基于Wireshark进行数据窃听及分析.docx

基于Wireshark进行数据窃听及分析一、实验目的l. 掌握Wireshark软件使用方法；2. 了解数据包的结构及协议分析方法。二、实验仪器与器材1. 微机一台2. 软件Wireshark3. 有网络接口三、实验原理（一）Wireshark软件Wireshark（前称 Ethereal）是一款功能强大的网络封包分析工具。其主要功能是抓取网络封包，并尽可能显示出最为详细的网络封包资料。其使用目的包括：网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的相关知识等。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。（二）TCP/IP 协议TCP/IP 协议集把整个网络分成四层，包括网络接口层、网际层、传输层和应用层。图 1 给出了 TCP/IP 的一个典型的协议体系结构。1. 网络接口层：网络接口（Network Interface）和各种通信子网接口，屏蔽不同的物理网络细节；（1）ARP 协议：地址解析协议（Address Resolution Protocol），实现 IP 地址向物理地址的映射；（2）RARP 协议：反向地址解析协议（Reverse Address Resolution Protocol），实现物理地址向 IP 地址的映射；（3）SLIP 协议：串行线路网际协议，提供在串行通信线路上封装IP 分组的简单方法。只支持固定 IP 地址。（4）PPP协议：点对点协议，利用电话线拨号上网的方式之一。支持动态 IP 地址。静态 IP 地址：分配给用户一个专用 IP 地址；动态 IP 地址：在拨号上网时临时分配的一个地址，断开以后不再占用地址，以后再上网时再另行分配地址。2. 网际层（1）IP 协议：网际协议（Internet Protocol）提供节点之间的分组投递服务；（2）ICMP 协议：网际报文控制协议（Internet Control Message Protocol）传输差错控制信息，以及主机/路由器之间的控制信息；（3）IGMP 协议：网际组管理协议，使物理网络上的所有系统知道主机当前所在的多播组。多址广播（多播）：也称作多点传送；是一种一对多的传输方式，传输发起者通过一次传输就将信息传送到一组接收者，与单播传送和广播相对应。（4）路由选择协议：实现路由选择。IP 分组可实现直接或间接交付。3. 传输层为两台主机上的应用程序提供端到端的通信。（1）TCP 协议：传输控制协议（Transmission Control Protocol）提供用户间的可靠数据流服务。（2）UDP 协议：用户数据报协议（User Datagram Protocol）提供用户之间的不可靠且无连接的数据报投递服务。4. 应用层负责处理特定的应用程序；包含较多的协议。（1）Telnet 协议：远程登录服务；提供类似仿真终端的功能，支持用户通过终端共享其它主机的资源。（2）HTTP 协议：超文本传输协议（Hyper Text Transfer Protocol）提供万维网浏览服务；（3）FTP 协议：文件传输协议（File Transfer Protocol，FTP）提供应用级的文件传输服务；（4）SMTP 协议：简单邮件传输协议（Simple Mail Transfer Protocol）提供简单的电子邮件交换服务。特点：能够在传送中接力传送邮件，即邮件可以通过不同网络上的主机接力式传送。SMTP服务器是邮件发送服务器。pop3:POP (Post Office Protocol 3) ，电子邮件协议，发展到第三版，称 POP3。它规定怎样将个人计算机连接到 Internet 的邮件服务器和下载电子邮件的电子协议。pop3 是因特网电子邮件的第一个离线协议标准，POP3允许用户从服务器上把邮件存储到本地主机上，同时删除保存在邮件服务器上的邮件。POP3服务器是遵循 POP3协议的邮件接收服务器。（5）DNS 协议：域名系统（Domain Name System，DNS）负责域名和IP 地址的映射；图 1 TCP/IP 体系结构（三）TCP数据包结构一个协议的封装是为了满足协议的功能需求的。TCP数据包封装如图 2 所示。图 2 TCP 的头部格式TCP 协议的头结构是固定的，各字段信息如下:（1）源端口和目的端口：各为 16 比特，用于表示应用层的连接。源端口表示产生数据包的应用层进程，而目的端口则表示数据包所要到达的目的进程。（2）序列号：为 32 比特，表示数据流中的字节数。序列号为首字节在整个数据流中的位置。初始序列号随机产生