从Wireshark的抓包分析了解网络的分层结构
从Wireshark的抓包分析了解网络的分层结构
抓包分析,又叫网络嗅探,在计算机网络安全领域,属于被动攻击。即在不干扰正常信息流的前提下,监听整个局域网的通信内容。同时,监听者还可以观察和分析某个PDU(protocol date unit)的协议信息控制部分,了解正在通信的协议实体的地址和身份,研究PDU的长度和传输的频度,以便了解所交换数据的某种性质。仅从学习的角度来讲,通过抓包分析,可以清楚地了解网络协议的性质及网络的分层结构。
网络模型主要有两种,即OSI的七层模型和TCP/IP协议簇的四层模型。由于TCP/IP协议簇是互联网上的事实的标准协议,故本文按TCP/IP的体系结构讲述。但为了把原理描述清楚,将网络接口层分为数据链路层和物理层来讲。
为讲解方便,先来了解笔者电脑的一些参数。
当开始抓包后,我们可以看到如下信息。
这是在网络接口层抓取到的信息,也就是数据链路层的数据帧,除去前面0000、0010、0020、-------等为帧同步信息外,其他皆为数据中的内容,全部用十六进制表示,这便是数据在链路层的表示形式,当数据链路层把这些十六进制数据交给物理层来发送时,要把十六进制转化为二进制,即c8 3a ………..化为11001000、00111010、……….等,在物理层1、0分别表示高、低
电平,一般是一连串矩形脉冲波。
称为数字基带信号。在传输时,根据不同的介质选择不同的调制方式。在有线局域网中,一般用曼彻斯特和差分曼彻斯特编码。在光纤中传输时,用波分复用技术。而在无线局域网中,用CCK(补码键控)、OFDM(正交频分复用技术)和多入多出(Multiple-Input
Multiple-Output)技术
。由于信号的调制与解调涉及复制的数学运算和通信的专业知识,这里不做讨论。有兴趣的读者可以再任何一本《通信原理》书中找到相关内容。
在数据链路层,PDU被称为数据帧,有帧首部、数据部分和帧尾部组成,其中数据部分为ip数据包,帧头和帧尾为帧控制和校验信息。由于数据链路层有许多帧类型,如ppp帧、以太网帧等,所以各种帧的控制信息并不相同,但无论那种帧格式,大致都要实现封装成帧、透明传输和差错控制等功能。因此下面以以太网帧为例。
以太网帧的首部有目的地址、源地址、协议类型组成,在抓取的数据包中分别为.
由图可知,以太网帧的地址为物理地址,有48为二进制数组成,化为十六进制恰为12位,协议类型有两个
字节(16个二进制)组成,其中0800代表该帧的数据部分存放的为ip数据包,如为其他数值,则代表不同的网络层数据.下面是常见的协议代码.
在研究帧在数据链路层的传输时,我们说数据帧每过一个路由器就换一次物理地址,
以上三个截图分别是本机无线网卡、无线AP接入点、路由器的物理地址(MAC地址)
下面的图为抓取的数据
两个蓝色部分对应的路由器和本机无线网卡的硬件地址,在抓取的三万多数据帧中,只有这两个物理地址而没有出现无线接入点AP的MAC地址
94 44 52 B8 39 CB。这就说明MAC地址没过一个路由器就会改变,也说明数据帧经过接入点、交换机时,不改变物理地址,交换机虽有MAC地址,却用于其他用途。
当程序识别出0800字段后,便会把前面的数据删除掉(包括0800),将后面的数据交给网络层。
网络层
ip数据包。其首部结构如下图。
其中,ip的版本只有ipv4和ipv6,故第一个十六进制数应为4或6,ip数据包的首部长度介于20~60个字节,且单位为4字节,故第二个十六进制数应在5~F 之间。8位服务类型主要用于提供qos服务,在一般情况下,前三位表示ip优先级,后五位不用,而在区分服务模型中,用前六位表示优先级(DSCP),后两位用于流控制(显式拥塞通知)
同时ip优先级和DSCP有一定的映射关系。关于8位TOS如何使用,可以去查阅Qos方面的书籍,本文不深入讨论。
16位总长度是指ip数据包的总长度,一般小于1500字节。
以上三个图的蓝色部分表示该数据包是一个ipv4包,且头长度为20个字节,ip优先级为普通,总长度192个字节。
16位标识符用于标记ip数据包的顺序,用于数据分段,一个数据报在传输过程中可能分成若干段,标识符可以区分某分段属于某报文,一个数据报的所有分段具有相同的标识符。
3位标志中,只有两位能用,中间位DF=1时,表示该数据不能再分割了,最低位MF=1时,表示该数据是
一个大数据中间的一小段,后面还有分片。13位片偏移指出了该分段在原数据报中的相对位置,以8字节为偏移单位。
上面三个图表示抓取到的该数据包是一个大数据报的号码为27157(0X6a15),40 00 化为二进制为
0100 0000 0000 0000 ,DF=1、MF=0,表示不能分片、且后面没有分片。这三幅图加在一起说明序号为27157的数据报仅有这一片。
TT L最初表示数据报在网络中的存活时间,现在改为跳数限制,即一个数据包在网络中最多经过路由器的个数,最大为255。
从上图可以知道,从本机到百度的其中一个服务器或服务器群,要经过9个路由器,且百度的该服务器用的是window的操作系统。
8位协议指出了ip的数据部分包含的是什么,如TCP 为6,UDP为17 。OSPF为89 。
16位的首部检验和是为了检验ip首部在传输的过程中是否出错,由于TTL每过路由器就会改变,因此检验和也要每次都计算。
这三个图表明该数据包TTL为64,运输层使用TCP协议,且该数据包在传输时ip包头错误,因此是要被丢弃的数据。
源ip和目的ip为机器在互联网中唯一的逻辑地址。选项部分有严格源路由、松散源路由和时间戳,除了打游戏时用的网游加速器使用了源路由外,一般生活中使用的数据选项都为空。
上面的两个图表明源ip和目的ip为
192.168.0.5 114.112.82.58。选项为空字节。
运输层
源端口和目的端口都表示一个应用进程的接口,其中源端口只具有本地意义,即在同一台电脑上区分不同应用进程的通信。而目的端口一般为知名端口(Well-known port number)。
由上图可以看出,这是一个http网页服务数据。50984(c7 28)为本机的浏览器开放的一个临时端口,目的端口为80端口,即一个网页请求。
32位序号占4个字节,使用mod2^32运算。TCP面向字节流,所以在TCP连接中传送到每一个字节都要按
顺序编号,这样也可以保障TCP的可靠传输。4字节的确认号是和序号配合使用的。表示接收方期望收到的下一个报文段的第一个数据字节的序号。如:接收方收到一个序号为2000,长度为500字节的一个数据,那他给发送方的确认号应为2501。
4位的数据偏移指明了TCP报文段的数据部分的起始处距离TCP报文段的起始处有多远,即指TCP报文的首部长度。保留的六位现在没有定义用途,全部置为0。
有图知,蓝色部分为序号,后面的8个0为确认号。由以上两点知,该数据的传输出现了差错。
70 即0111 0000 表示该TCP报文首部长度为28个字节保留位全部置零。
接下来的六个控制位,分别为URG(紧急)、确认ACK、推送PSK、复位RST、同步SYN、终止FIN,每个占一位。当U RG=1时,表明该字段有效,它告诉系统此报文段有紧急数据,应立即传送,一般和后面的紧急指针配合使用。后面的几个控制功能,都和TCP的工作
机制有关,由于TCP是面向连接的,可靠的传输协议,便需要确认、重传、流量控制、拥塞控制等,其他协议不需要的功能,以保证其可靠性。
窗口机制是为了接收已发送数据的确认信息而设计的,TCP的可靠传输,需要确认机制,如果每发送一个数据,就停下来等待确认信息,那么TCP的传输效率将会很低,如果一直传输数据而不等待确认信息,则无法保证可靠性。窗口机制属于一种折中方案,在保证可靠性的前提下兼顾效率。窗口值的大小决定了在收到已发送的数据的确认之前,还能传输多少数据,当传输的数据达到窗口值却仍没有收到以前数据的确认信息时,TCP歇息就会停下来等待确认信息。关于TCP 可靠传输的实现细节与原理,是TCP协议的精髓所在,由于其非常复杂,限于篇幅,这里不讨论。
上面的三个图说明:02表示0000 0010,即URG=0、ACK=0、PSK=0、RST=0、SYN=1、FIN=0。说明这是一个http的连接请求报文段。20 00 为窗口值,大小为2*16^3=8192,即再接收到该数据的确认前,还可在发送8192字节的数据。C3 e6 为检验和,与ip的检验和大致一样,都使用循环冗余检验(CRC),不同的是ip只对包头做CRC检验,而TCP对整个数据做CRC 检验。
最后这幅图蓝色表示的是TCP的选项部分,长度可变,包含最大数据尺寸、MSS、TCP的SACK等内容,也涉及了TCP的传输原理,这里不讨论。
应用层
运输层为应用层提供通信服务,属于面向通信部分的最高层,同时也是用户功能中的最底层。其实到应用层以后,就和通信的关联不大了。运输层将数据交给
【小技巧】wireshark定位抓包与定位查看
【实用技巧】wireshark过滤抓包与过滤查看在分析网络数据和判断网络故障问题中,都离不开网络协议分析软件(或叫网络嗅探器、抓包软件等等)这个“利器”,通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包,通过分析这些数据包,我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多,比如ethereal(wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪(被誉为国产版sniffer,符合我们的使用习惯)等等,本人水平有限,都是初步玩玩而已,先谈谈个人对这几款软件使用感受,wireshark(ethereal)在对数据包的解码上,可以说是相当的专业,能够深入到协议的细节上,用它们来对数据包深入分析相当不错,更重要的是它们还是免费得,但是用wireshark(ethereal)来分析大量数据包并在大量数据包中快速判断问题所在,比较费时间,不能直观的反应出来,而且操作较为复杂。像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件,不仅仅能解码(不过有些解码还是没有wireshark专业),还能直观形象的反应出数据情况,这些软件会对数据包进行统计,并生成各种各样的报表日志,便于我们查看和分析,能直观的看到问题所在,但这类软件是收费,如果想感受这类专业级的软件,我推荐玩科来网络分析仪技术交流版,免费注册激活,但是只能对50个点进行分析。废话不多说,下面介绍几个wireshark使用小技巧,说的不好,还请各位多指点批评。 目前wireshark最新版本是1.7的,先简单对比下wireshark的1.6和1.7版本。 下面是wireshark的1.6版本的界面图:
计算机网络课程设计---基于Wireshark的网络数据包内容解析
基于Wireshark的网络数据包内容解析 摘要本课程设计是利用抓包软件Wireshark,对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取,然后对所抓取的包进行分析,并结合的协议进行分析,达到了解各种数据包结构的目的。设计过程中对各种包进行抓取分析,各种包之间比较,了解每种包的传输过程与结构,通过本次课程设计,能很好的运用Wireshark对数据包分析和Wireshark各种运用,达到课程设计的目的。 关键词IP协议;TCP协议;UDP协议;ARP协议;Wireshark;计算机网络; 1 引言 本课程设计主要是设计一个基于Wireshark的网络数据包内容解析,抓取数据包,然后对所抓取的包进行分析,并结合的协议进行分析,达到了解各种数据包结构的目的 1.1 课程设计目的 Wireshark是一个网络封包分析软件。可以对网络中各种网络数据包进行抓取,并尽可能显示出最为详细的网络封包资料,计算机网络课程设计是在学习了计算机网络相关理论后,进行综合训练课程,其目的是: 1.了解并会初步使用Wireshark,能在所用电脑上进行抓包; 2.了解IP数据包格式,能应用该软件分析数据包格式。 1.2 课程设计要求 (1)按要求编写课程设计报告书,能正确阐述设计结果。 (2)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。 (3)学会文献检索的基本方法和综合运用文献的能力。
(4)在老师的指导下,要求每个学生独立完成课程设计的全部内容。 1.3 课程设计背景 一、Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。 二、网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。 网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具,因为我们知道网络程序都是以数据包的形式在网络中进行传输的,因此难免有协议头定义不对的。 网络嗅探的基础是数据捕获,网络嗅探系统是并接在网络中来实现对于数据的捕获的,这种方式和入侵检测系统相同,因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础,首先就来详细地介绍一下网络嗅探技术,接下来就其在网络监控系统的运用进行阐述。 2 网络协议基础知识 2.1 IP协议 (1) IP协议介绍
wireshark抓包分析报告TCP和UDP
计 算 机 网 络Wireshark抓包分析报告
目录 1. 使用wireshark获取完整的UDP报文 (3) 2. 使用wireshark抓取TCP报文 (3) 2.1 建立TCP连接的三次握手 (3) 2.1.1 TCP请求报文的抓取 (4) 2.1.2 TCP连接允许报文的抓取 (5) 2.1.3 客户机确认连接报文的抓取 (6) 2.2 使用TCP连接传送数据 (6) 2.3 关闭TCP连接 (7) 3. 实验心得及总结 (8)
1. 使用wireshark获取完整的UDP报文 打开wireshark,设置监听网卡后,使用google chrome 浏览器访问我腾讯微博的首页 p.t.qq./welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.perinfo.icon? ptlang=2052&pgv_ref=im.perinfo.perinfo.icon,抓得的UDP报文如图1所示。 图1 UDP报文 分析以上的报文容,UDP作为一种面向无连接服务的运输协议,其报文格式相当简单。第一行中,Source port:64318是源端口号。第二行中,Destination port:53是目的端口号。第三行中,Length:34表示UDP报文段的长度为34字节。第四行中,Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符,其后的4f0e表示16进制表示的检验和,把它们换成二进制表示为:0100 1111 0000 1110. 从wireshark的抓包数据看出,我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时,它构成了一个DNS 查询报文并将其交给UDP。UDP无须执行任何实体握手过程,主机端的UDP为此报文添加首部字段,并将其发出。 2. 使用wireshark抓取TCP报文 2.1 建立TCP连接的三次握手 建立TCP连接需要经历三次握手,以保证数据的可靠传输,同样访问我的腾讯微博主页,使用wireshark抓取的TCP报文,可以得到如图2所示的客户机和服务器的三次握手的过程。 图2 建立TCP连接的三次握手
计算机网络实验利用wireshark进行协议分析
实验4:利用W i r e s h a r k进行协议分析 1、实验目的 熟悉并掌握Wireshark的基本操作,了解网络协议实体间进行交互以及报文交换的情况。 2、实验环境 ?Windows 9x/NT/2000/XP/2003 ?与因特网连接的计算机网络系统 ?分组分析器Wireshark: 要深入理解网络协议,需要仔细观察协议实体之间交换的报文序列。为探究协议操作细节,可使协议实体执行某些动作,观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器(packet sniffer)。顾名思义,一个分组嗅探器俘获(嗅探)计算机发送和接收的报文。一般情况下,分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。图4-1 为一个分组嗅探器的结构。 图4-1 右边是计算机上正常运行的协议(在这里是因特网协议)和应用程序(如:w eb 浏览器和ftp 客户端)。分组嗅探器(虚线框中的部分)是附加计算机普通软件上的,主要有两部分组成。分组俘获库(packetcapture library)接收计算机发送和接收 图4-1 分组嗅探器的结构 的每一个链路层帧的拷贝。高层协议(如:HTTP、FTP、TCP、UDP、DNS、IP 等)交换的报文都被封装在链路层帧中,并沿着物理媒体(如以太网的电缆)传输。图1 假设所使用的物理媒体是以太网,上层协议的报文最终封装在以太网帧中。 分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。 为此,分析器必须能够理解协议所交换的所有报文的结构。例如:我们要显示图4-1 中HTTP 协议所交换的报文的各个字段。分组分析器理解以太网帧格式,能够识别包含在帧中的IP 数据报。分组分析器也要理解IP 数据报的格式,并能从IP 数据报中提取出TCP 报文段。然后,它需要理解TCP 报文段,并能够从中提取出HTTP 消息。 最后,它需要理解HTTP 消息。
Wireshark抓包实验报告.
第一次实验:利用Wireshark软件进行数据包抓取 1.3.2 抓取一次完整的网络通信过程的数据包实验 一,实验目的: 通过本次实验,学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能,熟悉Wireshark软件的包过滤设置和数据显示功能的使用。 二,实验环境: 操作系统为Windows 7,抓包工具为Wireshark. 三,实验原理: ping是用来测试网络连通性的命令,一旦发出ping命令,主机会发出连续的测试数据包到网络中,在通常的情况下,主机会收到回应数据包,ping采用的是ICMP协议。 四,验步骤: 1.确定目标地址:选择https://www.360docs.net/doc/e04812297.html,作为目标地址。 2.配置过滤器:针对协议进行过滤设置,ping使用的是ICMP协议,抓包前使用捕捉过滤器,过滤设置为icmp,如图 1- 1
图 1-1 3.启动抓包:点击【start】开始抓包,在命令提示符下键入ping https://www.360docs.net/doc/e04812297.html,, 如图 1-2
图 1-2 停止抓包后,截取的数据如图 1-3 图 1-3 4,分析数据包:选取一个数据包进行分析,如图1- 4
图1-4 每一个包都是通过数据链路层DLC协议,IP协议和ICMP协议共三层协议的封装。DLC协议的目的和源地址是MAC地址,IP协议的目的和源地址是IP地址,这层主要负责将上层收到的信息发送出去,而ICMP协议主要是Type和Code来识别,“Type:8,Code:0”表示报文类型为诊断报文的请求测试包,“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈,报文类型可归纳如下: (1)诊断报文(类型:8,代码0;类型:0代码:0); (2)目的不可达报文(类型:3,代码0-15); (3)重定向报文(类型:5,代码:0--4); (4)超时报文(类型:11,代码:0--1); (5)信息报文(类型:12--18)。
wireshark抓包分析实验报告
Wireshark抓包分析实验 若惜年 一、实验目的: 1.学习安装使用wireshark软件,能在电脑上抓包。 2.对抓出包进行分析,分析得到的报文,并与学习到的知识相互印证。 二、实验内容: 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据,分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文: IP报文分析: 从图中可以看出: IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符:0xd74b 标志:0x02 比特偏移:0 寿命:48 上层协议:TCP 首部校验和:0x5c12 源IP地址为:119.75.222.18 目的IP为:192.168.1.108
从图中可以看出: 源端口号:1891 目的端口号:8000 udp报文长度为:28 检验和:0x58d7 数据长度:20 bytes UDP协议是一种无需建立连接的协议,它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时,它构造一个DNS查询报文段并把它给UDP,不需要UDP之间握手,UDP为报文加上首部字段,将报文段交给网络层。
第一次握手: 从图中看出: 源端口号:56770 目的端口号:80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。
第二次握手: 从图中看出: 源端口号是:80 目的端口号为:56770 序列号为:0 ack为:1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。
第三次握手: 从图中看出: 源端口:56770 目的端口:80 序列号为:1 ACK为:1 首部长为:20bytes Acknowledgement为1表示包含确认的报文 所以,看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议,在一个应用进程可以开始向另一个应用进程发送数据前,这两个进程必须先握手,即它们必须相互发送预备文段,建立确保传输的参数。
Wireshark抓包实例分析
Wireshark抓包实例分析 通信工程学院010611班赖宇超01061093 一.实验目的 1.初步掌握Wireshark的使用方法,熟悉其基本设置,尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络协议的理解,如:TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际,知行合一的学术精神。 二.实验原理 1.用Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。 2.查找资料,了解相关网络协议的提出背景,帧格式,主要功能等。 3.根据所获数据包的内容分析相关协议,从而加深对常用网络协议理解。 三.实验环境 1.系统环境:Windows 7 Build 7100 2.浏览器:IE8 3.Wireshark:V 1.1.2 4.Winpcap:V 4.0.2 四.实验步骤 1.Wireshark简介 Wireshark(原Ethereal)是一个网络封包分析软件。其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。其使用目的包括:网络管理员检测网络问题,网络安全工程师检查资讯安全相关问题,开发者为新的通讯协定除错,普通使用者学习网络协议的
相关知识……当然,有的人也会用它来寻找一些敏感信息。 值得注意的是,Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 2.实例 实例1:计算机是如何连接到网络的? 一台计算机是如何连接到网络的?其间采用了哪些协议?Wireshark将用事实告诉我们真相。如图所示: 图一:网络连接时的部分数据包 如图,首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境,但必须事先获得客户端的硬件地址,而且,与其对应的IP地址是静态的。DHCP是BOOTP 的增强版本,包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议(Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。 让我们来看一下数据包的传送过程:
wireshark抓包分析了解相关协议工作原理
安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月
Wireshark抓包分析了解相关协议工作原理 学生:康谦班级:09计算机2班学号:09168168 指导教师:饶元 (安徽农业大学信息与计算机学院合肥) 摘要:本文首先ping同一网段和ping不同网段间的IP地址,通过分析用wireshark抓到的包,了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问https://www.360docs.net/doc/e04812297.html,抓到的包与访问https://www.360docs.net/doc/e04812297.html,抓到的包之间的区别,分析了访问二者网络之间的不同。 关键字:ping 同一网段不同网段 wireshark 协议域名服务器 正文: 一、ping隔壁计算机与ping https://www.360docs.net/doc/e04812297.html,抓到的包有何不同,为什么?(1)、ping隔壁计算机 ARP包:
ping包: (2)ing https://www.360docs.net/doc/e04812297.html, ARP包:
Ping包: (3)考虑如何过滤两种ping过程所交互的arp包、ping包;分析抓到的包有
何不同。 答:ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题,如果要找的主机和源主机不在同一个局域网上,就会解析出网 关的硬件地址。 二、访问https://www.360docs.net/doc/e04812297.html,,抓取收发到的数据包,分析整个访问过程。(1)、访问https://www.360docs.net/doc/e04812297.html, ARP(网络层): ARP用于解析IP地址与硬件地址的映射,本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组,询问IP地址为192.168.0.10的硬件地址,IP地址为192.168.0.100所在的主机见到自己的IP 地址,于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS(应用层): DNS用于将域名解析为IP地址,首先源主机发送请求报文询问https://www.360docs.net/doc/e04812297.html, 的IP地址,DNS服务器210.45.176.18给出https://www.360docs.net/doc/e04812297.html,的IP地址为210.45.176.3
实验四、使用Wireshark网络分析器分析数据包
实验四、使用Wireshark网络分析器分析数据包 一、实验目的 1、掌握Wireshark工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Wireshark 2、捕捉数据包 3、分析捕捉的数据包 三、实验工具 1、计算机n台(建议学生自带笔记本) 2、无线路由器n台 四、相关预备知识 1、熟悉win7操作系统 2、Sniff Pro软件的安装与使用(见Sniff Pro使用文档)
五、实验步骤 1、安装Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark 是最好的开源网络分析软件。 Wireshark的主要应用如下: (1)网络管理员用来解决网络问题 (2)网络安全工程师用来检测安全隐患 (3)开发人员用来测试协议执行情况 (4)用来学习网络协议 (5)除了上面提到的,Wireshark还可以用在其它许多场合。 Wireshark的主要特性 (1)支持UNIX和Windows平台 (2)在接口实时捕捉包 (3)能详细显示包的详细协议信息 (4)可以打开/保存捕捉的包 (5)可以导入导出其他捕捉程序支持的包数据格式
(6)可以通过多种方式过滤包 (7)多种方式查找包 (8)通过过滤以多种色彩显示包 (9)创建多种统计分析 五、实验内容 1.了解数据包分析软件Wireshark的基本情况; 2.安装数据包分析软件Wireshark; 3.配置分析软件Wireshark; 4.对本机网卡抓数据包; 5.分析各种数据包。 六、实验方法及步骤 1.Wireshark的安装及界面 (1)Wireshark的安装 (2)Wireshark的界面 启动Wireshark之后,主界面如图:
实验一 wireshark抓包工具使用
实验一wireshark抓包工具使用[实验目的] 学习wireshark抓包工具的使用 了解wireshark抓包工具的功能 通过学习,进一步理解协议及网络体系结构思想 [实验原理] Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 主要应用: 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议 [实验内容] 下载WIRESHARK,学习工具的使用和功能。
Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具,就好像使电工用来测量进入电信的电量的电度表一样。(当然比那个更高级) 过去的此类工具要么是过于昂贵,要么是属于某人私有,或者是二者兼顾。 Wireshark出现以后,这种现状得以改变。 Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 工作流程 (1)确定Wireshark的位置。如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 (2)选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据。否则,捕获到的其它数据对自己也没有任何帮助。 (3)使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以为用户节约大量的时间。 (4)使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包再更细致,此时使用显示过滤器进行过滤。 (5)使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。 (6)构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的 形式可以很方便的展现数据分布情况。
wireshark怎么抓包、wireshark抓包详细图文教程
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取HTT PS,但是不能解密HTTPS,所以wireshark 看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark. Wireshark(网络嗅探抓包工具) v1.4.9 中文版(包含中文手册+主界面的操作菜单) 评分: 2.5 类别:远程监控大小:22M 语言:中文 查看详细信息>> wireshark 开始抓包 开始界面
wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。 点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包 Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤器),用于过滤 2. Packet List Pane(封包列表),显示捕获到的封包,有源地址和目标地址,端口号。颜色不同,代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏,杂项) 使用过滤是非常重要的,初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。 过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。 过滤器有两种, 一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录 一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。在Capture -> Capture Filters 中设置 保存过滤 在Filter栏上,填好Filter的表达式后,点击Save按钮,取个名字。比如"Filter 102", Filter栏上就多了个"Filter 102" 的按钮。 过滤表达式的规则 表达式规则 1. 协议过滤 比如TCP,只显示TCP协议。 2. IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102, ip.dst==192.168.1.102, 目标地址为192.168.1.102 3. 端口过滤 tcp.port ==80, 端口为80的 tcp.srcport == 80, 只显示TCP协议的愿端口为80的。 4. Http模式过滤 http.request.method=="GET", 只显示HTTP GET方法的。 5. 逻辑运算符为 AND/ OR
wireshark抓包分析
用wireshark分析Http 和Dns 报文 一、http请求报文和响应报文 wireshark所抓的一个含有http请求报文的帧: 1、帧的解释 链路层的信息上是以帧的形式进行传输的,帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链 路层的一帧。 图中解释: Frame 18:所抓帧的序号是11,大小是409字节 Ethernet :以太网,有线局域网技术,属链路层 Inernet Protocol:即IP协议,也称网际协议,属网络层 Transmisson Control Protocol:即TCP协议,也称传输控 制协议。属传输层 Hypertext transfer protocol:即http协议,也称超文本传 输协议。属应用层 图形下面的数据是对上面数据的16进制表示。
2、分析上图中的http请求报文 报文分析: 请求行: GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本 我们发现,报文里有对请求行字段的相关解释。该报文请求的是一个对象,该对象是图像。 首部行: Accept: */* Referer: https://www.360docs.net/doc/e04812297.html,/这是网站网址 Accept-Language: zh-cn 语言中文 Accept-Encoding: gzip, deflate 可接受编码,文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Window s NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理,浏览器的类型是Netscape浏览器;括号内 是相关解释 Host: https://www.360docs.net/doc/e04812297.html,目标所在的主机 Connection: Keep-Alive 激活连接 在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名,比如下面http请求报文中橙黄色首部字段名:
实验报告:网络协议分析工具Wireshark的使用
网络协议分析工具Wireshark的使用 课程名称:计算机通信网实验 学院(系):计信学院 专业:电子信息工程 班级:电信一班 学号:0962610114 学生姓名:花青
一、实验目的 学习使用网络协议分析工具Wireshark的方法,并用它来分析一些协议。 二、实验原理和内容 1、tcp/ip协议族中网络层传输层应用层相关重要协议原理 2、网络协议分析工具Wireshark的工作原理和基本使用规则 三、实验环境以及设备 Pc机、双绞线 四、实验步骤(操作方法) 1.用Wireshark观察ARP协议以及ping命令的工作过程: (1)用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址;(2)用“arp”命令清空本机的缓存; (3)运行Wireshark,开始捕获所有属于ARP协议或TCP协议的,并且源或目的MAC地址是本机的包(提示:在设置过滤规则时需要使用(1)中获得的本机的MAC地址); (4)执行命令:“ping 缺省路由器的IP地址”; 2.用Wireshark观察tracert命令的工作过程: (1)运行Wireshark, 开始捕获tracert命令中用到的消息; (2)执行“tracert -d https://www.360docs.net/doc/e04812297.html,” 根据Wireshark所观察到的现象思考并解释tracert的工作原理。 3.用Wireshark观察TCP连接的建立过程和终止过程: (1)启动Wireshark, 配置过滤规则为捕获所有源或目的是本机的Telnet协议中的包(提示:Telnet使用的传输层协议是TCP,它使用TCP端口号23);(2)在Windows命令行窗口中执行命令“telnet https://www.360docs.net/doc/e04812297.html,”,登录后再退出。
如何理解wireshark抓取的数据包含义之“Understanding TCP Sequence and Acknowledgment Numbers”
Understanding TCP Sequence and Acknowledgment Numbers By stretch | Monday, June 7, 2010 at 2:15 a.m. UTC If you're reading this, odds are that you're already familiar with TCP's infamous "three-way handshake," or "SYN, SYN/ACK, ACK." Unfortunately, that's where TCP education ends for many networkers. Despite its age, TCP is a relatively complex protocol and well worth knowing intimately. This article aims to help you become more comfortable examining TCP sequence and acknowledgment numbers in the Wireshark packet analyzer. Before we start, be sure to open the example capture in Wireshark and play along. The example capture contains a single HTTP request to a web server, in which the client web browser requests a single image file, and the server returns an HTTP/1.1 200 (OK) response which includes the file requested. You can right-click on any of the TCP packets within this capture and select Follow TCP Stream to open the raw contents of the TCP stream in a separate window for inspection. Traffic from the client is shown in red, and traffic from the server in blue. The Three-Way Handshake TCP utilizes a number of flags, or 1-bit boolean fields, in its header to control the state of a connection. T he three we're most interested in here are: ?SYN - (Synchronize) Initiates a connection ?FIN - (Final) Cleanly terminates a connection ?ACK - Acknowledges received data As we'll see, a packet can have multiple flags set.
wireshark—报文分析工具培训
报文分析工具培训 一、wireshark介绍(功能、基本使用方法、帮助) wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。 1. wireshark功能: ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?… 2. wireshark基本使用方法: (1)、双击“桌面图标”或执行文件“wireshark.exe” (2)、进入wireshark主界面后,点击左上角图标
(3)、在弹出的“抓包网卡选项”中,选择自己机器的物理网卡,并点击“Start”,开始抓包录制工作。(此处,我抓包使用的物理网卡为:192.168.100.61) 此时,软件抓包显示区域内数据不断变化
(4)、点击wireshark停止键,结束抓包过程 (5)、点击wireshark软件左上角“File”后,选择“Save”选项,在弹出的对话框中,输入存档文件名后,点击“保存”,完成数据包存储工作。 3. wireshark帮助 选择主菜单中的“Help”项,出现帮助菜单。
帮助菜单包含以下几项: Contents:打开一个基本的帮助系统。 Manual Pages:使用手册(HTML网页) Supported Protocols:Wireshark支持的协议清单 About Wireshark:弹出信息窗口显示Wireshark的一些相关信息,如插件,目录等二、wireshark抓取报文高级使用 在开始抓包前,点击“Filter”
Wireshark抓包实验报告
西安郵電學院 计算机网络技术及应用实验 报告书 系部名称:管理工程学院学生姓名:xxx 专业名称:信息管理 班级:10xx 学号:xxxxxxx 时间:2012 年x 月x 日
实验题目Wireshark抓包分析实验 一、实验目的 1、了解并会初步使用Wireshark,能在所用电脑上进行抓包 2、了解IP数据包格式,能应用该软件分析数据包格式 3、查看一个抓到的包的内容,并分析对应的IP数据包格式 二、实验内容 1、安装Wireshark,简单描述安装步骤。 2、打开wireshark,选择接口选项列表。或单击“Capture”,配置“option” 选项。 3、设置完成后,点击“start”开始抓包,显示结果。 4、选择某一行抓包结果,双击查看此数据包具体结构。 5、捕捉IP数据报。 ①写出IP数据报的格式。 ②捕捉IP数据报的格式图例。 ③针对每一个域所代表的含义进行解释。 三、实验内容(续,可选) 1、捕捉特定内容 捕捉内容:http 步骤:①在wireshark软件上点开始捕捉。 ②上网浏览网页。 ③找到包含http格式的数据包,可用Filter进行设置,点击 中的下拉式按钮,选择http。 ④在该数据帧中找到Get 的内容。 实验体会
Wireshark抓包分析实验报告 一.实验目的 1.了解并初步使用Wireshark,能在所用电脑上进行抓包。 2.了解IP数据包格式,能应用该软件分析数据包格式。 3.查看一个抓到的包的内容,并分析对应的IP数据包格式。 二.主要仪器设备 协议分析软件Wireshark,联网的PC机。 三.实验原理和实验内容 1 安装WireShark。这个不用说了,中间会提示安装WinPcap,一切都是默认的了
网络分析实验报告
网络分析实验报告 篇一:网络协议分析实验报告 实验报告 课程名称计算机网络实验名称网络协议分析系别专业班级指导教师学号姓名实验成绩 一、实验目的 掌握常用的抓包软件,了解ARP、ICMP、IP、TCP、UDP 协议的结构。 二、实验环境 1.虚拟机(VMWare或Microsoft Virtual PC)、Windows XX Server。 客户机A 客户机B 2.实验室局域网,WindowsXP 三、实验学时 2学时,必做实验。 四、实验内容
注意:若是实验环境1,则配置客户机A的IP地址:192.168.11.X/24,X为学生座号;另一台客户机B的IP 地址:192.168.11.(X+100)。在客户机A上安装EtherPeek (或者sniffer pro)协议分析软件。若是实验环境2则根据当前主机A的地址,找一台当前在线主机B完成。 1、从客户机A ping客户机B ,利用EtherPeek(或者sniffer pro)协议分析软件抓包,分析ARP 协议; 2、从客户机A ping客户机B,利用EtherPeek(或者sniffer pro)协议分析软件抓包,分析icmp协议和ip协议; 3、客户机A上访问 ,利用EtherPeek(或者sniffer pro)协议分析软件抓包,分析TCP和UDP 协议; 五、实验步骤和截图(并填表) 1、分析arp协议,填写下表 1 2、分析icmp协议和ip协议,分别填写下表 表一:ICMP报文分析 2 3
3、分析TCP和UDP 协议,分别填写下表 4 表二: UDP 协议 5 篇二:网络协议分析软件的使用网络实验报告 南京理工大学泰州科技学院 实验报告书 课程名称:《计算机网络》实验题目:实验八班级:11计算机(2)学号:姓名:胡施兢指导教师:吴许俊 一、实验目的 1. 掌握网络协议分析软件的安装与配置方法; 2. 学习以太网数据链路层帧结构的分析; 3. 学会分析数据传输过程,理解TCP/IP协议工作原理。 二、实验内容 1.根据实验要求组建网络; 2.安装配置网络协议分析软件Wireshark; 3.分析以太网数据链路层帧的结构;
wireshark 实验 Getting Started
Wireshark Lab: Getting Started Version: 2.0 ? 2007 J.F. Kurose, K.W. Ross. All Rights Reserved Computer Networking: A Top-down Approach, 4th edition. “Tell me and I forget. Show me and I remember. Involve me and I understand.” Chinese proverb One’s understanding of network protocols can often be greatly deepened by “seeing protocols in action” and by “playing around with protocols” – observing the sequence of messages exchanged between two protocol entities, delving down into the details of protocol operation, and causing protocols to perform certain actions and then observing these actions and their consequences. This can be done in simulated scenarios or in a “real” network environment such as the Internet. The Java applets that accompany this text take the first approach. In these Wireshark labs1, we’ll take the latter approach. You’ll be running various network applications in different scenarios using a computer on your desk, at home, or in a lab. You’ll observe the network protocols in your computer “in action,” interacting and exchanging messages with protocol entities executing elsewhere in the Internet. Thus, you and your computer will be an integral part of these “live” labs. You’ll observe, and you’ll learn, by doing. The basic tool for observing the messages exchanged between executing protocol entities is called a packet sniffer. As the name suggests, a packet sniffer captures (“sniffs”) messages being sent/received from/by your computer; it will also typically store and/or display the contents of the various protocol fields in these captured messages. A packet sniffer itself is passive. It observes messages being sent and received by applications and protocols running on your computer, but never sends packets itself. Similarly, received packets are never explicitly addressed to the packet sniffer. Instead, a packet sniffer receives a copy of packets that are sent/received from/by application and protocols executing on your machine. 1 Earlier versions of these labs used the Ethereal packet analyzer. In May 2006, the developer of Ethereal joined a new company, and had to leave the Ethereal? trademarks behind. He then created the Wireshark network protocol analyzer, a successor to Ethereal?. Since Ethereal? is no longer being actively maintained or developed, we have thus switched these labs over to Wireshark with the 4th edition of our text.