交院大信电计算机网络 Wireshark 协议分析实验报告.doc

协议分析 实验性质本实验为操作分析性实验。实验目的1. 掌握Wireshark软件的基本使用方法2. 掌握基本的网络协议分析方法3. 通过抓包工具，分析Mac帧的格式、ARP分组的格式、IP数据报的格式、ICMP报文的格式、TCP报文段的格式、UDP数据报的格式。 实验环境 网络环境:LAN或Internet Wireshark软件实验内容与要求下载、安装Wireshark以太网适配器 本地连接: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller 物理地址. . . . . . . . . . . . . : 74-D4-35-79-68-65 DHCP 已启用 . . . . . . . . . . . : 是 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80:d843:50ba:8a23:5524%11(首选) IPv4 地址 . . . . . . . . . . . . : (首选) 子网掩码 . . . . . . . . . . . . : 获得租约的时间 . . . . . . . . . : 2014年12月3日 14:50:51 租约过期的时间 . . . . . . . . . : 2014年12月3日 22:50:51 默认网关. . . . . . . . . . . . . : 54 DHCP 服务器 . . . . . . . . . . . : 75 DHCPv6 IAID . . . . . . . . . . . : 242537525 DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-1B-CF-E0-67-74-D4-35-79-68-65 DNS 服务器 . . . . . . . . . . . : 6 30 TCPIP 上的 NetBIOS . . . . . . . : 已启用5.5.2 启动WiresharkWireshark启动后，如图所示：5.5.3抓包点击Capture菜单，选Interfaces项。打开如下图所示窗口。选择要抓包的接口右边的Start按钮，本例选择了抓取IP地址为的接口。点击Start按钮后将启动抓包过程。注意：为配合抓包，需要进行网络通信。1） 要抓ARP分组的包、ICMP报文的包、UDP数据报，可以在CMD窗口中，使用命令ARP -D删除当前ARP缓存，使用PING命令PING某台主机IP地址。使用TRACERT命令跟踪分组从源点到终点的路径（如下图）。2）要抓取TCP报文段，需打开IE浏览器，访问一个WWW网站（例如）。将窗口切换到Wireshark，可以看到抓到了TCP、UDP、ICMP、ARP的包，如下图所示。下面分析所用到的包，其抓包的环境是：(1) 实验计算机所安装操作系统为Windows 7(2)在CMD窗口运行“ARP D”命令删除ARP缓存，用以抓取ARP分组;(3)在CMD窗口运行“PING 54”，用以抓取ICMP报文；(4)在CMD窗口运行“TRACERT 54”，用以抓取UDP数据报和ICMP报文；(5)在浏览器窗口打开HTTP:/WWW.BAIDU.COM网站，用以抓取TCP报文段。 点击Stop按钮完成抓包。如下图所示。5.5.4 分析1. 分析MAC帧（以太网帧）格式点击窗口中ARP请求分组所在的行，展开下面的EthernetII。分析MAC帧的格式，如下图所示。目的地址（广播地址）：Destination :Broadcast 2分析ARP请求分组和应答分组格式点击窗口中ARP请求分组所在的行，分析所捕获的ARP请求分组。如下图所示。 MAC帧头54的MAC地址是00:e0:4a:00:09:ad点击窗口中ARP应答分组所在的行，分析所捕获的ARP应答分组。如下图所示。发给（00:e0:4a:00:09:ad）的帧 54的应答：我的MAC地址是00:e0:4a:00:09:ad3分析IP数据报格式点击ICMP报文所在的行，展开Internet Protocol。分析IP数据报。如下图所示。MAC帧类型IP（0*0800）版本号为4 即IPv4首部长度20个字节（无可变部分）总长度 Total Length: 186标识全为0，说明DF=0不能分片MF=0无后续分片协议ICMP （1）首部检验和原地址，目的地址数据部分（ICMP报文）IP数据报首部4分析ICMP报文格式点击ICMP报文所在的行，展开Internet Control Message Protocol分析ICMP报文。如下图所示。类型为8表示是回送（Echo）请求5分析UDP数据报格式点击DNS协议所在的行，展开User Datagram Protocol。分析UDP数据报格式。如下图所示。 端口号为61973，目的端口号为53（DNS）6分析TCP报文段格式点击DNS协议所在的行，展开Transmission Control Protocol。分析TCP报文段的格式。如下图所示。 序列号为230头长度（数据偏移）ACK=0，SYN=0表明没有建立连接窗口大小为632755.6 实验总结“名字指出我们所要寻找的那个资源，地址指出那个资源在何处，路由告诉我们如何到达该处。” -SHOC78通过本次试验，我们了解到只有更深入地掌握了IP协议的主要内容，才能理解因特网是怎样工作的。IP地址放在IP数据报的首部，而硬件地址（MAC地址）则放在MAC帧的首部。在网络层和网络层以上使用的是IP地址，而数据链路层及以下使用的是硬件地址。当IP数据报放入数据链路曾的MAC帧中以后，整个的IP数据报就成为MAC帧的数据。因而在数据链路层看不见数据报的IP地址。地址解析协议ARP,逆地址解析协议RARP。IP地址-ARP-物理地址（MAC），物理地址-RARP-IP地址。为了更有效的转发IP数据报和提高交付成功的机会，在网际层使用了网际控制报文协议ICMP协议，它是IP层的协议，允许主机或路由器报告差错情况和提供有关一场情况的报告。根据应用程序的不同需求，运输层