实验一 wireshark抓包工具使用

Wireshark的抓包及过滤规则实验Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

Wireshark的优势：- 安装方便。

- 简单易用的界面。

- 提供丰富的功能。

Wireshark的原名是Ethereal，新名字是2006年起用的。

当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。

但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

实验一抓ARP包一：安装并运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。

二：几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据三：开始分析数据在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply”按钮截图（替换掉该图）现在只有ARP协议了，其他的协议数据包都被过滤掉了。

注意到中间部分的三行前面都有一个“+”，点击它，这一行就会被展开。

如下图所示：截图（替换掉该图）现在展开第一行。

看到的结果如下：截图（替换掉该图）在上图中我们看到这个帧的一些基本信息：帧的编号：帧的大小：帧被捕获的日期和时间：帧距离前一个帧的捕获时间差：帧距离第一个帧的捕获时间差：帧装载的协议：现在展开第二行：截图（替换掉该图）我们可以看到：目的地址（Destination）：源地址（Source）：帧中封装的协议类型：Trailer：是协议中填充的数据，为了保证帧最少有64字节。

wireshark抓包教程Wireshark是一款常用的网络分析工具，它可以用来抓取网络数据包，并对网络通信进行分析和故障排查。

本文将为大家介绍使用Wireshark进行抓包的基本步骤和注意事项。

第一步：安装Wireshark首先，你需要在Wireshark官网下载并安装最新版本的软件。

安装完成后，打开Wireshark。

第二步：配置网络接口在Wireshark界面的左上角选择合适的网络接口，比如网卡或者无线网卡接口。

一般来说，如果你的电脑只有一个网卡，这个选项将自动选择。

如果有多个网卡，可以通过点击菜单栏的"捕获"->"选项"，在弹出的对话框中选择合适的网卡接口。

第三步：开始抓包点击Wireshark界面的“开始”按钮，在弹出的对话框中选择保存抓包文件的路径和文件名。

你可以选择将数据包保存到本地文件，也可以直接在Wireshark界面中查看抓包数据。

第四步：过滤数据包Wireshark抓包时会记录所有经过网络接口的数据包，如果网络通信比较频繁，抓包文件可能会非常庞大。

为了便于分析，我们可以使用过滤器来筛选出特定的数据包。

在Wireshark界面的过滤栏中输入过滤器规则，比如可以输入"tcp"来只展示TCP数据包，或者输入IP地址来只展示与该地址相关的数据包。

第五步：停止抓包当你想要停止抓包时，可以点击Wireshark界面的“停止”按钮，或者按下快捷键Ctrl+E。

第六步：数据包分析在Wireshark界面中，你可以看到抓包数据的详细信息，包括源地址、目的地址、协议类型、数据包长度等等。

通过点击各个字段，你可以查看详细的协议解析信息。

比如，你可以查看TCP数据包的源端口、目的端口、TCP标志位等信息，或者查看HTTP数据包的请求头和响应头。

第七步：保存和导出数据包如果你需要保存抓包数据，可以点击Wireshark界面上方的“保存”按钮，将抓包数据保存为pcapng格式的文件。

Wireshark抓包实验报告西安郵電學院计算机⽹络技术及应⽤实验报告书系部名称：管理⼯程学院学⽣姓名：xxx专业名称：信息管理班级：10xx学号：xxxxxxx时间：2012 年x ⽉x ⽇实验题⽬Wireshark抓包分析实验⼀、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包2、了解IP数据包格式，能应⽤该软件分析数据包格式3、查看⼀个抓到的包的内容，并分析对应的IP数据包格式⼆、实验内容1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显⽰结果。

4、选择某⼀⾏抓包结果，双击查看此数据包具体结构。

5、捕捉IP数据报。

①写出IP数据报的格式。

②捕捉IP数据报的格式图例。

③针对每⼀个域所代表的含义进⾏解释。

三、实验内容（续，可选）1、捕捉特定内容捕捉内容：http步骤：①在wireshark软件上点开始捕捉。

②上⽹浏览⽹页。

③找到包含http格式的数据包，可⽤Filter进⾏设置，点击中的下拉式按钮，选择http。

④在该数据帧中找到Get 的内容。

实验体会Wireshark抓包分析实验报告⼀．实验⽬的1.了解并初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2.了解IP数据包格式，能应⽤该软件分析数据包格式。

3.查看⼀个抓到的包的内容，并分析对应的IP数据包格式。

⼆．主要仪器设备协议分析软件Wireshark，联⽹的PC机。

三．实验原理和实验内容1 安装WireShark。

这个不⽤说了，中间会提⽰安装WinPcap,⼀切都是默认的了搞定！！2打开wireshark ，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

3打开WireShark,选择"Capture>>Interfaces",选择⾃⼰的⽹卡，设置完成后，选择"Start"开始监控流量。

关于wireshark抓包工具的使用
说明：wireshark，分为windows版本、linux版本，适合在主站、站端使用，主站装在工作站上，测试抓取本机网卡的包，站端装在笔记本上，抓取本机网卡的包。

使用时配合通用103、61850工具或本公司录波联网主站软件、站端虚拟机测试软件。

本软件使用的目的是：快速排查问题的点位，快速区分责任主体。

请各位联网人员理解、掌握本项技能。

Wireshark抓包工具使用，抓包步骤：
1、笔记本网线连接录波器装置，保证可ping。

2、网络调试后即可双击启动wireshark
3、运行wireshark，如下
软件版本一：软件界面
点击capture-
选择options
接口选择local，后面紧跟着是本地网卡选项
然后点击start，开始记录。

然后出现数据传输现象，这时候你开启相应的软件开始测试。

测试完了之后按stop停止并保存所抓的包到本地电脑。

软件版本二：
点击捕获--选择本地网口---开始
完成后点击文件---保存。

Wireshark抓包实验⼀、实验名称利⽤Wireshark抓包并分析 TCP/IP 协议⼆、实验⽬的通过实验，了解和掌握报⽂捕获⼯具 Wireshark 的使⽤⽅法和基本特点，使⽤ Wireshark 捕获⽹络报⽂，并分析各种⽹络协议的报⽂格式和⼯作过程。

三、实验内容使⽤ Wireshark 捕获⽹络报⽂，分析以太⽹、ARP、IP、TCP、DNS 和 HTTP 等协议的报⽂格式和⼯作过程。

四、实验步骤DNS分析在 cmd 下运⾏：nslookup –type=Anslookup –type=NS nslookup –type=MX nslookup –type=A 然后⽤Wireshark捕获报⽂并分析DNS和UDP协议的报⽂格式和⼯作过程。

ICMP分析在cmd下运⾏pingtracert然后⽤Wireshark捕获报⽂并分析 ICMP 报⽂格式和⼯作过程。

TCP/IP分析a) 在浏览器输⼊ ⽹址后，然后⽤ Wireshark 捕获报⽂并分析HTTP，TCP，IP，ARP和以太⽹等协议的报⽂格式和⼯作过程。

b) 运⾏各⾃编写的 UDP 和 TCP 客户/服务器程序并进⾏抓包分析。

五、实验结果及分析（⼀）DNS分析通过ipconfig命令查看IP、⽹关地址IP地址192.168.43.217默认⽹关192.168.43.1DNS报⽂格式DNS分析⼤体相同，就选择其⼀进⾏分析1.在cmd下运⾏nslookup -type=A ⾮权威应答：110.53.188.133 113.247.230.248 202.197.9.133应答服务器地址为192.168.43.1，为默认⽹关地址利⽤wireshark进⾏抓包分析，筛选DNS报⽂，本次运⾏有4个DNS报⽂，可以看出对应请求包和响应包的源IP与⽬的IP刚好相反。

Query这是⼀个请求报⽂。

⾸先主机发送⼀个 DNS 报⽂。

DNS 采⽤ UDP 协议⽀持。

实验一Wireshark报文捕捉实验一、实验目的1.掌握Wireshark抓包软件的基本使用方法；2.使用Wireshark抓取Telnet的数据报，分析IP头结构；3.使用Wireshark抓取Telnet的数据报，分析TCP头的结构、分析TCP的“三次握手”和“四次挥手”的过程。

二、实验环境1.运行Windows的PC机；2.Wireshark软件；3.Winpcap软件。

三、实验原理1.IP头结构；IP包头长度（Header Length）：长度4比特.这个字段的作用是为了描述IP包头的长度,因为在IP包头中有变长的可选部分.该部分占4个bit位，单位为32bit（4个字节），即本区域值= IP头部长度（单位为bit）/（8*4)，因此，一个IP包头的长度最长为“1111"，即15*4＝60个字节。

IP包头最小长度为20字节。

2.TCP的“三次握手”和“四次挥手”的过程。

TCP三次握手所谓三次握手(Three—way Handshake），是指建立一个TCP连接时，需要客户端和服务器总共发送3个包。

三次握手的目的是连接服务器指定端口，建立TCP连接，并同步连接双方的序列号和确认号并交换TCP 窗口大小信息.在socket编程中，客户端执行connect（)时。

将触发三次握手。

•第一次握手:客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口，以及初始序号X，保存在包头的序列号(Sequence Number）字段里。

•第二次握手：服务器发回确认包（ACK)应答.即SYN标志位和ACK标志位均为1同时，将确认序号(Acknowledgement Number)设置为客户的I S N加1以。

即X+1。

•第三次握手.客户端再次发送确认包(ACK）SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1，放在确定字段中发送给对方.并且在数据段放写ISN的+1TCP 四次挥手TCP的连接的拆除需要发送四个包,因此称为四次挥手（four—way handshake）。

抓取一次完整的网络通信过程的数据包实验一，实验目的：通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。

二，实验环境：操作系统为Windows 7,抓包工具为Wireshark.三，实验原理：ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

四，验步骤：1.确定目标地址：选择作为目标地址。

2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1图 1-13.启动抓包：点击【start】开始抓包，在命令提示符下键入ping 如图 1-2图 1-2停止抓包后，截取的数据如图 1-3图 1-34，分析数据包：选取一个数据包进行分析，如图1- 4图1-4每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。

DLC协议的目的和源地址是MAC地址，IP协议的目的和源地址是IP地址，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。

ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下：（1）诊断报文（类型：8，代码0；类型：0代码：0）；(2）目的不可达报文（类型：3，代码0-15）；（3）重定向报文（类型：5，代码：0--4）；（4）超时报文（类型：11，代码：0--1）；（5）信息报文（类型：12--18）。

，TCP协议的分析实验一，实验目的：通过本次实验，掌握使用Wireshark抓取TCP协议的数据包的技能，能够在深入分析“TCP的三次握手”，TCP的四次挥手协议在网络数据流的基础上，进一步提高理论联系实践的能力。

实验Wireshark抓包分析实验一、实验目的1、了解并会初步使用Wireshark，能在所用电脑上进行抓包2、了解IP数据包格式，能应用该软件分析数据包格式3、查看一个抓到的包的内容，并分析对应的IP数据包格式4、学会使用nslookup工具查询并分析Internet 域名信息或诊断DNS 服务器。

5、会用wireshark分析DNS协议。

对DNS协议有个全面的学习与了解。

二、实训器材1、接入Internet的计算机主机；2、抓包工具WireShark。

三、实验内容（一）IP包分析实验1、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

2、设置完成后，点击“start”开始抓包，显示结果。

3、选择某一行抓包结果，双击查看此数据包具体结构。

4、查看IP数据报。

[1]写出IP数据报的格式。

[2]捕捉IP数据报的格式图例。

[3]记录IP数据报包的所有域，针对每一个域所代表的含义进行解释。

（二）DNS协议分析实验1、启动WireShark，并开始抓包。

2、在命令行运行nslookup 发现成都大学或其他单位官方DNS服务器。

nslookup /3、停止抓包4、显示过滤DNS包，查看其请求包和响应包的运输层协议是UDP 还是TCP，DNS请求包的目的端口及DNS响应包的源端口号分别是多少，DNS 请求包是发往哪个地址的，用ipconfig查看你的本地DNS服务器的IP地址，判断它们是否相同。

5、查看接下来你的主机发出的一些TCP SYN 包，其中的目的IP地址是否有刚才DNS应答包中的IP地址?Wireshark抓包分析实验报告一．实验目的1.了解并初步使用Wireshark，能在所用电脑上进行抓包。

2.了解IP数据包格式，能应用该软件分析数据包格式。

3.查看一个抓到的包的内容，并分析对应的IP数据包格式。

4.学会使用nslookup工具查询并分析Internet 域名信息或诊断DNS 服务器。