实验1使用网络协议分析仪wireshark
《使用wireshark进行网络协议分析》实验报告
《计算机网络与通信原理》课程实验报告Wireshark和其它的图形化嗅探器使用基本类似的界面,整个窗口被分成三个部分:最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。
(2)Wireshark的显示过滤器显示过滤器可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找感兴趣的数据包。
注意:捕获过滤器(Capture Filters)和显示过滤器(Display Filters)的语法规则是不同的。
值比较表达式可以使用下面的操作符来构造:●eq ==,如ip.addr==10.1.10.20●ne !=,如ip.addr!=10.1.10.20●gt >,如frame.pkt_len>10●lt <,如frame.pkt_len<10●ge >=,如frame.pkt_len>=10●le <=,如frame.pkt_len<=10可以使用下面的逻辑操作符将表达式组合起来:●and &&逻辑与,如ip.addr=10.1.10.20 && tcp.flag.fin●or || 逻辑或,如ip.addr=10.1.10.20||ip.addr=10.1.10.21●not ! 逻辑非,如!llc例如:IP 地址是192.168.2.10 的主机,它所接收收或发送的所有的HTTP 报文,那么合适的Filter(过滤器)就是:ip.addr == 192.168.2.10 && http。
提示:Filter的背景显示出表达式的合法与否,绿色为合法,红色为否。
(3)菜单Capture的Options说明Interface:选择采集数据包的网卡IP address:选择的网卡所对应的IP地址Link-layer header type:数据链路层的协议,在以太网中一般是Ethernet IIBuffer size:数据缓存大小设定,默认是1M字节。
实验yi:网络协议分析工具Wireshark的使用
--------------------------------------------------------------------------------
c.根据Wireshark所观察到的现象解释解析域名“”所对应MX记录的过程。
本地主机的DNS客户端发送了一个查询且资源记录类型为MX的DNS查询报文。收到一个DNS回答报文,告知其规范主机名为。
d.“”域有几个邮件服务器?它们的IP地址分别是什么?
进入SYN_SEND状态,等待服务器确认。
第二次握手:服务器收到SYN包,ACK =1,同时发送SYN= 0的包,进入SYN_RECV状态。
第三次握手:收到上部报文后,本地主机回复了ACK=1的确认报文段,至此,链接建立。
c.TCP的连接终止过程:
第一次:本地主机向目的主机发送[FIN,ACK]报文,seq=16452,ack =58,FIN=1,请求中断链接
2.用Wireshark观察tracert命令的工作过程:(20分)
(1)运行Wireshark, 开始捕获tracert命令中用到的消息;
(2)执行“tracert-d ”
根据Wireshark所观察到的现象思考并解释tracert的工作原理。
-----------------------------------------------------------
--------------------------------------------------------------------------------
Wireshark的使用实验报告
Wireshark的使用实验报告计算机网络实验报告学院计算机与通信工程学院专业网络工程班级1401班学号20 姓名实验时间:2016.3.30一、实验名称:网络协议分析器Wireshark二、实验目的:了解Wireshark的界面组成,熟悉Wireshark的基本操作,掌握捕捉过滤器和显示过滤器的使用三、实验环境:局域网中的任意一台主机PC(10.64.44.35),Wireshark version1.10.11.四、实验步骤:使用Wireshark捕获数据包的一般过程为:步骤1:启动Wireshark。
步骤2:开始分组捕获。
单击工具栏的按钮,出现如图所示对话框,进行系统参数设置。
单击“Start”按钮开始进行分组捕获。
Wireshark配置界面步骤3:单击捕获对话框中的“stop”按钮,停止分组捕获。
此时,Wireshark 主窗口显示已捕获的局域网内的所有协议报文。
步骤4:筛选具体的协议。
如要筛选的协议为http协议,只需要在协议筛选框中输入“http”,单击“Apply”按钮,分组列表窗口将只显示HTTP协议报文。
这样就可以捕获所需要的数据包,并可以借助Wireshark提供的功能的网络数据包的分析。
用Wireshark分析协议的一般过程:在抓包完成后,可以利用显示过滤器找到感兴趣的包,也可根据协议、是否存在某个域、域值、域值之间的关系来查找感兴趣的包。
Wireshark的显示过滤器:可以使用表1.1所示的操作符来构造显示过滤器英文名称运算符中文名称应用举例 eq = = 等于Ip.addr==10.1.10.20ne != 不等于Ip.addr!=10.1.10.20gt > 大于Frame.pkt_len>10 lt < 小于Frame.pkt_len<10 ge >= 大于等于Frame.pkt_len>=10le <= 小于等于Frame.pkt_len<=10也可以使用下面逻辑操作符将表达式组合起来:逻辑与and(&&): 如ip.addr==10.1.10.20&&tcp.flag.fin;逻辑或or(II) 如 ip.addr==10.1.10.20IIip.addr==10.10.21.1;异或xor(^^)如 ip.addr==10.1.10.20xor ip.addr==10.10.21.1;逻辑非!:如!Llc。
网络协议实验一Wireshark-分析IP协议
回答以下问题:1、选择你的电脑所发送的第一个ICMP 请求消息,在包详细信息窗口扩展包的Internet协议部分。
你的电脑的IP 地址是多少?答:10.127.118.1732、在IP 包头部,上层协议区域的值是多少?答:icmp(1)3、IP 头部有多少字节?IP 数据包的有效载荷是多少字节?解释你是怎样确定有效载荷的数量的?答:头部有20字节有效载荷56-20=36字节4、这个IP 数据包被分割了吗?解释你是怎样确定这个数据包是否被分割?答:没有5、在包捕获列表窗口,你能看到在第一个ICMP 下的所有并发的ICMP 消息吗?答:能6、往同一IP 的数据包哪些字段在改变,而且必须改变?为什么?哪些字段是保持不变的,而且必须保持不变?答:必须改变的:identification(标识)、header chechsum(头部检验和)标识是源主机富裕IP数据报的标识符、头部检验和用于保证IP数据报报头的完整性。
必须保持不变的:version(版本)、header length(头部长度)、differentiated services field(区分服务)、flags(标记)、 fragment offset(片偏移)、 protocol(协议)、destination(目的地址)7、描述一下在IP 数据包的Identification 字段的值是什么样的?答:每一个IP数据报头部的标识号域都不一样,每次加18.Identification 字段和TTL字段的值是多少?答:Identification 字段5862TTL字段 1289.所有的通过最近的路由器发送到你的电脑去的ICMP的TTL溢出回复是不是保持不变?为什么?答:每一个固定的路由器都有一个固定的TTL值,所以最近的那个路由器回复的所有的ICMP TTL-exceeded 的TTL的值都不会改变。
以下是pingpolotter 设置为200010.答案如图:有分片11.看被分割的IP数据包的第二个片段。
1、使用网络协议分析仪Wireshark
、实验名称:使用网络分析仪Wireshark—、实验目的:(1)掌握安装和配置网络协议分析仪Wireshark的使用方法;(2)熟悉使用Wireshark工具分析网络协议的基本方法,加深对网络协议格式、协议层次和协议交互过程的理解。
三、实验内容和要求:(1)安装和配置网络协议分析仪;(2)使用并熟悉Wireshark 分析仪的部分功能。
四、实验环境:win dows 7 下Wireshark64 位五、操作方法与实验步骤(一)安装和配置:、实验名称:使用网络分析仪WiresharkWelcome to the Wireshark 1.12.4 (64-bit) Setup WizardTins wizard Aill guide you through the instalation of i^estiprk.Sefbre starting the insWatiwv make sire ;Vreshark is not running.Ckk Mext to cantrue,Next a | CarceJ4 Wireshark 1.12.4 (64-bit) SetupChoose Install LocationChoose the foMer in vJiich to rstal Wreshark 1.12.4 (64-bit).4Choose a drectory in whkh to install Wireshark.Des^naOon FolderD :飲件安装\WresharkSpace required: 105.5MB Space available: 107.8GB Wire$har< Installer (tm) -------《Back | Next 〉| : Cancel4( Wireshark 1.12.4 (64-bit) SetupInstall WinPcap?WinPzap is requred to capture live network data. Sbodd WinPcap be installed?Currently installed WinPcap version WnPcap is currently not rivalled InstalJ Instal WinPcap 4.1.3(Use Add 爪 emove Programs first to urns tall any undetected old WnPcap versions)What is WinPcap?Wresha-k Installer (tm)< Wireshark 1.12.4 (64-bit) Setup©J 二InstallingPlease wait whie Wreshark 1.12.4 (64-bit) is being instaled ・4Extract: libwreshark.dll …67%Output folder: D:飲件安装\Wreshark Extract: uninstall.exe Extract: wretap-1.12-0.dll Extract: ib^vireshark.di... 67%Wiresbark Inst 剖er (tm)VBack ]] Next 》][CancelBrsvse …< Back | Instal| Cancel(二)、使用Wireshark分析仪启动系统,点击"Wireshark ”图标进入界面选择网络连接方式,因为我用的是WiFi所有选择无线网络连接方式进入Capture Options选项,可以进行很多操作,可以选择接连的网络,可以选择过滤的条件,选择俘获分组的接口卡点击start 开始俘获分组,点击工具栏中红色正方形停止俘获Nd1 Time 0.OOO&OOOOQSource122.193.>207, 31 OestanaliQnPratacol LmqlJi ]nfo TCP 30 BO-54CMI3 [FIN, MJC] 5«I «1 Ack"! Wire»lS544i Lcn»fl1 _______ L Qi.DOCHM^OOD 1曲m r i…料 2Q7r >1ICF 5斗[环卩gfr 屮 n 日彌]弓404)■牟D [鮎工] 日「1强5丁軒 餉 I L 时|i 0.24007^001吐1値1・ifrU92.1M.1.1OHS ?2 Standard query OxJSfb A bwwi 5ina. cm 4 0「卯05却皿0N5 417 Standard qutf^ r«pori5fl ffxlifb CN J WE 舫・拓*1瓠<:#, CH CN J «ME ne^l…DZ23 740OD JLLZ… 9O-B4.1D DICQLZ1 OICQ ProtocDl 「1^317691000 112. 90. &4,10orca121 0KQ Pi-otacalT 2o 24S&aiQQD L92.1SB.L. 3&1S2.1&8.1.L DNS 7Z Standard query Ox-BZlc A si na. cmg 2.25144-5000DN5 417 Standard queryreSpflrISi <Fx821e 匸NAME "■刎巧蠡■丄E>・ 3rtw9 2.675E€2DOD £B.24£.1S&.2311^2.1&B.:1. IEUDP L-Qrg Source port!: 34KH> Destination port: B J ODO- 102.714&25«>036.24&UL84.2M HJDP LOO Source portr 昶如 Destination part: &00011 2P 71C5 3J1JOO in.16Srl.3S113.76.24 3,1$3UDP 123 Sourc* 吟SWOT PfstinstiQni port ■ 5169 12 3.795Sa5l»O1 曲:UflLl 』l! LID, 7Sull2- Z TCP IS S40JC-80 [JtflC] Seq^l Ack»l Win<«2S6 Len-alli 3.S1S5BWOC? ISKZ.lSSrl.lS36.Z4i8.rl8C, 2ilUD? SCMPCt (MKt? 3W0 Pestinitioni po^t ; K>W14- 3.EZS4 71DOD lid ?S-112.76TC1P B« K0-&4D3fi [ACK]Sbq>l Ack^Z WirtsJJ L ED M 乩"l 百RET 15 3.輕斗刊&00心5&r 248,1:86.231 IfZ.l&B.lrKUDP62 Sciurce iwtt 8000 Destination^ port: iiOOO-我们可以看见在 Wireshark 工具中我们可以看到帧的接受时间,源 IP 地址,目的IP 地址,所使用的协议,帧的长度以及帧的信息。
使用wireshark分析网络协议实验报告
使用wireshark分析网络协议实验报告一、实验目的1. 掌控几种常用的网络命令,通过采用这些命令能够检测常用网络故障2. 理解各命令的含义,并能解释其显示内容的意义二、实验内容1. 运行 Windows 常用的网络命令,ipconfig、ping、netstat、nbtstat、arp、route、 net、tracert2. 利用子网掩码、同时实现子网的分割3. 了解 VRP 的各种视图及各视图下的常用命令三、实验原理、方法、手段该实验通过执行一些常用的网络命令,来了解网络的状况、性能,并对一些网络协议能更好的理解。
下面介绍一下实验中用到的网络命令:1. ipconfig 命令该命令显示IP 协议的具体配置信息,命令可以显示网络适配器的物理地址、主机的IP 地址、子网掩码以及默认网关等,还可以查看主机名、DNS 服务器、节点类型等相关信息。
2. ping 命令该命令用于测试网络联接状况以及信息发送和接收状况。
3. netstat 命令该命令用于检验网络连接情况,它可以显示当前正在活动的网络连接的详细信息。
4. nbtstat 命令该命令用于查看本地计算机或远程计算机上的NetBIOS 的统计数据,显示协议统计情况以及当前TCP/IP 的连接所使用NETBIOS 情况,运用NETBIOS,可以查看本地计算机或远程计算机上的NETBIOS 名字列表。
5. arp 命令使用ARP 命令,你能够查看本地计算机或另一台计算机的'ARP 高速缓存中的当前内容,也可以用人工方式输入静态的网卡物理地址/IP 地址对,使用这种方式为缺省网关和本地服务器等常用主机进行这项操作,有助于减少网络上的信息量。
6. route 命令ROUTE 命令用于显示、人工添加和修改路由表项目。
7. net 命令net 命令是WIN 系列里面最有用的网络方面的命令之一,它不是一个命令,而是一组命令。
8. tracert 命令Tracert 使用很简单,只需要在tracert 后面跟一个IP 地址或URL,tracert 会在进行相应的域名转换的。
1、使用网络协议分析仪Wireshark
一、实验名称:使用网络分析仪Wireshark二、实验目的:(1)掌握安装和配置网络协议分析仪Wireshark的使用方法;(2)熟悉使用Wireshark工具分析网络协议的基本方法,加深对网络协议格式、协议层次和协议交互过程的理解。
三、实验内容和要求:(1)安装和配置网络协议分析仪;(2)使用并熟悉Wireshark 分析仪的部分功能。
四、实验环境:windows 7下Wireshark64位五、操作方法与实验步骤(一)安装和配置:(二)、使用Wireshark分析仪启动系统,点击“Wireshark”图标进入界面选择网络连接方式,因为我用的是WiFi所有选择无线网络连接方式进入Capture Options选项,可以进行很多操作,可以选择接连的网络,可以选择过滤的条件,选择俘获分组的接口卡点击start开始俘获分组,点击工具栏中红色正方形停止俘获我们可以看见在Wireshark工具中我们可以看到帧的接受时间,源IP地址,目的IP地址,所使用的协议,帧的长度以及帧的信息。
下部信息是这样的,它是由十六进制数和ASCII码值表示的其实选择中一号帧双击我们也可以进入观察到它的信息Frame代表物理层的数据流,Ethernet II表示数据链路层的数据帧,Internet Protocol Version 4表示IP数据包,User Datagram Protocol表示UDP数据包下面选择想要研究的对象也可以点击开查看,以EthernetII帧为例,点击它的“+”标志我们可以看出该帧的源mac地址和目的mac地址分别为多少,对源地址和目的地址也有一定的描述,如果想要的到其他的具体信息,和EthernetII一样点开观察就好了。
如果我们想要清晰地看到自己想要看的信息,可以使用“Filters”功能,举个例子我们以源IP地址为112.90.84.10为条件进行过滤,就得到下面的界面了,这样就清晰多了六、实验体会、质疑和建议:本次实验不仅安装和配置了Wireshark,而且对其基本进本的功能和进本操作方法有了理解,对于我们想要看到的我们可以进行过滤操作,这就使用了Analyze的“filters”功能,Wireshark还有许多功能在以后的实验中还会有使用,要想的更深入的理解Wireshark还需要继续使用该工具。
实验一:网络协议分析实验指导书(Wireshark)_TCPIP_130328
实验一:网络协议分析实验指导书一、实验目的通过使用协议分析软件,对TCP/IP各协议的通信过程进行监控和分析,以了解TCP/IP 协议的工作过程。
二、实验内容利用协议分析软件(如:Wireshark)跟踪局域网报文(如条件允许也可跟踪多种局域网协议报文),实验内容如下:将安装协议分析软件的PC接入以太网中,跟踪PC之间的报文,并存入文件以备重新查。
设置过滤器过滤网络报文以检测特定数据流。
利用协议分析软件的统计工具显示网络报文的各种统计信息。
三、实验步骤1、在PC中安装协议分析软件(如:Wireshark)。
具体安装过程详见附录:Wireshark 用户指南。
2、启动Wireshark协议分析软件,选择抓包菜单项启动实时监视器,开始实时跟踪显示网络数据报文。
可根据系统提示修改显示方式,详见附录:Wireshark用户指南。
3、调出跟踪存储的历史报文,选择有代表性的ETHERNET、IEEE802.3、IP、ICMP、ARP、TCP、UDP等报文,对照有关协议逐个分析报文各字段的含义及内容。
ETHERNET帧格式IEEE802.3帧格式IP包头格式UDP包头格式TCP包头格式4、设置过滤器属性,如目的地址,源地址,协议类型等,过滤不需要的网络报文。
过滤器允许设置第二层,第三层或第四层的协议字段。
过滤器有两种工作方式:1)捕获前过滤:协议分析软件用过滤器匹配网络上的数据报文,仅当匹配通过时才捕获报文。
2)捕获后过滤:协议分析软件捕获所有报文,但仅显示匹配符合过滤条件的报文。
选择统计菜单项可以显示网络中各种流量的统计信息,如:关于字节数,广播中报文数,出错数等。
详见附录:Wireshark用户指南。
附录:Wireshark用户指南。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验项目列表
实验报告正文:
一、实验名称使用网络协议分析仪
二、实验目的:
1. 掌握安装和配置网络协议分析仪Wireshark的方法;
2. 熟悉使用Wireshark工具分析网络协议的基本方法,加深对协议格式、协议层次和协议交互过程的理解。
三、实验内容和要求
1. 安装和配置网络协议分析仪Wireshark();
2. 使用并熟悉Wireshark分析协议的部分功能。
四、实验环境
1)运行Windows 8.1 操作系统的PC 一台。
2)每台PC 具有以太网卡一块,通过双绞线与局域网相连。
3)Wireshark 程序(可以从下载)和WinPcap 程序(可以从
下载。
如果Wireshark 版本为 1.2.10 或更高,则已包含了WinPcap 版
本 4.1.3)
五、操作方法与实验步骤
1) 安装网络协议分析仪
安装Wireshark Version 2.2.6 (v2.2.6-0-g32dac6a)。
双击Wireshark 安装程序图标,进入安装过程。
根据提示进行选择确认,可以顺利安装系统。
当提示“Install WinPcap 4.1.3”时,选择安装;此后进入安装
WinPcap 版本4.1.3,并选择让WinPcap 在系统启动时运行。
此后,Wireshark 将能安装好并运行
2) 使用Wireshark 分析协议
(1) 启动系统。
点击“Wireshark”图标,将会出现下图1所示的系统界面。
图1 Wireshark系统界面
其中“俘获(Capture)”和“分析(Analyze)”是Wireshark 中最重要的功能。
(2) 分组俘获。
点击“Capture/Interface”菜单,出现下图所示界面。
图2 俘获/接口界面
如果本机具有多个接口卡,则需要指定希望在哪块接口卡俘获分组。
点击“Options”,则出现图
3 所示的界面
图 3 俘获/接口/选项界面
在该界面上方的下拉框中将列出本机发现的所有接口;选择一个所需要的接口;也能够在此改变俘获或显示分组的选项。
在图2中可以发现本机的所有接口,因此要选择一个所需要的接口,我选择的是WLAN接口。
此后,在图 2 或者图 3 界面中,点击“Start(开始)”,Wireshark 开始在指定接口上俘获分组,并显示类似于图 4 的界面。
当需要时,可以点击“Capture/Stop”停止俘获分组,随后可以点击“”将俘获的分组信息存入踪迹(trace)文件中。
当需要再次俘获分组时,可以点击“Captuer/Start”重新开始俘获分组。
(3) 协议分析。
系统能够对Wireshark 俘获的或打开的踪迹文件中的分组信息(用功能)进行分析。
如图 4 所示,在上部“俘获分组的列表”窗口中,有编号(No)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)、长度(Length)和信息(Info)等列(栏目),各列下方依次排列着俘获的分组。
中部“所选分组首部的细节信息”窗口给出选中帧的首部详细内容。
下部“分组内容”窗口中是对应所选分形式的内容。
ASCII 组以十六进制数和
图4 Wireshark 的俘获分组界面
当需要时,可以点击“Capture/Stop”停止俘获分组,随后可以点击“”将俘获的分组信息存入踪迹(trace)文件中。
当需要再次俘获分组时,可以点击“Captuer/Start”重新开始俘获分组。
选择其中某个分组如第166号帧进行分析。
从图 4 中的信息可见,该帧传输时间为俘获后的153.221323 秒;从源IP 地址172.28.184.206 传输到目的IP 地址14.17.33.113;帧的源MAC 地址和目的MAC 地址分别是b4.:6d:83:16:1f:a7 和c8:8d:83:a7:ad:5f (从中部分组首部信息
窗口中可以看到);分组长度54 字节;使用TCP (传输控制协议);源端口号是27553,目的端口号是80;序号为1;ACK为1,说明确认号字段有效。
网际协议是IPV4,源地址是172.28.184.206,目的地址是14.17.33.113。
从分组首部信息窗口,可以看到各个层次协议及其对应的内容。
例如,对应图 5 的例子,包括了
Ethernet II 帧及其对应数据链路层信息(参见图5),可以对应Ethernet II 帧协议来解释对应下方协议字段的内容。
接下来,可以发现Ethernet II 协议上面还有IP V4和TCP 等,分析解释相应字段的含义如上。
注意:当我们分析自行俘获分组时,即使无法得到与如图 4 所示完全一样的界面,但也能够得到非常相似的分析结果。
在后面的实验中,读者应当有意地改变相应的报文内容或IP 地址等,培养这种举一反三能力的能
力。
.
图 5 Ethernet 帧及其对应数据链路层信息
当俘获的分组太多、类型太杂时,可以使用Analyze 中的“使能协议(Enabled Protocols)”和过滤器(Filters)等功能,对所分析的分组进行筛选,排除掉无关的分组,提高分析效率。
六、实验数据记录和结果分析
实验记录以及结果分析均已体现在实验步骤中了。
七、实验体会、质疑和建议
实验体会:
通过此次实验,我大致掌握了以太网的报文格式,MAC地址的作用,
MAC广播地址的作用,协议编辑器和协议分析器的使用方法。
对MAC帧的结构组成理解不仅仅是停留在课本层面,而是上升到了感性的层面。
同时学会了利用wireshark捕获数据包。
并对各层网络协议(HTTP 协议、ARP协议、ICMP协议、IP协议)等和EthernetII层数据帧上的数据包信息进行分析,知道了数据帧上信息的涵义。
通过这次试验,我初步熟悉了Wireshark这个软件的使用方法,可以对于我们想要看到的协议我们可以进行过滤操作,这就使用了Analyze的“filters”功能。
Wireshark 对于在实践中分析和调试网络协议,特别是对初学者理解网络协议都是十分有用的工具。
当使用桌面计算机运行网络应用程序时,可以用Wireshark观察本机基于网络协议与在因特网别处执行的协议实体交互和交换报文情况。
因此,Wireshark 能够使用户计算机成为真实动态实验的有机组成部分,通过动手实验来观察网络的奥秘,进而深入理解和学习它们,能够得到极大地深化我自身的网络概念和提升实验技能:观察网络协议的动作和动手操作它们,即观察两个协议实体之间交换的报文序列,钻研协议运行的细节,使协议执行某些动作,观察这些动作及其后果。
建议
1)俘获分组前应注意选择正确的网络接口。
2)协议分组的俘获结果可以保存在指定的文件中,并可以在以后再行使用。
3)在当今的信息化时代,掌握一定的网络技术应当纳入我们每一个人的能力范围。
.。