WireShark软件抓包实验与分析.doc

WireShark软件抓包实验与分析 09电科二班 朱柏林 090702238 一、实验说明 Wireshark是世界上最流行的网络分析工具，它可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。本次实验是在window7系统下，根据宽带拨号上网的情况，主要针对点对点协议PPP特点和PPP协议的工作状态进行分析的。 二、实验过程与分析 （一）Wireshark使用与ARP协议帧分析 1.安装并运行Wireshark开始捕获数据包，如图所示点击start开始捕获数据包。 2.几分钟后就捕获到许多的数据包了，主界面如图所示： 如上图所示，可看到很多捕获的数据。 选中一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。 ①纵向第一窗口分析 第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。 ②ARP协议分析 断开宽带连接，运行Wireshark，得到ARP协议的数据包。 如下图所示： 现在展开第一行。看到的结果如下： 现在展开第一行: 在上图中我们看到这个帧的一些基本信息： 帧的编号：13（捕获时的编号）帧的大小：42字节。再加上四个字节的CRC计算在里面，就刚好满足最小64字节的要求。帧被捕获的日期和时间：Oct 12，2011……帧距离前一个帧的捕获时间差：0.014303000秒……帧距离第一个帧的捕获时间差：1.014875000秒……帧装载的协议：ARP ? 展开第二行： 我们可以看到：目的地址（Destination）：ff:ff:ff:ff:ff:ff 这是个MAC地址，这个MAC地址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧。源地址（Source）：BiostarM__3d:87:cc（00:30:67:3d:87:cc） 帧中封装的协议类型：0x0806，这个是ARP协议的类型编号。 展开第三行： 上图的信息是： 地址解析协议 硬件类型：以太网 协议类型：IP（0x8000） 硬件大小：6 协议大小：4 发送方MAC地址 发送方IP地址 目的MAC地址 目的IP地址 （二）宽带拨号联网PPP协议工作状态分析 我们进行宽带拨号联网，同时运行Wireshark软件进行捕捉数据包，此时我们能够得到软件界面显示如下图所示： 由上图我们得知，这是PC机进入一个“链路建立”状态，其目的是建立链路层的LCP连接。 此过程分析： 首先，PC发送LCP的配置请求帧（Configure-Request），即PPP帧。 接着，链路另一端发送配置确认帧（Configure-Ack）和配置否认帧（Configure-Nak）（LCP配置协商） (3)然后，PC机再次发送 LCP的配置请求帧（Configure-Request），直到协商结束后建立LCP链路成功，进入“鉴别”（Authenticate）状态，拨号使用口令鉴别协议PAP，双方分别是请求帧（Request）和确认帧(Ack)。 接着，进入“网络层协议”状态，进行NCP配置协商，此处进行的是IP协议。 最后，当网络层配置完毕后，链路就进入可进行数据通信的“链路打开”（Link Open）状态，网络连接上。 当链路请求关闭时，由链路的一端发出终止请求LCP分组（Terminate-Request）终止链路连接，在收到对方发来的终止确认LCP分组（Terminate-Ack）后，转到“链路终止”状态，最后回到“链路静止”状态。 三、实验体验 通过这次实验之后，我开始并慢慢熟悉wireshark的使用。虽然还是有很多地方不是很懂。不过请教过同学之后还是能解决问题的，通过这次的学习我明确了数据链路层的作用，明白了抓包的作用，PPP协议等的工作。还需要继续加强对理论知识的学习才能更加好的把握整个知识架构。