分析IP协议 2、分析IP数据报分片 二、实验环境 与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。 三、实验步骤 IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址,然后被发送到网络中。如果源主机和目的主机不在同一个网络中,那么一个被称为路由器的中间机器将接收被传送的数据报,并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。 IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。IP能够使数据报适应于其途径的每个网络。例如,每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。 表 DHCP报文
者续借租用 DHCP-ACK DHCP服务器通知客户端可以使用分配的IP地址和配置参 数 DHCP-NAK DHCP服务器通知客户端地址请求不正确或者租期已过期, 续租失败 DHCP-RELEASE DHCP客户端主动向DHCP服务器发送,告知服务器该客户 端不再需要分配的IP地址 DHCP-DECLINE DHCP客户端发现地址冲突或者由于其它原因导致地址不 能使用,则发送DHCP-DECLINE报文,通知服务器所分配的 IP地址不可用 DHCP-INFORM DHCP客户端已有IP地址,用它来向服务器请求其它配置 参数 图 DHCP报文 1、使用DHCP获取IP地址
snmp报文分析
SNMP报文格式分析 1.SNMP报文格式 1.1 snmp简介 1.1.1 snmp工作原理 SNMP采用特殊的客户机/服务器模式,即代理/管理站模型。对网络的管理与维护是通过管理工作站与SNMP代理间的交互工作完成的。每个SNMP从代理负责回答SNMP管理工作站(主代理)关于MIB定义信息的各种查询。 管理站和代理端使用MIB进行接口统一,MIB定义了设备中的被管理对象。管理站和代理都实现相应的MIB对象,使得双方可以识别对方的数据,实现通信。 管理站向代理请求MIB中定义的数据,代理端识别后,将管理设备提供的相关状态或参数等数据转换成MIB定义的格式,最后将该信息返回给管理站,完成一次管理操作。 1.1.2 snmp报文类型 SNMP中定义了五种消息类型:Get-Request、Get-Response、 Get-Next-Request、Set-Request和Trap 。 1.Get-Request 、Get-Next-Request与Get-Response
SNMP 管理站用Get-Request消息从拥有SNMP代理的网络设备中检索信息,而SNMP代理则用Get-Response消息响应。Get-Next- Request用于和Get-Request组合起来查询特定的表对象中的列元素。 2.Set-Request SNMP管理站用Set-Request 可以对网络设备进行远程配置(包括设备名、设备属性、删除设备或使某一个设备属性有效/无效等)。 3.Trap SNMP代理使用Trap向SNMP管理站发送非请求消息,一般用于描述某一事件的发生,如接口UP/DOWN,IP地址更改等。 上面五种消息中Get-Request、Get-Next-Request和Set-Request是由管理站发送到代理侧的161端口的;后面两种Get-Response和Trap 是由代理进程发给管理进程的,其中Trap消息被发送到管理进程的162端口,所有数据都是走UDP封装。 1.1.3 snmp报文格式图 SNMP报文的形式大致如下图所示。
实验二使用Wireshark分析以太网帧与ARP协议
实验二使用Wireshark分析以太网帧与ARP协议 一、实验目的 分析以太网帧,MAC地址和ARP协议 二、实验环境 与因特网连接的计算机网络系统;主机操作系统为windows;使用Wireshark、IE等软件。 三、实验步骤: IP地址用于标识因特网上每台主机,而端口号则用于区别在同一台主机上运行的不同网络应用程序。在链路层,有介质访问控制(Media Access Control,MAC)地址。在局域网中,每个网络设备必须有唯一的MAC地址。设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。 Wireshark 能把MAC地址的组织标识转化为代表生产商的字符串,例如,00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示,因为组织唯一标识符00:06:5b属于Dell。地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址,意味着数据应该广播到局域网的所有设备。 在因特网上,IP地址用于主机间通信,无论它们是否属于同一局域网。同一局域网间主机间数据传输前,发送方首先要把目的IP地址转换成对应的MAC 地址。这通过地址解析协议ARP实现。每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分,而帧的目的地址将被设置为ARP高速缓存中找到的MAC地址。如果没有发现IP地址的转换项,那么本机将广播一个报文,要求具有此IP地址的主机用它的MAC地址作出响应。具有该IP地址的主机直接应答请求方,并且把新的映射项填入ARP高速缓存。 发送分组到本地网外的主机,需要跨越一组独立的本地网,这些本地网通过称为网关或路由器的中间机器连接。网关有多个网络接口卡,用它们同时连接多个本地网。最初的发送者或源主机直接通过本地网发送数据到本地网关,网关转发数据报到其它网关,直到最后到达目的主机所在的本地网的网关。 1、俘获和分析以太网帧 (1)选择工具->Internet 选项->删除文件
Wireshark抓包实例分析
Wireshark抓包实例分析 通信工程学院010611班赖宇超01061093 一.实验目的 1.初步掌握Wireshark的使用方法,熟悉其基本设置,尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络协议的理解,如:TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际,知行合一的学术精神。 二.实验原理 1.用Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。 2.查找资料,了解相关网络协议的提出背景,帧格式,主要功能等。 3.根据所获数据包的内容分析相关协议,从而加深对常用网络协议理解。 三.实验环境 1.系统环境:Windows 7 Build 7100 2.浏览器:IE8 3.Wireshark:V 1.1.2 4.Winpcap:V 4.0.2 四.实验步骤 1.Wireshark简介 Wireshark(原Ethereal)是一个网络封包分析软件。其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。其使用目的包括:网络管理员检测网络问题,网络安全工程师检查资讯安全相关问题,开发者为新的通讯协定除错,普通使用者学习网络协议的
相关知识……当然,有的人也会用它来寻找一些敏感信息。 值得注意的是,Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 2.实例 实例1:计算机是如何连接到网络的? 一台计算机是如何连接到网络的?其间采用了哪些协议?Wireshark将用事实告诉我们真相。如图所示: 图一:网络连接时的部分数据包 如图,首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境,但必须事先获得客户端的硬件地址,而且,与其对应的IP地址是静态的。DHCP是BOOTP 的增强版本,包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议(Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。 让我们来看一下数据包的传送过程:
计算机网络实验利用wireshark分析ARP协议—实验六实验报告
信 息 网 络 技 术 实 验 报 告 实验名称利用wireshark分析ARP协议
实验编号 姓名 学号 成绩 常见网络协议分析实验一、实验室名称: 电子政务可视化再现实验室 二、实验项目名称: 利用wireshark分析ARP协议 三、实验原理:
Wireshark:Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试获取网络包,并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 是最好的开源网络分析软件。 当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据48bit 的以太网地址来确定目的接口的.设备驱动程序从不检查IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射:32bit的IP地址和数据链路层使用的任何类型的地址。 ARP根据IP地址获取物理地址的一个TCP/IP协议。ARP为IP地址到对应的硬件地址之间提供动态映射。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。 四、实验目的: 目的是通过实验加深对数据包的认识,网络信息传输过程的理解,加深对协议的理解,并了解协议的结构与区别。 利用wireshark捕获发生在ping过程中的ARP报文,加强对ARP协议的理解,掌握ARP报文格式,掌握ARP请求报文和应答报文的区别。 五、实验内容: 利用wireshark分析ARP协议 六、实验器材(设备、元器件) 运行Windows的计算机,带有并正确安装网卡;wireshark软件;具备路由器、交换机等网络设备的网络连接。 七、实验步骤: 1、查看本机WLAN接口IP,得到。 2、利用arp –a命令在本地的ARP 缓存中查看IP-MAC对应表。
网络管理实验SNMP报文解析实验报告
网络管理实验————SNMP报文解析 2010-6-1 4.trap操作: Sniffer软件截获到的trap报文如下图所示:
30 2e SNMP报文是ASN.1的SEQUENCE 类型,报文长度是46个八位组。 02 01 00:版本号为integer类型,取值为0,表示snmpv1。 04 06 70 75 62 6c 69 63:团体名为octet string类型,值为“public” a4 21: 表示pdu类型为trap,长度为33个八位组。 06 0c 2b 06 01 04 01 82 37 01 01 03 01 02:制造商标识,类型为object identifier。 值为1.3.6.1.4.1.311.1.1.3.1.2。 40 04 c0 a8 01 3b:代理的IP地址,类型OCTECT STRING,值为192.168.1.59; 02 01 04:一般陷阱,类型为INTEGER,值为4,代表这是由“authentication Failure (身份验证失败)”引发的TRAP; 02 01 00:特殊陷阱,类型为INTEGER,值为0(当一般陷阱取值不是6时); 43 03 06 63 29:时间戳,类型为TIME TICKS,值为418601 (百分之一秒),即系 统在运行到大约第70分钟时,代理发出了此TRAP; 30 00变量绑定表为空。 5.SNMPv2 GetBulk操作: Sniffer软件截获到的getbulkrequest报文如下图所示:
对该报文的分析如下 : 30 27 SNMP 报文是ASN.1的SEQUENCE 类型,报文长度为46个八位组;
网络管理与维护课内实验报告3-SNMP报文分析
一. 实验目的 1.掌握BER基本编码规则; 2. 利用各种网络管理工具,完成相关SNMP操作,分析并掌握SNMP PDU结构,理解SNMP协议的工作原理。 二. 实验所需设备及材料 1.局域网环境中的计算机2台(1台代理,1台管理站),2台计算机已启动SNMP服务,作为管理站的计算机安装SNMPc软件和snmputil工具; 2.在某一台计算机安装网络嗅探软件。 三. 实验内容 参考实验指导书P324页5.5.2节。如图5-111所示,首先将代理一方的只读团体名、读/写团体名、trap 团体名全部修改为你的8位学号(如何添加团体名,请参考第一次实验的内容)。然后完成以下实验: 1.完成get操作,抓取get 请求报文和其响应报文(注意两个报文“request-id”一致),截图(需要截取哪些信息?请参考P327图5-114),然后对应截图分别完成两个报文的BER编码分析。 2.完成getnext操作,抓取getnext请求报文和其响应报文(注意两个报文“request-id”一致),截图,然后对应截图完成两个报文的BER编码分析。 3.完成set操作,抓取set 请求报文和其响应报文(注意两个报文“request-id”一致),截图,然后对应截图完成两个报文的BER编码分析。 4.构造一个trap,抓取trap报文,截图,然后对应截图完成该报文的BER编码分析。 5.完成SNMPv2 GetBulk操作,抓取GetBulk请求报文和响应报文(注意两个报文“request-id”一致),截图,然后对应截图完成两个报文的BER编码分析。
四.实验过程 1. get操作分析 ●说明如何产生Get操作? 答:管理站检索管理对象的管理信息库中标量对象的值,就产生一个Get操作。 ●Get请求报文抓包截图与BER分析 30 36 ;报文是SEQUENCE类型,长度是54个8位组 02 01 00 ;SNMP版本号,类型为Integer,值为版本号-1 04 08 30 34 31 33 32 30 32 31 ;团体名,类型为OETCTString值为”04132021” A0 27 ;A0表示为GET操作,其后PDU长39个8位组 02 01 01 ;request-id,类型为Integer,值为1 02 01 00 ;错误状态,类型为Integer,值为0 02 01 00 ;错误索引,类型为Integer,值为0 30 1C ;变量绑定表,类型为SEQUENCEOF,长度为28 30 0C ;第一个变量绑定,类型为SEQUENCE,长度为12 06 08 2B 06 01 02 01 01 03 00 ;变量为OID类型,值为.1.3.6.1.2.1.1.3.0 05 00 ;变量值为NULL 30 0C ;第二个变量绑定,类型为SEQUENCE,长度为12 06 08 2B 06 01 02 01 02 01 00 ;变量为OID类型,值为.1.3.6.1.2.1.2.1.0 05 00 ;变量值为NULL
计算机网络实验利用wireshark分析ARP协议—实验六实验报告分析
信息网络技术实验报告
实验名称利用wireshark分析ARP协议 实验编号 6.1 姓名 学号 成绩 2.6常见网络协议分析实验 一、实验室名称: 电子政务可视化再现实验室 二、实验项目名称: 利用wireshark分析ARP协议
三、实验原理: Wireshark:Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试获取网络包,并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 是最好的开源网络分析软件。 当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据48bit 的以太网地址来确定目的接口的.设备驱动程序从不检查IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射:32bit的IP地址和数据链路层使用的任何类型的地址。 ARP根据IP地址获取物理地址的一个TCP/IP协议。ARP为IP地址到对应的硬件地址之间提供动态映射。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。 四、实验目的: 目的是通过实验加深对数据包的认识,网络信息传输过程的理解,加深对协议的理解,并了解协议的结构与区别。 利用wireshark捕获发生在ping过程中的ARP报文,加强对ARP协议的理解,掌握ARP报文格式,掌握ARP请求报文和应答报文的区别。 五、实验内容: 利用wireshark分析ARP协议 六、实验器材(设备、元器件) 运行Windows的计算机,带有并正确安装网卡;wireshark软件;具备路由器、交换机等网络设备的网络连接。 七、实验步骤: 1、查看本机WLAN接口IP,得到192.168.1.112。 2、利用arp –a命令在本地的ARP 缓存中查看IP-MAC对应表。
SNMP协议详解
SNMP协议详解 简单网络管理协议(SNMP:Simple Network Management Protocol)是由互联网工程任务组(IETF:Internet Engineering T ask Force )定义的一套网络管理协议。该协议基于简单网关监视协议(SGMP:Simple Gateway Monitor Protocol)。利用SNMP,一个管理工作站可以远程管理所有支持这种协议的网络设备,包括监视网络状态、修改网络设备配置、接收网络事件警告等。虽然SNMP开始是面向基于IP的网络管理,但作为一个工业标准也被成功用于电话网络管理。 1. SNMP基本原理 SNMP采用了Client/Server模型的特殊形式:代理/管理站模型。对网络的管理与维护是通过管理工作站与SNMP 代理间的交互工作完成的。每个SNMP从代理负责回答SNMP管理工作站(主代理)关于MIB定义信息的各种查询。下图10是NMS公司网络产品中SNMP协议的实现模型。 SNMP代理和管理站通过SNMP协议中的标准消息进行通信,每个消息都是一个单独的数据报。SNMP使用UDP (用户数据报协议)作为第四层协议(传输协议),进行无连接操作。SNMP消息报文包含两个部分:SNMP报头和协议数据单元PDU。数据报结构如下图 版本识别符(version identifier):确保SNMP代理使用相同的协议,每个SNMP代理都直接抛弃与自己协议版本不同的数据报。 团体名(Community Name):用于SNMP从代理对SNMP管理站进行认证;如果网络配置成要求验证时,SNMP 从代理将对团体名和管理站的IP地址进行认证,如果失败,SNMP从代理将向管理站发送一个认证失败的Trap消息协议数据单元(PDU):其中PDU指明了SNMP的消息类型及其相关参数。 2. 管理信息库MIB IETF规定的管理信息库MIB(由中定义了可访问的网络设备及其属性,由对象识别符(OID:Object Identifier)唯一指定。MIB是一个树形结构,SNMP协议消息通过遍历MIB树形目录中的节点来访问网络中的设备。 下图给出了NMS系统中SNMP可访问网络设备的对象识别树(OID:Object Identifier)结构。
实验四、使用Wireshark网络分析器分析数据包
实验四、使用Wireshark网络分析器分析数据包 一、实验目的 1、掌握Wireshark工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Wireshark 2、捕捉数据包 3、分析捕捉的数据包 三、实验工具 1、计算机n台(建议学生自带笔记本) 2、无线路由器n台 四、相关预备知识 1、熟悉win7操作系统 2、Sniff Pro软件的安装与使用(见Sniff Pro使用文档)
五、实验步骤 1、安装Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 是最好的开源网络分析软件。 Wireshark的主要应用如下: (1)网络管理员用来解决网络问题 (2)网络安全工程师用来检测安全隐患 (3)开发人员用来测试协议执行情况 (4)用来学习网络协议 (5)除了上面提到的,Wireshark还可以用在其它许多场合。 Wireshark的主要特性 (1)支持UNIX和Windows平台 (2)在接口实时捕捉包 (3)能详细显示包的详细协议信息 (4)可以打开/保存捕捉的包 (5)可以导入导出其他捕捉程序支持的包数据格式
(6)可以通过多种方式过滤包 (7)多种方式查找包 (8)通过过滤以多种色彩显示包 (9)创建多种统计分析 五、实验内容 1.了解数据包分析软件Wireshark的基本情况; 2.安装数据包分析软件Wireshark; 3.配置分析软件Wireshark; 4.对本机网卡抓数据包; 5.分析各种数据包。 六、实验方法及步骤 1.Wireshark的安装及界面 (1)Wireshark的安装 (2)Wireshark的界面 启动Wireshark之后,主界面如图:
SNMP报文分析
SNMP报文分析 一、配置SNMP协议的使用环境 1、主机Windows10的配置 ●安装SNMP协议 ●配置并打开SNMP Service服务
2、目标机Windows XP的配置 ●配置过程和Windows10下类似,此处不再赘述 ●目标机的ip地址为192.168.72.129
目标机的计算机名为 二、利用Wireshark抓取SNMP协议包 1、下载安装snmputil.exe和wireshack 2、利用snmputil工具发送snmp数据包 snmputil命令规则: [get|getnext|walk]为消息类型,我们此次进行的操作是get agent指Snmp代理即你想进行操作的网络设备的ip或名称,即192.168.10.191 community:分区域,即密码,默认是public oid:想要操作的MIB数据对象号
示例: snmputil walk 对方ip public .1.3.6.1.2.1.1.5.0列出计算机名snmputil walk 对方ip public .1.3.6.1.2.1.25.4.2.1.2 列出系统进程snmputil walk 对方ip public .1.3.6.1.4.1.77.1.2.25.1.1 列系统用户列表snmputil get 对方ip public .1.3.6.1.4.1.77.1.4.1.0 列出域名 snmputil walk 对方ip public .1.3.6.1.2.1.25.6.3.1.2 列出安装的软件snmputil walk 对方ip public .1.3.6.1.2.1.1 列出系统信息 3、同时在wireshack中抓包
snmp报文分析
SNMP报文格式分析 1、SNMP报文格式 1、1 snmp简介 1、1、1 snmp工作原理 SNMP采用特殊得客户机/服务器模式,即代理/管理站模型.对网络得管理与维护就是通过管理工作站与SNMP代理间得交互工作完成得。每个SNMP从代理负责回答SNMP管理工作站(主代理)关于MIB定义信息得各种查询. 管理站与代理端使用MIB进行接口统一,MIB定义了设备中得被管理对象。管理站与代理都实现相应得MIB对象,使得双方可以识别对方得数据,实现通信. 管理站向代理请求MIB中定义得数据,代理端识别后,将管理设备提供得相关状态或参数等数据转换成MIB定义得格式,最后将该信息返回给管理站,完成一次管理操作。 1、1、2 snmp报文类型 SNMP中定义了五种消息类型:Get-Request、Get-Response、Get-Next—Request、Set-Request与Trap . 1.Get—Request、Get—Next-Request与Get-Response SNMP 管理站用Get-Request消息从拥有SNMP代理得网络设备中检索信息,而SNMP代理则用Get—Response消息响应。Get-Next- Request用于与Get—Request组合起来查询特定得表对象中得列元素. 2。Set-Request SNMP管理站用Set-Request可以对网络设备进行远程配置(包括设备名、设备属性、删除设备或使某一个设备属性有效/无效等)。 3.Trap SNMP代理使用Trap向SNMP管理站发送非请求消息,一般用于描述某一事件得发生,如接口UP/DOWN,IP地址更改等.
SNMP协议分析
SNMP协议分析 摘要:当今由路由器、交换机、服务器组成的复杂的网络,确保所有的设备正常运行且处于最佳状态确实是一件困难的事情。为了解决这个问题在1988年正式推出了简单网络管理协议(SNMP)。利用SNMP只需一些“简单”的操作便可实现对网络设备的远程管理。但同时SNMP是威胁安全的十大首要因素之一。 目录: 1SNMP简介 (2) 1.1SNMP版本 (2) 1.2管理端和agent (2) 1.3SNMP 和UDP (2) 2管理对象 (3) 2.1SMI和MIB (3) 2.2OID命名 (3) 2.3管理信息结构 (4) 3SNMP 操作 (5) 4SNMP V3 (5) 4.1SNMPv3的变化 (6) 4.2SNMPv3引擎 (6) 4.3SNMPv3 应用程序 (6) 4.4SNMPv3 安全机制 (6) 5SNMP受到的安全威胁 (7) 5.1拒绝服务攻击DOS (7) 5.2流量分析攻击 (8) 5.3认证机制漏洞 (8)
1SNMP简介 SNMP可以用于管理很多类型的设备,其核心是帮助网络管理员简化对一些 支持SNMP设备设置的操作(也包括这些信息的收集)。例如,使用SNMP可以关闭路由器的一个端口,也可以查看以太网端口的工作速率。SNMP还可以监控交换机的温度,在出现过高现象进行报警。 1.1SNMP版本 IETF负责定义互联网流量监管的标准,这里面包括SNMP。IETF发行的RFCs,对IP领域中的众多协议进行了详细的阐述。下面列举了一些当前的SNMP版本。1)SNMP V1是SNMP协议的最初版本,不过依然是众多厂家实现SNMP基本方式。2)SNMP V2通常被指是基于community的SNMP V2。Community实质上就是密码。3)SNMPv3 是最新版本的SNMP。它对网络管理最大的贡献在于其安全性。增加了对认证和密文传输的支持。 1.2管理端和agent SNMP有2个主体:管理端和agent。 管理端指的是运行了可以执行网络管理任务软件的服务器,通常被称作为网络管理工作站(NMS),NMS负责采样网络中agent的信息,并接受agent的trap。 Agent是运行在可网络设备上的软件。可以是一个独立的程序(在Unix中叫守护进程),也可以是已经整合到操作系统中(比如:锐捷路由器的RGNOS,或者UPS中的底层操作系统)。 NMS和Agent工作示意图 1.3SNMP 和UDP SNMP采用UDP协议在管理端和agent之间传输信息。 SNMP采用UDP 161 端口接收和发送请求,162端口接收trap,执行SNMP的设备缺省都必须采用这些端口。
计算机网络实验利用wireshark分析ARP协议—实验六实验报告
计算机网络实验利用wireshark分析ARP协 议—实验六实验报告 利用wireshark分析ARP协议实验编号 6、1 姓名学号成绩 2、6常见网络协议分析实验 一、实验室名称:电子政务可视化再现实验室 二、实验项目名称:利用wireshark分析ARP协议 三、实验原理:Wireshark:Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试获取网络包,并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 是最好的开源网络分析软件。当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时,是根据48bit的以太网地址来确定目的接口的、设备驱动程序从不检查IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射:32bit的IP地址和数据链路层使用的任何类型的地址。ARP根据IP地址获取物理地址的一个TCP/IP 协议。ARP为IP地址到对应的硬件地址之间提供动态映射。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,
下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。 四、实验目的:目的是通过实验加深对数据包的认识,网络信息传输过程的理解,加深对协议的理解,并了解协议的结构与区别。利用wireshark捕获发生在ping过程中的ARP报文,加强对ARP协议的理解,掌握ARP报文格式,掌握ARP请求报文和应答报文的区别。 五、实验内容:利用wireshark分析ARP协议六、实验器材(设备、元器件)运行Windows的计算机,带有并正确安装网卡;wireshark软件;具备路由器、交换机等网络设备的网络连接。七、实验步骤: 1、查看本机WLAN接口IP,得到1 92、1 68、1、112。 2、利用arp –a命令在本地的ARP 缓存中查看IP-MAC对应表。 3、找到与接口1 92、1 68、1、112,有过连接的IP,本实验选择1 92、1
SNMP报文抓取及分析
SNMP报文获取与分析 班级:网络工程12-1班 学号:08123536 姓名:赵怀庆
SNMP报文抓取及分析 关于本次SNMP报文抓取及分析工作,我大致上分为三个步骤进行:准备工作;报文抓取及报文分析。 一.准备工作 1.SNMP协议的安装 以WINDOW7系统为例: 点击确认进行协议安装。 2.启动SNMP服务:
在计算机关服务界面中,选择SNMP Service进行开启服务,双击进行配置,如下: 在安全选项卡中做如上配置。 3.下载并安装snmputil工具 安装路径为C盘下Windows下System32文件夹。关于snmputil的使用请见(附件)。4.关于SNMP数据包的接收,我用了虚拟机中WINDOW 2000操作系统,SNMP协议的安 装及服务的开启与上述WINDOW 7系统类似。查看虚拟机IP地址:
二.报文抓取 1.准备工作就绪以后,就可以进行SNMP报文的抓取了,在WINDOW 7中cmd使用snmputil 工具进行发包: 2.同时在Wireshark中进行抓包:
三.报文分析 目的MAC:00 0c 29 2f fc e3 源MAC:00 50 56 c0 00 08 协议类型:08 00 ,为IP数据报 IP报头:45 00 00 44 02 09 00 00 40 11 bc cb c0 a8 9d 01 c0 a8 9d 82 45 IP协议版本4,报头长度20 bytes 00 00 44 总长度68(0x44) 02 09 确认号:512 00 00 标记字段0x00 无偏移字段 40 存活时间64 11 报文协议UPD aa 26 报头确认号43558 b4 7c 0a 79 源IP地址180 124 10 121 c0 a8 11 81 目标IP地址192 168 17 129 UDP报头:c9 6b 00 a1 00 30 43 6f C9 6b 源端口161 00 a1 目标端口161