wireshark抓包分析实验报告

PPPoE建立过程抓包分析准备工作：1.开启wireshark，设置过滤条件PPPoed or pppoes，点击apply应用2.点击PPPoE宽带进行连接(至于如何创建连接什么的自己百度去)3.连接完成，即可进行抓包分析了。

PPPOE建立过程抓包分析1、发现阶段Discovery1.PADI：客户机以广播的形式发送PADI数据包，请求建立链路。

2.PADO:访问集中器AC收到请求后会以单播的方式发送一个PADO数据包对客户机做出应答。

3.PADR：客户机收到PADO后，选择其中一个AC，然后客户机根据选中的AC 的MAC地址向AC单播发送一个PADR数据包，表示请求该AC作为服务器。

4.PADS：AC收到客户机发送的PADR数据包后，会创建一个唯一的会话ID，并单播一个PADS数据包给客户机作为响应。

2、会话阶段PPP1.协商阶段：客户机和AC要互相发送LCP Request给对方，来确认发送的最大传输单元、是否认证和采用何种认证方式的协商。

(1)确定采用认证方式(2)确定最大传输单元2.认证阶段：双方通过LCP确定好认证方式后，就立刻进行认证，认证完成后才可以进行之后的网络层的协商。

该过程可以抓包到PPPOE拨号的用户名及加密后的密码。

3.IPCP协商阶段：双方协商IP服务阶段的一些要求，已决定双方都能接收的约定。

双方的协议是通过报文中的Option进行协商的，每一个Option都是一个需要协商的问题。

则个过程一般协商多次。

最后双方都需要答复Configure_ACK的同意报文。

(1)客户机同意报文A.AC发起申请RequestB.客户机确认，发起ACK报文(2)AC同意报文（该过程可能需要很多次协商，下面只列举失败和成功各一次）：A.客户机发起申请RequestB.AC拒绝RejectC.客户机重新发起新的申请RequestD.AC确认，发送ACK报文当双方都发完ACK报文后，用户确认收到，获得IP和DNS Server IP，PPPoE即拨号成功。

计算机与信息科学学院实验报告（2012—2013学年第一学期）课程名称：网络安全实验班级：学号：姓名：任课教师：计算机与信息科学学院实验报告（二）、实验步骤：1、安装Wireshark（1）双击文件夹中的可执行文件，如图1所示。

图1 Wireshark的可执行文件(2)该对话框时一个安装提示，如果之前没有安装过该文件，则点击下一步，如图2所示。

图2 确认对话框（3）图3所示是一个关于该软件的许可证说明，可以忽略，点击下一步。

图3 Wireshark的许可说明（4）在图4中罗列出来的是一些可选安装组件，可根据实际需要选择安装图4 选择安装组件（5）以下是关于该软件的图标创建位置和支持的文件拓展，图标部分可根据实际情况选择，然后点击下一步，如图5所示。

图5 快捷方式（6）程序的安装位置，这里选择默认，点击下一步。

图6 程序安装位置（7）安装WinPcap插件，在这一步必须勾选安装，不然无法进行以下的实验。

图7 勾选WinPcap插件（8）下面开始进入WinPcaP插件的安装过程，点击下一步，如图8所示。

图8 安装WinPcaP（9）这一步是对WincaP插件的介绍，可以不用理会，继续下一步。

图9 WinPcaP介绍（10）WinPcaP的许可协议，点击“I Agren”，如图10所示。

图10 许可协议（10）在系统引导时自动启动该插件，默认选择，点击“Install”，如图11所示。

图11 WinPcaP的自动启动（11）经过了那么多步，终于到尽头了。

直接点“Finish”，结束WinPcaP的安装。

图12 WinPcaP安装结束（12）插件安装完了，点击下一步，如图13所示。

图13 Wireshark安装结束（13）Wireshark安装的最后一步，勾选“Run Wireshark……”，点击“Finish”图14 Wireshark成功安装2、Wireshark的基本操作（1）在ip为192.168.0.4的虚拟主机上双击安装好的Wireshark可执行文件“Wireshake.exe”，弹出Wireshark操作界面。

计算机通信与网络实验报告实验题目：抓包并进行分析班级：..姓名：..学号：..Wireshark抓包分析Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息，与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

一、安装软件并抓包1：安装并运行wireshark并打开捕获界面。

2、捕获选项图1捕获选项的设置3、开始抓包点击上图中的“Start”开始抓包几分钟后就捕获到许多的数据包了，主界面如图所示：图2 主界面显示如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第8个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。

二、分析UDP、TCP、 ICMP协议1、UDP协议UDP 是User Datagram Protocol的简称，中文名是用户数据包协议，是 OSI 参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。

它是IETF RFC 768是UDP的正式规范。

（1） UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。

在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。

（2）由于传输数据不建立连接，因此也就不需要维护连接状态，包括收发状态等，因此一台服务机可同时向多个客户机传输相同的消息。

（3） UDP信息包的标题很短，只有8个字节，相对于TCP的20个字节信息包的额外开销很小。

用wireshark分析Http 和Dns 报文一、http请求报文和响应报文wireshark所抓的一个含有http请求报文的帧：1、帧的解释链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。

而wireshark抓到的就是链路层的一帧。

图中解释：Frame 18：所抓帧的序号是11，大小是409字节Ethernet ：以太网，有线局域网技术，属链路层Inernet Protocol：即IP协议，也称网际协议，属网络层Transmisson Control Protocol：即TCP协议，也称传输控制协议。

属传输层Hypertext transfer protocol：即http协议，也称超文本传输协议。

属应用层图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文报文分析：请求行：GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本我们发现，报文里有对请求行字段的相关解释。

该报文请求的是一个对象，该对象是图像。

首部行：Accept: */*Referer: /这是网站网址Accept-Language: zh-cn 语言中文Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive 激活连接在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：Accept: */*Referer: /thread-345413-1-1.html这是html文件网址Accept-Language: zh-cn 语言中文Accept-Encoding: gzip, deflate 可接受编码，文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT 内容是否被修改：最后一次修改时间If-None-Match: "9a4041-197-2f11e280" 关于资源的任何属性（ET ags值）在ETags的值中可以体现，是否改变User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive 激活连接Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY 24VDbjc1Acookie，允许站点跟踪用户，coolie ID是7ab350574834b14b3、分析http的响应报文，针对上面请求报文的响应报文如下：wireshark对于2中http请求报文的响应报文：展开http响应报文：报文分析：状态行：HTTP/1.0 200 OK首部行：Content-Length: 159 内容长度Accept-Ranges: bytes 接受范围Server: nginx 服务器X-Cache: MISS from 经过了缓存服务器Via::80(squid/2.6.STABLE14-20070808) 路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT 响应信息创建的时间Content-Type: image/gif 内容类型图像Expires: Fri, 22 Oct 2010 12:10:19 GMT 设置内容过期时间Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT 内容最后一次修改时间Powered-By-ChinaCache:PENDING from CNC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络（CDN）在中国的服务提供商。

实验2 wireshark或sniffer抓包软件使用实本次实验使用wireshark抓包软件。

开启的应用程序有：IE，QQ, QQ音乐。

过滤的UDP 的报文。

结果：抓取的报文：14 2.915765000 tencent_private DFAUT QQMusicExternal.exe 222.18.168.170119.177.224.41 UDP 121 Source port: http Destination port: hosts2-ns即第14号报文，时间为2.915765000，应用程序名称：tencent_private，应用哈希：DFAUT, 应用程序模块：QQMusicExternal.exe，源地址：222.18.168.170，目标地址：119.177.224.41，协议：UDP，包长度：121，信息：源端口：http；目的端口：hosts2-ns。

结果说明：链路层：以太网；网络层：IP协议；传输层：UDP；应用层：qq的私有协议。

详细情况：展开后的情况：（由于此段最后一项过长不好截图，故将其复制过来了）Frame 14: 121 bytes on wire (968 bits), 121 bytes captured (968 bits) on interface 0Interface id: 0Encapsulation type: Ethernet (1)Arrival Time: Dec 3, 2013 11:15:50.371006000 中国标准时间Time shift for this packet: 0.000000000 secondsEpoch Time: 1386040550.371006000 secondsTime delta from previous captured frame: 0.010828000 secondsTime delta from previous displayed frame: 0.010828000 secondsTime since reference or first frame: 2.915765000 secondsFrame Number: 14Frame Length: 121 bytes (968 bits)Capture Length: 121 bytes (968 bits)Frame is marked: FalseFrame is ignored: FalseProtocols in frame: eth:ai:ip:udp:dataColoring Rule Name: Checksum ErrorsColoring Rule String: eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1画面14：121字节线（968位），121个字节（968位）捕获接口0接口编号：0封装类型：以太网（1）到达时间：2013年12月3日50.371006000中国标准时间11:15:这个包的时间变化：0秒时间：1386040550.371006000秒以前捕获的帧时间三角：0.010828000秒从以前的显示帧时间三角洲：0.010828000秒由于参考或第一帧的时间：2.915765000秒帧号：14帧长度：121字节（968位）捕获长度：121字节（968位）帧标记：假框架是忽视：假协议的框架：ETH：AI：IP UDP数据：：着色规则名称：校验和错误着色规则字符串：ETH。

网络抓包分析实验报告一：实验目的：1. 学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析IP，ICMP的报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构5、抓ICMP时在开始->运行cmd->tracert 五：分析1：IP报文分析报文格式：截图：分析：由图可知：IP报文版本号是IPV4，首部长度：20 bytes，数据包总长度：58，标示符：0x7335，标志：0x00，比特偏移：0，寿命：112，上层协议：UDP，首部校验和：0x071d，并且是正确的。

源IP地址：61.142.208.196目的IP地址：192.168.1.102二：ＩＣＭＰ报文分析截图如下：ICMP格式有抓包显示截图可知：类型：8 （回显请求）代码/编码：0校验和：0xf2ff（正确的校验和）标示符：0x0300；序列号：512(0x0200)通过这次试验，培养了自己动手的能力，另外，通过对wireshark抓包软件的使用，用其来抓取数据包，对ip, icmp报文的格式有了进一步的了解，通过对报文格式的分析，并且把课本上多学的理论知识与实践结合起来，对以前的知识得到深化和巩固，为以后学习新的知识打下基础，也提高了学习的兴趣，收获很大。

Wireshark抓包分析CONTENTS5 TCP协议抓包分析5.1 TCP协议格式及特点5.2实例分析6 UDP协议的抓包分析6.1 UDP报文格式及特点6.2流媒体播放时传输层报文分析Word资料5 TCP 协议抓包分析5.1 TCP 协议的格式及特点2 .......... . ...... . 序列号，吕卯 .............. ......... .......…确认号 .&ck_非q・，・》*>■*・L A P R S F >■*・*・ I ■ »*>■*・*・ I ■ b * H * I- -fa ■■ I I- k- k- 4- I- -fa4 首部长度|.保留(6). . |R|C|S|S|¥|1| .......... window|..doff., > |. . ■ . *. . G K H T \ X . ........ ......... .... .............. ....5 ................. 校验和.ch«ck^ ...... .......................................... 紧急指针.|I .......... 迭项 ........................... 填充字节一.|图1 TCP 协议报头格式源端口：数据发起者的端口号； 目的端口：数据接收方的端口号；32bit 序 列号，标识当前数据段的唯一性；32bit 的确认号，接收数据方返回给发送方的 通知；TCP 头部长度为20字节，若TCP 头部的Options 选项启用，则会增加首 部长度，因此TCP 是首部变长的传输层协议；Reserved 、Reserved 、Nonce 、CWR 、 ECN-Echo ：共6bit,保留待用。

URG: 1bit 紧急指针位，取值1代表这个数据是紧急数据需加速传递，取值 0代 表这是普通数据；ACK: 1bit 确认位，取值1代表这是一个确认的TCP 包，取值0则不是确认包；行 D ...... 4 ...... S.. 1D (16)1 I ... 源端口 « STC -pO27t目的端口. dst-poit.....PSH: 1bit紧急位，取值1代表要求发送方马上发送该分段，而接收方尽快的将报文交给应用层，不做队列处理。

电⼦科⼤⽹络安全实验2Wireshark抓包分析实验完整分析实验2 Wireshark抓包分析实验⼀、实验原理TCP三次握⼿准则介绍TCP是因特⽹中的传输层协议，使⽤三次握⼿协议建⽴连接。

当主动⽅发出SYN连接请求后，等待对⽅回答SYN，ACK。

这种建⽴连接的⽅法可以防⽌产⽣错误的连接，TCP使⽤的流量控制协议是可变⼤⼩的滑动窗⼝协议。

第⼀次握⼿：建⽴连接时，客户端发送SYN包(SEQ=x)到服务器，并进⼊SYN_SEND状态，等待服务器确认。

第⼆次握⼿：服务器收到SYN包，必须确认客户的SYN(ACK=x+1),同时⾃⼰也送⼀个SYN包(SEQ=y),即SYN+ACK包，此时服务器进⼊SYN_RECV状态。

第三次握⼿：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=y+1),此包发送完毕，客户端和服务器进⼊Established状态，完成三次握⼿。

HTTP协议介绍HTTP协议⽤于在Internet上发送和接收消息。

HTTP协议是⼀种请求-应答式的协议 ——客户端发送⼀个请求，服务器返回该请求的应答，所有的请求与应答都是HTTP包。

HTTP协议使⽤可靠的TCP 连接，默认端⼝是80。

HTTP的第⼀个版本是HTTP/0.9，后来发展到了HTTP/1.0，现在最新的版本是HTTP/1.1。

HTTP/1.1由RFC 2616 定义。

⼆、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2、了解IP数据包格式，能应⽤该软件分析数据包格式。

3、了解HTTP请求中的三次握⼿准则，并能利⽤该软件对该过程进⾏简要分析。

三、实验内容（1）安装wireshark软件，并使⽤该软件捕获HTTP请求中的报⽂，分析该过程中TCP建⽴连接的握⼿过程以及报头各字段的含义，记录实验结果和数据。

（2）尝试利⽤wireshark软件捕获Ping请求中的报⽂，并分析报⽂中各字段的含义，记录实验结果和数据。