实验四、使用Wireshark网络分析器分析数据包

1、实验四、使用 Wireshark 网络分析器分析数据包实验目的1、掌握Wireshark工具的安装和使用方法2、理解TCP/IP协议栈中IP、TCP UD等协议的数据结构3、掌握ICMP协议的类型和代码二、实验内容1、安装 Wireshark2、捕捉数据包3、分析捕捉的数据包三、实验工具1、计算机n台（建议学生自带笔记本）2、无线路由器n台四、相关预备知识1 、熟悉 win7 操作系统2、Sniff Pro 软件的安装与使用（见Sniff Pro 使用文档）五、实验步骤1、安装 WiresharkWireshark 是网络包分析工具。网络包分析工具的主要作用是 尝试捕获网络包， 并尝试显示包的

2、尽可能详细的情况。网络包分析 工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。Wireshark 的主要应用如下：1）网络管理员用来解决网络问题 2）网络安全工程师用来检测安全隐患 3）开发人员用来测试协议执行情况 4）用来学习网络协议 5）除了上面提到的， Wireshark 还可以用在其它许多场合。Wireshark 的主要 特性(1)支持UNIX和 Windows平台2）在接口实时捕捉包 3）能详细显示包的详细协议信息 4）可以打开 / 保存捕捉的包5）可以导入导出其他捕捉程序支持的包数据格式6）可以通过多种方式过滤包 7）多种方式查找包

3、 8）通过过滤以多种色彩显示包 9）创建多种统计分析五、实验内容1了解数据包分析软件 Wireshark 的基本情况；2安装数据包分析软件 Wireshark ；3配置分析软件 Wireshark ；4对本机网卡抓数据包；5分析各种数据包。六、实验方法及步骤1 Wireshark 的安装及界面1)Wireshark 的安装2)Wireshark 的界面 启动 Wireshark 之后，主界面如图：rhc Ttrcshrb NctTazk主菜单项:主菜单包括以下几个项目：File包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wiresh

4、ark项.Edit包括如下项目：查找包，时间参考，标记一个多个包，设置预设参 数。（剪切，拷贝，粘贴不能立即执行。）View控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点GO包含到指定包的功能Capture允许您开始或停止捕捉、编辑过滤器。Analyze包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追 踪TCP流等功能。见Statistics包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协 议层次统计等等。见Help包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持 的协议列表，用户手册。在线访问一些网站，“关于”等

5、等。2 Wireshark 的设置和使用1）启动 Wireshark 以后，选择菜单 Capature->Interfaces, 选择捕获的网卡，单击 Capture 开始捕获2）当停止抓包时，按一下st op ,抓的包就会显示在面板中，并且已经分析好了。下面是一个截图如图2-2所示。!”(Untitledit cshsii k3B区Edit yiev/ Oo C郎：Ute 加a疟uteristics HelpHerMO. .1両£0饬mwRsiCieslinaiiQfiiBMWCTgWWC207.531315115.?3fi.54.15上二T. 5312bH10. 2 J.

6、bl. 15?37. 5 3JO71la. 2D.fil.lJ237, 5如出石115.28. &4.LJ$7i7. u时茹聞T：5. ?R. n4,1 T Cl257.初 9Gi115.23S. 54.ia(?267 5635510. ?D. Cl. 15271、5y2OSS11).238. my7B7. "CiiO4H297,93117507.S95211115.230.i1/.fey2247!,?：).rd.155?7,707：io*?D.ri J r337,70BSS55討7.7?57q74”i尹J tT mt.7jiTIC. no 1 ?n1 0

7、 . 2 . 51.15 rts.ja. 54.115. ?5S. 54.13 lU.20. 61.151 0. ? 0, M , I -i10.0. bl.15115.253. 54.1510,c!D,bl.l510.70.M .1 -i 115.生乩54.L羽 10.20,61,15 115.28.115. ?53.54.139115.233. M.13010.20m .15in -| ft1 k1135S十N, ack £eq： http Hack Sec-i Ad GET /euPil efrrt./iietwQP' Ic/tresF h(ttc E TCP ij.a

8、s TC 口 Trp LISS Ltc= _GET / 20 nt enrt /n etwor k /v1 r es r L187 > ht r.ip rm： 5已QC1 Ler 1139 > http rs'N see-a Ler Tn 5pgTipm h d rPcTpirb' j T严C j-i im丹 % r- F, "i十 L FikTg-l 2 r PAserrh' r E=s?errb' Su耳.=?心5 t rcs5?ctti31 USS CACKTspyppTt nf 4 sequanrt o上 a> http Aj

9、CksegucTt 旷 qaypHrt nf 4 rPHEeirb'> hftta RACK £眈-,05 f 5egTierrt of 4 rec33eirb' Ercasian. C car AcoiyF Frame 19 C2 bytes on vire,G? byte capturecC + Etherneti-Fi TrttprnMOOD OCIO 002 0 003 O6f口 d lY-fr-4CGin 4 口口a D o D eOnoof 03 a Q o _u5 3d4 7 7-'D亠 FM邸H> :4 5:tl, Sr c： wi

10、ser :)n_5-t ：ec:dj (OD:Od :34 :ec:d3J. D3* : MangzhOL4_3e；6b：ed CCi0:0r：e2 _ Prrtrnrnl.烷广广！ 'I n. ?Ci. hi .1 n 0. ><).1 M. xt ! Ti jh. Uh*) (11 x ? *h. h4_| £41 工I>lFds/'cuctu iHET jqca 胛 CALS-1 w rr fn*m wJO'WQSEn 时.| p ; i o© 口 ； $ $ m； o d 片;c图2-2 Wireshark数据包分析Wire

11、shark和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。2）设置capture选项选择菜单captureInterface ，如图2-3所示，在指定的网卡上点“ Prepare” 按钮，设置 capture 参数。.Upwigcti匚育JF_3m -二厅J 三芒話简L. il. -f )r'P C-ptKi F p3f 片r忡 In E E|q : I lEJuq mrdp 厂 u

12、iTiii p.-|.：n pac呎时 in?| tyniWslMtiiLJ宀 F uir. I ICajtLire -lle(3；Fitc； Ir J 1叫=P?! ittiplF TlipuCispW CiptlaisL UpcHt* IIDT packets m real! “rsr . ill - ' 1 I'.1rl1 Hi 須 1 'Pul - C)-厂 I'-ilr- . i.i- 1；1-i-i1 III w. 一*F "PNliFLh1MP厂 LL'IJ £ d 3*1. L w Ll5L扎"Stop Ca

13、ffclureL . arterj 1卜肩:匕1可厂. affcrj| 1=1 .-Jr吩二厂art=rI I止（“1*riarriE Rcz'aKtiur-T Enable MAT- namE rES-olubanrr En able ir er I却d rt “ 31 nt? r egoiutioni也 tJeiQ E n atile netMiQi-k n a me l eal utlonL £=二iri<f1l- L.i_ Jl r-hj 代匚 rrmi ?=图2-3 capture 选择设置In terface :指定在哪个接口（网卡）上抓包。一般情况下都是单

14、网卡，所以使用缺省的就可以。Limit each p acket:限制每个包的大小，缺省情况不限制。Cap ture p ackets in pro miscuous mode:是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Filter :过滤器。只抓取满足过滤规则的包（可暂时略过）。File :如果需要将抓到的包写到文件中，在这里输入文件名 称。use ring buffer:是否使用循环缓冲。缺省情况下不使用，即 一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用 了循环缓冲，还需要设置文件的数目，文件多大时回卷。其他

15、的项 选择缺省的就可以了。2.显示过滤器的使用方法在抓包完成以后用显示过滤器，可以在设定的条件下（协议名称、是否存在某个域、域值等）来查找你要找的数据包。如果只想 查看使用TCP协议的包，在 Wireshark窗口的左下角的Filter 中 输入TCP然后回车，Wireshark就会只显示TCP协议的包。如图2-4所示。图2-4设置过滤条件为TCP!文如果想抓取IP地址是5的主机，它所接收收或发送的所有的TCP报文，那么合适的显示Filter（过滤器）就是如图2-5所示。& IO * a 回卫中比買2E±$JaE 型镇 sNd _TlrrvSaurcDrn

16、fccDl2.6149-JI,单沟925.昂討旳弓Il阳阳弭3532.655933? 2.67355flU' 2 . tM亂:丄仇“歼仁訂J - T HH1R 亍程:竹-.Difftr khlliTutlID.20.bl.xS10.J a_hL 小ID. 20. tl.XS 1921客卜孑213M&8rlg2話 i/J 10*192lD,za.L，15?IP 辽6L<?匹 19Ell?.2u- BlL-IS己"I即匸萤21±.5a.J_jE-L921 r. -j.r #11 iTlTiJ-iKP.JQ.M-IT 2_ja.yu.LDa.L2 二 jJS

17、.TiZ I Ot. Lg aiadU'S 亠 L2Jh丸拓灿-工！Mr?工 61-15 12r2o.ftl.l72：.S-?Q.lDfi=i?2丄.1 二J. ol丄1IC揖觎1呼亠dlu, LUH>L?21Q.ZCl61-1ID.21. bh-15T Tj 口 >|-|1 AC 1 iT. ITCPTCPTTiZPHTTP 'TCP TCP rillP upp TCPHTTP HTTP 好KTfP HTTP Ti-FihiTp 1 2円丁 zzr A n-icp ATKj KPIlf 1GET / HTTF心1 li?p 事 22阳*tK hUD > 22

18、7 ACKIAOAckIlrr-iuo Lfln-O riET-LGDQ£&q-L AjCt-l 4rn-ti53j LEH-方 rufiHiilad PliLiSeq-L ft匚Ei佃丄勺-1忌L*|-«U - ., EMY AX；1C-15S6 WllnS7&CL*n-U HlP/n.Q SOD O ftw/Mnf) 弔FP 口yion tr nDn*TTT_"nTri£ 22山T i Mtp <K Seq-LlBe A<t-L5D3 匚五 1叫瓠 伽 Qrmn胡TTp trifflt iv-.rf-iU5-"-

19、lgri c- 妙n-nTTp 匸口尸址> mtp tAZkJ t纠.ilfc!匕 ACV.-il2J frEij也応巧勺F Firin-rrP rpf+ir cynzTiuallon ar mn-Mrrp craf ri£ -I 1 1 T - rf " rl « ”4 .i ri I-hrtn-65535 LBn-a>4rVl<Cf Fl4ldi VUU (邑CP U*诫：U垃丄#It； L = N! OXVUTatjI I t-qrhr 43Idcrit-tflcatAnn: 口住酣初)+ Pl呻 1 0jd4 CD«i I &q

20、uot;诃皀mFrwfiitn offsMi -JHre to Uve? 123,r<ITuiDl : TCP e沁町帀M黑h 曲KM屮；眦啊论«"贰匸13au-i：fr! lO.JO.tl-lS <Xft?0.61 1S5D电rd阳Hm： 21乩诃D乩化1乩Wl«江92udOuM弼k>D ki" is til & dij Ui OZQ脾r?艸皿轴常 fiL <0 盹 c7 亡肛 3b la c5 阡于f 7E « Gfl QD 3? MQQ7a<1514kT 阳 WDIJgQIDB3口 DD MUtniD

21、D or 凶4 IB Od TO 悅 0?J J J AR l I* 4 . Ej Uh S-!- I *-*"卜14 * J P B 亠L |Jb-1 B . L P _ I _ . J I F19 TDOCTJ 昨-1 IOC wi I 左虬® -imniWflir MTgOif AdV-ISkB DQDa »|k urriD Fi|r；M aoript o图2-5设置过滤条件为IP地址是5的主机所有的TCP报文七、学习使用WireShark对ARF协议进行分析(1)启动 WireShark捕获数据停止抓包并分析ARP青求报文将Filter

22、过滤条件设为arp，回车或者点击“ Apply ”按钮,（4） ARP青求报文分析 1）粘贴你捕获的ARP青求报文滋驢洱 0曰K讣凸 囲中申宙齐址ig 5 靦直龟亡 "ms訊 9Nd . Tima二 0.3439：.2574?S DuraDosn AmD0：2i：&3 !a:&t- tro白d j占t QQjgl；frr 口 ad匚CTWj J»H ttlft W WJigW BW4ja(?:cf ftracjBirSDry_T* 7Zr：h?3ra adcis碣;話；理已"蓟話丄fcraad:-l5tProtocolArpAAiP应Q ARF 沁

23、bifD询DMri需ZDhas丄G M亠4L 2S47 tell 10.2D.61.25 LSUUdMT Tall410. 2O.6i aTJT 1 IQ.JD.U.ID-.込乩 3547 rell 10.20- 61-Ifl L5. 20,?lL,Tell 辿丑也 旳三$站耳世4 tEO 6ytt flu -rt, tu tyt*；i <止趴时也址TlrPi 沖j IT.汕“ 31 ：«沁乳門肚MIDDDt1hw cJelta 产m prwl du? packets Q, 3 51300UDD reconcslTlrtw 1nc« ref4>-tPicF CT

24、 flrit fr*TiFL d-fl33'ife?9ddo accandaFrartti Hgr； *Pm已砒 Lengtn： EOCjpTUPD Lfl<"ijch： -60 liytG Fr4nt in nrl Ht：尸/匹procD匚dls 1ri frmtie: ezhiiii pC0>r1 iiUlc mu斗 Z町Calori rq ；ule rringj rp+ EherndC Zl, src： 5C；lTt J5±ifl3 :qbtl5 5C；Tr ：33 ；D5jn ：li A D£C L BTaidCESL Crrt1T：1

25、T：rT!rr：1T ± AeMkh昶Ohlt'ftn P*! OCCrOl (-X昭FJ-卄-fJ Ff? UJ-LlL： tE g E Cfi ；iiO0E第lUaTP:U-i*I- i2；ii ?4uD J'J<IL'LAJJU-Ljda rtJ_J_ 11 _一11 ILxlIILLnIt:11； I：1-DQOC iWl<3EiJ问D IP 1*0 C U ODhPI： DFrams 常 anwhca h曲 e2）分析你捕获的ARP青求报文第一行帧基本信息分析（粘贴你的Frame信息）Frame Number （ 帧的编号）：1457_（

26、捕获时的编号）Frame Length（帧的大小）：60节。（以太网的帧最小64个字节，而这里只有6 0个字节，应该是没有把四个字节的CRC计算在里面，加上它就刚好。）Arrival Time（帧被捕获的日期和时间）:_sep 23,_2014帧距离前一个帧的捕帧距离第一个帧的捕获时间15 :15 :38 .463721000Time delta from prev ious cap tured frame（获时间差）:_0.002937000 seco nds.Time si nee refernce or first frame（差）:24.488816000 secondsProtoco

27、ls in frame（ 帧装载的协议）：_eth:arp 第二行数据链路层:（粘贴你的数据链路层信息）Dest in ati on（目 的 地 址）Broadcast(fffffffffffQ（这是个MAC地址,这个MAC地址是一个广播地址，就是局域网中的所有计算机都会Source （源地址）：G-ProCom_45:48:16(00:23:24:45:48:16)帧中封装的协议类型:ARP（0x0806）（这个是 ARP协议的类型编Trailer :是协议中填充的数据，为了保证帧最少有 64字节。第三层ARP协议:（粘贴你的ARP青求报文）在上图中，我们可以看到如下信息:H ardware

28、 type（硬件类型）：Ethemet(l)P rotocol type（协议类型）：IP(0X08OO)H ardware size(硬件信息在帧中占的字节数）:P rotocol size(协议信息在帧中占的字节数）:操作码(op code): requset(0X0001)发送方的MAC地址(Sender MAC address) : G-ProCom 45:48:16(00:23:24:45:48:16)发送方的 IP 地址(Sender IP address ):2(2)目标的MAC地址(Target MAC address:):00:00:0

29、0 00:00:00(00:00:00:00:00:00)目标的 IP 地址(Target IP address:):()(3)分析ARP应答报文(粘贴你的ARP应答报文)应答报文中的操作码(op code): rep ly(0X0002)发送方的MAC 地址(Sender MAC address):0c:da:41:63:03:f4(0c:da:41:63:03:f4),发送方的 IP 地址(Sender IP address ):()目标的MAC地址(Target MAC address: ) : G-P ro

30、Com_45:47:dd(00:23:24:45:47:dd)目标的 IP 地址(Target IP address:):8(8),练习1:对于上述2、3中的arp请求报文和应答报文，将ARP请求报文和ARP应答报文中的字段信息填入表3-1。表3-1 RPP请求报文和ARP应答报文的字段信息字段 项ARP请求数据报文ARP应答数据报文链路 层Desti n atio n项Broadcast(ff:ff:ff:ff:ff:G-P roCom_45:47:dd(00:23:24:45:47:dd)链路 层Sourc e项G-P roCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:d