wireshark抓包实验报告.pdf

第一次实验：利用 Wireshark 软件进行数据包抓取 1.3.2 抓取一次完整的网络通信过程的数据包实验 一，实验目的： 通过本次实验，学生能掌握使用 Wireshark 抓取 ping 命令的完整通信过程的数 据包的技能，熟悉 Wireshark 软件的包过滤设置和数据显示功能的使用。 二，实验环境： 操作系统为 Windows 7,抓包工具为 Wireshark. 三，实验原理： ping 是用来测试网络连通性的命令，一旦发出 ping 命令，主机会发出连续的测 试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping 采用的是 ICMP 协议。 四，验步骤： 1.确定目标地址：选择 作为目标地址。 2.配置过滤器：针对协议进行过滤设置，ping 使用的是 ICMP 协议，抓包前使用 捕捉过滤器，过滤设置为 icmp,如图 1- 1 图 1-1 3.启 动 抓 包 ： 点 击 【 start】 开 始 抓 包 ， 在 命 令 提 示 符 下 键 入 ping , 如图 1-2 图 1-2 停止抓包后，截取的数据如图 1-3 图 1-3 4，分析数据包：选取一个数据包进行分析，如图1- 4 图1-4 每一个包都是通过数据链路层 DLC 协议，IP 协议和 ICMP 协议共三层协议的封装。 DLC 协议的目的和源地址是 MAC 地址，IP 协议的目的和源地址是 IP 地址，这层 主要负责将上层收到的信息发送出去，而 ICMP 协议主要是 Type 和 Code 来识别， “Type:8,Code：0”表示报文类型为诊断报文的请求测试包， “Type:0,Code:0” 表示报文类型为诊断报文类型请正常的包。ICMP 提供多种类型的消息为源端节 点提供网络额故障信息反馈，报文类型可归纳如下： （1）诊断报文（类型：8，代码0；类型：0代码：0）； (2）目的不可达报文（类型：3，代码0-15）； （3）重定向报文（类型：5，代码：0--4）； （4）超时报文（类型：11，代码：0--1）； （5）信息报文（类型：12--18）。 1.4.1，TCP 协议的分析实验 一，实验目的：通过本次实验，掌握使用 Wireshark 抓取 TCP 协议的数据包的技 能，能够在深入分析 “TCP的三次握手”，TCP 的四次挥手协议在网络数据流的基 础上，进一步提高理论联系实践的能力。 二，实验环境：操作系统为 Windows 7,抓包工具为 Wireshark,要求主机能够连 进互联网。 三，实验原理：TCP 协议是在计算机网络中使用最广泛的协议，很多的应用服务 如 FTP,HTTP,SMTP 等在传输层都采用 TCP 协议，因此，如果要抓取 TCP 协议的数 据包，可以在抓取相应的网络服务的数据包后，分析 TCP 协议数据包，深入理解 协议封装，协议控制过程以及数据承载过程。 四，实验步骤：FTP 在传输层采用的是 TCP 协议，所以此次实验选取 FTP 服务， 本次抓包过程将采用显示过滤器的方法来过滤数据包。 1，确定目标地址：选择 ftp.lib, 为目标，选择应用服务 FTP 中的TCP 协议包作分析 2，启动抓包：无需设置过滤器，直接开始抓包 3，使用FTP 服务：Wireshark 数据捕捉开始后，在主机的命令行提示符下使用 FTP 指令链接目标主机的 FTP 服务器，在默认的情况下，FTP 服务器支持匿名访问， 本次链接的的用户名是 anonymous,密码是 User@,如图 2-1 图 2-1 4，通过显示过滤器得到先关数据包：通过抓包获得大量的数据包，为了对数据 包分析的方便，需要使用过滤器，添加本机 IP 地址和 TCP 协议过滤条件。在工 具栏上的 Filter 对话框中填入过滤条件：tcp and ip.addr==36, 根据分析找到“TCP三次握手”中的一个包，在此信息上右键点击选择【FollowTCP Stream】,弹出的信息如图 2-2， 图 2-2 以上的设置时为了获得更好的得到过滤后的相关性更强的数据包 5，分析数据包：得到的结果如图 2-3 图 2-3 第一次”握手 “：客户端发送一个TCP，标志为 SYN,序列号 Seq 的相对值为0， 真值为 Seq.No=b0 9c 71 a5,代表客户端请求建立连接，如图 2-4 图 2-4 第二次 “握手 ”：服务器发回确认包，标志位为 SYN,ACK,将确认序号 ACK.No(Acknowledgement Number)设置为客户的 Seq+1，即相对值0+1=1