實驗四、使用Wireshark網絡分析器分析數據包

實驗四、使用Wireshark網絡分析器分析數據包一、實驗目的1、 掌握Wireshark工具的安裝和使用方法2、 理解TCP/IP協議棧中IP、TCP、UDP等協議的數據結構3、 掌握ICMP協議的類型和代碼二、實驗內容1、 安裝Wireshark2、 捕捉數據包3、 分析捕捉的數據包三、 實驗工具1、 計算機n臺（建議學生自帶筆記本）2、 無線路由器n臺四、 相關預備知識1、熟悉win7操作系統2、SniffPro軟件的安裝與使用（見SniffPro使用文檔）五、實驗步驟1、安裝WiresharkWireshark是網絡包分析工具。網絡包分析工具的主要作用是嘗試捕獲網絡包，并嘗試顯示包的盡可能詳細的情況。網絡包分析工具是一種用來測量有什么東西從網線上進出的測量工具，Wireshark是最好的開源網絡分析軟件。Wireshark的主要應用如下：網絡管理員用來解決網絡問題網絡安全工程師用來檢測安全隱患開發(fā)人員用來測試協議執(zhí)行情況用來學習網絡協議除了上面提到的，Wireshark還可以用在其它許多場合。Wireshark的主要特性支持UNIX和Windows平臺在接口實時捕捉包能詳細顯示包的詳細協議信息可以打開/保存捕捉的包可以導入導出其他捕捉程序支持的包數據格式（6）可以通過多種方式過濾包（7）多種方式查找包（8）通過過濾以多種色彩顯示包（9）創(chuàng)建多種統計分析五、實驗內容1．了解數據包分析軟件Wireshark的基本情況2．安裝數據包分析軟件Wireshark；3．配置分析軟件Wireshark；4．對本機網卡抓數據包；5．分析各種數據包。六、實驗方法及步驟1．Wireshark的安裝及界面（1）Wireshark的安裝（2）Wireshark的界面啟動Wireshark之后，主界面如圖：主菜單項：主菜單包括以下幾個項目:File包括打開、合并捕捉文件，save/保存,Print/打印,Export/導出捕捉文件的全部或部分。以及退出Wireshark項.Edit包括如下項目：查找包，時間參考，標記一個多個包，設置預設參數。（剪切，拷貝，粘貼不能立即執(zhí)行。）View控制捕捉數據的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀節(jié)點GO包含到指定包的功能Capture允許您開始或停止捕捉、編輯過濾器。Analyze包含處理顯示過濾，允許或禁止分析協議，配置用戶指定解碼和追蹤TCP流等功能。見Statistics包括的菜單項用戶顯示多個統計窗口，包括關于捕捉包的摘要，協議層次統計等等。見Help包含一些輔助用戶的參考內容。如訪問一些基本的幫助文件，支持的協議列表，用戶手冊。在線訪問一些網站，“關于”等等。2．Wireshark的設置和使用1）啟動Wireshark以后，選擇菜單Capature->Interfaces,選擇捕獲的網卡，單擊Capture開始捕獲

2）當停止抓包時，按一下stop，抓的包就會顯示在面板中，并且已經分析好了。下面是一個截圖如圖2-2所示。FileEdrtViewGoC：aplureAnalyzeStatisticsHelp詈詡鼎灘獺丨已口X0母丨回率?電苓業(yè)［［冒［1丨愆耳Eilter|ttp *Expression...ClearApplyTimeSourceDestin捫1口門ProtocolinTo7.5312157.5312697.5320713^TimeSourceDestin捫1口門ProtocolinTo7.5312157.5312697.5320713^510.2D.61.157.56D856 115?2找?54.1397.5633&6 115?2ME.54-：LMg7.幷初99 115?2轉?54.1297.5G35^5 10.2D.Gl.157.592Q58 115?2轉.54.1297.5^3048 3^7.553117 10.93211 115.238.54=1397.652247 57.707291 10.20-61.157.7OB535 5347.722579JCT39539115.2S8.54.13955511^?右E.54?：LMg5529539115.238-54.1393910,20.61,15Z3zm35■ 25工Ulihttp>1185[SYN?ACK]Seq=1185>http[ACH]SEq-1ActGET/匚口!！!：巨nt_/ri色1：訓口「上八腫「昌當卜http>1185[ACK]SEq-1Act[TCPse^TienrtofarEassemb"[TCPsegnerrtofareassemb-1185>http[ACK]Seq=5O5X[TCPsegnerrtofarsassemb-[TCPse^nenrtofarEassemb"1185ahttp[ACK]SBq-505f[TCPsegmenftofa「已asseinb'GUT/content/natwrk/virbsF1187>http[ST町5eq=0LerH89>http[SYN]Seq-QLerEtcpsegruenrtof且「已呂HEEinkfDFrame19f62bytesonwireP62byte3capturerCi51EthernetII,5rc: on_34:ec:d3COD:0a:e^l:34:ec:d3).Dst:Hangzhou_3e:6b:edCGO：Of:e2+TntprnptPrnrnrnl.i=.rr\10..HI.“IEf10. .1c._i.D=;T:11S.?^R. f11S.? .S4.1 *&——|川 ■ l| 圍quod00100020003D.aLbd4quod00100020003D.aLbd4□od&QGQ-2_u83_utiDDDp-orJobooos4oo龍-X和if2648p-fo7^obf38f_uo..ufo-u3f_ue2op-o5304?■7"of02_u-uo□sdoD3DQ401d1-oocao1II-ooo7-1436_ybFile:x.^docume-1uqcdkjiLCicals-1Hempietfioi>x<xasEiiiv*...p：106□:6Bm：aDrops:a圖2-2Wireshark數據包分析Wireshark和其它的圖形化嗅探器使用基本類似的界面，整個窗口被分成三個部分：最上面為數據包列表，用來顯示截獲的每個數據包的總結性信息；中間為協議樹，用來顯示選定的數據包所屬的協議信息；最下邊是以十六進制形式表示的數據包內容，用來顯示數據包在物理層上傳輸時的最終形式。2）設置capture選項選擇菜單capture—Interface，如圖2-3所示，在指定的網卡上點“Prepare”按鈕，設置capture參數。旦? i Iona-1msgabytB(s)Buffersize.1Capturenie(s)DlsfiiayOptionsFile:I-UpdateII戲CTpacketsin「mmltime廠^Jurri^iIlL-號匚旦? i Iona-1msgabytB(s)Buffersize.1Capturenie(s)DlsfiiayOptionsFile:I-UpdateII戲CTpacketsin「mmltime廠^Jurri^iIlL-號匚raisingirii^l匚apu」「已廠NextTileever/minute|s)NameResolution[7EnableMACnamenesoiubari廠...afterEnaoleiranspon：nm已resoiutlon3CCancelStopCaptureL...aner廣...afterr~UsemultipleTIIee-廠Nextfilsevtry尸Kingburrsr*Stopcis口tu「亡afterCaptureInterface.屈HSBETJIM吐aim朝即￡11剛磚1JH殆3UIhKfJ羽HiMSCT〒|Link-ldyerheaderLy口lPCapturepacketsIngromlscuousmDde廠Limit巳日匚門pm匚ketto|6B [T|byte^捋￡箱tureFilter:|i1 f"T11：n □ties1-pacKg[(s)1iimecsLMei-s) -rminutrfs-) =|廠EnablenetixjurKnamereaalutlon圖2-3capture選擇設置Interface:指定在哪個接口（網卡）上抓包。一般情況下都是單網卡，所以使用缺省的就可以。Limiteachpacket:限制每個包的大小，缺省情況不限制。Capturepacketsinpromiscuousmode:是否打開混雜模式。如果打開，抓取所有的數據包。一般情況下只需要監(jiān)聽本機收到或者發(fā)出的包，因此應該關閉這個選項

Filter:過濾器。只抓取滿足過濾規(guī)則的包（可暫時略過）。File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。useringbuffer:是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫文件的時候才有效。如果使用了循環(huán)緩沖，還需要設置文件的數目，文件多大時回卷。其他的項選擇缺省的就可以了。2．顯示過濾器的使用方法在抓包完成以后用顯示過濾器，可以在設定的條件下（協議名稱、是否存在某個域、域值等）來查找你要找的數據包。如果只想查看使用TCP協議的包，在Wireshark窗口的左下角的Filter中輸入TCP,然后回車，Wireshark就會只顯示TCP協議的包。如圖2-4所示。*NaPackers?The MetvoziJ&iialTzer匚（EBReadyto圖2-4設置過濾條件為*NaPackers?The MetvoziJ&iialTzer匚（EBReadyto圖2-4設置過濾條件為TCP報文軽巴aaEgressionClearVACmirppInfoFilegdtVib#GpCaplurEAnalyze￡tathtic^Help如果想抓取IP地址是5的主機，它所接收收或發(fā)送的所有的TCP報文，那么合適的顯示Filter（過濾器）就是如圖2-5所示?！鮍snnaoori172.丄&2?614^90丄DE.Lyj]_o2.car口日丁SlS.SO.lDB-LS：2U2.bl5Cl9J■SET/HTTF/lu1312,0349-35n2.634954352.053347加2.674Q241Db2u.61.15rwic.n?nin□Qsnnaoori172.丄&2?614^90丄DE.Lyj]_o2.car口日丁SlS.SO.lDB-LS：2U2.bl5Cl9J■SET/HTTF/lu1312,0349-35n2.634954352.053347加2.674Q241Db2u.61.15rwic.n?ninrraz-riinc-imID.20.61.15lQrZC.^1-1：-1D.20.61.152U9.3Q.1DB：.1921①如孔15219.30.1DB.L92lD.Zd.flCL.15213rSO.lOBrL^iDui'J.61.151Or20.61B15[TCPsagntrrcafd.rc-a^-sambladPDU]HTTP◎口*即咼?i-> ?tFi日録色觀El[*團a謨|>hicp[ack]seq-Lack-1訶門?岀5弓5LEfi-dID.20.41.1521B.3Q.1DB.19Z216,2J.lL'6.1y221B.3Q.1DB.19Z216,iJ.lL'6.1y210-20,61,15216.j-J.lL-6.19221R,30.1DB.192—■21Rr30.1DB.19221B.30.10B.192"inrnc.t~iehttp>Z2^7[ACK]5KI-LAck-14M.Wln-a70DLen-QTCP^ ——一- 2 ^ ' ■HTTP HTTP/l.d2QQOK住2戍/^時1)http conrlnudilDnor門口仃-httpcrarricTCP22^7■=■hirp[ACK]SEq-L5B6A<k-13(?3nin-65555Len-Ohttp conrlnujilDn or 門口仃-httf3 cratrichttp conTlHij3TJiDri or ncin-Hrrp TrafficTCP2247phxcp[ACK]2fiq?L5萌A<k-1423Wln-6552：5Len-<lHTTP CoriTlnuaiJiori ar non-HUP rraffnchttp conrlHuaTlDn 口廣 non-Hrrp craffleTi~rihxcp22A7[ack]seq-LAct：:-1586w1n-a7bL(Len-unc-sucircTTynTZ~~xu~DytTSjhDirrerenildiedservicesFieldsCix@uCkcpUnix?;D^rauli;eln:QkSCCilatalLE+igthjA3Id-anxifi'Zatlan:OkSaFs(305±iFlagszCccd4tDon'tFra^ientjFrjgmenroffset:0linetdlive;123口廠口■:口匸口1:tcpfd3coei"i出Headerchecksum:Oxddd2[corr&ci]source:10.20.61?15(ID.20.61.15^OestInaT-lan：213B3Q.lQ6rL92(213,3Q,1M,192)LXJ'JIJL-jl'jd_b54U0c&d叮3su.a3QUDD&ED5DDuoQ□d-QQe37w了r匚ts￡OJEEes--u3」d;&b411:135d7rt?DOJr」DID§.doJ-d7ord2dddoEdDdu3Gcd4-u-rlG1oQ器誥Fit-C:\DOCUWE-IlqcctriLCC.OLSvinnnip,uilhcrK<>^3IFi=iJ,rr，BdSkEOOMDB |P:1371□:HEIM:DDropsD圖2-5設置過濾條件為IP地址是5的主機所有的TCP報文七、學習使用WireShark對ARP協議進行分析（1） 啟動WireShark（2） 捕獲數據（3） 停止抓包并分析ARP請求報文將Filter過濾條件設為arp，回車或者點擊“Apply”按鈕，（4） ARP請求報文分析

1）粘貼你捕獲的ARP請求報文2）分析你捕獲的ARP請求報文第一行幀基本信息分析（粘貼你的Frame信息）FrameNumber（幀的編號）： 1457___（捕獲時的編號）FrameLength（幀的大?。?0 字節(jié)。（以太網的幀最小64個字節(jié)，而這里只有60個字節(jié)，應該是沒有把四個字節(jié)的CRC計算在里面，加上它就剛好。）ArrivalTime（幀被捕獲的日期和時間）：—sep23,_201415:15:38.463721000 Timedeltafrompreviouscapturedframe（幀距離前一個幀的捕獲時間差）: 0.002937000seconds Timesincerefernceorfirstframe（幀距離第一個幀的捕獲時間差）: 24.488816000seconds Protocolsinframe（幀裝載的協議）:—eth:arp 第二行數據鏈路層：粘貼你的數據鏈路層信息）Destination（目的地址）：_Broadcast（ff:ff:ff:ff:ff:ff） （這是個MAC地址，這個MAC地址是一個廣播地址，就是局域網中的所有計算機都會接收這個數據幀）Source（源地址）：G-ProCom_45:48:16（00:23:24:45:48:16）幀中封裝的協議類型：ARP（0x0806）（這個是ARP協議的類型編號。）Trailer:是協議中填充的數據，為了保證幀最少有64字節(jié)。第三層ARP協議：粘貼你的ARP請求報文）在上圖中，我們可以看到如下信息：Hardwaretype(硬件類型)： Ethernet⑴ Protocoltype(協議類型)：IP(0x0800) Hardwaresize(硬件信息在幀中占的字節(jié)數):__6 Protocolsize(協議信息在幀中占的字節(jié)數): 4 操作碼(opcode)：requset(0X0001)發(fā)送方的MAC地址(SenderMACaddress)：G-ProCom_45:48:16(00:23:24:45:48:16) 發(fā)送方的IP地址(SenderIPaddress)：2(2)目標的MAC地址(TargetMACaddress:)： 00:00:00_00:00:00(00:00:00:00:00:00) 目標的IP地址(TargetIPaddress:)： () (3)分析ARP應答報文(粘貼你的ARP應答報文)應答報文中的操作碼(opcode)：reply(0X0002)發(fā)送方的MAC地址(SenderMACaddress):0c:da:41:63:03:f4(0c:da:41:63:03:f4)發(fā)送方的IP地址(SenderIPaddress)：()

目標的MAC地址(TargetMACaddress:)： G-ProCom_45:47:dd(00:23:24:45:47:dd) 目標的IP地址(TargetIPaddress:)： 8(8) 練習1：對于上述2、3中的arp請求報文和應答報文，將ARP請求報文和ARP應答報文中的字段信息填入表3-1表3-1RPP請求報文和ARP應答報文的字段信息字段項ARP請求數據報文ARP應答數據報文鏈路層Destination項Broadcast(ff:ff:ff:ff:ff:ff)G-ProCom_45:47:dd(00:23:24:45:47:dd)鏈路層Source項G-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:0