西安邮电大学计算机网络wireshark抓包分析试验报告

电子商务应用开发技术实验报告实验报告二课程计算机网络开课实验室日期2013 年 4 月 22 日实验项目学号1040407105利用Wireshark进行抓包分析名称学院经济管理学院指导教师王斌成绩教师评语一：实验目的利用 Wireshark 二：实验内容：教师签名：年月日进行抓包分析，对以前学习过的内容进行进一步的理解和掌握1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“ start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构，并对其进行分析三．实验步骤实验项目学号1040407105利用Wireshark进行抓包分析名称上面的截图是抓取到的包，下面分别针对其中的一个TCP， UDP和 ICMP进行分析1. TCPTCP ：Transmission Control Protocol 的、可靠的、基于字节流的运输层（传输控制协议TCP 是一种面向连接（连接导向）Transport layer）通信协议，由IETF 的 RFC 793说明（ specified）。

在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能。

在因特网协议族（Internet protocol suite）中，TCP层是位于IP 层之上，应用层之下的中间层。

不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP 层不提供这样的流机制，而是提供不可靠的包交换。

应用层向TCP 层发送用于网间传输的、用8 位字节表示的数据流，然后TCP 把数据流分割成适当长度的报文段（通常受该计算机连接的网络的数据链路层的最大传送单元(MTU) 的限制）。

之后 TCP 把结果包传给 IP 层，由它来通过网络将包传送给接收端实体的TCP 层。

TCP 为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。

实验报告题目网络抓包及网络命令实验报告学院专业班级学号学生姓名成绩指导教师完成日期网络工具应用实践实验报告1.实验概要通过使用软件Wireshark抓取网络上的数据包，并作相应分析。

2.实验环境硬件：台式笔记本或Pc、网卡、网络环境。

软件：Windows xp sp3及Windows 7、8。

3.实验目的了解网络抓包的意义，学习并了解使用网络抓包Wiresh 。

对互联网进行数据抓包；了解网络抓包的相关协议。

4.实验要求合理地使用电脑进行数据分析，提高自身对网络的安全意识。

5.实验环境搭建安装Wireshark软件，Wireshark的安装非常简单，只需按照步骤即可。

并且要求电脑具有上网的环境。

6.实验内容及步骤（1）安装Wireshark，简单描述安装步骤。

（2）打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

（3）设置完成后，点击“start”开始抓包，显示结果。

（4）选择某一行抓包结果，双击查看此数据包具体结构。

（5）捕捉TCP数据报。

a.写出TCP数据报的格式。

b.捕捉TCP数据报的格式图例。

针对每一个域所代表的含义进行解释。

7.实验过程及结果分析安装Wireshark软件，安装过程如下（如图1-1——1-3）：图1-1图1-2图1-3安装完毕。

打开软件，界面如图1-4：图1-4：打开软解截面图选中Start下的以太网，点击Start就可以捕获以太网上的数据包了。

流量如图1-5：图1-5：流量截图选择某一行抓包结果，双击查看数据属性，如图1-6：图1-6：数据属性截图(4)捕捉到的TCP信息如图1-7：图1-8：TPC信息截图由图可知这个TCP信息如下：Host: 来自Professorlee的新浪博客User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0HTTP/1.1 200 OKServer: nginx/1.2.8Date: Thu, 12 Sep 2013 12:37:01 GMTContent-Type: application/x-javascriptLast-Modified: Thu, 12 Sep 2013 09:51:17 GMTTransfer-Encoding: chunkedConnection: keep-aliveVary: Accept-EncodingExpires: Thu, 12 Sep 2013 12:37:31 GMTCache-Control: max-age=30X-debug: 114.80.223.58Content-Encoding: gzip8.网络抓包相关网络协议TCP/IP协议不是TCP和IP这两个协议的合称，而是指因特网整个TCP/IP协议族。

Wireshark抓包工具计算机网络实验实验一 Wireshark使用一、实验目的1、熟悉并掌握Wireshark的基本使用；2、了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、预备知识要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。

Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从下载。

运行Wireshark程序时，其图形用户界面如图2所示。

最初，各窗口中并无数据显示。

Wireshark的界面主要有五个组成部分：命令和菜单协议筛选框捕获分组列表选定分组首部明细分组内容左：十六进制右：ASCII码图1命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。

协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。

捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。

单击某一列的列名，可以使分组列表按指定列排序。

其中，协议类型是发送或接收分组的最高层协议的类型。

分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的首部详细信息。

包括该分组的各个层次的首部信息，需要查看哪层信息，双击对应层次或单击该层最前面的“＋”即可。

分组内容窗口（packet content）：分别以十六进制（左）和ASCII码（右）两种格式显示被捕获帧的完整内容。

实验内容：抓包分析学生学号：*************学生姓名: ********专业班级：******计算计学院2012-6-20HTTP一、实验名称：网络抓包分析HTTP协议请求、响应过程。

二、时间目的和内容：内容：网络抓包分析HTTP协议请求、响应过程以及请求、响应的报文的格式。

目的：了解、熟悉网络抓包软件，掌握HTTP请求、响应的报文格式，分析、掌握HTTP请求、响应的过程。

三、实验数据及分析结果：1、HTTP的请求报文格式和响应报文格式：2、网络抓包截获的数据：HTTP的请求报文数据：所截获的HTTP的请求报文如下图所示：主要的报文段为：Internet Protocol, Src: 10.20.60.49 (10.20.60.49), Dst: 220.168.129.75Cache-control：no-cache\r\nConnection：keep-alive\r\nCookie:rtime=1;ltime=1334408026756;cnzz-eid=8195232-1334323245-http%3Host:\r\nPragma:no-cache\r\nRange:bytes=203903-293887\r\nReferrer:http://hndx.sc. /flie/download/icon3\r\nUser-agent:mozillla/4.0分析：用GET方法向主机Host：hndx. sc. ，请求对象/ flie/download/icon3/2380.rar，浏览器实现的版本http/1.1（可打开数据包1查看更多报文）。

HTTP的响应报文数据：所截获的百度的http响应报文如下图所示（编号：7594）主要报文段为：Internet protocol，src：119.75.217.56（119.75.217.56），dst：10.20.60.49（10.20.60.49）Transmission control protocol，src port：http （80），dst port：23234（23234），seq：6740，ack：2109，len：243http/1.1 200 ok \r\ncache-control:private\r\ndate:tue,17 apr 2012 13:03:06 GMT\r\nexpires:tue,17 apr 2012 13:03:06 GMT\r\ncontent-encoding:gzip\r\ntransfer-encoding:chunked\r\nserve:BWS/1.0\r\nconnection:keep-alive\r\n\r\n分析：由数据包可知此响应报文使用的是IPv4协议，头部长度为20个字节，其他信息如上。

计算机网络基础实验报告实验名称：利用wireshark进行网络抓包姓名：学号：班级：目录一、实验目的 (3)二、实验步骤 (3)三、结果分析 (3)3.1 DNS响应分析 (4)3.2 HTTP响应分析 (6)3.3 ARP响应示例 (9)3.4 TCP响应示例 (10)3.5 UDP响应示例 (11)四、实验总结 (12)一、实验目的1、能够使用Wireshark执行基本的包的捕获。

2、利用wireshark分析HTTP 和 DNS报文。

3、尝试分析其他数据。

二、实验步骤1、安装wireshark软件，因为原电脑上已安装WinPcap，则不进行重复安装。

2、打开sogou浏览器中的Internet选项，清除临时文件。

3、利用开始菜单中的运行指令，清除已有DNS。

4、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

5、打开wireshark,选择"Capture>>Interfaces",选择有数据的网卡。

图16、选择"Start"开始监控流量。

开始抓包，显示结果。

图27、打开sogou浏览器，显示主页为/；一段时间后，打开淘宝网并将主页关闭；一段时间后从搜索栏中打开电子科大教务处网站，由教育网通道进入，同时关闭淘宝网。

8、抓包结束，保存并观察数据。

三、结果分析3.1 DNS响应分析在filter中输入“dns”并回车，则显示如下图【】。

因为请求得显示主页为/，则在该主页上涉及到例如百度、谷歌等多个网站的链接。

由此，可以先利用wireshark对所抓的DNS查询报文进行分析，再分析相应的回答报文。

图3以淘宝网为例，对查询报文进行分析。

图4将DNS查询报文展开：图5表1首部区域图6展开DNS回答报文：图7表3首部区域图8表4问题区域3.2 HTTP响应分析当在filter一栏输入“HTTP”，显示如下图：图9 以学校教务处网站为例，抓包显示如下：图10由此我们可以先来分析由wireshark所抓的一个含有http请求报文的帧。

wireshark实验报告Wireshark实验报告引言：Wireshark是一款网络封包分析软件，被广泛应用于网络安全、网络管理和网络故障排除等领域。

本篇实验报告将介绍Wireshark的基本原理、实验环境和实验过程，并通过实验结果分析其应用价值。

一、Wireshark的基本原理Wireshark基于网络抓包技术，能够捕获网络通信过程中的数据包，并对其进行解析和分析。

它支持多种网络协议，包括以太网、无线局域网、传输控制协议（TCP）、用户数据报协议（UDP）等。

Wireshark通过监听网络接口，将捕获到的数据包以图形化界面的形式呈现给用户，方便用户进行深入分析。

二、实验环境本次实验使用的环境是一台运行Windows操作系统的个人电脑，安装了最新版本的Wireshark软件。

实验中使用了一个虚拟网络环境，包括两台虚拟机，分别运行着Windows和Linux操作系统。

三、实验过程1. 安装Wireshark：首先，将Wireshark软件下载到本地，并按照安装向导进行安装。

安装完成后，打开Wireshark程序。

2. 设置捕获接口：在Wireshark界面上方的工具栏中，选择“捕获选项”按钮。

在捕获选项对话框中，选择需要捕获的网络接口，点击“开始”按钮开始抓包。

3. 进行通信测试：在虚拟机中进行网络通信测试，例如在Windows虚拟机中打开浏览器，访问一个网站。

同时，在Linux虚拟机中执行ping命令，向外部主机发送数据包。

4. 分析捕获的数据包：在Wireshark界面中，可以看到捕获到的数据包以列表的形式展示出来。

通过点击某个数据包，可以查看其详细信息，包括源IP地址、目标IP地址、协议类型等。

5. 过滤和统计功能：Wireshark还提供了强大的过滤和统计功能，可以根据需要筛选和分析数据包。

例如，可以根据源IP地址过滤出特定的数据包，或者统计某个协议的使用情况。

四、实验结果分析通过对捕获的数据包进行分析，我们可以得到一些有价值的结果。

实验六 Wireshark Lab: TCP一、实验目的1.通过wireshark 抓包理解应用层TCP 协议。

二、实验器材1.PC 机电脑一台。

2.Wireshark 软件。

三、实验内容1．依照Wireshark Lab 提供的实验步骤完成实验。

2．回答实验中的问题。

四、实验操作实践与步骤2. A first look at the captured trace1. What is the IP address and TCP port number used by the client computer (source) that is transferring the file to ? To answer this question, it’s probably easiest to select an HTTP message and explore the details of the TCP packet used to carry this HTTP message, using the “details of the selected packet header window”2. What is the IP address of ? On what port number is itsending and receiving TCP segments for this connection? Source IP address ：129.168.1.102Source TCP portnumber ：1161Destination IP address ：128.119.245.12Destination TCPport number：80If you have been able to create your own trace, answer the following question:3. What is the IP address and TCP port number used by your client computer (source) to transfer the file to ?3. TCP Basics4. (1)What is the sequence number of the TCP SYN segment that is used to initiate the TCP connection between the client computer and ? (2)What is it in the segment that identifies the segment as a SYN segment?(1) SYN sequence number =0(2) What is in the red region of the figure above identifies the segment as a SYN segment.5. (1)What is the sequence number of the SYNACK segment sent by to the client computer in reply to the SYN?(2) What is the value of the ACKnowledgement field in the SYNACK segment? How did determine that value? What is it in the segment that identifies the segment as a SYNACK segment?(1)SYNACK sequence number =0, ACKnowledgement=1(2)ACKnowledgement value= initiate sequence number of the TCP SYN segment+1(3)What is in the red region of the figure above identifies the segment as a SYN segment.6. What is the sequence number of the TCP segment containing the HTTP POST command? Note that in order to find the POST command, you’ll need to dig into the packet content field at the bottom of the Wireshark window, looking for a segment with a “POST” wi thin itsDATA field.The sequence number of the TCP segment containing the HTTP POST command is 1.7. Consider the TCP segment containing the HTTP POST as the first segment in the TCP connection. (1)What are the sequence numbers of the first six segments in the TCP connection (including the segment containing the HTTP POST)? (2)At what time was each segment sent? When was the ACK for each segment received?(3) Given the difference between when each TCP segment was sent, and when its acknowledgement was received, what is the RTT value for each of the six segments?(4) What is the EstimatedRTT value (see page 249 in text) after the receipt of each ACK? (5)Assume that the value of the EstimatedRTT is equal to the measured RTT for the first segment, and then is computed using the EstimatedRTT equation on page 249 for allsubsequent segments.Note: Wireshark has a nice feature that allows you to plot the RTT for each of the TCP segments sent. Select a TCP segment in the “listing of captured packets” window that is being sent from the client to the server. Then select: Statistics->TCP Stream Graph- >Round Trip Time Graph(1) The first sixsegments are the No.4, 5, 7, 8, 10, and 11 segments.(circled in red)The sequence numbers of them respectively are1, 566, 2026, 3486, 4946, 6406, 7866.(2)They were respectively sent at the time circled int the figure bellow.(3)ACK received time are given in the figure bellow：（4）RTT value for each of the six segmentsSent time ACK received time RTT value Segment1 0.026477 0.053937 0.02746 Segment2 0.041737 0.077294 0.035557 Segment3 0.054026 0.124085 0.070059 Segment4 0.054690 0.169118 0.11443（5）EstimatedRTT = 0.875 * EstimatedRTT + 0.125 * SampleRTT EstimatedRTT after the receipt of the ACK of segment 1: EstimatedRTT = RTT for Segment 1 = 0.02746 secondsegment 2:EstimatedRTT = 0.875 * 0.02746 + 0.125 * 0.035557 = 0.0285 segment 3:EstimatedRTT = 0.875 * 0.0285 + 0.125 * 0.070059 = 0.0337 segment 4:EstimatedRTT = 0.875 * 0.0337+ 0.125 * 0.11443 = 0.0438 segment 5:EstimatedRTT = 0.875 * 0.0438 + 0.125 * 0.13989 = 0.0558 segment 6:EstimatedRTT = 0.875 * 0.0558+ 0.125 * 0.18964 = 0.0725Figure: Round Trip Time Graph8. What is the length of each of the first six TCP segments?The length of the first TCP segments (containing the HTTP POST) is 566 bytes. The length of each of the other five TCP segments is 1460 bytes.9. What is the minimum amount of available buffer space advertised at the received for the entire trace? Does the lack of receiver buffer space ever throttle the sender?The minimum amount of available buffer space at advertised at for the entire trace is 5840 bytes, which shows in the first acknowledgement (No.2 segment )from the server. This receiver window grows steadily until a maximum receiver buffer size of 62780bytes. The sender is never throttled due to lacking of receiver buffer space by inspecting this trace.Figure : Minimum receive window (packet No.2)10. Are there any retransmitted segments in the trace file? What did you check for (in the trace)in order to answer the question?There is no retransmitted segments in the trace file.In order to answer the question , I checked for the sequence numbers of the TCP segments in the trace file. In the Time-Sequence-Graph (Stevens) of this trace, all sequence numbers from 192.168.1.102 to 128.119.245.12 are increasing linear and monotonically. If there is a retransmitted segment, the Time-Sequence-Graph (Stevens) should be different from what we see.11.(1) How much data does the receiver typically acknowledge in an ACK?(2) Can you identify cases where the receiver is ACKing every other received segment (see Table 3.2 on page 257 in the text).The receiver typically acknowledged sequence numbers of the ACKs are listed in the following table.Acknowledged sequence number Acknowledged data SegmentnumberACK16 566 566ACK29 2026 1460ACK312 3486 1460ACK414 4946 1460ACK515 6406 146012. What is the throughput (bytes transferred per unit time) for the TCP connection? Explain how you calculated this value.The TCP connection started to transmit data at segment 4,and end in segment 202. We can see from the figure bellow:data1=1 byte t1=0.026477data2=164091 bytes t2=5.455830total data=164091-1=164090 bytesit takes time: total time=5.455830-0.026477=5.429353 secondsSo the throughput for the TCP connection is calculated as164090/5.4294353= 30.222 KByte/sec13. Use the Time-Sequence-Graph(Stevens) plotting tool to view the sequence number versus time plot of segments being sent from the client to the server. Can you identify where TCP’s slow start phase begins and ends, and where congestion avoidance takes over?Comment on ways in which the measured data differs from the idealized behavior of TCP that we’ve studied in the text.We can see from the figure above(Time-Sequence-Graph(Stevens)) that the TCP Slow Start begins at the start of the connection.The identification of the TCP slow start phase and congestion avoidance phase depends on the value of the congestion window size of this TCP sender. So once we know the congestion window size of this TCP sender, we can tell easily where TCP’s slow ends and where congestion avoidance takes over.When answering the previous question, we can know that the TCP window size is larger than 8192 Bytes.But there is no data sent more than 8192 Bytes. It indicates before the end of the start phase,the application already stops transmitting . That is to say, the TCP’s slow ends and congestion avoidance haven’t taken place.五、实验结论总的来说，这一次实验做的很痛苦，因为一开始问题回答不出来。

利用wireshark进行网络数据捕获的实验报告总结标题：利用Wireshark进行网络数据捕获的实验报告总结摘要：本文是对利用Wireshark进行网络数据捕获实验的总结与回顾。

通过使用Wireshark这一强大的网络分析工具，我们可以深入了解网络通信过程中的数据包交互，以及分析网络流量中的各种信息。

本文将从简到繁，由浅入深地介绍了Wireshark的使用方法，展示了对不同协议的数据包的截取和解析过程，并探讨了实验过程中遇到的一些常见问题和解决方案。

1. 引言在当今网络化的时代，了解网络数据的传输和交互过程对于网络管理和安全至关重要。

Wireshark作为一款免费的开源软件，提供了强大的网络数据分析能力，成为网络技术人员必备的工具之一。

本文将通过实验报告的形式，总结并回顾利用Wireshark进行网络数据捕获的经验，包括实验目的、实验过程和实验结果。

2. 实验目的在实验中，我们的主要目的是掌握Wireshark的基本使用方法，包括安装和配置、捕获网络数据包、过滤和解析数据包等。

通过实际操作了解网络通信过程中的数据包结构和各层协议的使用，从而提高对网络数据的理解和分析能力。

3. 实验步骤及过程3.1 安装与配置Wireshark我们首先介绍了Wireshark软件的下载、安装和基础配置，包括设置捕获接口、指定过滤器等。

通过正确配置Wireshark，我们能够准确地对特定网络接口进行数据包捕获。

3.2 捕获网络数据包接下来，我们详细介绍了如何在Wireshark中开始数据包捕获。

通过选择合适的网络接口和过滤器，我们可以针对特定的网络流量进行捕获，并将捕获的数据包保存为pcap文件以供后续分析。

3.3 过滤和解析数据包Wireshark支持强大的过滤功能，我们通过示例解释了过滤器的语法和使用方法，从而能够更加灵活地过滤和查找我们感兴趣的数据包。

我们还介绍了Wireshark的解析功能，用于解析各种网络协议的数据包，并展示了如何获取关键信息。