實驗 使用 wireshark 查看網路流量computer-communication-networks2015.weebly.com/... ·...
TRANSCRIPT
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 1 頁,共 20 頁
實驗 - 使用 Wireshark 查看網路流量
拓樸
目標
第 1 部分:(選擇性)下載並安裝 Wireshark
第 2 部分:在 Wireshark 中擷取和分析本地 ICMP 資料
開始和停止擷取到本地主機的ping流量資料。
在擷取到的 PDU 中查詢 IP 和 MAC 位址資訊。
第 3 部分:在 Wireshark 中擷取和分析遠端 ICMP 資料
開始和停止擷取到遠端主機的ping流量資料。
在擷取到的 PDU 中查詢 IP 和 MAC 位址資訊。
解釋遠端主機的 MAC 位址為什麼與本地主機的 MAC 位址不同。
背景/場景
Wireshark 是一種協定分析軟體,即“資料封包監聽”應用程式,適用於網路故障排除、分析、軟體和協定開發
以及教學。當資料流透過網路來回傳輸時,監聽軟體可以“擷取”每個協定資料單元 (PDU),並根據適當的 RF
C 或其它規範對其內容進行解碼和分析。
對於任何從事網路工作的人,Wireshark 都是一款有用的工具,而且可以在 CCNA 課程的大部分實驗中用於資料
分析和故障排除。即使你的電腦可能已安裝了,本實驗仍提供下載和安裝 Wireshark 的說明。在本實驗中,你將
使用 Wireshark 擷取 ICMP 資料封包並查看 IP 位址和乙太網路訊框的 MAC 位址。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 2 頁,共 20 頁
所需資源
1 台 PC(採用 Windows 7、Vista 或 XP 且可存取 Internet)
區域網路 (LAN) 上的額外的 PC 將用於回應 ping 請求。
第 1 部分:(選擇性)下載並安裝 wireshark
Wireshark 已成為網路工程師使用的資料封包監聽程式的業界標準。此自由軟體可用於許多不同的作業系統,包
括 Windows、Mac 和 Linux。在本實驗的第 1 部分,你將在 PC 上下載並安裝 Wireshark 軟體程式。
注意:如果 Wireshark 在你的 PC 上已安裝,則你可以跳過第 1 部分,直接進入第 2 部分。如果 Wireshark 尚未在
你的 PC 上安裝,則請向你的教師詢問有關學校軟體的下載政策。
第 1 步: 下載 Wireshark。
a. Wireshark 可從 www.wireshark.org 下載。
b. 按一下“Download”。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 3 頁,共 20 頁
c. 根據 PC 的硬體結構和作業系統選擇適當的軟體版本。例如,如果你使用執行 Windows 的 64 位元 PC,則請
選擇Windows Installer (64-bit)。
選擇完成後,將開始下載。下載檔案的位置取決於你使用的瀏覽器和作業系統。對於 Windows 用戶而言,
預設位置是Downloads資料夾。
第 2 步: 安裝 Wireshark。
a. 下載檔案名為 Wireshark win64 x.x.x.exe,其中 x表示版本號碼。按兩下該檔案,開始安裝過程。
b. 對螢幕上可能會顯示的所有安全訊息做出回應。如果你在 PC 上已經安裝有 Wireshark,則系統會提示你在
安裝新版本之前移除舊版本。建議你在安裝另一個版本之前移除 Wireshark 的舊版本。按一下“是”,移除
Wireshark 的舊版本。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 4 頁,共 20 頁
c. 如果是首次安裝 Wireshark,或者已完成移除過程,則你將會被引導到 Wireshark 設定精靈。按一下Next(下
一步)。
d. 繼續進行安裝流程。“License Agreement (授權合約)”視窗顯示時,按一下“I Agree (我同意)”。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 5 頁,共 20 頁
e. 保留在“Choose Components (選擇元件)”視窗上的預設設定,並按一下“Next (下一步)”。
f. 選擇所需的捷徑方式選項並按一下“Next (下一步)”。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 6 頁,共 20 頁
g. 你可以更改 Wireshark 安裝位置,但除非磁碟空間有限,否則我們建議你保留預設位置。
h. 要擷取即時網路資料時,你的 PC 上必須安裝 WinPcap軟體。如果 WinPcap 已安裝在你的電腦上,“Install
(安裝)”核取方塊將處於非勾選狀態。如果已安裝的 WinPcap 版本比 Wireshark 附帶的版本舊,建議你勾選
一下“Install WinPcap x.x.x(版本號)”核取方塊,安裝更新的版本。
i. 如果安裝 WinPcap,請完成 WinPcap 設定精靈。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 7 頁,共 20 頁
j. Wireshark 隨即開始安裝其檔案,並在單獨的視窗中顯示其安裝狀態。完成安裝後按一下“Next (下一步)”。
k. 按一下“Finish (完成)”,完成 Wireshark 安裝過程。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 8 頁,共 20 頁
第 2 部分:在 Wireshark 中擷取並分析本地 ICMP 資料
在本實驗的第 2 部分,你將對區域網路中的另一台 PC 執行 ping 程式並在 Wireshark 中擷取 ICMP 請求和回覆。
你還將在擷取的訊框中深入瞭解具體資訊。該分析將幫助確定如何使用資料封包標頭將資料傳輸到目的地。
第 1 步: 查詢 PC 的介面位址。
對於本實驗,你將需要查詢 PC 的 IP 位址及其網路介面卡 (NIC) 實體位址(也稱為 MAC 位址)。
a. 打開命令視窗,輸入 ipconfig /all,然後按下 Enter 鍵。
b. 注意 PC 介面的 IP 位址和 MAC(實體)位址。
c. 向小組組員索取其 PC 的 IP 位址,並提供他們自己 PC 的 IP 位址。請勿在此時提供他們你的 MAC 位址。
第 2 步: 啟動 Wireshark 並開始擷取資料。
a. 在你的 PC 上,按一下 Windows 的“開始”按鈕,找到 Wireshark 程式並顯示在功能表中。按兩下Wireshark。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 9 頁,共 20 頁
b. 在 Wireshark 啟動之後,按一下“Interface List (介面清單)”,之後Wireshark會跳出 “Capture Interfaces (擷
取介面)”的視窗。
注意:按一下圖示行中的第一個介面圖示也會打開“介面清單”。
c. 在 Wireshark 的“Capture Interfaces (擷取介面)”視窗上,勾選一下連接到你的 LAN 的介面旁的核取方塊。
注意:如果列出了多個介面,而你不確定需要檢查那個介面,請按一下“Details (詳細資訊)”按鍵,然後按
一下“802.3 (Ethernet)”頁標籤。檢查 MAC 位址與你在步驟 1b 中取得的位址是否相符。在驗證介面正確
無誤之後關閉“Interface Details (介面詳細資訊)”視窗。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 10 頁,共 20 頁
d. 在檢查介面正確無誤後,按一下“Start (啟動)”開始擷取資料。
封包資訊將在 Wireshark 的上方部分開始向下捲動。資料行將根據協定以不同的顏色顯示。
e. 可根據PC 和 LAN 之間進行的通訊快速捲動此資訊。我們可以套用篩檢程式來更輕鬆地查看和處理 Wireshar
k 擷取的資料。在本實驗中,我們只對顯示 ICMP (ping) PDU 感興趣。在 Wireshark 頂部的“Filter (篩檢程式)”
框中輸入 icmp,然後按下 Enter 鍵或按一下“Apply (套用)”按鈕,可以僅查看 ICMP (ping) PDU。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 11 頁,共 20 頁
f. 此篩檢程式會使得視窗中的所有非ICMP資料隱藏未顯示,但是你仍然在擷取介面上的流量。使用已開啟的
命令提示視窗並對你從小組組員取得的 IP 位址進行 ping 動作。注意:你會看到ICMP資料顯示在 Wireshark
的視窗。
注意:如果你的小組組員的 PC 沒有回覆你的 ping 動作,則原因可能是其 PC 防火牆阻止了這些請求。有關
如何使用 Windows 7 透過防火牆允許 ICMP 流量的資訊,請參閱附錄 附錄 A:。
g. 按一下紅色框框的“Stop Capture (停止擷取)”圖示停止擷取資料。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 12 頁,共 20 頁
第 3 步: 檢查擷取的資料。
在第 3 步中,透過對小組組員的 PC 傳送 ping 請求來檢查產生的資料。Wireshark 資料顯示為三個部分:1) 上方
部分顯示擷取的 PDU 訊框清單和 IP 資料封包資訊摘要,2) 中間部分列出了螢幕上方所選訊框的 PDU 資訊並由
其協定層區隔各自 PDU ,而 3) 下方部分顯示每層的原始資料。原始資料以十六進制和ASCII碼兩種形式顯示。
a. 按一下 Wireshark 上部分的第一個 ICMP 請求 PDU 訊框。注意:“Source (來源)”列中包含 PC 的 IP 位址,
而“Destination (目的)”列中包含你對其進行 ping 動作的小組組員 PC 的 IP 位址。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 13 頁,共 20 頁
b. 在此 PDU 訊框仍在上方處於選中狀態時,瀏覽中間部分。按一下“Ethernet II”該行左側的加號,查看“De
stination (目的)”和“Source (來源)”MAC 位址。
“Source (來源)”MAC 位址是否與你的 PC 介面相符?______Wireshark 中的“Destination (目的)”MAC 位址
是否與小組組員 PC 的 MAC 位址相符?
_____
你的 PC 如何獲取進行 ping 動作的 PC 的 MAC 位址?
___________________________________________________________________________________
注意:在前面關於擷取的 ICMP 請求的範例中,ICMP 資料封裝在 IPv4 資料封包 PDU(IPv4 標頭)內,然
後再封裝在乙太網路 II 訊框 PDU 中,用於在 LAN 上進行傳輸。
第 3 部分:在 Wireshark 中擷取並分析遠端 ICMP 資料
在第 3 部分,你將對遠端主機(LAN 之外的主機)執行 ping 動作,並查看從這些 ping 動作所產生的資料。然後
你將比對此資料與第 2 部分中查看的資料有何不同。
第 1 步: 開始擷取介面上的資料。
a. 按一下最左側的“Interface List (介面清單)”圖示再次開啟PC 介面清單視窗。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 14 頁,共 20 頁
b. 確認 LAN 介面旁的核取方塊已勾選中,然後按一下“Start (開始)”。
c. 系統會顯示一個警告視窗,提示你在開始另一個擷取之前是否需要儲存先前擷取的資料。無需儲存此資料。
按一下“Continue without Saving (不儲存繼續)”。
d. 在擷取啟動時,對以下三個網站 URL 進行 ping 動作:
1) www.yahoo.com
2) www.cisco.com
3) www.google.com
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 15 頁,共 20 頁
注意:當對列出的 URL 進行 ping 動作時,請注意網域名稱伺服器 (DNS) 會將 URL 轉換為 IP 位址。注意從
每個 URL 接收到的 IP 位址。
e. 透過按一下紅色框框的“Stop Capture (停止擷取)”圖示停止擷取資料。
第 2 步: 檢查並分析來自遠端主機的資料。
a. 查看 Wireshark 中擷取的資料,檢查你進行 ping 動作的三個網址的 IP 和 MAC 位址。在提供的空白處列出所
有三個網址的目的 IP 位址和 MAC 位址。
第1 個位置: IP:_____._____._____._____ MAC:____:____:____:____:____:____
第2 個位置: IP:_____._____._____._____ MAC:____:____:____:____:____:____
第3 個位置: IP:_____._____._____._____ MAC:____:____:____:____:____:____
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 16 頁,共 20 頁
b. 此資訊重要之處是什麼?
____________________________________________________________________________________
c. 此資訊與你在第 2 部分接收的本地 ping 資訊有何不同?
____________________________________________________________________________________
____________________________________________________________________________________
思考
Wireshark 為什麼顯示本地主機的實際 MAC 位址,而不是遠端主機的實際 MAC 位址?
_______________________________________________________________________________________
_______________________________________________________________________________________
附錄 A:允許 ICMP 流量通過防火牆
如果小組組員無法對你的 PC 進行 ping 動作,可能是防火牆阻擋了這些請求。本附錄介紹如何在防火牆中新增
一條規則以允許 ping 請求。同時還介紹了完成實驗後如何停用這條 ICMP 新規則。
第 1 步: 新增一條新的入站規則以允許 ICMP 流量通過防火牆。
a. 在“主控台”上,按一下“系統和安全”選項。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 17 頁,共 20 頁
b. 在“系統和安全”視窗,按一下“Windows 防火牆”。
c. 在“Windows 防火牆”窗口的左側窗格中,按一下“高級設定”。
d. 在“進階設定”視窗,從左側工具選項中選擇“輸入規則”選項,然後在右側工具選項上按一下“輸入規
則…”。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 18 頁,共 20 頁
e. 這將啟動新增輸入規則精靈。在“規則類型”螢幕上,按一下“自訂”選項按鈕,然後按一下“下一步”。
f. 在左側步驟選項中,按一下“通訊協定及連接埠”選項,在“通訊協定類型”下拉式功能表中選擇“ICMPv
4”,然後按一下“下一步”。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 19 頁,共 20 頁
g. 在左側步驟選項中按一下“名稱”選項,並在“名稱”欄位中輸入“Allow ICMP Requests”。按一下“完
成”。
這條新規則可以使小組組員 PC 接收並回覆來自你的 PC 的 ping 請求。
實驗 - 使用 Wireshark 查看網路流量
© 2014 思科和/或其附屬公司。保留所有權利。本檔案所含內容為思科公開發佈的資訊。 第 20 頁,共 20 頁
第 2 步: 停用或刪除這條 ICMP 新規則。
實驗完成後,你可能希望停用或者刪除你在步驟 1 中新增的新規則。“停用規則”選項允許你以後可再次啟用
這條規則。“刪除規則”選項會將這條規則從“輸入規則”清單中永久刪除。
a. 在“進階設定”視窗,從左側選項中按一下“輸入規則”,查詢你在步驟 1 中新增的規則。
b. 要停用這條規則,請按一下“停用規則”選項。選擇該選項後,你會看到該選項變成了“啟用規則”。你
可以在“停用規則”和“啟用規則”之間來回切換,規則的狀態也會顯示在“輸入規則”清單的“已啟用”
列中。
c. 若要永久刪除 ICMP 規則,請按一下“刪除”。如果選擇該選項,你必須重新新增規則以允許 ICMP 回覆。