Wireshark抓包实验报告.docx

第一次实验:运用Wireshark软件进行数据包抓取抓取一次完整的网络通信过程的数据包实验一,实验目的:通过本次实验,学生能掌握使用Wieshork抓取Ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件时包过滤设立和数据显示功能的使用。实验环境：操作系统为Widows7,抓包工具为WireShQrk.三,实验原理：Ping是用来测试网络连通性的命令，一旦发出Ping命令，主机会发出持续的测试数据包到网络中,在一般的状况下,主机会收到回应数据包，Ping采用的是ICMP合同。四,验环节：1拟定目的地址:选择WWW.百度Com作为目的地址。2.配备过滤器：针对合同进行过滤设立,ping使用的是ICMP合同,抓包前使用捕获过滤器,过滤设立为icmp,如图1-1Wireshark:CaptureOptionsCaptureCaptureInterface1ink-1ayerheaderProm.ModeSnapIenBBufferMiBWi-Fife80z7d452826d1xd9910202.144.48Ethernetenab1eddefau1t2B1uetooth网络连接fe30z7d«:3799:797a:a0b90.0.0.0Ethernetenab1eddefau1t20以太网fe806427z31a6:8735:50240.0.0.0Ethernetenab1eddefau1t2Captureona11interfaces0Usepromiscuousmodeona11interfacesCaPtUreFi1ter:CaptureFi1esFi1e:StopCaptureAutomatica11yAfter.3.启动抓包:点击start开始抓包，在命令提示符下键入pingW口1×ww.百度.com,如图1-2SS苣理员:C:Windowssystem32cmd.exeMicrosoftWindows版本6.1.7601版权所有<c2009MicrosoftCorporationo保留所有权利。：Users112>pngwww.baidu.con:MJsers112>图1-2停止抓包后，截取的数据如图1-3No.TimeSourceDestinationProtoco11engthInfo32620.6988820192.168.156.109115.239.210.26ICMP74Echo(ping)rec32720.7026640115.239.210.26192.168.156.109ICMP74Echo(ping)rep34521.6892800192.168.156.109115.239.210.26ICMP74Echo(ping)rec34721.7033820115.239.210.26192.168.156.109ICMP74Echo(ping)rep36222.6876500192.168.156.109115.239.210.26ICMP74Echo(ping)rec36322.6906880115.239.210.26192.168.156.109ICMP74Echo(ping)rep38123.6860140192.168.156.109115.239.210.26ICMP74Echo(ping)rec38323.6918770115.239.210.26192.168.156.109ICMP74Echo(ping)rep图1-34,分析数据包：选用一种数据包进行分析,如图1-4Frame8230:82bytesonwire(656bits),82bytescaptured(656bits)oninterfaceinterfaceid:0Encapsu1ationtype:Ethernet(1)Arriva1Time:Apr6,201416:50:29.601885000In1fnIfn1rmITimeshiftforthispacket:0.000000000secondsEpochTime:1396774229.601885000secondsTimede1tafrompreviouscapturedframe:0.025765000secondsTimede1tafrompreviousdisp1ayedframe:93.918758000secondsTimesincereferenceorfirstframe:138.251270000secondsFrameNumber:8230Frame1ength:82bytes(656bits)Capture1ength:82bytes(656bits)Frameismarked:Fa1seFrameisignored:Fa1seProtoco1sinframe:eth:pppoes:ppp:ip:icmp:dataCo1oringRu1eName:ICMPCo1oringRu1eString:icmpicmpv6EthernetII,Src:AsustekC_65:03:90(14:da:e9:65:03:90),Dst:HuaweiTe_a2:84:5e(2i+Destination:HuaweiTe_a2:84:5e(28:6e:d4:a2:84:5e)图1-4每一种包都是通过数据链路层D1C合同,IP合同和ICMP合同共三层合同的封装。D1C合同的目的和源地址是MAC地址，IP合同的目的和源地址是IP地址,这层重要负责将上层收到的信息发送出去，而ICMP合同重要是TyPe和COcIe来辨认，“Type:8,Code:0”表达报文类型为诊断报文的祈求测试包，“Type：O,C。de:O”表达报文类型为诊断报文类型请正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈,报文类型可归纳如下：(1)诊断报文(类型：8,代码0;类型：。代码:0)；(2)目的不可达报文(类型：3,代码0-15);(3)重定向报文(类型：5,代码：0-4);(4)超时报文(类型：I1代码(5)信息报文(类型：12-18)。1.4.1,TCP合同的分析实验一,实验目的：通过本次实验,掌握使用WireShQrk抓取TCP合同的数据包的技能，可以在进一步分析kTCP的三次握手”，TCP的四次挥手合同在网络数据流的基础上，进一步提高理论联系实践的能力。二,实验环境:操作系统为Windows7,抓包工具为Wiresharks定主机可以连进互联网。三,实验原理:TCP合同是在计算机网络中使用最广泛的合同,诸多的应用服务如FTP,HTTP,SMTP等在传播层都采用TCP合同，因此，如果要抓取TCP合同的数据包，可以在抓取相应的网络服务的数据包后,分析TCP合同数据包,进一步理解合同封装,合同控制过程以及数据承载过程。四,实验环节:FTP在传播层采用时是TCP合同,因此本次实验选用FTP服务，本次抓包过程将采用显示过滤器的措施来过滤数据包。1,拟定目的地址:选择ftp.1ib,为目的,选择应用服务FTP中的TCP合同包作分析2,启动抓包:无需设立过滤器,直接开始抓包3,使用FTP服务：Wireshork数据捕获开始后，在主机的命令行提示符下使用FTP指令链接目的主机的FTP服务器，在默认的状况下，FTP服务器支持匿名访问,本次链接的的顾客名是anonymous,密码是User,如图2-1MicrosoftWindowsJ6.1.7601版权所有c2009MicrosoftCorporationo保留所有权利。C：Users112>连接到o2201iBOHDUFTPServiceReady用户<：<none>>：anonymous331匿名用户登录，用你的电子邮件地址作为密码密码：230登录成功ftp>bye221再见C：MJsers112>图2-14,通过显示过滤器得到先关数据包：通过抓包获得大量的数据包，为了对数据包分析时以便，需要使用过滤器,添加本机IP地址和TCP合同过滤条件。在工具栏上的FiIte对话框中填入过滤条件:tcpandip.addr=192.168.156.236,根据分析找到“TCP三次握手”中的一种包,在此信息上右键点击选择Fo11owTCPStream,弹出的!信息如图2-2,图2-2以上的设立时为了获得更好的得到过滤后的有关性更强的数据包5,分析数据包：得到的成果如图2-313120.2636810192.168.156.109210.32.33.210TCP6649664>ftp5、13220.264358G210.32.33.210192.168.156.109TCP66ftp>49664S'13320.2644120192.168.156.109210.32.33.210TCP5449664>ftpAC13420.4139580210.32.33.210192.168.156.109FTP91Response:220113720.6289120192.168.156.109210.32.33.2105449664>ftpAC24434.5541030192.168.156.109210.32.33.210FTP70Req1Iest:USERi24634.7727590210.32.33.210192.168.156.109TCP60ftp>49664A(24734.7785800210.32.33.210192.168.156.109FTP100Response:331,24934.9807560192.168.156.109210.32.33.210TCP5449664>ftpA<30039.6100470192.168.156.109210.32.33.210FTP66Request:PASS130839.9073000210.32.33.210192.168.156.109TCP60ftp>49664A(30939.9085940210.32.33.210192.168.156.109FTP68Response:230'31340.1130750192.168.156.109210.32.33.210TCP5449664>ftpAC33542.1699790192.168.156.109210.32.33.210FTP60Request:QUIT33842.3178970210.32.33.210192.168.156.109TCP60ftp>49664A(4