实验1

[实验名称] 网络连通性的测试 [实验目的]

1. 熟悉了解TCP/IP协议的工作原理 2. 掌握Ping等命令的使用。

3. 掌握如何使用Ping命令验证目标主机的连通性。 4. 掌握常用的TCP/IP网络故障诊断和排除方法。 [相关知识]

在网络故障中，最常见的故障就是网络的连通性的故障，通过对网络连通性的分析，从故障出发，运用网络诊断工具，就可以快速、准确地确定网络的故障点，排除故障，恢复网络的正常运行。ping命令是一种常见的网络连通性测试命令。ping的原理很简单，就是向远程计算机通过ICMP协议发送特定的数据包然后等待回应并接收返回的数据包 ，对每个接收的数据包均根据传输的消息进行验证以校验与远程计算机或本地计算机的连接情况。需要注意的是检测顺序，必须遵守的规则是由近到远的检测顺序，否则会出现网络问题的错误定位。当某一步连通检测出障碍，则定位出网络连通的故障点所在，从而给网络管理员解决连通故障带来方便。

利用ping命令进行网络连通性检查的前提条件是，本网的交换机、路由器和本网中的计算机不能禁止ping 命令的使用ping出和ping入。 [实验步骤]

步骤1. 进入windows命令输入框： 点击开始菜单→运行→输入cmd，然后回车：

步骤2. 在出现的windows命令输入中输入ipconfig/all命令查看主机的网络参数见下图

通过此操作，我们可以了解所操作机器的各项参数： 主机名称：b15

物理地址：00-15-58-11-3F-52 网络地址：10.8.26.35 本网掩码：255.255.254.0 默认网关：10.8.26.1

步骤3. 测试本机TCP/IP协议安装配置是否正确,即ping 127.0.0.1 测试结果见下图：

127.0.0.1是本地回绕地址。由Reply from 127.0.0.1: bytes=32 time＜1ms TTL=64 packets: sent=4 Received=4 Lost=0 表明本机TCP/IP协议运行正常。我们然后进入下一个步骤继续诊断。 步骤4. Ping本机IP检查本机的网卡是否正常。→ping 10.8.26.35

由Reply from 10.8.26.35: bytes=32 time＜1ms TTL=64 packets: sent=4 Received=4 Lost=0 表明本机TCP/IP协议运行正常。我们然后进入下一个步骤继续诊断。

步骤5. 检测本机所在局域网是否正常。通过ping本网邻居的IP地址来间接测试本网是否运行正常。邻居有一台10.8.26.66机器正在运行，可以ping它。

Reply from 10.8.26.66: bytes=32 time＜1ms TTL=64 packets: sent=4 Received=4 Lost=0 说明ping通，局域网正常。

步骤6. 检测本网的默认网关是否正常：输入ping 10.8.26.1 见下图

通过参数 Packets: sent=4 Received=4 Lost=0 TTL=64说明数据包返回正确，没有丢失现象，表示局域网中的网关路由器正在运行并能够作出应答。所以该台计算机网关配置正确。 步骤7. 检测远程主机的连通性。设远程目的主机为sina网站服务器，键入命令：ping sina.com.cn ，运行结果见下图

通过参数 Packets: sent=4 Received=0，Lost=4,说明不能达到对方，有以下几种原因： 1) 网络连接的某个环节可能出现了故障，数据包丢失不能到达对方。 2) 目的主机把相关端口屏蔽。

3) 网络管理员把交换机或路由器的对外端口关闭,不能连接到外网。

经过询问实验室指导老师得知，是实验室网络交换机的对外端口关闭，造成ping不通。 步骤8. 根据以上实验步骤，画出本地网络的拓扑结构图如下：

至此，网络连通性检测完毕，关闭windows命令窗口，回到桌面。 [结论] 通过上面的实验步骤，我们得出如下结论： 1) 本机(10.8.26.35)IP协议安装正确、运行正常； 2) 本机(10.8.26.35)IP网卡运行正常； 3) 本机所在局域网(10.8.26.0)工作正常，为提高网络安全性，应开启各台机器的防火墙。 4) 本机所在局域网出口网关工作正常，为了避免外部黑客对实验室网络的入侵攻击，应断开对外路由。 5) ping给我们带来方便，也是黑客常用的攻击手段，所以应在路由器、交换机和计算机中应禁止ping命令的使用。 [小结] 通过本篇实验报告的书写，首先加强了自己动手解决问题的能力，而且让我对所学的计算机网络知识有了连贯的复习和总结，对一些问题有了更深入的了解和见解，通过查阅相关资料也开阔了视野，同时也让我感觉到网络之庞大，要想彻底了解掌握，要通过不断的努力学习。

实验二、ARP地址欺骗（可以作为学习资料但，不要用）

声明：本实验教程仅限于学习用，不能用于其他非法用途，否则后果自负。

1、实验目的

1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用

2、实验环境

硬件：交换机1 台、路由器1台、计算机数台 软件：Sinfffer pro

3、参考文档

Plummer RFC826定义了ARP标准

Clark RFC 814一般性讨论了ARP地址及绑定 Parr RFC的内容涉及容错地址转换 Malkin RFC提出了UNARP

Laubach RFC 1577讨论了非广播网络中得ARP

PDF 文件使用 \"pdfFactory Pro\" 试用版本创建 www.fineprint.com.cn

Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解 卷1：协议 [日]村上公保 TCP/IP网络实验程序篇 科学出版社

4、实验原理

数据封装过程

1)、ARP协议简介

ARP(Address Resolve Protocol)地址请求解析协议，用于寻找和IP 地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部， 可看作为网络层和数据链路层的接口，主要用于IPv4以太网。

ARP消息类型有2 种： ARP request ：ARP 请求 ARP response ： ARP应答 ARP协议格式

ARP 报文中各字段的意义

硬件类型：以太网接口类型为1 协议类型：IP协议类型为080016

操作：ARP请求为1，ARP应答为2 硬件地址长度：MAC地址长度为6B 协议地址长度：IP地址长度为4B 源MAC地址：发送方的MAC地址 源IP地址：发送方的IP地址

目的MAC 地址：ARP 请求中该字段没有意义；ARP 响应中为接收方的 MAC地址

目的IP 地址：ARP 请求中为请求解析的IP 地址；ARP 响应中为接收方 的IP地址

ARP 协议的改进

高速缓存技术

高速缓存区中保存最近获得的ARP表项

高速缓冲区中ARP表项新鲜性的保持：计时器

实验表明高速缓冲区的使用可以大大提高ARP 的效率 其他改进技术

目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关 系存入自己的高速缓冲区

ARP请求是广播发送的，网络中的所有主机接收到ARP请求后都 可以将源主机的IP 地址与物理地址映射关系存入自己的高速缓冲 区

主机启动时主动广播自己的IP地址与物理地址的映射关系

5、实验步骤

1）掌握常用的ARP常用命令

ARP命令：

功能：用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项

动态表项：随时间推移自动添加和删除

静态表项：一直保留，直到人为删除或重新启动计算机 Windows 中ARP表项的潜在生命周期：10分钟

新表项加入时定时器开始计时

表项添加后两分钟内没有被再次使用：删除 表项被再次使用：增加2 分钟的生命周期 表项始终在使用：最长生命周期为10 分钟 Arp –a // 查看计算机的ARP缓存

Arp –s 192.168.1.50 00-11-22-33-44-55 //将IP 地址192.168.1.50 和MAC 地址 00-11-22-33-44-55静态绑定

Arp –d 192.168.1.50 //删除IP地址192.168.1.50 的静态绑定

Arp缓存中的IP地址和MAC地址的映射表是有生存期的，每过一段时间就会过期，这时则 要重新获取MAC地址。另外，当计算机重新启动时，ARP缓存表也会被清空。 2）利用Sniffer Pro捕获ARP数据包并进行分析

（1）启动Sniffer Pro，选择要监听的网卡。（在实验室环境选择实际的网卡，不要选择虚拟网卡）。

图1 选择要监听的网卡

（2）登录该网卡

（3）点击开始，开始监听数据

（4）对照ARP格式，分析各字段的意思。

3）利用Sinffer Pro发送伪造的ARP数据包。

选择发送当前数据帧的按钮，如图所示。

在这里我们要修改发送的数据帧。比如说，要想对某台主机192.168.1.1(转换成十六进制为 c0 a8 01 01)欺骗, 将其MAC地址欺骗为00-11-22-33-44-55。也就是说，欺骗之后，网络上 的计算机都认为IP地址为192.168.1.1 的主机MAC地址为00-11-22-33-44。所以，当网络的 主机要和192.168.1.1进行通信时，便发生了故障。

该欺骗的原理，就是冒充192.168.1.1 主机发出一个ARP 请求，那么网络上接收到该请 求的计算机都会更新本机的ARP表，从而获得一个错误的消息。 要发送的帧如下图。

大家在修改该帧的字段时，要对照ARP协议的报文格式来进行。

注意：如果192.168.1.1 为网关（路由器）的IP地址，则该操作作对网络来说会产生严重的后果，造成网络内所有的计算机都不能连上Internet，请勿在实验室以外的地方使用，否则后果自负。

这是针对网关的一种ARP欺骗，数据包是以广播的方式发送。

点击发送之后，再查看网络内各主机的ARP缓存表，会发现出现以下情况： 实验验证

从上面可以看到192.168.1.1 的MAC地址变成了一个错误的MAC地址。导致无法通信。

6、课后思考

1、查找相关资料，了解ARP欺骗的发现和防范。

2、利用WinPcap，编写程序来实现接收和发送ARP数据包。