實驗四 無線局域網數據包捕獲與分析

一.實驗環境

Wireshark   linux

 

二. 實驗要求與目的

     1.熟悉常見的無線測量工具的特點和用途

     2.學習Linux 上的 Wireshark和Kismet 數據包捕獲和分析

 

三. 實驗步驟與演示

下列為抓取的網絡數據包

 

四.數據包分析（這里以TCP包為例）

通過抓包分析，這里大部分為TCP協議的包，這上述圖片的光標所處的TCP的包中可以得知：

第一行，幀Frame 104 指的是要發送的數據塊，其中，所抓幀的序號為104，捕獲字節數等於傳送字節數：66字節；

第二行，以太網，有線局域網技術，是數據鏈路層。源Mac地址為5c:5f:67:03:a9:fd；目標Mac地址為a0:57:e3:01:7d:ff；

第三行，IPV4協議，也稱網際協議，是網絡層；源IP地址為192.168.43.189；目標IP地址為192.168.1.88；

第四行，TCP協議，也稱傳輸控制協議，是傳輸層；源端口(1037)；目標端口(3260)；序列號(0)；

 

Arrival Time：到達時間，值為Mar 19, 2021 15:48:32.21043700 中國標准時間

EPoch Time：信息出現時間，值為1616140112.21043700秒

[ Time delta from previous captured frame: 0.317623000 seconds] ：

 Frame Number: 104，幀編號為104；

Frame Length: 66 bytes (528 bits)，幀長度為66字節；

 [Frame is marked: False]，幀標記：無；

[Protocols in frame: eth:ethertype:ip:tcp]，協議幀：eth(以太網)、IP、tcp、ethertype

[Coloring Rule Name: TCP SYN/FIN]，色彩規則名稱：TCP SYN/FIN；

[Coloring Rule String:tcp.flags&0x02||tcp.flags.fin==1]色彩規程字符串：tcp.flags&0x02||tcp.flags.fin==1；

 

Destination: HuaweiTe_01:7d:ff (a0:57:e3:01:7d:ff)，目標Mac地址為a0:57:e3:01:7d:ff

Source: IntelCor_03:a9:fd (5c:5f:67:03:a9:fd)，源Mac地址為5c:5f:67:03:a9:fd

Type: IP (0x0800)，類型是IP數據包

 

由圖可知:

Version:4 IP協議版本為Ipv4;

Header Length:20 bytes(5)  頭部數據長度為20字節

Differentiated Services Field: 0x00 (DSCP CS0， ECN: Not-ECT)，區分的服務領域：0x00 (默認的是DSCP：0x00)；

Flags: 0x02 (Don't Fragment)，不支持分組；

Fragment offset:0 ,分組偏移量為0；

Time to live: 64，TTL，生存時間為64，TTL通常表示包在被丟棄前最多能經過的路由器個數，當數據包傳輸到一個路由器之后，TTL就自動減1，如果減到0了還沒有傳送到目標主機，那么就自動丟失。

Header checksum:0x0000，頭部校驗和

  Source: 192.168.43.189，源IP地址為192.168.43.189；

  Destination Address:192.168.1.88 目的ip為192.168.1.88

 

端口號，數據傳輸的16位源端口號和16位目標端口號(用於尋找發端和收端應用進程)；

相對序列號，該數據包的相對序列號為0(此序列號用來確定傳送數據的正確位置，且序列號用來偵測丟失的包)；下一個數據包的序列號是3680512857；

Acknowledgment number是32位確認序列號，值等於1表示數據包收到，確認有效；

手動的數據包的頭字節長度是20字節；

 

五.分析總結

這里還抓取了ICMPv6,NBNS,MDNS,GQUIC,ARP,DNS等包文。

1.ICMPv6

 

ICMP是（(Internet Control Message Protocol Internet控制報文協議。它是TCP/IP協議族的一個子協議，用於在IP主機、路由器之間傳遞控制消息。控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。這些控制消息雖然並不傳輸用戶數據，但是對於用戶數據的傳遞起着重要的作用。

各種ICMP報文的前32bits都是三個長度固定的字段:type類型字段(8位)、code 代碼字段(8位)、checksum校驗和字段(16位) 8bits類型和 8bits 代碼字段:一起決定了ICMP報文的類型。

2.NBNS

 

137/UDP -- NetBIOS 名稱服務器,網絡基本輸入/輸出系統 (NetBIOS) 名稱服務器 (NBNS) 協議是 TCP/IP 上的 NetBIOS (NetBT) 協議族的一部分，它在基於 NetBIOS 名稱訪問的網絡上提供主機名和地址映射方法

NetBIOS是Network Basic Input/Output System的簡稱，一般指用於局域網通信的一套API

3.DNS

 

域名系統（Domain Name System，縮寫：DNS）是互聯網的一項服務。它作為將域名和IP地址相互映射的一個分布式數據庫，能夠使人更方便地訪問互聯網。DNS使用TCP和UDP端口53。當前，對於每一級域名長度的限制是63個字符，域名總長度則不能超過253個字符。DNS協議是用來將域名轉換為IP地址（也可以將IP地址轉換為相應的域名地址）。

4.ARP

 

地址解析協議，即ARP（Address Resolution Protocol），是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到局域網絡上的所有主機，並接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中並保留一定時間，下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網絡中各個主機互相信任的基礎上的，局域網絡上的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；由此攻擊者就可以向某一主機發送偽ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。

 

六.實驗總結與體會

    通過本次實驗我了解了常見的無線測量工具的特點和用途，學會了如何在linux下運用Wiresshark進行抓包，並通過數據包分析了數據包的各種信息，了解了不同協議的數據包。