Wireshark抓包工具的使用(FTP)

一、实验目的1)了解并熟悉Wireshark软件的使用，能够对FTP数据传输进行抓包。

2)能够分析所抓的FTP数据包，进而对应用层FTP协议有一定的了解。

二、实验内容●实验步骤：1)下载Wireshark软件，并安装。

2)下载使用FTP协议的FTP文件传输工具软件flashfxp，并安装。

3)用flashfxp向FTP服务器传文件，运行Wireshark进行抓取FTP包。

●实验过程1、下图为安装好的wireshark软件界面2、这是安装好的flashfxp软件界面3、在wireshark中选择合适的interface，设置参数。

4、在连接FTP服务器之前，本地简单的抓包尝试，Capture -> Interfaces -> star抓包显示如图：5、在flashFXP中设置站点，进行登录链接FTP服务器，文件传输，传输了一个网页文件和一个名为lzfspoht的图片。

截图如下：6、开始抓包，得到结果三、总结与展望通过本次实验，了解了wireshark软件的使用，对ftp协议有了更深的了解。

使用了flash FXP软件，登录实验室的FTP服务器，实现文件传输。

然后用wireshark进行抓包行动。

实验过程中遇到了一些问题，比如一开始因为对FTP了解的不够，导致在进行FTP服务器连接是屡战屡败。

后来了解到同时在一台电脑上设置FTP服务器并抓包是不会成功的，最后，在学长的帮助下才了解了FTP服务器连接的有关知识和操作，最终成功用wireshark 抓取FTP包。

总之，整个实验过程学习到了很多知识，提高了解决问题的能力。

wireshark抓包语句
Wireshark是一款功能强大的网络协议分析工具，可以捕获和分析网络数据包。

通过使用Wireshark抓包语句，可以获取网络通信中的各种信息，包括协议类型、源IP地址、目标IP地址、端口号等。

以下是一些使用Wireshark抓包语句的示例：
1. 抓取所有传输层协议为TCP的数据包：
`tcp`
2. 抓取源IP地址为192.168.1.1的数据包：
`ip.src == 192.168.1.1`
3. 抓取目标IP地址为192.168.1.1的数据包：
`ip.dst == 192.168.1.1`
4. 抓取源端口号为80的数据包：
`tcp.srcport == 80`
5. 抓取目标端口号为80的数据包：
`tcp.dstport == 80`
6. 抓取源IP地址为192.168.1.1且目标IP地址为192.168.1.2的数据包：
`ip.src == 192.168.1.1 && ip.dst == 192.168.1.2`
7. 抓取HTTP协议的数据包：
`http`
8. 抓取FTP协议的数据包：
`ftp`
9. 抓取所有传输层协议为UDP的数据包：
`udp`
10. 抓取包含特定关键词的数据包：
`contains "keyword"`
通过使用这些Wireshark抓包语句，可以根据实际需要捕获和分析特定的网络数据包，以便进行网络故障排除、网络安全分析等工作。

使用Wireshark抓包语句可以帮助我们更好地理解网络通信过程，并解决与网络相关的问题。

Wireshark使用教程详解带实例Wireshark是一款开源网络分析工具，它能够捕获和分析网络流量，使用户能够深入了解网络通信过程中发生的问题和异常。

本文将详细介绍Wireshark的使用方法，并通过实例演示其在网络故障排除和网络性能优化中的应用。

一、Wireshark安装和准备工作二、捕获和过滤数据包Wireshark具有强大的过滤功能，可以根据多种条件过滤所捕获的数据包，以减少不必要的数据包显示。

在捕获界面的过滤栏中输入过滤表达式，如“ip.addr==192.168.0.1”以显示所有源或目标IP地址为192.168.0.1的数据包。

三、分析数据包1. 分析摘要面板（Summary）摘要面板显示了捕获数据包的概要信息，如协议、源和目标地址、数据包大小等。

通过查看该面板可以迅速了解网络通信中所使用的协议和各个数据包的交互情况。

2. 分层面板（Packet List）分层面板以树状结构显示了选定数据包的详细信息。

它将数据包分为各个协议层次，并展开显示每个层次的具体字段信息。

用户可以展开或折叠每个协议层次，以查看其所包含的字段详细信息。

3. 字节流面板（Bytes）字节流面板以十六进制和ASCII码显示了选定数据包的原始数据内容。

用户可以通过该面板查看数据包的详细内容，并进一步分析其中的问题。

4. 统计面板（Statistics）统计面板提供了关于捕获数据包的各种统计信息。

用户可以查看每个协议的数据包数量、平均包大小、传输速率等。

此外，Wireshark还提供了更高级的统计功能，如流量图表、分析数据包时间间隔等。

四、实例演示为了更好地说明Wireshark的使用方法，我们将以现实应用场景为例进行实例演示。

假设我们在一个企业内部网络中发现了网络延迟问题，我们希望通过Wireshark来定位问题的根源。

首先打开Wireshark并选择要监听的网络接口，然后开始捕获数据包。

在捕获过程中，我们注意到在与一些服务器的通信中出现了较长的延迟。

Wireshark抓包分析指南Wireshark抓包指南⽬录⼀.Wireshark⼯具介绍 (2)⼆.Wireshark安装 (2)三.wireshark⽹卡配置 (7)四.SIP协议分析 (8)1.SIP注册流程 (8)2.SIP呼叫流程 (9)3.DTMF分析 (10)4.RTP媒体分析 (11)⼀.Wireshark⼯具介绍Wireshark是⼀个⽹络数据库分析软件，功能⼗分强⼤。

可以截取各种⽹络封包，包括HTTP，TCP，UDP，SIP等⽹络协议，显⽰⽹络封包的详细信息。

⼆.Wireshark安装1.wireshark下载，下载地址：/doc/c1efd82b680203d8ce2f24af.html /download.html，根据⾃⼰笔记本系统选择合适的安装包2.安装步骤：a.双击wireshark安装包，点击nextb.License agreement信息，点击I Agress继续c.选择组件，默认安装所有组件，点击next继续d.创建快捷⽅式，关联⽂件类型，点击next继续e.选择wireshark的安装路径，点击next继续d.选择安装WinPcap，该插件⽤于监听⽹络的数据库，点击Install安装：e.Wincap 4.1.3安装，点击next继续：d.点击I Agree继续：e.选择Automatically start the WinPcap driver at boot time，点击Install 安装：f.点击finish启动wireshark。

三.wireshark⽹卡配置点击菜单“Capture”>”Interface”，选择所需要抓去信息的⽹卡：如果要抓取IAD的数据包，笔记本有线⽹卡和IAD的⽹卡都连接在HUB上，在笔记本上抓取有线⽹卡的数据包即可抓到IAD的所有的数据库包。

四.SIP协议分析1.SIP注册流程通过sip关键字来过滤sip包2.SIP呼叫流程可根据sip包头的Call-ID字段可以完整过滤出⼀个呼叫的流程：3.DTMF分析DTMF⽅式可分为三种：SIP Info、RFC2833和Tone。

实验 - 使用 Wireshark 以检查 FTP 和 TFTP 捕获背景/场景TCP/IP 传输层的两种协议为 TCP（在 RFC 761 中定义）和 UDP（在 RFC 768 中定义）。

两个协议都支持上层协议通信。

例如，TCP 为超文本传输协议 (HTTP) 和 FTP 等协议提供传输层支持； UDP 为域名系统 (DNS) 和 TFTP 诸如此类的操作提供传输层支持。

注意：理解 TCP 和 UDP 报头各部分及其运行方式是网络工程师应该掌握的关键技能。

本实验第1 部分，您将使用 Wireshark 开源工具来捕获和分析TCP 协议报头字段，以便在主机计算机与匿名FTP 服务器之间进行 FTP 文件传输。

Windows 命令行实用程序用于连接到匿名 FTP 服务器并下载文件。

本实验第 2 部分，您将使用 Wireshark 来捕获和分析 UDP 协议报头字段，以便在主机计算机与交换机 S1 之间进行TFTP 文件传输。

注意：所用的交换机是采用 Cisco IOS Release 15.0(2)（lanbasek9 映像）的 Cisco Catalyst 2960 系列。

也可使用其他交换机以及 Cisco IOS 版本。

根据型号以及 Cisco IOS 版本不同，可用命令和产生的输出可能与实验显示的不一样。

注意：确保已经擦除交换机的启动配置。

如果不确定，请联系教师。

注意：第 1 部分假设 PC 具有互联网访问，不能使用 Netlab 进行实验。

第 2 部分可以使用 Netlab。

拓扑 - 第 1 部分 (FTP)第 1 部分重点介绍 FTP 会话的 TCP 捕获。

此拓扑包括一台能够访问互联网的 PC。

拓扑 - 第 2 部分 (TFTP)第 2 部分重点介绍 TFTP 会话的 UDP 捕获。

PC 必须具有到交换机 S1 的以太网连接和控制台连接。

地址分配表（第 2 部分）目标第 1 部分：使用 Wireshark 捕获 FTP 会话，了解 TCP 报头的字段及其工作方式。

wireshark抓包工具用法wireshark啊，这可是个超有趣又超有用的抓包小能手呢。

咱先说说这wireshark的界面吧。

打开它就像打开了一个装满各种网络小秘密的百宝盒。

界面上有好多栏，就像是一个个小格子，每个格子都有它的用处。

最上面那栏，就像是一个小导航，能让你找到各种功能按钮。

左边那一栏呢，像是个小目录，把抓到的包都整整齐齐地列在那儿。

而中间那一大块地方，就像是个大舞台，每个抓到的包都在这儿展示自己的详细信息。

抓包之前啊，得先选好要抓包的网络接口。

这就好比钓鱼之前得选好鱼竿要放的地方。

如果选错了接口，就像在没鱼的小水坑里钓鱼，啥也抓不到。

一般电脑上会有好几个网络接口，像有线网卡、无线网卡啥的。

要是你想抓无线的包，就得选那个无线网卡对应的接口。

怎么选呢？在wireshark的界面里仔细找一找，能看到一个像小齿轮旁边有好多小线条的图标，点进去就能看到那些接口啦，然后挑中你想要的那个就行。

开始抓包的时候啊，就像按下了一个魔法按钮。

一瞬间，各种包就像小虫子一样纷纷被捕捉到了。

你会看到左边的小目录里包的数量蹭蹭往上涨。

这时候可别急，每个包都像是一个带着小秘密的小包裹。

你要是想看看某个包里面到底装了啥，就点一下它。

然后中间的大舞台就会把这个包的详细信息都展示出来。

比如说，有这个包的源地址、目的地址，就像是写信的时候的寄信人和收信人地址一样。

还有这个包的协议类型，是TCP 呢还是UDP，这就好比是信件是用挂号信的方式寄的（TCP比较可靠），还是像明信片一样随便寄寄（UDP速度快但不太可靠）。

要是你想找特定类型的包，这也不难。

wireshark有个很厉害的小功能，就像一个小筛子一样。

比如说你只想看HTTP协议的包，因为你想知道网页之间是怎么传递信息的。

那你就可以在上面的搜索栏里输入“HTTP”，然后神奇的事情就发生了，那些不是HTTP协议的包就像小沙子一样被筛掉了，只剩下HTTP协议的包展现在你眼前。

实训三利用WireShark分析FTP包一、实训目的1.用Wireshark 捕获和分析FTP 通信数据。

2.了解主动模式与被动模式FTP的工作过程。

二、实训设备1.接入Internet的计算机主机；2.FTP server；3.抓包工具WireShark。

三、实训内容1. 关于FTP协议FTP 的主要功能如下：•提供文件的共享（计算机程序 / 数据）；•支持间接使用远程计算机；•使用户不因各类主机文件存储器系统的差异而受影响；•可靠且有效的传输数据。

FTP服务器可以直接被终端用户使用，也可以使用FTP客户端程序访问。

大多数 FTP 控制帧是简单的 ASCII 文本，可以分为 FTP 命令或 FTP 消息。

FTP命令可在FTP命令模式下用“？”或“help”进行学习，FTP消息是对FTP 命令的响应，它由带有解释文本的应答代码构成。

2.安装FTP服务器及Telnet服务器与客户端开始→控制面板→程序或功能：“打开或关闭Windows功能”→打开“Internet信息服务”-选中“FTP服务器”→选中“Telnet客户端”“Telnet服务器”步骤1：打开记事本，新建文件，内容任意，保存文件在“c:\inetpub\ftproot\本人学号”目录下，命名为“abc.txt”步骤2：验证FTP服务器。

启动Web浏览器或资源管理器，地址栏输入ftp://合作同学的IP，以验证FTP服务器是否正常运行。

3. 使用FTP传输文件并捕获与分析数据包步骤1：打开Wireshark，开始捕获。

步骤2：采用命令行连接合作同学的FTP服务器，启动本主机命令行FTP 客户端。

1. 单击开始> 运行，然后键入“cmd”并单击确定。

2. 使用Windows FTP 客户端实用程序启动主机计算机与FTP 服务器的FTP 会话，命令如下：ftp 合作同学的IP。

要进行身份验证，请使用anonymous 为用户ID。

在响应口令提示时，按<ENTER>。

wireshark抓包教程Wireshark 抓包教程：1. 下载安装 Wireshark：从官方网站下载最新版本的 Wireshark 并安装在您的计算机上。

2. 启动 Wireshark：打开 Wireshark 软件，您将看到一个主界面。

3. 选择网络接口：在 Wireshark 左上角的"捕获选项"中，选择要抓取数据包的网络接口。

如果您使用有线连接，选择相应的以太网接口；如果您使用无线网络，选择无线网卡接口。

4. 开始捕获数据包：点击"开始"按钮来开始捕获数据包。

Wireshark 将开始监听选定的网络接口上的数据传输。

5. 分析捕获的数据包：在捕获数据包的过程中，Wireshark 将显示捕获的数据包详细信息。

您可以使用过滤器来筛选显示特定协议的数据包。

6. 分析数据包内容：双击某个数据包，Wireshark 将显示详细的包内容，包括源地址、目的地址、协议类型等信息。

您还可以查看数据包的各个字段。

7. 导出数据包：如果您需要将捕获的数据包保存到本地供后续分析或分享，可以使用"文件"菜单中的"导出"选项。

8. 终止捕获数据包：点击"停止"按钮来终止捕获数据包。

停止捕获后，Wireshark 将显示捕获过程的统计信息，如捕获的数据包数量、捕获的数据包大小等。

9. 清除捕获数据包：在捕获数据包后，如果您想清空捕获的数据包列表，可以选择"捕获"菜单中的"清除列表"。

以上就是使用 Wireshark 进行抓包的基本教程。

通过分析捕获的数据包，您可以深入了解网络通信过程，并解决网络故障或安全问题。

实验八使用Wireshark分析FTP协议一、实验目的分析FTP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤HTTP和FTP都可以用来通过网络传输对象和文件，但它们的工作方式截然不同。

HTTP侧重于传送立即浏览的文件或供暂时高速缓存于客户端的文件。

HTTP还侧重于表达那些包含了用于规定文件格式的首部信息，以便让浏览器能正确解释内容。

而FTP却更侧重于专门进行数据传输，让用户自己去决定文件在本机上的存储时间和如何处理数据。

FTP是一种有状态的协议。

FTP客户端与服务器建立一个持续的会话，并通过这个会话发送多个请求。

启动会话要输入用户名和密码，然而许多FTP服务器允许公开访问，即客户端可以使用匿名登录（anonymous）及随意设置的密码连接。

一旦建立连接，对FTP会话的操作类似命令行下的操作，用户在提示符下操作，并能浏览一些文件和目录。

用户在浏览目录时，FTP服务器保持对用户目录位置的跟踪。

用户还可以请求从服务器获取文件或向服务器存储文件，对这些请求的解释与当前工作的目录有关。

FTP总是为正在进行的控制通道维持一个TCP连接，然后建立一个独立的用于数据传输的TCP连接。

控制通道通常建立在从客户端到FTP服务器端口21的连接，它用于描述每一个使用中的数据通道的属性，包括客户端或服务器是否启动传输，以及用什么IP地址和端口连接。

用RFC-Editor搜索功能找到定义FTP协议的RFC文档。

搜索结果表明该RFC文档在URL ftp:///in-notes/rfc 959.txt 找到。

如果你在浏览器窗口中输入以ftp://开头的URL，那么它将作为FTP客户端来获取想要的文件。

1、俘获FTP分组（1）启动Wireshark嗅探器。

（2）使用FTP工具或浏览器进入：ftp://202.120.222.71（3）在停止分组俘获。

如图8.1所示：图8.1 俘获的FTP分组2、查看FTP控制通道（1）本地客户端首先为控制通道初始化了一个到服务器上FTP端口（端口21）的TCP连接。