Wireshark 工具的使用与TCP数据包分析

Wireshark 工具的使用与TCP数据包分析(SEC-W07-007.1)

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是捕捉网络数据包，并尽可能显示出最为详细的数据包内容。在过 去，网络数据包分析软件或者非常昂贵，或者专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障下，使用者可以 免费取得软件及其源代码，并拥有对源代码修改的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。

传输控制协议（Transmission Control Protocol），简称TCP协议，是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer） 通信协议，由IETF的RFC 793说明（specified）。在简化的计算机网络OSI模型中，它完成第3层传输层所指定的功能，基于TCP的常见应用如 TELNET，SSH，HTTP，FTP等。

实验目的

l学习Wireshark工具的使用。

l学习TCP协议及其TCP头部结构。

l利用Wireshark分析TCP数据包内容。

实验拓扑

实验准备

l获取Windows 远程桌面客户端工具mstsc压缩包并解压。

l获取服务器Windows操作系统Administrator管理员口令。

l获取服务器IP地址。

实验步骤

学习Wireshark工具使用

步骤说明：

使用Wireshark工具，熟悉常见功能配置。

1.运行远程桌面客户端程序mstsc.exe，输入服务器端IP地址，点击Connect连接，如图1：

图1

2.以Administrator（管理员）身份登陆服务器桌面。

注：

l服务器Administrator用户的登陆密码为123456。

3.在远程桌面中，单击桌面Wireshark程序快捷图标，弹出Wireshark程序如图2：

图2

4.在Wireshark程序点击查看本机网卡状态配置按钮：Interface List，弹出如图3对话框，图例中可以看出本机的网卡信息。

图3

5.在Wireshark主程序界面中，点击配置详细条件按钮：Capture Options，弹出如图4对话框，配置捕捉的详细条件。

图4

注：

l这里我们选择了本地local的网卡，实验环境不同可能会使用不同的网卡。

6.在图4的配置界面中，可以通过在Capture Filter输入框中输入捕捉数据包的条件，样例中的host 192.168.0.1的意思为：程序只捕捉IP地址为 192.168.0.1的数据包。

7.下面举例了几种常见过滤条件：

tcp

只捕捉tcp数据包

port 80

捕捉tcp或udp协议且端口为80的数据包

not tcp port 3389

不捕捉tcp端口为3389的数据包

src 192.168.0.1 and dst 192.168.0.2

捕捉源地址为192.168.0.1且目的地址为192.168.0.2的数据包

8.这里我们选择过滤条件为not tcp port 3389，点击对话框下方的start按钮开始捕捉网络数据包，捕捉现象如图5所示：

图5

学习TCP协议及头部结构

步骤说明：

了解TCP/IP协议，学习TCP数据包头部结构。

1.TCP/IP是一个协议集，它包含了IP、TCP、UDP一系列协议，TCP协议意为Transmission Control Protocol传输控制协议， 它是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer）通信协议，由IETF的RFC 793说明

（specified）。在简化的计算机网络OSI模型中，它完成第3层传输层所指定的功能，如图6所示：

2.TCP协议头最少20个字节，包括若干个区域头部，结构如图7所示：

图7

3.由于TCP是基于IP协议的，在利用Wireshark工具分析中，通常可以看到的TCP头和IP头结构组成，如图8所示：

图8

使用Wireshark分析TCP数据包

步骤说明：

配置Wireshark捕捉TCP数据包，分析数据包内容。

1.登陆到远程服务器桌面中，开启Wireshark，在如图4的对话框的Capture Filter中输入过滤条件：

host 该服务器的IP and tcp port 21

这里我们需要捕捉访问远程服务器的TCP端口21的所有TCP数据包。

2.点击对话框下方的start按钮后，Wireshark会处于捕捉状态。

3.回到客户端系统中，点击“开始”->“运行”，输入命令：

ftp 服务器的IP

利用该命令登陆远程服务器的FTP Server。

注：

l远程服务器已经开放了FTP端口21，用户名为guest，密码为helloftp。

4.如图9输入正确的用户名和密码，成功登陆后，输入exit命令退出FTP服务器。

图9

5.再次登陆到远程服务器桌面中，wireshark已经捕捉到了ftp的会话数据包，如图10：

图10

6.在图10中，选中捕获的含有密码明文的TCP数据包，在“数据包详细信息栏”中Transmission Control Protocol部分 TCP头部的各个信息被详细解释出来。通过分析20字节的IP头部信息和20字节的TCP头部信息，以及基于TCP的FTP协议 数据包，我们就可以分析出地址、端口、明文密码等信息了。

计算机网络课程设计---基于Wireshark的网络数据包内容解析

基于Wireshark的网络数据包内容解析 摘要本课程设计是利用抓包软件Wireshark，对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的。设计过程中对各种包进行抓取分析，各种包之间比较，了解每种包的传输过程与结构，通过本次课程设计，能很好的运用Wireshark对数据包分析和Wireshark各种运用，达到课程设计的目的。 关键词IP协议；TCP协议；UDP协议；ARP协议；Wireshark；计算机网络； 1 引言 本课程设计主要是设计一个基于Wireshark的网络数据包内容解析，抓取数据包，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的 1.1 课程设计目的 Wireshark是一个网络封包分析软件。可以对网络中各种网络数据包进行抓取，并尽可能显示出最为详细的网络封包资料，计算机网络课程设计是在学习了计算机网络相关理论后，进行综合训练课程，其目的是： 1.了解并会初步使用Wireshark，能在所用电脑上进行抓包； 2.了解IP数据包格式，能应用该软件分析数据包格式。 1.2 课程设计要求 （1）按要求编写课程设计报告书，能正确阐述设计结果。 （2）通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。 （3）学会文献检索的基本方法和综合运用文献的能力。

（4）在老师的指导下，要求每个学生独立完成课程设计的全部内容。 1.3 课程设计背景 一、Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。 二、网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。 网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。 网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础，首先就来详细地介绍一下网络嗅探技术，接下来就其在网络监控系统的运用进行阐述。 2 网络协议基础知识 2.1 IP协议 （1） IP协议介绍

实验使用Wireshark分析

实验六使用W i r e s h a r k分析U D P 一、实验目的 比较TCP和UDP协议的不同 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 1、打开两次TCP流的有关跟踪记录，保存在中，并打开两次UDP流中的有关跟踪文件。如图所示： 图1：TCP 流跟踪记录 图2：UDP流跟踪记录 2、分析此数据包： （1）TCP传输的正常数据： 文件的分组1到13中显示了TCP连接。这个流中的大部分信息与前面的实验相同。我们在分组1到分组3中看到了打开连接的三次握手。分组10到分组13显示的则是连接的终止。我们看到分组10既是一个带有FIN标志的请求终止连接的分组，又是一个最后1080个字节的（序号是3921—5000）的重传。 TCP将应用程序写入合并到一个字节流中。它并不会尝试维持原有应用程序写人的边界值。我们注意到TCP并不会在单个分组中传送1000字节的应用程序写入。前1000个字节会在分组4种被发送，而分组5则包含了1460个字节的数据-----一些来自第二个缓冲区，而另一些来自第三个缓冲区。分组7中含有1460个字节而分组8中则包含剩余的1080个字节。（5000-0=1080） 我们注意到实际报告上的秒是从初始化连接的分组1开始到关闭连接的分组10结束。分组11—13未必要计入接收端应用程序的时间内，因为一旦接收到第一个FIN，TCP层便马上发送一个关闭连接的信号。分组11—13只可能由每台计算机操作系统得TCP层后台传输。 如果我们注意到第一个包含数据的分组4和最后一个分组8之间的时间，我们就大约计算出和由UDP接收端所报告的秒相同的时间。这样的话，增加TCP传输时间的主要原因就是分组10中的重传。公平的说，UDP是幸运的，因为它所有的分组都在第一时间被接受了。

wireshark抓包分析报告TCP和UDP

计 算 机 网 络Wireshark抓包分析报告

目录 1. 使用wireshark获取完整的UDP报文 (3) 2. 使用wireshark抓取TCP报文 (3) 2.1 建立TCP连接的三次握手 (3) 2.1.1 TCP请求报文的抓取 (4) 2.1.2 TCP连接允许报文的抓取 (5) 2.1.3 客户机确认连接报文的抓取 (6) 2.2 使用TCP连接传送数据 (6) 2.3 关闭TCP连接 (7) 3. 实验心得及总结 (8)

1. 使用wireshark获取完整的UDP报文 打开wireshark，设置监听网卡后，使用google chrome 浏览器访问我腾讯微博的首页 p.t.qq./welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.perinfo.icon? ptlang=2052&pgv_ref=im.perinfo.perinfo.icon，抓得的UDP报文如图1所示。 图1 UDP报文 分析以上的报文容，UDP作为一种面向无连接服务的运输协议，其报文格式相当简单。第一行中，Source port：64318是源端口号。第二行中，Destination port：53是目的端口号。第三行中，Length：34表示UDP报文段的长度为34字节。第四行中，Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符，其后的4f0e表示16进制表示的检验和，把它们换成二进制表示为：0100 1111 0000 1110. 从wireshark的抓包数据看出，我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时，它构成了一个DNS 查询报文并将其交给UDP。UDP无须执行任何实体握手过程，主机端的UDP为此报文添加首部字段，并将其发出。 2. 使用wireshark抓取TCP报文 2.1 建立TCP连接的三次握手 建立TCP连接需要经历三次握手，以保证数据的可靠传输，同样访问我的腾讯微博主页，使用wireshark抓取的TCP报文，可以得到如图2所示的客户机和服务器的三次握手的过程。 图2 建立TCP连接的三次握手

利用wireshark分析HTTP协议实验报告

利用wireshark分析HTTP协议实验报告 姓名：杨宝芹 学号：2012117270 班级：电子信息科学与技术 时间：2014.12.26

利用wireshark分析HTTP协议实验报告 一、实验目的 分析HTTP协议。 二、实验环境 连接Internet的计算机，操作系统为windows8.1； Wireshark，版本为1.10.7； Google Chrome，版本为39.0.2171.65.m； 三、实验步骤 1.清空缓存 在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。之后，还要在客户端清空DNS 高速缓存，来确保Web服务器域名到IP地址的映射是从网络中请求。 2.启动wireshare 3.开始俘获 1)在菜单中选择capture-options，选择网络，打开start。如下图：

2)在浏览器地址栏中输入https://www.360docs.net/doc/8811256411.html,，然后结束俘获，得到如下结果： 3)在过滤器中选择HTTP，点击apply，得到如下结果：

在菜单中选择file-save，保存结果，以便分析。（结果另附） 四、分析数据 在协议框中选择“GET/HTTP/1.1”所在的分组会看到这个基本请求行后跟随 着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行，以此将该 首部与下一个首部隔开。“Host”首部在HTTP1.1版本中是必须的，它描述了URL 中机器的域名，本实验中式https://www.360docs.net/doc/8811256411.html,。这就允许了一个Web服务器在同一 时间支持许多不同的域名。有了这个数不，Web服务器就可以区别客户试图连接 哪一个Web服务器，并对每个客户响应不同的内容，这就是HTTP1.0到1.1版本 的主要变化。User-Agent首部描述了提出请求的Web浏览器及客户机器。接下 来是一系列的Accpet首部，包括Accept（接受）、Accept-Language（接受语言）、 Accept-Encoding（接受编码）、Accept-Charset（接受字符集）。它们告诉Web

wireshark分析tcp协议

WireShark分析TCP协议 韩承昊3172700 摘要： 利用wireshark分析TCP协议的报文，和其基本行为，包括三 次握手，中间信息的交互，和最后的断开连接。其中通过中间信息的交互，可以看出TCP的累积式确认。 一：基本TCP报文分析 我们来看一个简单的TCP报文，现在蓝字选中的是源端口号，

我们可以看到在这个报文中是14065，下面对应的是相应的二进制代码，我们可以看到的确是16bit。紧随其后的16bit就是目的端口号。 下面是序号，Sequence number: 1169。接下来的32bit是确认号，Acknowledgement number: 19353。再后面是首部长度，Header length: 20 bytes，和未用的3bit数据。 0= Urgent:Not set，1=Acknowledgement: set，0= Push:Not set，0= Reset:Not set，0= Syn:Not set，0= Fin:Not set，这些表示的是一些标识位，是URG紧急标识，ACK确认标识，PSH推送标识，RST、SYN、FIN用于建立和结束连接。window size value：65535 表示接收窗口。 二：三次握手分析 三次握手的第一步，客户机端会向服务器端发送一个特殊的TCP报文段，这个报文段的SYN被置为1，并会发送一个起始序号seq。

我们看到SYN为1，且Sequence number=0，这样，面对这样的请求报文段，服务器听该返回一个SYN=1，返回自己的初始seq，并且要求主机发送下一个报文段的序号，ack=1。下面是服务端实际返回的报文。 正如我们所期待的那样，服务器返回了自己的seq=0，并且要求主机端发送下一个报文段，并且SYN=1。这样主机端就应该返回seq=1，ack=1，要求服务端发送下一个报文，并且SYN=0，结束建立连接阶段，结束三次握手。

wireshark抓包分析实验报告

Wireshark抓包分析实验 若惜年 一、实验目的： 1.学习安装使用wireshark软件，能在电脑上抓包。 2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。 二、实验内容： 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文： IP报文分析： 从图中可以看出： IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符：0xd74b 标志：0x02 比特偏移：0 寿命：48 上层协议：TCP 首部校验和：0x5c12 源IP地址为：119.75.222.18 目的IP为：192.168.1.108

从图中可以看出： 源端口号：1891 目的端口号：8000 udp报文长度为：28 检验和：0x58d7 数据长度：20 bytes UDP协议是一种无需建立连接的协议，它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报文段交给网络层。

第一次握手： 从图中看出： 源端口号：56770 目的端口号：80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手： 从图中看出： 源端口号是：80 目的端口号为：56770 序列号为：0 ack为：1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手： 从图中看出： 源端口：56770 目的端口：80 序列号为：1 ACK为：1 首部长为：20bytes Acknowledgement为1表示包含确认的报文 所以，看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议，在一个应用进程可以开始向另一个应用进程发送数据前，这两个进程必须先握手，即它们必须相互发送预备文段，建立确保传输的参数。

Wireshark抓包实例分析

Wireshark抓包实例分析 通信工程学院010611班赖宇超01061093 一．实验目的 1.初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际，知行合一的学术精神。 二．实验原理 1.用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。 2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。 3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。 三．实验环境 1.系统环境：Windows 7 Build 7100 2.浏览器：IE8 3.Wireshark：V 1.1.2 4.Winpcap：V 4.0.2 四．实验步骤 1.Wireshark简介 Wireshark（原Ethereal）是一个网络封包分析软件。其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。其使用目的包括：网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的

相关知识……当然，有的人也会用它来寻找一些敏感信息。 值得注意的是，Wireshark并不是入侵检测软件（Intrusion Detection Software,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 2.实例 实例1：计算机是如何连接到网络的？ 一台计算机是如何连接到网络的？其间采用了哪些协议？Wireshark将用事实告诉我们真相。如图所示： 图一：网络连接时的部分数据包 如图，首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境，但必须事先获得客户端的硬件地址，而且，与其对应的IP地址是静态的。DHCP是BOOTP 的增强版本，包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议(Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。 让我们来看一下数据包的传送过程：

使用wireshark进行协议分析实验报告

1 深圳大学实验报告 实验课程名称：计算机网络 实验项目名称：使用wireshark进行协议分析 学院：计算机与软件学院专业：计算机科学与技术 报告人：邓清津学号：2011150146 班级：2班同组人：无 指导教师：杜文峰 实验时间：2013/6/10 实验报告提交时间：2013/6/10 教务处制

一、实验目的与要求 学习使用网络数据抓包软件.学习使用网络数据抓包软件wireshark，并对一些协议进行分析。 二、实验仪器与材料 Wireshark抓包软件 三、实验内容 使用wireshark分析各层网络协议 1.HTTP协议 2.ARP协议，ICMP协议 3.IP协议 4.EthernetII层数据帧 为了分析这些协议，可以使用一些常见的网络命令。例如，ping等。 四、实验步骤 1、安装Wireshark，简单描述安装步骤: 2、打开wireshark，选择接口选项列表。或单击“Capture”，配置“option” 选项。

3.点击start后，进行分组捕获，所有由选定网卡发送和接收的分组都将被捕获。 4. 开始分组捕获后，会出现如图所示的分组捕获统计窗口。该窗口统计显示各类已捕获分组的数量。在该窗口中有一个“stop”按钮，可以停止分组的捕获。

一、分析HTTP协议 1.在浏览器地址栏中输入某网页的URL，如：https://www.360docs.net/doc/8811256411.html,。为显示该网页，浏览器需要连接https://www.360docs.net/doc/8811256411.html,的服务器，并与之交换HTTP消息，以下载该网页。包含这些HTTP消息的以太网帧(Frame)将被WireShark捕获。 2. 在显示筛选编辑框中输入“http”，单击“apply”，分组列表窗口将只显示HTTP消息。 3.点击其中一个http协议包

wireshark抓包分析了解相关协议工作原理

安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月

Wireshark抓包分析了解相关协议工作原理 学生：康谦班级：09计算机2班学号：09168168 指导教师：饶元 （安徽农业大学信息与计算机学院合肥） 摘要：本文首先ping同一网段和ping不同网段间的IP地址，通过分析用wireshark抓到的包，了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问https://www.360docs.net/doc/8811256411.html,抓到的包与访问https://www.360docs.net/doc/8811256411.html,抓到的包之间的区别，分析了访问二者网络之间的不同。 关键字：ping 同一网段不同网段 wireshark 协议域名服务器 正文： 一、ping隔壁计算机与ping https://www.360docs.net/doc/8811256411.html,抓到的包有何不同，为什么？（1）、ping隔壁计算机 ARP包：

ping包： （2）ing https://www.360docs.net/doc/8811256411.html, ARP包：

Ping包： （3）考虑如何过滤两种ping过程所交互的arp包、ping包；分析抓到的包有

何不同。 答：ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题，如果要找的主机和源主机不在同一个局域网上，就会解析出网 关的硬件地址。 二、访问https://www.360docs.net/doc/8811256411.html,，抓取收发到的数据包，分析整个访问过程。（1）、访问https://www.360docs.net/doc/8811256411.html, ARP（网络层）： ARP用于解析IP地址与硬件地址的映射，本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组，询问IP地址为192.168.0.10的硬件地址，IP地址为192.168.0.100所在的主机见到自己的IP 地址，于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS（应用层）： DNS用于将域名解析为IP地址，首先源主机发送请求报文询问https://www.360docs.net/doc/8811256411.html, 的IP地址，DNS服务器210.45.176.18给出https://www.360docs.net/doc/8811256411.html,的IP地址为210.45.176.3

计算机网络实验-使用Wireshark分析IP协议

实验三使用Wireshark分析IP协议 一、实验目的 1、分析IP协议 2、分析IP数据报分片 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址，然后被发送到网络中。如果源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机器将接收被传送的数据报，并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。 IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。IP能够使数据报适应于其途径的每个网络。例如，每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。 表 DHCP报文

者续借租用 DHCP-ACK DHCP服务器通知客户端可以使用分配的IP地址和配置参 数 DHCP-NAK DHCP服务器通知客户端地址请求不正确或者租期已过期， 续租失败 DHCP-RELEASE DHCP客户端主动向DHCP服务器发送，告知服务器该客户 端不再需要分配的IP地址 DHCP-DECLINE DHCP客户端发现地址冲突或者由于其它原因导致地址不 能使用，则发送DHCP-DECLINE报文，通知服务器所分配的 IP地址不可用 DHCP-INFORM DHCP客户端已有IP地址，用它来向服务器请求其它配置 参数 图 DHCP报文 1、使用DHCP获取IP地址

wiresharkTcpUdp抓包分析

Wireshark 抓包分析

CONTENTS 5 TCP协议抓包分析 5.1 TCP协议格式及特点 5.2 实例分析 6 UDP协议的抓包分析 6.1 UDP报文格式及特点 6.2 流媒体播放时传输层报文分析

5 TCP协议抓包分析 5.1 TCP协议的格式及特点 图1 TCP协议报头格式 源端口：数据发起者的端口号；目的端口：数据接收方的端口号；32bit 序列号，标识当前数据段的唯一性；32bit的确认号，接收数据方返回给发送方的通知；TCP头部长度为20字节，若TCP头部的Options选项启用，则会增加首部长度，因此TCP是首部变长的传输层协议；Reserved、Reserved、Nonce、CWR、ECN-Echo：共6bit，保留待用。 URG：1bit紧急指针位，取值1代表这个数据是紧急数据需加速传递，取值0代表这是普通数据； ACK：1bit确认位，取值1代表这是一个确认的TCP包，取值0则不是确认包；PSH：1bit紧急位，取值1代表要求发送方马上发送该分段，而接收方尽快的将报文交给应用层，不做队列处理。取值0阿迪表这是普通数据； RST：1bit重置位，当TCP收到一个不属于该主机的任何一个连接的数据，则向对方发一个复位包，此时该位取值为1，若取值为0代表这个数据包是传给自己的； SYN：1bit请求位，取值1代表这是一个TCP三次握手的建立连接的包，取值为0就代表是其他包； FIN：1bit完成位，取值1代表这是一个TCP断开连接的包，取值为0就代表是其他包； Window Size：16bit窗口大小，表示准备收到的每个TCP数据的大小；Checksum：16bit的TCP头部校验，计算TCP头部，从而证明数据的有效性；Urgent Pointer：16bit紧急数据点，当功能bit中的URG取值为1时有效；Options：TCP的头部最小20个字节。如果这里有设置其他参数，会导致头部增大； Padding：当TCP头部小于20字节时会出现，不定长的空白填充字段，填充内容都是0，但是填充长度一定会是32的倍数； Data：被TCP封装进去的数据，包含应用层协议头部和用户发出的数据。 5.2 请求网页文件时传输层报文分析 下面结合具体的Wireshark的抓包分析TCP报文的特点。如图2所示。

【小技巧】wireshark定位抓包与定位查看

【实用技巧】wireshark过滤抓包与过滤查看在分析网络数据和判断网络故障问题中，都离不开网络协议分析软件（或叫网络嗅探器、抓包软件等等）这个“利器”，通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包，通过分析这些数据包，我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多，比如ethereal（wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪（被誉为国产版sniffer，符合我们的使用习惯）等等，本人水平有限，都是初步玩玩而已，先谈谈个人对这几款软件使用感受，wireshark（ethereal）在对数据包的解码上，可以说是相当的专业，能够深入到协议的细节上，用它们来对数据包深入分析相当不错，更重要的是它们还是免费得，但是用wireshark（ethereal）来分析大量数据包并在大量数据包中快速判断问题所在，比较费时间，不能直观的反应出来，而且操作较为复杂。像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件，不仅仅能解码（不过有些解码还是没有wireshark专业），还能直观形象的反应出数据情况，这些软件会对数据包进行统计，并生成各种各样的报表日志，便于我们查看和分析，能直观的看到问题所在，但这类软件是收费，如果想感受这类专业级的软件，我推荐玩科来网络分析仪技术交流版，免费注册激活，但是只能对50个点进行分析。废话不多说，下面介绍几个wireshark使用小技巧，说的不好，还请各位多指点批评。 目前wireshark最新版本是1.7的，先简单对比下wireshark的1.6和1.7版本。 下面是wireshark的1.6版本的界面图：

wireshark抓包分析

用wireshark分析Http 和Dns 报文 一、http请求报文和响应报文 wireshark所抓的一个含有http请求报文的帧： 1、帧的解释 链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链 路层的一帧。 图中解释： Frame 18：所抓帧的序号是11，大小是409字节 Ethernet ：以太网，有线局域网技术，属链路层 Inernet Protocol：即IP协议，也称网际协议，属网络层 Transmisson Control Protocol：即TCP协议，也称传输控 制协议。属传输层 Hypertext transfer protocol：即http协议，也称超文本传 输协议。属应用层 图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文 报文分析： 请求行： GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本 我们发现，报文里有对请求行字段的相关解释。该报文请求的是一个对象，该对象是图像。 首部行： Accept: */* Referer: https://www.360docs.net/doc/8811256411.html,/这是网站网址 Accept-Language: zh-cn 语言中文 Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Window s NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理，浏览器的类型是Netscape浏览器；括号内 是相关解释 Host: https://www.360docs.net/doc/8811256411.html,目标所在的主机 Connection: Keep-Alive 激活连接 在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：

如何理解wireshark抓取的数据包含义之“Understanding TCP Sequence and Acknowledgment Numbers”

Understanding TCP Sequence and Acknowledgment Numbers By stretch | Monday, June 7, 2010 at 2:15 a.m. UTC If you're reading this, odds are that you're already familiar with TCP's infamous "three-way handshake," or "SYN, SYN/ACK, ACK." Unfortunately, that's where TCP education ends for many networkers. Despite its age, TCP is a relatively complex protocol and well worth knowing intimately. This article aims to help you become more comfortable examining TCP sequence and acknowledgment numbers in the Wireshark packet analyzer. Before we start, be sure to open the example capture in Wireshark and play along. The example capture contains a single HTTP request to a web server, in which the client web browser requests a single image file, and the server returns an HTTP/1.1 200 (OK) response which includes the file requested. You can right-click on any of the TCP packets within this capture and select Follow TCP Stream to open the raw contents of the TCP stream in a separate window for inspection. Traffic from the client is shown in red, and traffic from the server in blue. The Three-Way Handshake TCP utilizes a number of flags, or 1-bit boolean fields, in its header to control the state of a connection. T he three we're most interested in here are: ?SYN - (Synchronize) Initiates a connection ?FIN - (Final) Cleanly terminates a connection ?ACK - Acknowledges received data As we'll see, a packet can have multiple flags set.

使用wireshark抓包分析TCP三次握手

使用wireshark抓包分析TCP三次握手wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。 为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。 wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark. Wireshark(网络嗅探抓包工具) v1.4.9 中文版(包含中文手册+主界面的操作菜单) 评分: 4.6 类别: 远程监控大小:22M 语言: 中文 查看详细信息 >> 下载 1690 次 wireshark 开始抓包 开始界面

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的 时候，你需要选择一个网卡。 loan management (post) review: 1, approval criteria have been implemented; 2, the contract is correct; 3, in line with the contract, payment; 4, no other major cases against loan security;、Reviewed by: date of record form 9: qilu bank borrowing by single years of maximum amount a maximum no-loan borrowers: borrowers: ... Borrower name number, line of credit expiry date year month day to year month day maximum number of years in the loan contract are the top line opened, the borrowed and requested your bank opened credit lines above, is hereby requested. Borrower signature: date agreed to open credit lines. Customer Manager signature: date agreed to open credit lines. Loan review signature: date line cancellation-I did not use the loan amount, your bank credit lines to be cancelled. -Credit loan principal repayment, your bank credit lines to be cancelled. Borrower signature: date-unused credit lines, agree to write off loans. -Credit loan principal repayment,

实验四、使用Wireshark网络分析器分析数据包

实验四、使用Wireshark网络分析器分析数据包 一、实验目的 1、掌握Wireshark工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Wireshark 2、捕捉数据包 3、分析捕捉的数据包 三、实验工具 1、计算机n台(建议学生自带笔记本) 2、无线路由器n台 四、相关预备知识 1、熟悉win7操作系统 2、Sniff Pro软件的安装与使用(见Sniff Pro使用文档)

五、实验步骤 1、安装Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。 Wireshark的主要应用如下： （1）网络管理员用来解决网络问题 （2）网络安全工程师用来检测安全隐患 （3）开发人员用来测试协议执行情况 （4）用来学习网络协议 （5）除了上面提到的，Wireshark还可以用在其它许多场合。 Wireshark的主要特性 （1）支持UNIX和Windows平台 （2）在接口实时捕捉包 （3）能详细显示包的详细协议信息 （4）可以打开/保存捕捉的包 （5）可以导入导出其他捕捉程序支持的包数据格式

（6）可以通过多种方式过滤包 （7）多种方式查找包 （8）通过过滤以多种色彩显示包 （9）创建多种统计分析 五、实验内容 1．了解数据包分析软件Wireshark的基本情况； 2．安装数据包分析软件Wireshark； 3．配置分析软件Wireshark； 4．对本机网卡抓数据包； 5．分析各种数据包。 六、实验方法及步骤 1．Wireshark的安装及界面 （1）Wireshark的安装 （2）Wireshark的界面 启动Wireshark之后，主界面如图：

Wireshark使用教程

第 1 章介绍 1.1. 什么是Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级） 过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark出现以后，这种现状得以改变。Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 1.1.1. 主要应用 下面是Wireshark一些应用的举例： ?网络管理员用来解决网络问题 ?网络安全工程师用来检测安全隐患 ?开发人员用来测试协议执行情况 ?用来学习网络协议 除了上面提到的，Wireshark还可以用在其它许多场合。 1.1. 2. 特性 ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?…还有许多 不管怎么说，要想真正了解它的强大，您还得使用它才行 图 1.1. Wireshark捕捉包并允许您检视其内

1.1.3. 捕捉多种网络接口 Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。想了解支持的所有网络接口类型，可以在我们的网站上找到https://www.360docs.net/doc/8811256411.html,/CaptureSetup/NetworkMedia. 1.1.4. 支持多种其它程序捕捉的文件 Wireshark可以打开多种网络分析软件捕捉的包，详见??? 1.1.5. 支持多格式输出 Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式，详见??? 1.1.6. 对多种协议解码提供支持 可以支持许多协议的解码(在Wireshark中可能被称为解剖)??? 1.1.7. 开源软件 Wireshark是开源软件项目，用GPL协议发行。您可以免费在任意数量的机器上使用它，不用担心授权和付费问题，所有的源代码在GPL框架下都可以免费使用。因为以上原因，人们可以很容易在Wireshark上添加新的协议，或者将其作为插件整合到您的程序里，这种应用十分广泛。 1.1.8. Wireshark不能做的事 Wireshark不能提供如下功能 ?Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。[3]?Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情（名称解析除外，但您也可以禁止解析）。 1.2. 系通需求 想要安装运行Wireshark需要具备的软硬件条件... 1.2.1. 一般说明 ?给出的值只是最小需求，在大多数网络中可以正常使用，但不排除某些情况下不能使用。[4] ?在繁忙的网络中捕捉包将很容塞满您的硬盘！举个简单的例子：在100MBIT/s全双工以太网中捕捉数据将会产生750MByties/min的数据！在此类网络中拥有高速的CPU，大量的内存和足够的磁盘空间是十分有必要的。 ?如果Wireshark运行时内存不足将会导致异常终止。可以在 https://www.360docs.net/doc/8811256411.html,/KnownBugs/OutOfMemory察看详细介绍以及解决办法。 ?Wireshark作为对处理器时间敏感任务，在多处理器/多线程系统环境工作不会比单独处理器有更快的速度，例如过滤包就是在一个处理器下线程运行，除了以下情况例外：在捕捉包时“实时更新包列表”，此时捕捉包将会运行在一个处理下，显示包将会运行在另一个处理器下。此时多处理或许会有所帮助。[5] 1.2.2. Microsoft Windows ?Windows 2000,XP Home版,XP Pro版,XP Tablet PC，XP Media Center, Server 2003 or Vista(推荐在XP下使用) ?32-bit奔腾处理器或同等规格的处理器（建议频率：400MHz或更高）,64-bit处理器在WoW64仿真环境下-见一般说明 ?128MB系统内存（建议256Mbytes或更高） ?75MB可用磁盘空间（如果想保存捕捉文件，需要更多空间） 800*600（建议1280*1024或更高）分辨率最少65536(16bit)色，(256色旧设备安装时需要选择”legacy GTK1”) ?网卡需求： o以太网：windows支持的任何以太网卡都可以 o无线局域网卡：见MicroLogix support list, 不捕捉802.11包头和无数据桢。 o其它接口见：https://www.360docs.net/doc/8811256411.html,/CaptureSetup/NetworkMedia