实验八 使用Wireshark分析FTP协议

电脑网络协议分析Wireshark的使用和网络故障排查在当今数字化的时代，计算机和互联网已经成为我们生活中不可或缺的一部分。

而网络协议作为计算机之间通信的基础，是确保数据安全和高效传输的重要手段之一。

本文将介绍一个方便实用的网络协议分析工具——Wireshark，并探讨如何使用它进行网络故障排查。

一、Wireshark简介Wireshark是一个开源的网络协议分析工具，它能够截获网络数据包并将其详细解码显示。

作为专业的协议分析工具，Wireshark被广泛用于网络管理、网络安全和网络故障排查等领域。

二、Wireshark的安装要使用Wireshark，首先需要从其官方网站下载并安装软件。

Wireshark支持多种操作系统，如Windows、Linux和Mac OS。

安装完毕后，打开Wireshark，你将看到一个直观且用户友好的图形界面。

三、Wireshark的基本功能1. 数据包截获：Wireshark可以通过选择特定的网络接口来截获数据包。

用户只需点击“开始捕获”按钮，Wireshark将开始监听并显示所有经过网络接口的数据包。

2. 数据包过滤：Wireshark提供了灵活强大的过滤功能，可以根据协议、源IP地址、目的IP地址、端口号等条件进行数据包筛选。

这样可以帮助用户快速定位感兴趣的数据包。

3. 数据包分析：Wireshark可以对截获的数据包进行深入的分析。

通过解码数据包中的各个字段，Wireshark能够显示数据包的源地址、目的地址、使用的协议、传输的数据等详细信息。

四、Wireshark的使用场景1. 网络故障排查：当网络出现延迟、丢包或连接问题时，Wireshark 可以帮助我们分析网络流量并找出潜在的故障原因。

通过观察数据包的发送和接收情况，我们可以判断是否存在网络拥塞、路由异常等问题。

2. 网络安全分析：Wireshark可以截获网络流量中的数据包，并对其进行详细解码显示。

这为网络安全分析师提供了一个有力的工具，可以帮助他们检测和分析网络攻击、恶意软件传播等问题。

实验一：网络协议分析工具Wireshark的使用一、实验目的学习使用网络协议分析工具Wireshark的方法，并用它来分析一些协议。

二、实验原理和内容1、tcp/ip协议族中网络层传输层应用层相关重要协议原理2、网络协议分析工具Wireshark的工作原理和基本使用规则三、实验环境以及设备Pc机、双绞线四、实验步骤（操作方法及思考题）1.用Wireshark观察ARP协议以及ping命令的工作过程：（20分）（1）用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（2）用“arp”命令清空本机的缓存；（3）运行Wireshark，开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）;（4）执行命令：“ping 缺省路由器的IP地址”；写出（1），（2）中所执行的完整命令（包含命令行参数），（3）中需要设置的Wireshark的Capture Filter过滤规则，以及解释用Wireshark所观察到的执行（4）时网络上出现的现象。

（1）ipconfig/all（2）arp –d arp –a（3）ether host F0:4D:A2:24:84:D6 and(icmp or arp)（4）ping 192.168.32.254如上图，为所截得的包，包里1、2、11、12都是arp报文，先用arp –d命令清空ARP 缓存。

通过广播来找到目的主机的mac地址。

3~10个icmp包是ping命令下的4个request 和reply报文。

2.用Wireshark观察tracert命令的工作过程：（20分）（1）运行Wireshark, 开始捕获tracert命令中用到的消息；（2）执行“tracert -d ”根据Wireshark所观察到的现象思考并解释tracert的工作原理。

Tracert先发送TTL为1的回应数据包，并在随后的每次发送过程将TTL递增1，直到目标响应或TTL 达到最大值，从而确定路由。

wireshark协议分析Wireshark协议分析。

Wireshark是一款开源的网络协议分析工具，它可以帮助用户捕获和分析网络数据包。

通过Wireshark，用户可以深入了解网络通信过程中所使用的协议、数据包的结构和内容，以及网络中发生的各种问题。

本文将介绍Wireshark的基本用法和协议分析的相关知识。

首先，我们需要了解Wireshark的基本操作。

在打开Wireshark后，我们可以选择要监听的网络接口，比如以太网、无线网卡等。

接着，我们可以开始捕获数据包，Wireshark会显示所有经过所选网络接口的数据包。

在捕获过程中，我们可以应用过滤器来只显示特定类型的数据包，比如只显示HTTP协议的数据包或只显示源地址为特定IP的数据包。

此外，Wireshark还提供了统计功能，可以对捕获到的数据包进行统计分析，比如流量统计、协议分布等。

在捕获到数据包后，我们可以进行协议分析。

Wireshark支持多种协议的解析和分析，比如TCP、UDP、HTTP、DNS等。

通过Wireshark，我们可以查看每个数据包的详细信息，包括源地址、目的地址、协议类型、数据长度等。

我们还可以查看数据包的原始内容，了解其中所包含的信息。

此外，Wireshark还提供了对数据包进行重组和解析的功能，可以将多个数据包组合成完整的会话，并对其进行解析和分析。

在进行协议分析时，我们需要关注一些重要的指标和信息。

比如，在TCP协议中，我们可以查看数据包的序号、确认号、窗口大小等信息，了解数据传输的情况。

在HTTP协议中，我们可以查看请求和响应的头部信息，了解客户端和服务器之间的通信过程。

此外，Wireshark还提供了对加密流量的解析和分析功能，可以帮助我们了解加密通信的内容和结构。

除了基本的协议分析功能，Wireshark还支持各种插件和扩展，可以对特定协议或应用进行深入的分析。

比如，对于VoIP通话，Wireshark可以解析和显示SIP、RTP等协议的信息，帮助我们了解通话的建立和传输过程。

计算机⽹络实验⼋计算机⽹络实验指导书昆明理⼯⼤学信⾃学院实验⼋：计算机⽹络协议分析实验⼀、实验⽬的：了解各种协议的格式与⼯作机制，学习使⽤Wireshaek协议分析⼯具。

通过eNSP抓包⼯具，分析所获取报⽂的内容。

⼆、实验原理：1.TCP协议通讯的双⽅由IP地址和端⼝号标识。

32位序号、32位确认序号、窗⼝⼤⼩。

4位⾸部长度和IP协议头类似，表⽰TCP协议头的长度，以4字节为单位，因此TCP协议头最长可以是4x15=60字节，如果没有选项字段，TCP协议头最短20字节。

URG、ACK、PSH、RST、SYN、FIN是六个控制位。

16位检验和将TCP协议头和数据都计算在内。

2.UDP协议3.IP协议IP数据报的⾸部长度和数据长度都是可变长的，但总是4字节的整数倍。

对于IPv4，4位版本字段是4。

4位⾸部长度的数值是以4字节为单位的，最⼩值为5，也就是说⾸部长度最⼩是4x5=20字节，也就是不带任何选项的IP⾸部，4位能表⽰的最⼤值是15，就是说⾸部长度最⼤是60字节。

8位TOS字段有3个位⽤来指定IP数据报的优先级（⽬前已经废弃不⽤），还有4个位表⽰可选的服务类型（最⼩延迟、最⼤呑吐量、最⼤可靠性、最⼩成本），还有⼀个位总是0。

总长度是整个数据报的字节数。

每传⼀个IP数据报，16位的标识加1，可⽤于分⽚和重新组装数据报。

3位标志和13位⽚偏移⽤于分⽚。

TTL（Time to live)是这样⽤的：源主机为数据包设定⼀个⽣存时间，⽐如64，每过⼀个路由器就把该值减1，如果减到0就表⽰路由已经太长了仍然找不到⽬的主机的⽹络，就丢弃该包，因此这个⽣存时间的单位不是秒，⽽是跳（hop）。

协议字段指⽰上层协议是TCP、UDP、ICMP还是IGMP。

然后是校验和，只校验IP⾸部，数据的校验由更⾼层协议负责。

IPv4的IP地址长度为32位。

4.ICMP报⽂类型ICMP全称Internet Control Message Protocol（⽹际控制信息协议）。

大连理工大学本科实验报告课程名称：网络综合实验学院（系）：软件学院专业：软件工程年月日大连理工大学实验报告学院（系）：专业：班级：姓名：学号：组：___ 实验时间：实验室：实验台：指导教师签字：成绩：实验一：网络协议分析工具Wireshark的使用一、实验目的学习使用网络协议分析工具Wireshark的方法，并用它来分析一些协议。

二、实验原理和内容1、tcp/ip协议族中网络层传输层应用层相关重要协议原理2、网络协议分析工具Wireshark的工作原理和基本使用规则三、实验环境以及设备Pc机、双绞线四、实验步骤（操作方法及思考题）1.用Wireshark观察ARP协议以及ping命令的工作过程：（1）用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（2）用“arp”命令清空本机的缓存；（3）运行Wireshark，开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）;（4）执行命令：“ping 缺省路由器的IP地址”；写出（1），（2）中所执行的完整命令（包含命令行参数），（3）中需要设置的Wireshark的Capture Filter过滤规则，以及解释用Wireshark所观察到的执行（4）时网络上出现的现象。

(1)ipconfig –all(2)arp –d(3)ether host 00-11-5B-28-69-B0 and (arp or icmp)(4)因为实验开始时清空了本机ARP缓存，所以在ping默认网关的IP时，首先主机广播一个ARP查询报文，默认网关回复一个ARP响应报文；ping程序执行时，源向目的发送一个ICMP的Echo请求，目的方向源回复一个Echo响应，如此反复执行四次，所以捕获到8个ICMP报文。

2.用Wireshark观察tracert命令的工作过程：（1）运行Wireshark, 开始捕获tracert命令中用到的消息；（2）执行“tracert -d ”根据Wireshark所观察到的现象思考并解释tracert的工作原理。

通过WIRESHARK学习FTP流程一．Wireshark概述在windows下，Wireshark是通过底层的winpcap来实现抓包的。

winpcap是用于网络封包抓取的一套工具，可适用于32位的操作平台上解析网络封包，包含了数据包截获驱动程序，一个底层动态链接库，和一个高层静态链接库，winpcap在内核中把所有网卡收到的报文复制一份。

Display Filter(显示过滤器)，用于过滤Packet List Pane(封包列表)，显示捕获到的封包，包括编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。

不同的协议用了不同的颜色显示Packet Details Pane(封包详细信息)，显示封包中的字段Dissector Pane(16进制数据)Miscellaneous(地址栏，杂项)二．FTP概述文件传输协议（FTP）作为网络共享文件的传输协议，在网络应用软件中具有广泛的应用。

FTP的目标是提高文件的共享性和可靠高效地传送数据。

在传输文件时，FTP客户端程序先与服务器建立连接，然后向服务器发送命令。

服务器收到命令后给予响应，并执行命令。

FTP协议与操作系统无关，任何操作系统上的程序只要符合FTP协议，就可以相互传输数据。

1. FTP协议简介FTP是仅基于TCP的服务，不支持UDP，相比其他协议（如HTTP协议），FTP协议要复杂一些。

与一般的C/S应用不同点在于一般的C/S应用程序一般只会建立一个Socket连接，这个连接同时处理服务器端和客户端的连接命令和数据传输。

而FTP协议中将命令与数据分开传送的方法提高了效率。

FTP使用2个端口，一个数据端口和一个命令端口（也叫做控制端口）。

控制Socket用来传送命令，数据Socket是用于传送数据。

每一个FTP命令发送之后，FTP服务器都会返回一个字符串，其中包括一个响应代码和一些说明信息。

其中的返回码主要是用于判断命令是否被成功执行了。

wireshark抓包实验报告总结一、实验目的本次实验的主要目的是学习Wireshark抓包工具的使用方法，掌握网络通信过程中数据包的组成和解析方式，以及了解常见网络协议的运行机制。

二、实验环境本次实验使用的操作系统为Windows 10，使用Wireshark版本为3.4.6。

三、实验步骤1. 安装Wireshark软件并打开。

2. 选择需要抓包的网络接口，并开始抓包。

3. 进行相应的网络操作，例如访问网站、发送邮件等。

4. 停止抓包，并对捕获到的数据包进行分析和解析。

四、实验结果1. 抓取HTTP请求和响应数据包通过Wireshark抓取HTTP请求和响应数据包，可以轻松地了解HTTP协议在通信过程中所传输的信息。

例如，在访问一个网站时，可以看到浏览器向服务器发送GET请求，并获取到服务器返回的HTML 页面等信息。

同时还可以看到HTTP头部中所携带的信息，例如User-Agent、Cookie等。

2. 抓取TCP连接数据包通过Wireshark抓取TCP连接数据包，可以了解TCP协议在建立连接、传输数据和关闭连接时所涉及到的所有步骤。

例如，在进行FTP 文件传输时，可以看到TCP三次握手建立连接，以及文件传输过程中TCP的流量控制和拥塞控制等。

3. 抓取UDP数据包通过Wireshark抓取UDP数据包，可以了解UDP协议在通信过程中所涉及到的所有信息。

例如，在进行DNS域名解析时，可以看到DNS服务器返回的IP地址等信息。

五、实验总结通过本次实验，我学会了使用Wireshark抓包工具进行网络数据包分析的方法，并了解了常见网络协议的运行机制。

同时也发现，在网络通信过程中，数据包所携带的信息非常丰富，能够提供很多有用的参考和指导。

因此，在实际工作中，我们应该灵活运用Wireshark等工具进行网络数据包分析，并结合具体业务场景进行深入研究和分析。

实验五使用Wireshark分析TCP协议一、实验目的分析TCP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤1、捕获一个从你电脑到远程服务器的TCP数据打开FTP客户端，连接ftp://202.120.222.71，用”TCP”为过滤条件，捕获建立连接和断开连接的数据。

图5.1 捕获的TCP数据（1）连接建立：TCP连接通过称为三次握手的三条报文来建立的。

观察以上数据，其中分组10到12显示的就是三次握手。

第一条报文没有数据的TCP报文段（分组10），并将首部SYN位设置为1。

因此，第一条报文常被称为SYN分组。

这个报文段里的序号可以设置成任何值，表示后续报文设定的起始编号。

连接不能自动从1开始计数，选择一个随机数开始计数可避免将以前连接的分组错误地解释为当前连接的分组。

观察分组10，Wireshark显示的序号是0。

选择分组首部的序号字段，原始框中显示“9b 8e d1 f5”。

Wireshark显示的是逻辑序号，真正的初始序号不是0。

如图5.2所示：图5.2 逻辑序号与实际初始序号(分组10)SYN分组通常是从客户端发送到服务器。

这个报文段请求建立连接。

一旦成功建立了连接，服务器进程必须已经在监听SYN分组所指示的IP地址和端口号。

如果没有建立连接，SYN分组将不会应答。

如果第一个分组丢失，客户端通常会发送若干SYN分组，否则客户端将会停止并报告一个错误给应用程序。

如果服务器进程正在监听并接收到来的连接请求，它将以一个报文段进行相应，这个报文段的SYN位和ACK位都置为1。

通常称这个报文段为SYNACK 分组。

SYNACK分组在确认收到SYN分组的同时发出一个初始的数据流序号给客户端。

图5.3 逻辑序号与实际初始序号(分组11)分组11的确认号字段在Wireshark的协议框中显示1，并且在原始框中的值是“9b 8e d1 f6”（比“9b 8e d1 f5”多1）。

实训三利用 WireShark 剖析 FTP 包一、实训目的1.用 Wireshark 捕捉和剖析 FTP 通讯数据。

2. 认识主动模式与被动模式FTP 的工作过程。

二、实训设施1.接入 Internet 的计算机主机；2.FTP server；3.抓包工具 WireShark 。

三、实训内容1.对于 FTP 协议FTP 的主要功能以下：供给文件的共享（计算机程序/数据）；支持间接使用远程计算机；使用户不因各种主机文件储存器系统的差别而受影响；靠谱且有效的传输数据。

FTP服务器能够直接被终端用户使用，也能够使用FTP客户端程序接见。

大多半 FTP 控制帧是简单的 ASCII 文本，能够分为 FTP 命令或 FTP 信息。

FTP 命令可在FTP命令模式下用“？”或“help ”进行学习，FTP信息是对FTP 命令的响应，它由带有解说文本的应答代码组成。

2.安装 FTP 服务器及 Telnet 服务器与客户端开始→控制面板→程序或功能：“翻开或封闭 Windows 功能” →翻开“Internet 信息服务”-选中“FTP 服务器”→选中“Telnet 客户端”“Telnet 服务器”步骤 1：翻开记事本，新建文件，内容随意，保留文件在“自己学号”目录下，命名为“ ”步骤 2：考证 FTP 服务器。

启动 Web 阅读器或资源管理器，地点栏输入ftp:// 合作同学的IP，以考证FTP 服务器能否正常运转。

3.使用 FTP 传输文件并捕捉与剖析数据包步骤 1：翻开 Wireshark ，开始捕捉。

步骤 2：采纳命令行连结合作同学的FTP 服务器，启动本主机命令行FTP 客户端。

1.单击开始 > 运转，而后键入“ cmd”并单击确立。

2. 使用Windows FTP客户端适用程序启动主机计算机与FTP 服务器的FTP 会话，命令以下： ftp合作同学的IP。

要进行身份考证，请使用anonymous 为用户ID 。

Wireshark抓包分析实验若惜年一、实验目的：1.学习安装使用wireshark软件，能在电脑上抓包。

2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。

二、实验内容：使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。

三、实验正文：IP报文分析：从图中可以看出：IP报文版本号为:IPV4首部长度为:20 bytes数据包长度为:40标识符：0xd74b标志：0x02比特偏移：0寿命：48上层协议：TCP首部校验和：0x5c12源IP地址为：目的IP为：从图中可以看出：源端口号：1891目的端口号：8000udp报文长度为：28检验和：0x58d7数据长度：20 bytesUDP协议是一种无需建立连接的协议，它的报文格式很简单。

当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报文段交给网络层。

第一次握手：从图中看出：源端口号：56770目的端口号：80序列号为:0首部长为: 32 bytesSYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手：从图中看出：源端口号是：80目的端口号为：56770序列号为：0ack为：1Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手：从图中看出：源端口：56770目的端口：80序列号为：1ACK为：1首部长为：20bytesAcknowledgement为1表示包含确认的报文所以，看出来这是TCP连接成功了Tcp是因特网运输层的面向连接的可靠的运输协议，在一个应用进程可以开始向另一个应用进程发送数据前，这两个进程必须先握手，即它们必须相互发送预备文段，建立确保传输的参数。

发送报文：GET/HTTP/：是请求一个页面文件HOST：是请求的主机名Connection：持续连接Accept: 收到的文件User-Agent : 浏览器的类型Accept-encoding: gzip ,deflate ,sdch限制回应中可以接受的内容编码值，指示附加内容的解码方式为gzip ,deflate ,sdch 。