實(shí)驗(yàn)一以太幀及IP相關(guān)報(bào)文分析【實(shí)驗(yàn)?zāi)康摹渴煜f(xié)議分析工具軟件使用，分析IP報(bào)文、ICMP報(bào)文、ARP報(bào)文及以太幀承載的信息【實(shí)驗(yàn)要求】1、掌握協(xié)議分析軟件WireShark的應(yīng)用方法；2、分析以太幀的幀格式信息，認(rèn)識(shí)MAC地址的意義；3、捕獲ARP數(shù)據(jù)報(bào)，分析ARP數(shù)據(jù)報(bào)的內(nèi)容信息；4、用協(xié)議分析工具軟件捕獲ping命令及tracert命令發(fā)出的ICMP報(bào)文，對(duì)比兩種命令下發(fā)出的ICMP報(bào)文的不同；5、分析承載ARP報(bào)文的以太幀的類型碼與承載IP報(bào)文的以太幀的類型的不同,并分析承載ARP請(qǐng)求數(shù)據(jù)報(bào)的以太幀的目的MAC地址；6、捕獲IP數(shù)據(jù)報(bào),根據(jù)IP報(bào)頭的協(xié)議段數(shù)值判斷上層協(xié)議；通過(guò)ping命令增加IP報(bào)頭可選字段，并分析可選字段的格式?！緦?shí)驗(yàn)報(bào)告要求】1.實(shí)驗(yàn)報(bào)告須按實(shí)驗(yàn)成果提交2.實(shí)驗(yàn)名稱按本指導(dǎo)書給出的實(shí)驗(yàn)名稱填寫3.實(shí)驗(yàn)報(bào)告寫明實(shí)驗(yàn)日期、班級(jí)、姓名、學(xué)號(hào)4．用協(xié)議分析工具軟件捕獲ping命令及tracert命令發(fā)出的ICMP報(bào)文，對(duì)比兩種命令下發(fā)出的ICMP報(bào)文的不同，并把截圖寫入報(bào)告。5．分析承載ARP報(bào)文的以太幀的類型碼與承載IP報(bào)文的以太幀的類型的不同,并把截圖寫入報(bào)告。6、分析ARP協(xié)議的執(zhí)行過(guò)程，并截取以太幀進(jìn)行配圖分析。【實(shí)驗(yàn)原理】1、以太網(wǎng)MAC地址分配官網(wǎng)。2、ping命令的應(yīng)用。ping的高級(jí)用法

對(duì)于Windows下ping命令相信大家已經(jīng)再熟悉不過(guò)了，但是能把ping的功能發(fā)揮到最大的人卻并不是很多，當(dāng)然我也并不是說(shuō)我可以讓ping發(fā)揮最大的功能，我也只不過(guò)經(jīng)常用ping這個(gè)工具，也總結(jié)了一些小經(jīng)驗(yàn)，現(xiàn)在和大家分享一下。

現(xiàn)在我就參照ping命令的幫助說(shuō)明來(lái)給大家說(shuō)說(shuō)我使用ping時(shí)會(huì)用到的技巧，ping只有在安裝了

TCP/IP協(xié)議以后才可以使用：

ping

[-t]

[-a]

[-n

count]

[-l

length]

[-f]

[-i

ttl]

[-v

tos]

[-r

count]

[-s

count]

[-j

computer-list]

│

[-k

computer-list]

[-w

timeout]

destination-list

Options:

-t

Ping

the

specified

host

until

stopped.To

see

statistics

and

continue

-

type

Control-Break;To

stop

-

type

Control-C.

不停的ping地方主機(jī)，直到你按下Control-C。

此功能沒(méi)有什么特別的技巧，不過(guò)可以配合其他參數(shù)使用，將在下面提到。

-a

Resolve

addresses

to

hostnames.

解析計(jì)算機(jī)NetBios名。

示例：C:＼>ping

-a

1

Pinging

[1]

with

32

bytes

of

data:

Reply

from

1:

bytes=32

time<10ms

TTL=254

Reply

from

1:

bytes=32

time<10ms

TTL=254

Reply

from

1:

bytes=32

time<10ms

TTL=254

Reply

from

1:

bytes=32

time<10ms

TTL=254

Ping

statistics

for

1:

Packets:

Sent

=

4,

Received

=

4,

Lost

=

0

(0%

loss),Approximate

round

trip

times

in

milli-seconds:

Minimum

=

0ms,

Maximum

=

0ms,

Average

=

0ms

從上面就可以知道IP為1的計(jì)算機(jī)NetBios名為。

-n

count

Number

of

echo

requests

to

send.

發(fā)送count指定的Echo數(shù)據(jù)包數(shù)。

在默認(rèn)情況下，一般都只發(fā)送四個(gè)數(shù)據(jù)包，通過(guò)這個(gè)命令可以自己定義發(fā)送的個(gè)數(shù)，對(duì)衡量網(wǎng)絡(luò)速度很有幫助，比如我想測(cè)試發(fā)送50個(gè)數(shù)據(jù)包的返回的平均時(shí)間為多少，最快時(shí)間為多少，最慢時(shí)間為多少就可以通過(guò)以下獲知：

C:＼>ping

-n

50

8

Pinging

8

with

32

bytes

of

data:

Reply

from

8:

bytes=32

time=50ms

TTL=241

Reply

from

8:

bytes=32

time=50ms

TTL=241

Reply

from

8:

bytes=32

time=50ms

TTL=241

Request

timed

out.

………………

Reply

from

8:

bytes=32

time=50ms

TTL=241

Reply

from

8:

bytes=32

time=50ms

TTL=241

Ping

statistics

for

8:

Packets:

Sent

=

50,

Received

=

48,

Lost

=

2

(4%

loss),Approximate

round

trip

times

in

milli-seconds:

Minimum

=

40ms,

Maximum

=

51ms,

Average

=

46ms

從以上我就可以知道在給8發(fā)送50個(gè)數(shù)據(jù)包的過(guò)程當(dāng)中，返回了48個(gè)，其中有兩個(gè)由于未知原因丟失，這48個(gè)數(shù)據(jù)包當(dāng)中返回速度最快為40ms，最慢為51ms，平均速度為46ms。

-l

size

Send

buffer

size.

定義echo數(shù)據(jù)包大小。

在默認(rèn)的情況下windows的ping發(fā)送的數(shù)據(jù)包大小為32byt，我們也可以自己定義它的大小，但有一個(gè)大小的限制，就是最大只能發(fā)送65500byt，也許有人會(huì)問(wèn)為什么要限制到65500byt，因?yàn)閃indows系列的系統(tǒng)都有一個(gè)安全漏洞（也許還包括其他系統(tǒng)）就是當(dāng)向?qū)Ψ揭淮伟l(fā)送的數(shù)據(jù)包大于或等于65532時(shí)，對(duì)方就很有可能擋機(jī)，所以微軟公司為了解決這一安全漏洞于是限制了ping的數(shù)據(jù)包大小。雖然微軟公司已經(jīng)做了此限制，但這個(gè)參數(shù)配合其他參數(shù)以后危害依然非常強(qiáng)大，比如我們就可以通過(guò)配合-t參數(shù)來(lái)實(shí)現(xiàn)一個(gè)帶有攻擊性的命令：（以下介紹帶有危險(xiǎn)性，僅用于試驗(yàn)，請(qǐng)勿輕易施于別人機(jī)器上，否則后果自負(fù)）

C:＼>ping

-l

65500

-t

1

Pinging

1

with

65500

bytes

of

data:

Reply

from

1:

bytes=65500

time<10ms

TTL=254

Reply

from

1:

bytes=65500

time<10ms

TTL=254

………………

這樣它就會(huì)不停的向1計(jì)算機(jī)發(fā)送大小為65500byt的數(shù)據(jù)包，如果你只有一臺(tái)計(jì)算機(jī)也許沒(méi)有什么效果，但如果有很多計(jì)算機(jī)那么就可以使對(duì)方完全癱瘓，我曾經(jīng)就做過(guò)這樣的試驗(yàn)，當(dāng)我同時(shí)使用10臺(tái)以上計(jì)算機(jī)ping一臺(tái)Win2000Pro系統(tǒng)的計(jì)算機(jī)時(shí)，不到5分鐘對(duì)方的網(wǎng)絡(luò)就已經(jīng)完全癱瘓，網(wǎng)絡(luò)嚴(yán)重堵塞，HTTP和FTP服務(wù)完全停止，由此可見(jiàn)威力非同小可。

-f

Set

Don't

Fragment

flag

in

packet.

在數(shù)據(jù)包中發(fā)送“不要分段”標(biāo)志。

在一般你所發(fā)送的數(shù)據(jù)包都會(huì)通過(guò)路由分段再發(fā)送給對(duì)方，加上此參數(shù)以后路由就不會(huì)再分段處理。

-i

TTL

Time

To

Live.

指定TTL值在對(duì)方的系統(tǒng)里停留的時(shí)間。

此參數(shù)同樣是幫助你檢查網(wǎng)絡(luò)運(yùn)轉(zhuǎn)情況的。

-v

TOS

Type

Of

Service.

將“服務(wù)類型”字段設(shè)置為

tos

指定的值。

-r

count

Record

route

for

count

hops.

在“記錄路由”字段中記錄傳出和返回?cái)?shù)據(jù)包的路由。

在一般情況下你發(fā)送的數(shù)據(jù)包是通過(guò)一個(gè)個(gè)路由才到達(dá)對(duì)方的，但到底是經(jīng)過(guò)了哪些路由呢？通過(guò)此參數(shù)就可以設(shè)定你想探測(cè)經(jīng)過(guò)的路由的個(gè)數(shù)，不過(guò)限制在了9個(gè)，也就是說(shuō)你只能跟蹤到9個(gè)路由，如果想探測(cè)更多，可以通過(guò)其他命令實(shí)現(xiàn)，我將在以后的文章中給大家講解。以下為示例：

C:＼>ping

-n

1

-r

9

01

（發(fā)送一個(gè)數(shù)據(jù)包，最多記錄9個(gè)路由）

Pinging

01

with

32

bytes

of

data:

Reply

from

01:

bytes=32

time=10ms

TTL=249

Route:

87

->

14

->

0

->

9

->

49

->

7

->

01

->

50

->

0

Ping

statistics

for

01:

Packets:

Sent

=

1,

Received

=

1,

Lost

=

0

(0%

loss),

Approximate

round

trip

times

in

milli-seconds:

Minimum

=

10ms,

Maximum

=

10ms,

Average

=

10ms

從上面我就可以知道從我的計(jì)算機(jī)到01一共通過(guò)了87

，14

,

0

,

9

,

49

,

7這幾個(gè)路由。

-s

count

Timestamp

for

count

hops.

指定

count

指定的躍點(diǎn)數(shù)的時(shí)間戳。

此參數(shù)和-r差不多，只是這個(gè)參數(shù)不記錄數(shù)據(jù)包返回所經(jīng)過(guò)的路由，最多也只記錄4個(gè)。

-j

host-list

Loose

source

route

along

host-list.

利用

computer-list

指定的計(jì)算機(jī)列表路由數(shù)據(jù)包。連續(xù)計(jì)算機(jī)可以被中間網(wǎng)關(guān)分隔（路由稀疏源）IP

允許的最大數(shù)量為

9。

-k

host-list

Strict

source

route

along

host-list.

利用

computer-list

指定的計(jì)算機(jī)列表路由數(shù)據(jù)包。連續(xù)計(jì)算機(jī)不能被中間網(wǎng)關(guān)分隔（路由嚴(yán)格源）IP

允許的最大數(shù)量為

9。

-w

timeout

Timeout

in

milliseconds

to

wait

for

each

reply.

指定超時(shí)間隔，單位為毫秒。

此參數(shù)沒(méi)有什么其他技巧。

ping命令的其他技巧：在一般情況下還可以通過(guò)ping對(duì)方讓對(duì)方返回給你的TTL值大小，粗略的判斷目標(biāo)主機(jī)的系統(tǒng)類型是Windows系列還是UNIX/Linux系列，一般情況下Windows系列的系統(tǒng)返回的TTL值在100-130之間，而UNIX/Linux系列的系統(tǒng)返回的TTL值在240-255之間，當(dāng)然TTL的值在對(duì)方的主機(jī)里是可以修改的，Windows系列的系統(tǒng)可以通過(guò)修改注冊(cè)表以下鍵值實(shí)現(xiàn)：

[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters]

"DefaultTTL"=dword:000000ff

255---FF

128---80

64----40

32----20

★PING參數(shù)（轉(zhuǎn)載）

ping參數(shù)

-a

將目標(biāo)的機(jī)器標(biāo)識(shí)轉(zhuǎn)換為ip地址

-t

若使用者不人為中斷會(huì)不斷的ping下去

-c

count

要求ping命令連續(xù)發(fā)送數(shù)據(jù)包，直到發(fā)出并接收到count個(gè)請(qǐng)求

-d

為使用的套接字打開(kāi)調(diào)試狀態(tài)

-f

是一種快速方式ping。使得ping輸出數(shù)據(jù)包的速度和數(shù)據(jù)包從遠(yuǎn)程主機(jī)返回一樣快，或者更快，達(dá)到每秒100次。在這種方式下，每個(gè)請(qǐng)求用一個(gè)句點(diǎn)表示。對(duì)于每一個(gè)響應(yīng)打印一個(gè)空格鍵。

-i

seconds

在兩次數(shù)據(jù)包發(fā)送之間間隔一定的秒數(shù)。不能同-f一起使用。

-n

只使用數(shù)字方式。在一般情況下ping會(huì)試圖把IP地址轉(zhuǎn)換成主機(jī)名。這個(gè)選項(xiàng)要求ping打印IP地址而不去查找用符號(hào)表示的名字。如果由于某種原因無(wú)法使用本地DNS服務(wù)器這個(gè)選項(xiàng)就很重要了。

-p

pattern

擁護(hù)可以通過(guò)這個(gè)選項(xiàng)標(biāo)識(shí)16

pad字節(jié)，把這些字節(jié)加入數(shù)據(jù)包中。當(dāng)在網(wǎng)絡(luò)中診斷與數(shù)據(jù)有關(guān)的錯(cuò)誤時(shí)這個(gè)選項(xiàng)就非常有用。

-q

使ping只在開(kāi)始和結(jié)束時(shí)打印一些概要信息。

-R

把ICMP

RECORD-ROUTE選項(xiàng)加入到ECHO_REQUEST數(shù)據(jù)包中，要求在數(shù)據(jù)包中記錄路由，這樣當(dāng)數(shù)據(jù)返回時(shí)ping就可以把路由信息打印出來(lái)。每個(gè)數(shù)據(jù)包只能記錄9個(gè)路由節(jié)點(diǎn)。許多主機(jī)忽略或者放棄這個(gè)選項(xiàng)。

-r

使ping命令旁路掉用于發(fā)送數(shù)據(jù)包的正常路由表。

-s

packetsize

使用戶能夠標(biāo)識(shí)出要發(fā)送數(shù)據(jù)的字節(jié)數(shù)。缺省是56個(gè)字符，再加上8個(gè)字節(jié)的ICMP數(shù)據(jù)頭，共64個(gè)ICMP數(shù)據(jù)字節(jié)。

-v

使ping處于verbose方式。它要ping命令除了打印ECHO-RESPONSE數(shù)據(jù)包之外，還打印其它所有返回的ICMP數(shù)據(jù)包。

再次補(bǔ)充

3、Tracert命令工作原理Tracert(跟蹤路由)是路由跟蹤實(shí)用程序，用于確定IP數(shù)據(jù)報(bào)訪問(wèn)目標(biāo)所采取的路徑。Tracert命令用IP生存時(shí)間(TTL)字段和ICMP錯(cuò)誤消息來(lái)確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。通過(guò)向目標(biāo)發(fā)送不同IP生存時(shí)間(TTL)值的“Internet控制消息協(xié)議(ICMP)”回應(yīng)數(shù)據(jù)包，Tracert診斷程序確定到目標(biāo)所采取的路由。要求路徑上的每個(gè)路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前至少將數(shù)據(jù)包上