Top

NTD NETEXP DAY03

1. 案例1：使用科来抓包查看IP包头格式
2. 案例2：IP包头重点字段抓包分析
3. 案例3：IP数据包的封装过程
4. 案例4：ICMP查询报文抓包分析
5. 案例5：ARP协议抓包分析
6. 案例6：ARP协议应用

1 案例1：使用科来抓包查看IP包头格式

1.1 问题

1. 在物理机上启用科来网络分析系统
2. Ping局域网内的一台主机或VMWare虚拟机

3. 抓包查看IP包头格式

   1.2 步骤

   实现此案例需要按照如下步骤进行。
   1）在物理机上启用科来网络分析系统，选择物理网卡后开始抓包
   2）Ping局域网内的一台主机或VMWare虚拟机
   3）抓包查看IP包头格式，如图-1所示
   
   图-1
   

   2 案例2：IP包头重点字段抓包分析

   2.1 问题

4. 使用eNSP搭建实验环境，分别在G0/0/0和G0/0/1开始抓包，在PC1上ping PC2

5. 抓包分析TTL、标识符、协议号

   2.2 方案

   使用eNSP搭建实验环境，如图-2所示。
   
   图-2

   2.3 步骤

   实现此案例需要按照如下步骤进行。
   1) 分别在G0/0/0和G0/0/1开始抓包，在PC1上ping PC2，在G0/0/0抓包的TTL为128，如图-3所示；在G0/0/1抓包的TTL为127，如图-4所示。
   
   图-3
   
   图-4
   2）在G0/0/0抓的第一个包的Id为48599，如图-5所示；在G0/0/0抓的第二个包的Id为48600，如图-6所示。
   
   图-5
   
   图-6
   3）查看之前的抓包，如图-6所示，看到ICMP的协议号为1。
   

   3 案例3：IP数据包的封装过程

   3.1 问题

6. 使用eNSP搭建实验环境，分别在G0/0/0和G0/0/1开始抓包，在PC1上ping PC2

7. 观察分析源IP与目的IP、源MAC与目的MAC的变化

   3.2 方案

   使用eNSP搭建实验环境，如图-7所示。
   
   图-7

   3.3 步骤

   实现此案例需要按照如下步骤进行。
   1）在G0/0/0抓包的源IP与目的IP、源MAC与目的MAC，如图-8所示
   
   图-8
   2）在G0/0/1抓包的源IP与目的IP、源MAC与目的MAC，如图-9所示
   
   图-9
   3）整个过程中，IP地址始终不变，MAC地址一直在变，如图-10所示
   
   图-10
   

   4 案例4：ICMP查询报文抓包分析

   4.1 问题

8. 使用eNSP搭建实验环境，在G0/0/0开始抓包，在PC1上ping PC2

9. 抓包分析ICMP查询报文

   4.2 方案

   使用eNSP搭建实验环境，如图-11所示。
   
   图-11

   4.3 步骤

   实现此案例需要按照如下步骤进行。
   1）抓到Echo报文，如图-12所示
   
   图-12
   2）抓到Echo Reply报文，如图-13所示
   
   图-13
   

   5 案例5：ARP协议抓包分析

   5.1 问题

10. 使用eNSP搭建实验环境，在PC1接口开始抓包，在PC1上ping PC2

11. 抓包分析ARP协议、查看ARP缓存表

    5.2 方案

    使用eNSP搭建实验环境，如图-14所示。
    
    图-14

    5.3 步骤

    实现此案例需要按照如下步骤进行。
    1）抓到ARP请求包，如图-15所示
    
    图-15
    2）抓到ARP回应包，如图-16所示
    
    图-16
    3）在PC1上查看ARP缓存表，如图-17所示
    
    图-17
    

    6 案例6：ARP协议应用

    6.1 问题

    网络管理员已知PC2的IP地址是10.0.0.2，他想快速获得PC2主机的MAC地址，但又不想打扰PC2的主人，有什么好方法呢？

    6.2 方案

    网络拓扑图如图-18所示。
    
    图-18
    使用eNSP搭建实验环境，如图-19所示。
    
    图-19

    6.3 步骤

    实现此案例需要按照如下步骤进行。
    1）首先在PC1上查看ARP缓存表，是否有PC2的条目
    2）如果没有，则ping 10.0.0.2
    3）再次查看ARP缓存表，如图-20所示
    
    图-20