wireshark抓包分析实验报告

PPPoE建立过程抓包分析准备工作：1.开启wireshark，设置过滤条件PPPoed or pppoes，点击apply应用2.点击PPPoE宽带进行连接(至于如何创建连接什么的自己百度去)3.连接完成，即可进行抓包分析了。

PPPOE建立过程抓包分析1、发现阶段Discovery1.PADI：客户机以广播的形式发送PADI数据包，请求建立链路。

2.PADO:访问集中器AC收到请求后会以单播的方式发送一个PADO数据包对客户机做出应答。

3.PADR：客户机收到PADO后，选择其中一个AC，然后客户机根据选中的AC 的MAC地址向AC单播发送一个PADR数据包，表示请求该AC作为服务器。

4.PADS：AC收到客户机发送的PADR数据包后，会创建一个唯一的会话ID，并单播一个PADS数据包给客户机作为响应。

2、会话阶段PPP1.协商阶段：客户机和AC要互相发送LCP Request给对方，来确认发送的最大传输单元、是否认证和采用何种认证方式的协商。

(1)确定采用认证方式(2)确定最大传输单元2.认证阶段：双方通过LCP确定好认证方式后，就立刻进行认证，认证完成后才可以进行之后的网络层的协商。

该过程可以抓包到PPPOE拨号的用户名及加密后的密码。

3.IPCP协商阶段：双方协商IP服务阶段的一些要求，已决定双方都能接收的约定。

双方的协议是通过报文中的Option进行协商的，每一个Option都是一个需要协商的问题。

则个过程一般协商多次。

最后双方都需要答复Configure_ACK的同意报文。

(1)客户机同意报文A.AC发起申请RequestB.客户机确认，发起ACK报文(2)AC同意报文（该过程可能需要很多次协商，下面只列举失败和成功各一次）：A.客户机发起申请RequestB.AC拒绝RejectC.客户机重新发起新的申请RequestD.AC确认，发送ACK报文当双方都发完ACK报文后，用户确认收到，获得IP和DNS Server IP，PPPoE即拨号成功。

计算机与信息科学学院实验报告（2012—2013学年第一学期）课程名称：网络安全实验班级：学号：姓名：任课教师：计算机与信息科学学院实验报告（二）、实验步骤：1、安装Wireshark（1）双击文件夹中的可执行文件，如图1所示。

图1 Wireshark的可执行文件(2)该对话框时一个安装提示，如果之前没有安装过该文件，则点击下一步，如图2所示。

图2 确认对话框（3）图3所示是一个关于该软件的许可证说明，可以忽略，点击下一步。

图3 Wireshark的许可说明（4）在图4中罗列出来的是一些可选安装组件，可根据实际需要选择安装图4 选择安装组件（5）以下是关于该软件的图标创建位置和支持的文件拓展，图标部分可根据实际情况选择，然后点击下一步，如图5所示。

图5 快捷方式（6）程序的安装位置，这里选择默认，点击下一步。

图6 程序安装位置（7）安装WinPcap插件，在这一步必须勾选安装，不然无法进行以下的实验。

图7 勾选WinPcap插件（8）下面开始进入WinPcaP插件的安装过程，点击下一步，如图8所示。

图8 安装WinPcaP（9）这一步是对WincaP插件的介绍，可以不用理会，继续下一步。

图9 WinPcaP介绍（10）WinPcaP的许可协议，点击“I Agren”，如图10所示。

图10 许可协议（10）在系统引导时自动启动该插件，默认选择，点击“Install”，如图11所示。

图11 WinPcaP的自动启动（11）经过了那么多步，终于到尽头了。

直接点“Finish”，结束WinPcaP的安装。

图12 WinPcaP安装结束（12）插件安装完了，点击下一步，如图13所示。

图13 Wireshark安装结束（13）Wireshark安装的最后一步，勾选“Run Wireshark……”，点击“Finish”图14 Wireshark成功安装2、Wireshark的基本操作（1）在ip为192.168.0.4的虚拟主机上双击安装好的Wireshark可执行文件“Wireshake.exe”，弹出Wireshark操作界面。

用wireshark分析Http 和Dns 报文一、http请求报文和响应报文wireshark所抓的一个含有http请求报文的帧：1、帧的解释链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。

而wireshark抓到的就是链路层的一帧。

图中解释：Frame 18：所抓帧的序号是11，大小是409字节Ethernet ：以太网，有线局域网技术，属链路层Inernet Protocol：即IP协议，也称网际协议，属网络层Transmisson Control Protocol：即TCP协议，也称传输控制协议。

属传输层Hypertext transfer protocol：即http协议，也称超文本传输协议。

属应用层图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文报文分析：请求行：GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本我们发现，报文里有对请求行字段的相关解释。

该报文请求的是一个对象，该对象是图像。

首部行：Accept: */*Referer: /这是网站网址Accept-Language: zh-cn 语言中文Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive 激活连接在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：Accept: */*Referer: /thread-345413-1-1.html这是html文件网址Accept-Language: zh-cn 语言中文Accept-Encoding: gzip, deflate 可接受编码，文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT 内容是否被修改：最后一次修改时间If-None-Match: "9a4041-197-2f11e280" 关于资源的任何属性（ET ags值）在ETags的值中可以体现，是否改变User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE)用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive 激活连接Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY 24VDbjc1Acookie，允许站点跟踪用户，coolie ID是7ab350574834b14b3、分析http的响应报文，针对上面请求报文的响应报文如下：wireshark对于2中http请求报文的响应报文：展开http响应报文：报文分析：状态行：HTTP/1.0 200 OK首部行：Content-Length: 159 内容长度Accept-Ranges: bytes 接受范围Server: nginx 服务器X-Cache: MISS from 经过了缓存服务器Via::80(squid/2.6.STABLE14-20070808) 路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT 响应信息创建的时间Content-Type: image/gif 内容类型图像Expires: Fri, 22 Oct 2010 12:10:19 GMT 设置内容过期时间Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT 内容最后一次修改时间Powered-By-ChinaCache:PENDING from CNC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络（CDN）在中国的服务提供商。

实验2 wireshark或sniffer抓包软件使用实本次实验使用wireshark抓包软件。

开启的应用程序有：IE，QQ, QQ音乐。

过滤的UDP 的报文。

结果：抓取的报文：14 2.915765000 tencent_private DFAUT QQMusicExternal.exe 222.18.168.170119.177.224.41 UDP 121 Source port: http Destination port: hosts2-ns即第14号报文，时间为2.915765000，应用程序名称：tencent_private，应用哈希：DFAUT, 应用程序模块：QQMusicExternal.exe，源地址：222.18.168.170，目标地址：119.177.224.41，协议：UDP，包长度：121，信息：源端口：http；目的端口：hosts2-ns。

结果说明：链路层：以太网；网络层：IP协议；传输层：UDP；应用层：qq的私有协议。

详细情况：展开后的情况：（由于此段最后一项过长不好截图，故将其复制过来了）Frame 14: 121 bytes on wire (968 bits), 121 bytes captured (968 bits) on interface 0Interface id: 0Encapsulation type: Ethernet (1)Arrival Time: Dec 3, 2013 11:15:50.371006000 中国标准时间Time shift for this packet: 0.000000000 secondsEpoch Time: 1386040550.371006000 secondsTime delta from previous captured frame: 0.010828000 secondsTime delta from previous displayed frame: 0.010828000 secondsTime since reference or first frame: 2.915765000 secondsFrame Number: 14Frame Length: 121 bytes (968 bits)Capture Length: 121 bytes (968 bits)Frame is marked: FalseFrame is ignored: FalseProtocols in frame: eth:ai:ip:udp:dataColoring Rule Name: Checksum ErrorsColoring Rule String: eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1画面14：121字节线（968位），121个字节（968位）捕获接口0接口编号：0封装类型：以太网（1）到达时间：2013年12月3日50.371006000中国标准时间11:15:这个包的时间变化：0秒时间：1386040550.371006000秒以前捕获的帧时间三角：0.010828000秒从以前的显示帧时间三角洲：0.010828000秒由于参考或第一帧的时间：2.915765000秒帧号：14帧长度：121字节（968位）捕获长度：121字节（968位）帧标记：假框架是忽视：假协议的框架：ETH：AI：IP UDP数据：：着色规则名称：校验和错误着色规则字符串：ETH。

计算机网络实验报告年级：姓名：学号：___________实验日期:_________________________实验名称：实验二：利用Wireshark分析ARP协议一、实验项目名称及实验项目编号ARP协议学习与分析二、课程名称及课程编号计算机网络三、实验目的和要求实验目的：通过本实验使学生：1．学习ARP协议的工作原理以及ARP分组格式；2．学习使用WireShark对ARP协议进行分析。

实验要求：实验结果分析报告名称：实验一 ARP协议实验结果分析_姓名.doc四、实验原理Wireshark介绍Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

Wireshark的主要应用如下：（1）网络管理员用来解决网络问题（2）网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况（4）用来学习网络协议（5）除了上面提到的，Wireshark还可以用在其它许多场合。

Wireshark的主要特性（1）支持UNIX和Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4）可以打开/保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色彩显示包（9）创建多种统计分析五、实验内容1．了解数据包分析软件Wireshark的基本情况；2．安装数据包分析软件Wireshark；3．配置分析软件Wireshark；4．对本机网卡抓数据包；5．分析各种数据包。

六、实验方法及步骤1．Wireshark的安装及界面（1）Wireshark的安装（2）Wireshark的界面启动Wireshark之后，主界面如图：主菜单项：主菜单包括以下几个项目:File包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

一、实验模块计算机网络二、实验标题捕获再捕获实验三、实验目的1. 掌握网络数据包捕获的基本方法；2. 了解不同网络协议的工作原理；3. 学习使用Wireshark等网络抓包工具进行数据包捕获和分析。

四、实验环境1. 实验设备：电脑一台，网络连接正常；2. 实验软件：Wireshark抓包工具；3. 实验环境：以太网。

五、实验内容1. 捕获原始网络数据包；2. 分析捕获到的数据包；3. 再次捕获网络数据包，观察变化。

六、实验步骤1. 打开Wireshark，选择合适的网络接口进行抓包；2. 设置过滤条件，只捕获特定的协议数据包，如TCP、UDP等；3. 启动抓包，进行网络操作（如浏览网页、发送邮件等）；4. 停止抓包，查看捕获到的数据包；5. 分析捕获到的数据包，了解协议工作原理；6. 再次进行网络操作，观察数据包的变化；7. 对比分析两次捕获到的数据包，找出差异。

七、实验过程1. 打开Wireshark，选择以太网接口进行抓包；2. 设置过滤条件，只捕获HTTP协议数据包；3. 启动抓包，打开网页进行浏览；4. 停止抓包，查看捕获到的数据包；5. 分析捕获到的数据包，了解HTTP协议工作原理；6. 再次进行网络操作，如发送邮件；7. 对比分析两次捕获到的数据包，找出差异。

八、实验结果与分析1. 第一次捕获到的数据包为HTTP请求，包含请求方法、URL、版本等信息；2. 第二次捕获到的数据包为HTTP响应，包含响应状态码、内容长度、实体等；3. 对比两次捕获到的数据包，发现第二次捕获的数据包中，请求方法和URL与第一次相同，但响应状态码、内容长度等有所不同。

九、实验总结1. 通过本次实验，掌握了网络数据包捕获的基本方法；2. 学习了不同网络协议的工作原理，如HTTP协议；3. 使用Wireshark等网络抓包工具，对捕获到的数据包进行分析，有助于了解网络通信过程。

十、实验反思1. 在实验过程中，需要注意设置合适的过滤条件，以便快速定位所需捕获的数据包；2. 分析数据包时，要熟悉不同协议的格式和内容，以便准确解读数据包；3. 实验过程中，遇到的问题主要包括数据包捕获失败、分析不准确等，通过查阅资料和请教他人，成功解决了这些问题。

一、实训背景数据链路层是OSI七层模型中的第二层，主要负责在相邻节点之间可靠地传输数据帧。

为了更好地理解数据链路层的工作原理，我们进行了数据链路层抓包实训，通过Wireshark工具捕获和分析网络数据包，以了解数据链路层协议的工作过程。

二、实训目标1. 熟悉Wireshark工具的使用方法；2. 理解数据链路层协议的工作原理；3. 捕获和分析网络数据包，验证数据链路层协议的正确性；4. 掌握数据链路层抓包实训的步骤和方法。

三、实训工具1. Wireshark抓包工具；2. 电脑一台；3. 网络设备（如路由器、交换机等）；4. 网络连接。

四、实训步骤1. 准备工作（1）确保电脑已接入网络，并安装Wireshark工具；（2）了解实验环境，包括网络拓扑结构、网络设备配置等。

2. 捕获数据包（1）打开Wireshark工具，选择合适的网络接口进行抓包；（2）设置抓包过滤器，例如只捕获特定协议的数据包；（3）启动抓包，观察网络数据包的传输过程。

3. 分析数据包（1）观察数据包的源MAC地址和目的MAC地址，了解数据包的传输路径；（2）分析数据包的帧头信息，包括帧类型、帧控制字段等；（3）查看数据包的数据部分，了解传输的数据内容；（4）根据数据包内容，分析数据链路层协议的工作过程。

4. 验证数据链路层协议（1）根据捕获到的数据包，分析数据链路层协议的帧结构；（2）验证数据链路层协议的工作过程，如数据帧的封装、校验和等；（3）对比协议规范，确认数据链路层协议的正确性。

5. 实验总结（1）整理实验过程中捕获到的数据包，分析数据链路层协议的工作原理；（2）总结实验过程中的经验和教训，提高网络抓包和分析能力。

五、实训结果通过本次实训，我们成功捕获并分析了数据链路层的数据包，了解了数据链路层协议的工作原理。

以下是实验过程中捕获到的部分数据包：图1：以太网帧结构图2：数据链路层协议帧结构通过分析数据包，我们发现数据链路层协议在数据传输过程中，确实按照规范进行了帧的封装、校验和等操作。

实验使用W i r e s h a r k分析U D PIMB standardization office【IMB 5AB- IMBK 08- IMB 2C】实验六使用W i r e s h a r k分析U D P 一、实验目的比较TCP和UDP协议的不同二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤1、打开两次TCP流的有关跟踪记录，保存在中，并打开两次UDP流中的有关跟踪文件。

如图所示：图1：TCP 流跟踪记录图2：UDP流跟踪记录2、分析此数据包：（1）TCP传输的正常数据：文件的分组1到13中显示了TCP连接。

这个流中的大部分信息与前面的实验相同。

我们在分组1到分组3中看到了打开连接的三次握手。

分组10到分组13显示的则是连接的终止。

我们看到分组10既是一个带有FIN标志的请求终止连接的分组，又是一个最后1080个字节的（序号是3921—5000）的重传。

TCP将应用程序写入合并到一个字节流中。

它并不会尝试维持原有应用程序写人的边界值。

我们注意到TCP并不会在单个分组中传送1000字节的应用程序写入。

前1000个字节会在分组4种被发送，而分组5则包含了1460个字节的数据-----一些来自第二个缓冲区，而另一些来自第三个缓冲区。

分组7中含有1460个字节而分组8中则包含剩余的1080个字节。

（5000-0=1080）我们注意到实际报告上的秒是从初始化连接的分组1开始到关闭连接的分组10结束。

分组11—13未必要计入接收端应用程序的时间内，因为一旦接收到第一个FIN，TCP层便马上发送一个关闭连接的信号。

分组11—13只可能由每台计算机操作系统得TCP层后台传输。

如果我们注意到第一个包含数据的分组4和最后一个分组8之间的时间，我们就大约计算出和由UDP接收端所报告的秒相同的时间。

这样的话，增加TCP传输时间的主要原因就是分组10中的重传。

计算机网络实验报告年级：信科102 姓名：钱丽美学号： 10111219 实验日期：2012.10.23实验名称：利用wireshark抓取TCP连接及断开实验一、实验目的：1）掌握TCP连接建立的三次握手过程2）理解TCP连接释放的四次握手过程二、实验原理：TCP协议工作原理参考TCP协议Tcp显示过滤规则:tcp.flags 显示包含TCP标志的封包。

tcp.flags.syn == 1显示包含TCP SYN标志的封包。

tcp.flags.syn == 1and tcp.flags.ack == 0 显示包含TCP SYN并且不包含ACK标志的封包。

tcp.flags.fin == 1and tcp.flags.ack == 1 显示包含TCP FIN和ACK标志的封包。

tcp.window_size == 0 && tcp.flags.reset != 1三、主要设备、器材1）已联网且运行Windows操作系统的计算机2）协议分析软件Wireshark四、要求1、结果分析与保存的数据一致，否则没有实验成绩2、数据保存名称：tcp数据：w09101-tcp.pcap(网络091班01号arp协议)实验结果分析报告名称：实验六利用Wireshark分析tcp协议_w09101.doc五、实验步骤：1）启动WireShark抓包2）访问学校主页服务器，通过Wireshark捕获通信内容3）分析TCP连接建立的三次握手和连接释放的四次握手过程浏览网页，抓取三次握手的包，根据TCP包头格式将各字段取值填下来。

源IP：10.30.28.57目的IP:220.181.127.63源端口：sdt-lmd(3319)目的端口：http(80)第一次握手：找出第一次握手的数据包并截取对该数据包的展开图，根据截图填写横线内容。

替换上图序号：0确认号：0数据偏移：32URG:0ACK:0PSH:0RST:0SYN: 1FIN:0窗口：32767若只抓取第一次握手的数据包，则显示过滤器的规则为tcp.flags.syn ==1and tcp.flags.ack == 0 显示包含TCP SYN并且不包含ACK标志的封包。

访问⽹页全过程，⽤wireshark抓包分析⽤wireshark抓包查看访问⽹站过程打开wireshark，打开⼀个⽆痕浏览器，输⼊⽹址，到⽹页呈现这⼀过程，⽹络数据包传递的消息都会被放在wireshark⾥。

针对这些包，我们可以逐⼀分析，摸清⽹络访问的全过程。

⾸先是通过DNS获取⽹站的ip地址：在抓到的包⾥⾯逐⼀排查，会请求⽹站的第⼀次出现的数据包是DNS包。

如图82号包（访问百度为例）。

选择82号包后，会出现下⾯的内容，分别是每层⾥⾯的内容和头部的字节码。

这个数据包的73个字节⾥包含：数据链路层报⽂头（数据链路层），ip层头（⽹络层），udp头（传输层），dns头（应⽤层）。

数据链路层的主要信息有mac地址2个（源地址和⽬的地址），主要是你电脑的mac地址，他会发到路由器的mac地址去，然后再由路由器进⾏转发。

⽹络层层有ip4，ip地址，⽬的ip地址等信息。

传输层主要负责了端⼝的管理。

我们具体看⼀下Dns 的回应包，包含从dns server发到我们电脑，具体的内容⾥⾯把query重复⼀遍，然后answer应答了我们请求的⽹站对应的IP地址，于是我们就知道了访问⽹站的ip地址。

接着我们过滤⼀下IP地址，下⼀个包就是TCP开始三次握⼿的包了。

打开看下⾯各层的信息数据链路层依然是发给路由器：⽹络层是发给百度的ip，传输层把端⼝对应了起来具体看tcp层：第⼀个请求包内容：百度回应的包：第三次确认包也是类似：到这就完成了三次握⼿，就可以开始通信了。

http协议就开始互相发送数据包。

最后的四次挥⼿也是⼀样的，可能会存在长连接的情况，要等⼀段时间服务器才会主动断开连接，翻到最下⾯应该就能看到了。