分组wireshark抓包工具计算机网络实验

实验一Wireshark使用

一、实验目的

1、熟悉并掌握Wire s hark的基本使用

2、 了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境

与因特网连接的计算机操作系统为Windo ws安装有Wires hark、 I E等软件。

三、预备知识

要深入理解网络协议需要观察它们的工作过程并使用它们即观察两个协议实体之间交换的报文序列探究协议操作的细节使协议实体执行某些动作观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。

Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器是一个开源免费软件可以从http://www.wireshark.org下载。

运行Wireshark程序时其图形用户界面如图2所示。最初各窗口中并无数据显示。 Wireshark的界面主要有五个组成部分

图1

范文

命令菜单command menus命令菜单位于窗口的最顶部是标准的下拉式菜单。

协议筛选框display filter specification在该处填写某种协议的名称Wireshark据此对分组列表窗口中的分组进行过滤只显示你需要的分组。

捕获分组列表listing of captured packets按行显示已被捕获的分组内容其中包括分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名可以使分组列表按指定列排序。其中协议类型是发送或接收分组的最高层协议的类型。

分组首部明细details o f selected packet header显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息需要查看哪层信息双击对应层次或单击该层最前面的“”即可。

分组内容窗口 packet content分别以十六进制左和ASCII码右两种格式显示被捕获帧的完整内容。

四、 实验步骤

1. 启动Web浏览器如IE

2. 启动Wire s hark

3.开始分组捕获单击工具栏的按钮 出现如图3所示对话框 [options]按钮可以进行系统参数设置在绝大部分实验中使用系统的默认设置即可。当计算机具有多个网卡时选择其中发送或接收分组的网络接口本例中第一块网卡为虚拟网卡第二块为以太网卡。单击“S tart”开始进行分组捕获

4.在运行分组捕获的同时在浏览器地址栏中输入某个网页的URL如http://www.uzz.edu.cn

5. 当完整的页面下载完成后单击捕获对话框中的“s to p”按钮停止分组捕获。此时 Wire s hark主窗口显示已捕获的你本次通信的所有协议报文

6.在协议筛选框中输入“http”单击“app ly”按钮分组列表窗口将只显示HTTP范文

协议报文。

7.选择分组列表窗口中的第一条http报文 它是你的计算机发向服务器www.uzz.edu.cn的HTTP GET报文。当你选择该报文后以太网帧、 IP数据报、TCP报文段、 以及HT TP报文首部信息都将显示在分组首部子窗口中其结果如图4。

五、 实验报告内容

在实验基础上 回答以下问题

(1)列出在第5步中分组列表子窗口所显示的所有协议类型

(2)从发出HTTP GET报文到接收到对应的HTTP OK响应报文共需要多长时间分组列表窗口中Time列的值是从W ire s hark开始追踪到分组被捕获的总的时间数以秒为单位

(3)你主机的IP地址是什么你访问的服务器的IP地址是什么

范文

实验二使用Wireshark分析以太网帧与ARP协议

一、实验目的

分析以太网帧 MAC地址和ARP协议

二、实验环境

与因特网连接的计算机网络系统主机操作系统为w indo ws使用W ire s ha rk、 I E等软件。

三、实验步骤

IP地址用于标识因特网上每台主机而端口号则用于区别在同一台主机上运行的不同网络应用程序。在链路层有介质访问控制Media Access Control,MAC地址。在局域网中每个网络设备必须有唯一的MAC地址。设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。

Wire s hark能把MAC地址的组织标识转化为代表生产商的字符串 例如

00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示 因为组织唯一标识符00:06:5b属于Dell。地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址意味着数据应该广播到局域网的所有设备。

在因特网上 IP地址用于主机间通信无论它们是否属于同一局域网。同一局域网间主机间数据传输前发送方首先要把目的IP地址转换成对应的MAC地址。这通过地址解析协议ARP实现。每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分而帧的目的地址将被设置为ARP高速缓存中找到的M AC地址。如果没有发现IP地址的转换项那么本机将广播一个报文要求具有此IP地址的主机用它的MAC地址作出响应。具有该IP地址的主机直接应答请求方并且把新的映射项填入ARP高速缓存。

发送分组到本地网外的主机需要跨越一组独立的本地网这些本地网通过称为网关或路由器的中间机器连接。网关有多个网络接口卡用它们同时连接多个本地网。最初的发送者或源主机直接通过本地网发送数据到本地网关 网关转发数据报到其它网关直到最后到达目的主机所在的本地网的网关。

1、俘获和分析以太网帧

1选择工具->Inte rnet选项->删除文件

2启动Wire s hark分组嗅探器

范文

3在浏览器地址栏中输入如下网址http://gaia.cs.umass.edu/wire shark-labs会出现美国权利法案。

4停止分组俘获。在俘获分组列表中listing of captured packets中找到HTTPGET信息和响应信息如图1所示。 如果你无法俘获此分组在W ires hark下打开文件名为ethernet--ethereal-trace-1的文件进行学习 。

HTTP GET信息被封装在TCP分组中 TCP分组又被封装在IP数据报中 IP数据报又被封装在以太网帧中 。在分组明细窗口中展开Ethernet II信息packet detailswindow 。回答下面的问题

1、你所在的主机48-bit E the rne t地址是多少

2、Ethe rne t帧中目的地址是多少这个目的地址是gaia.cs.umas s.e du的Et he rne t地址吗

图1 HTTP GET信息和响应信息

2、分析地址ARP协议

(1)ARP Caching

范文

ARP协议用于将目的IP转换为对应的MAC地址。Arp命令用来观察和操作缓存中的内容。虽然arp命令和A RP有一样的名字很容易混淆但它们的作用是不同的。在命令提示符下输入arp可以看到在你所在电脑中A RP缓存中的内容。为了观察到你所在电脑发送和接收ARP信息我们需要清除ARP缓存否则你所在主机很容易找到已知IP和匹配的MAC地址。

步骤如下

1清除ARP cache具体做法在MSDOS环境下输入命令arp–d*command The–d表示清除操作,*删除all table e ntrie s.

2选择工具->Inte rnet选项->删除文件

3启动Wireshark分组俘获器

4在浏览器地址栏中输入如下网址http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-lab-file3.html

5停止分组俘获。

6选择Analyze->Enable d Protoco ls->取消IP选项->选择OK。如图3所示

图3利用Wireshark俘获的ARP分组

四、实验报告

范文

根据实验 回答下面问题

由于此实验是关于Ethernet和ARP的所以只需在分组俘获列表中显示IP层下面的协议具体做法为选择Analyze->Enabled Protocols->不选择IP协议->select ok如图2所示

范文

实验三使用Wireshark分析IP协议

一、实验目的

1、分析IP协议

2、分析IP数据报分片

二、实验环境

与因特网连接的计算机操作系统为Windo ws安装有Wires hark、 I E等软件。

三、实验步骤

IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址然后被发送到网络中。如果源主机和目的主机不在同一个网络中那么一个被称为路由器的中间机器将接收被传送的数据报并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。

IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。 IP能够使数据报适应于其途径的每个网络。例如每个网络规定的最大传输单元各有不同。 IP允许将数据报分片并在目的端重组来满足不同网络的规定。

在4_1_Jo iningTheInternet下打开已俘获的分组分组名为 dhcp_iso lated.cap。感兴趣的同学可以在有动态分配IP的实验环境下俘获此分组此分组具体俘获步骤如下

1、使用DHCP获取IP地址

1打开命令窗口,启动Wire s hark。

2输入“ipconfig /release”。这条命令会释放主机目前的IP地址此时主机IP地址会变为0.0.0.0

3然后输入“ipconfig /ren ew”命令。这条命令让主机获得一个网络配置包括新的IP地址。

4等待直到“ipconfig /ren ew”终止。然后再次输入“ipconfig /renew”命令。

5当第二个命令“ipconfig /ren ew”终止时输入命令“ipconfig/re lea se”释放原来的已经分配的IP地址

6停止分组俘获。如图1所示

范文

图1 Wireshark俘获的分组

下面我们对此分组进行分析

IPconfig命令被用于显示机器的IP地址及修改IP地址的配置。当输入命ipconfig/relea se命令时用来释放机器的当前IP地址。释放之后该机没有有效的IP地址并在分组2中使用地址0.0.0.0作为源地址。

分组2是一个DHCP Discover(发现)报文如图2所示。当一台没有IP地址的计算机申请IP地址时将发送该报文。 DHCP Discovery报文被发送给特殊的广播地址

255.255.255.255该地址将到达某个限定广播范围内所有在线的主机。理论上

255.255.255.255能够广播到整个因特网上但实际上并不能实现因为路由器为了阻止大量的请求淹没因特网不会将这样的广播发送到本地网之外。

在DHCP Discover报文中客户端包括自身的信息。特别是它提供了自己的主机名(MATTHEWS)和其以太网接口的物理地址(00:07:e9:53:87:d9)。这些信息都被DHCP用来标识一个已知的客户端。DHCP服务器可以使用这些信息实现一系列的策略比如分配与上次相同的IP地址分配一个上次不同的IP地址或要求客户端注册其物理层地址来获取IP地址。

在DHCP Discover报文中客户端还详细列出了它希望从DHCP服务器接收到的信息。在Parameter Request List中包含了除客户端希望得到的本地网络的IP地址之外的其他数据项。这些数据项中许多都是一台即将连入因特网的计算机所需要的数据。例如客户端必须知道的本地路由器的标识。任何目的地址不在本地网的数据报都将发送到这范文