网络监听实验-arp-icmp

网络监听实验

1. 熟悉IP地址与MAC地址的概念

2. 理解ARP协议原理

3. 理解ICMP协议原理

4. 掌握网络监听方法

二、实验环境与设备

本实验在连接因特网的局域网环境中进行操作，需要的设备有：两台PC 机，WireShark监听软件。WireShark监听软件可从网址：/下载。实验配置如图所示。

交换机

因特网

MODEM

三、实验原理

1．IP地址、MAC地址和ARP协议在计算机网络体系结构中，协议栈的每一层都分配唯一的编号来区别各个实

体。其中，IP地址用于标识因特网上的主机，端口号则用于区别在同一主机上运行的不同网络应用程序，在数据链路层采用MAC地址来识别不同的网络设备。

在因特网上，IP地址用于主机间通信，无论它们是否属于同一局域网。在同一局域网中各主机之间进行数据传输前，要先用MAC地址封装数据帧，如果发送方不知道接收方的MAC地址，则要先根据目的IP地址转化为对应的MAC地址。ARP协议的功能就是实现IP地址到MAC地址的转换。

2．ICMP协议

ICMP协议是配合IP协议使用的网络层协议，它的报文不是直接传送到数据链路层0，而是封装成IP数据报后再传送到数据链路层。ICMP能够报告网络层事31件的状态。一些ICMP报文会请求信息，一些ICMP报文在网络层发生错误时发送。ICMP 回送请求报文与回送应答报文格式如下：

说明：类型为8---回送请求，为0---回送应答

3.PING命令

PING是ICMP协议的一个重要应用，它使用ICMP回送请求与回送应答报文，用来测试网络是否通畅或者网络连接速度的命令。它的工作原理是：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。

在DOS窗口中键入：ping /? 回车。可以显示PING命令的所有参数。在此，我们只掌握一些基本的很有用的参数就可以了。

z-t 表示将不间断向目标IP发送数据包，直到我们强迫其停止（按下组合键CTRL+C）

。

z-l 定义发送数据包的大小，默认为32字节，最大为65500字节。结合上面介绍的-t参数一起使用，会有更好的效果。

4.TRACERT命令

TRACERT程序是ICMP协议的另一个应用，命令格式为：tracert目的地址。它基

于ICMP协议和IP首部的TTL字段。

[说明]：因为在分组交换网络中每个数据报是独立路由的，所以由TRACERT发送的每个数据报的传输路径实际上可能是不相同的，因此，TRACERT可能暗示一条主机间并不存在的连接。因特网路径经常变动，在不同的时间对同一个目的主机执行几次TRACERT命令，得到的探测结果可能是不一样的。

四、实验内容

1. 查看本机IP地址与MAC地址

2. 地址解析协议ARP

3. ICMP协议的应用PING

4. ICMP协议的应用TRACERT

五、实验步骤

1.查看本机IP地址与MAC地址

在命令行窗口中输入命令：ipconfig/all ，在显示结果中可以看到本机的MAC 地址，IP地址，子网掩码，默认网关等信息。请以截屏形式记录你的主机的运行结果。

2.地址解析协议ARP

（1）查看高速缓存中的ARP表

命令格式：arp–a //显示ARP表中所有项目

ARP表项在没有进行手工配置前，通常都是动态ARP表项，所以在不同时间运行arp–a命令，运行结果也不大相同。

运行arp–a命令，查看运行结果。如果高速Cache中的ARP表为空，则输出的结果为“NO ARP Entries Found”；

运行WireShark软件，选择capture---options，在capturefilter文本框中

输入：arp andhost本机IP地址，例如：arp and host 120.92.114.213，这个过滤

条件的意思是指只监听进出主机120.92.114.213的arp数据包，过滤局域网中其它主

机通信报文。点击start开始监听。

执行命令ping 120.92.112.77 去ping局域网中的其它主机B（主机B的IP 地址为：

W ireShark中开始监听到120.92.112.77）

且主机B的IP地址不在本机的ARP高速缓存中。

，

数据包，当没有数据包到来后，停止监听并保存监听记录为3-1.pcap。示例监听结果如

下图：

因为主机A的ARP缓存中没有主机B的IP地址和MAC地址对应表项，所以这条命令

的运行过程是：主机A向局域网发送一个ARP广播请求报文；局域网中的所有主机都

收到这个报文，但只有主机B向主机A发送应答报文；然后，主机A向主机B发送PING

请求；主机A的ARP缓存中添加了主机B的表项，同时在主机B的 ARP缓存中也有主机A

的表项。

打开监听文件3-1.pcap，对监听到的数据进行分析并记录：

z在监听记录中找出主机A发送的ARP广播请求报文，并查看该报文的目的地址是什么？

z在监听记录中找出主机B向主机A发送的应答报文，并查看该报文的目的地址是什么？

z选择第一条监听记录，分析ARP报文格式，并画出来。

再次用命令arp-a查看ARP表项的变化情况，可以发现多了B的表项。

此时，在WireShark中设置capturefilter为：host120.92.114.213andarpor icmp。点击start按钮进行监听。

当主机A的ARP缓存中已有主机B的表项，用ping命令再去ping主机B，此时，主机A不需要再发送ARP广播报文，而是直接向主机B发送PING请求，保存监听记录为3-2.pcap。在监听记录中，我们知道没有ARP报文产生，下图为监听结果示例。

隔2分钟后，再次使用arp–a，从命令执行结果中可以看出此时ARP表项中没有主机B的表项，这是由于Windows操作系统的主机其动态ARP表项的默认生命期是2分钟。

用ping命令去ping局域网中的一台没有开机的主机（120.92.112.79），由于主机A的ARP缓存中没有该未开机主机的表项，所以主机A又执行ARP协议，向局域网发送ARP广播请求报文，由于没有主机应答该广播报文，所以在监听记录里，我们只看到ICMP回送请求报文，而监听不到ICMP回送应答报文。

再次查看主机A的ARP表，看看是否发生了什么变化？