Wireshark抓包實驗報告

1、 第一次實驗：利用Wireshark軟件進行數(shù)據(jù)包抓取 1.3.2 抓取一次完整的網(wǎng)絡通信過程的數(shù)據(jù)包實驗 一，實驗目的：通過本次實驗，學生能掌握使用Wireshark抓取ping命令的完整通信過程的數(shù)據(jù)包的技能，熟悉Wireshark軟件的包過濾設置和數(shù)據(jù)顯示功能的使用。二，實驗環(huán)境：操作系統(tǒng)為Windows 7,抓包工具為Wireshark.三，實驗原理：ping是用來測試網(wǎng)絡連通性的命令，一旦發(fā)出ping命令，主機會發(fā)出連續(xù)的測試數(shù)據(jù)包到網(wǎng)絡中，在通常的情況下，主機會收到回應數(shù)據(jù)包，ping采用的是ICMP協(xié)議。四，驗步驟：1.確定目標地址：選擇作為目標地址。2.配置過濾器：針對協(xié)議進行

2、過濾設置，ping使用的是ICMP協(xié)議，抓包前使用捕捉過濾器，過濾設置為icmp,如圖 1- 1 圖 1-13.啟動抓包：點擊【start】開始抓包，在命令提示符下鍵入ping , 如圖 1-2 圖 1-2停止抓包后，截取的數(shù)據(jù)如圖 1-3 圖 1-34，分析數(shù)據(jù)包：選取一個數(shù)據(jù)包進行分析，如圖1- 4 圖1-4每一個包都是通過數(shù)據(jù)鏈路層DLC協(xié)議，IP協(xié)議和ICMP協(xié)議共三層協(xié)議的封裝。DLC協(xié)議的目的和源地址是MAC地址，IP協(xié)議的目的和源地址是IP地址，這層主要負責將上層收到的信息發(fā)送出去，而ICMP協(xié)議主要是Type和Code來識別，“Type:8,Code：0”表示報文類型為診斷報文

3、的請求測試包，“Type:0,Code:0”表示報文類型為診斷報文類型請正常的包。ICMP提供多種類型的消息為源端節(jié)點提供網(wǎng)絡額故障信息反饋，報文類型可歸納如下： （1）診斷報文（類型：8，代碼0；類型：0代碼：0）； (2）目的不可達報文（類型：3，代碼0-15）； （3）重定向報文（類型：5，代碼：0-4）； （4）超時報文（類型：11，代碼：0-1）； （5）信息報文（類型：12-18）。 1.4.1，TCP協(xié)議的分析實驗一，實驗目的：通過本次實驗，掌握使用Wireshark抓取TCP協(xié)議的數(shù)據(jù)包的技能，能夠在深入分析“TCP的三次握手”，TCP的四次揮手協(xié)議在網(wǎng)絡數(shù)據(jù)流的基礎上，進一步

4、提高理論聯(lián)系實踐的能力。二，實驗環(huán)境：操作系統(tǒng)為Windows 7,抓包工具為Wireshark,要求主機能夠連進互聯(lián)網(wǎng)。三，實驗原理：TCP協(xié)議是在計算機網(wǎng)絡中使用最廣泛的協(xié)議，很多的應用服務如FTP,HTTP,SMTP等在傳輸層都采用TCP協(xié)議，因此，如果要抓取TCP協(xié)議的數(shù)據(jù)包，可以在抓取相應的網(wǎng)絡服務的數(shù)據(jù)包后，分析TCP協(xié)議數(shù)據(jù)包，深入理解協(xié)議封裝，協(xié)議控制過程以及數(shù)據(jù)承載過程。四，實驗步驟：FTP在傳輸層采用的是TCP協(xié)議，所以此次實驗選取FTP服務，本次抓包過程將采用顯示過濾器的方法來過濾數(shù)據(jù)包。1，確定目標地址：選擇ftp.lib,為目標，選擇應用服務FTP中的TCP協(xié)議包作分

5、析2，啟動抓包：無需設置過濾器，直接開始抓包3，使用FTP服務：Wireshark數(shù)據(jù)捕捉開始后，在主機的命令行提示符下使用FTP指令鏈接目標主機的FTP服務器，在默認的情況下，F(xiàn)TP服務器支持匿名訪問，本次鏈接的的用戶名是anonymous,密碼是User,如圖 2-1 圖 2-1 4，通過顯示過濾器得到先關數(shù)據(jù)包：通過抓包獲得大量的數(shù)據(jù)包，為了對數(shù)據(jù)包分析的方便，需要使用過濾器，添加本機IP地址和TCP協(xié)議過濾條件。在工具欄上的Filter對話框中填入過濾條件：tcp and ip.addr=36,根據(jù)分析找到“TCP三次握手”中的一個包，在此信息上右鍵點擊選擇【

6、FollowTCP Stream】,彈出的信息如圖 2-2， 圖 2-2以上的設置時為了獲得更好的得到過濾后的相關性更強的數(shù)據(jù)包 5，分析數(shù)據(jù)包：得到的結果如圖 2-3 圖 2-3第一次”握手“：客戶端發(fā)送一個TCP，標志為SYN,序列號Seq的相對值為0，真值為Seq.No=b0 9c 71 a5,代表客戶端請求建立連接，如圖 2-4 圖 2-4第二次“握手”：服務器發(fā)回確認包，標志位為SYN,ACK,將確認序號ACK.No(Acknowledgement Number)設置為客戶的Seq+1，即相對值0+1=1,或真實值b09c71a5+1=b09c71a6,Seq.No=c5f7d49b

7、,如圖 2-5 圖2 -5第三次“握手”：客戶端在次發(fā)送確認包(ACK),SYN標志位為0，ACK標志位為1，并且把服務器發(fā)Seq.No的序列號字段+1，即c5f7d49b+1=c5f7d49c,放在確定字段中發(fā)送給對方，如圖 2-6 圖 2-6通過三次”握手“，TCP建立成功，然后就可以進行通信。從整個FTP的對話過程可以看出FTP傳遞的消息，比如用戶名和密碼都是明文傳遞。第一次“揮手”：Client發(fā)送一個Fin=1,Seq=35,Seq.No=b09c7ea5,請求關閉Client到Server的數(shù)據(jù)傳送，如圖 2-6 圖2-6第二次“揮手”：服務器收到客戶端的Fin,它發(fā)回一個ACK,確認序號為收到的序號加1，即ACK=35+1=36,ACK.No=b09c7ea5+1=b09c7ea6f,如圖2-7 圖 2-7第三次“揮手”：收到Server發(fā)送的一個Fin=1,用來關閉Server到Client的數(shù)據(jù)傳送，Seq=108,Seq.No=b09c7ea6,ACK=36,ACk.No=c5f7d49c 如圖 2-8 圖 2-8第四次“揮手”：Client收到Fin后，發(fā)送一個ACK給Server,確認序號為收到序號+1，ACK=108+1=109,ACk.No=c507d