Wireshark抓包⼯具计算机⽹络实验
实验⼀ Wireshark 使⽤
⼀、实验⽬的
1、熟悉并掌握Wireshark 的基本使⽤;
2、了解⽹络协议实体间进⾏交互以及报⽂交换的情况。
⼆、实验环境
与因特⽹连接的计算机,操作系统为Windows ,安装有Wireshark 、IE 等软件。
三、预备知识
要深⼊理解⽹络协议,需要观察它们的⼯作过程并使⽤它们,即观察两个协议实体之间交换的报⽂序列,探究协议操作的细节,使协议实体执⾏某些动作,观察这些动作及其影响。这种观察可以在仿真环境下或在因特⽹这样的真实⽹络环境中完成。
Wireshark 是⼀种可以运⾏在Windows, UNIX, Linux 等操作系统上的分组嗅探器,是⼀个开源免费软件,
可以从
www.doczj/doc/d2530113af45b307e871976b.html 下载。
运⾏Wireshark 程序时,其图形⽤户界⾯如图2所⽰。最初,各窗⼝中并⽆数据显⽰。Wireshark 的界⾯主要有五个组成部分:
1
命令和菜单
协议筛选框
捕获分组
列表
选定分组
⾸部明细
分组内容
左:⼗六进制
右:ASCII 码
●命令菜单(command menus):命令菜单位于窗⼝的最顶部,是标准的下拉式菜单。
●协议筛选框(display filter specification):在该处填写某种协议的名称,Wireshark 据此对分组列表窗⼝中的分组进⾏过滤,只显⽰你需要的分组。
●捕获分组列表(listing of captured packets):按⾏显⽰已被捕获的分组内容,其中包括:分组序号、捕获时间、源地址和⽬的地址、协议类型、协议信息说明。单击某⼀列的列名,可以使分组列表按指定列排序。其中,协议类型是发送或接收分组的最⾼层协议的类型。
●分组⾸部明细(details of selected packet header):显⽰捕获分组列表窗⼝中被选中分组的⾸部详细
信息。包括该分组的各个层次的⾸部信息,需要查看哪层信息,双击对应层次或单击该层最前⾯的“+”即可。
●分组内容窗⼝(packet content):分别以⼗六进制(左)和ASCII码(右)两种格式显⽰被捕获帧的完整内容。
四、实验步骤
1.启动Web浏览器(如IE);
2.启动Wireshark;
3.开始分组捕获:单击⼯具栏的按钮,出现如图3所⽰对话框,[options]按钮可以进⾏系统参数设置,在绝⼤部分实验中,使⽤系统的默认设置即可。当计算机具有多个⽹卡时,选择其中发送或接收分组的⽹络接⼝(本例中,第⼀块⽹卡为虚拟⽹卡,第⼆块为以太⽹卡)。单击“Start”开始进⾏分组捕获;
图3
4.在运⾏分组捕获的同时,在浏览器地址栏中输⼊某个⽹页的URL,如:
www.doczj/doc/d2530113af45b307e871976b.html
5.当完整的页⾯下载完成后,单击捕获对话框中的“stop”按钮,停⽌分组捕获。此时,Wireshark主窗⼝显⽰已捕获的你本次通信的所有协议报⽂;
6.在协议筛选框中输⼊“http”,单击“apply”按钮,分组列表窗⼝将只显⽰HTTP
协议报⽂。
7.选择分组列表窗⼝中的第⼀条http报⽂,它是你的计算机发向服务器(www.doczj/doc/d2530113af45b307e871976b.html )的HTTP GET报⽂。当你选择该报⽂后,以太⽹帧、IP数据报、TCP 报⽂段、以及HTTP报⽂⾸部信息都将显⽰在分组⾸部⼦窗⼝中,其结果如图4。
图4
五、实验报告内容
在实验基础上,回答以下问题:
(1)列出在第5步中分组列表⼦窗⼝所显⽰的所有协议类型;
(2)从发出HTTP GET报⽂到接收到对应的HTTP OK响应报⽂共需要多长时间?(分组列表窗⼝中Time列的值是从Wireshark开始追踪到分组被捕获的总的时间数,以秒为单位)
(3)你主机的IP地址是什么?你访问的服务器的IP地址是什么?
实验⼆使⽤Wireshark分析以太⽹帧与ARP协议
⼀、实验⽬的
分析以太⽹帧,MAC地址和ARP协议
⼆、实验环境
与因特⽹连接的计算机⽹络系统;主机操作系统为windows;使⽤Wireshark、IE 等软件。
三、实验步骤:
IP地址⽤于标识因特⽹上每台主机,⽽端⼝号则⽤于区别在同⼀台主机上运⾏的不同⽹络应⽤程序。在链路层,有介质访问控制(Media Access Control,MAC)地址。在局域⽹中,每个⽹络设备必须有唯⼀的MAC地址。设备监听共享通信介质以获取⽬标MAC地址与⾃⼰相匹配的分组。
Wireshark 能把MAC地址的组织标识转化为代表⽣产商的字符串,例如,00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显⽰,因为组织唯⼀标识符00:06:5b属于Dell。地址ff:ff:ff:ff:ff:ff是⼀个特殊的MAC地址,意味着数据应该⼴播到局域⽹的所有设备。
在因特⽹上,IP地址⽤于主机间通信,⽆论它们是否属于同⼀局域⽹。同⼀局域⽹间主机间数据传输前,发送⽅⾸先要把⽬的IP地址转换成对应的MAC地址。这通过地址解析协议ARP实现。每台主机以ARP⾼速缓存形式维护⼀张已知IP分组就放在链路层帧的数据部分,⽽帧的⽬的地址将被设置为ARP⾼速缓存中到的MAC地址。如果没有发现IP地址的转换项,那么本机将⼴播⼀个报⽂,要求具有此IP地址的主机⽤它的MAC 地址作出响应。具有该IP地址的主机直接应答请求⽅,并且把新的映射项填⼊ARP⾼速缓存。
发送分组到本地⽹外的主机,需要跨越⼀组独⽴的本地⽹,这些本地⽹通过称为⽹关或路由器的中间机器连接。⽹关有多个⽹络接⼝卡,⽤它们同时连接多个本地⽹。最初的发送者或源主机直接通过本地⽹发送数据到本地⽹关,⽹关转发数据报到其它⽹关,直到最后到达⽬的主机所在的本地⽹的⽹关。
1、俘获和分析以太⽹帧
(1)选择⼯具->Internet 选项->删除⽂件
(2)启动Wireshark 分组嗅探器
(3)在浏览器地址栏中输⼊如下⽹址:
www.doczj/doc/d2530113af45b307e871976b.html /wireshark-labs会出现美国权利法案。
(4)停⽌分组俘获。在俘获分组列表中(listing of captured packets)中到HTTP GET 信息和响应信息,如图1所⽰。(如果你⽆法俘获此分组,在Wireshark下打开⽂件名为ethernet--ethereal-trace-1的⽂件进⾏学习)。
HTTP GET信息被封装在TCP分组中,TCP分组⼜被封装在IP数据报中,IP数据报⼜被封装在以太⽹帧中)。在分组明细窗⼝中展开Ethernet II 信息(packet details window)。回答下⾯的问题:
1、你所在的主机48-bit Ethernet 地址是多少?
2、Ethernet 帧中⽬的地址是多少?这个⽬的地址是www.doczj/doc/d2530113af45b307e871976b.html 的Ethernet 地址吗?
图1HTTP GET信息和响应信息
2、分析地址ARP协议
tcp ip协议下载安装(1)ARP Caching
ARP协议⽤于将⽬的IP转换为对应的MAC地址。Arp命令⽤来观察和操作缓存中的内容。虽然arp命令和ARP有⼀样的名字,很容易混淆,但它们的作⽤是不同的。在命令提⽰符下输⼊arp可以看到在你所在电脑中ARP缓存中的内容。为了观察到你所在电脑发送和接收ARP信息,我们需要清除ARP缓存,否则你所在主机很容易到已知IP和匹配的MAC地址。
步骤如下:
(1)清除ARP cache,具体做法:在MSDOS环境下,输⼊命令arp –d * command ,The –d 表⽰清除操作, * 删除all table entries.
(2)选择⼯具->Internet 选项->删除⽂件
(3)启动Wireshark分组俘获器
(4)在浏览器地址栏中输⼊如下⽹址:
www.doczj/doc/d2530113af45b307e871976b.html /wireshark-labs/ HTTP-wireshark-lab-file3.html
(5)停⽌分组俘获。
(6)选择Analyze->Enabled Protocols->取消IP选项->选择OK。如图3所⽰:
图3 利⽤Wireshark俘获的ARP分组
四、实验报告
根据实验,回答下⾯问题:
由于此实验是关于Ethernet 和ARP 的,所以,只需在分组俘获列表中显⽰IP层下⾯的协议,具体做法为:选择Analyze->Enabled Protocols->不选择IP协议->select ok如图2所⽰:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。