实验四、使用wireshark网络分析器分析数据包

1、.实验四、使用Wireshark网络分析器分析数据包一、 实验目的1、掌握Wireshark工具的安装和使用方法2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构3、掌握ICMP协议的类型和代码二、实验内容1、安装Wireshark2、捕捉数据包3、分析捕捉的数据包三、实验工具1、计算机n台(建议学生自带笔记本)2、无线路由器n台四、相关预备知识1、熟悉win7操作系统2、Sniff Pro软件的安装与使用(见Sniff Pro使用文档)五、实验步骤1、安装WiresharkWireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细

2、的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark是最好的开源网络分析软件。Wireshark的主要应用如下：（1）网络管理员用来解决网络问题（2）网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况（4）用来学习网络协议（5）除了上面提到的，Wireshark还可以用在其它许多场合。Wireshark的主要特性（1）支持UNIX和Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4）可以打开/保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色

3、彩显示包（9）创建多种统计分析五、实验内容1了解数据包分析软件Wireshark的基本情况；2安装数据包分析软件Wireshark；3配置分析软件Wireshark；4对本机网卡抓数据包；5分析各种数据包。六、实验方法及步骤1Wireshark的安装及界面（1）Wireshark的安装（2）Wireshark的界面启动Wireshark之后，主界面如图：主菜单项：主菜单包括以下几个项目:File包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.Edit包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。（剪

4、切，拷贝，粘贴不能立即执行。）View控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点GO包含到指定包的功能Capture允许您开始或停止捕捉、编辑过滤器。Analyze包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能。见Statistics包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。见Help包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持的协议列表，用户手册。在线访问一些网站，“关于”等等。2Wireshark的设置和使用1）启动Wireshark以后，选择菜单Capature

5、->Interfaces,选择捕获的网卡，单击Capture开始捕获2）当停止抓包时，按一下stop，抓的包就会显示在面板中，并且已经分析好了。下面是一个截图如图2-2所示。图2-2 Wireshark数据包分析Wireshark和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。2）设置capture选项选择菜单captureInterface，如图2-3所示，在指定的网卡上点“Prep

6、are”按钮，设置capture参数。图2-3 capture选择设置Interface：指定在哪个接口（网卡）上抓包。一般情况下都是单网卡，所以使用缺省的就可以。Limit each packet：限制每个包的大小，缺省情况不限制。Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Filter：过滤器。只抓取满足过滤规则的包（可暂时略过）。File：如果需要将抓到的包写到文件中，在这里输入文件名称。use ring buffer：是否使用循环缓冲。缺省情况下不使

7、用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。其他的项选择缺省的就可以了。2显示过滤器的使用方法在抓包完成以后用显示过滤器，可以在设定的条件下（协议名称、是否存在某个域、域值等）来查找你要找的数据包。如果只想查看使用TCP协议的包，在Wireshark 窗口的左下角的Filter 中输入TCP，然后回车，Wireshark 就会只显示TCP协议的包。如图2-4所示。图2-4 设置过滤条件为TCP报文如果想抓取IP 地址是10.20.61.15的主机，它所接收收或发送的所有的TCP报文，那么合适的显示Filter（过滤器）就是如

8、图2-5所示。图2-5 设置过滤条件为IP 地址是10.20.61.15 的主机所有的TCP报文七、学习使用WireShark对ARP协议进行分析（1）启动WireShark（2）捕获数据（3） 停止抓包并分析ARP请求报文将Filter过滤条件设为arp，回车或者点击“Apply”按钮， （4）ARP请求报文分析1）粘贴你捕获的ARP请求报文2）分析你捕获的ARP请求报文第一行 帧基本信息分析（粘贴你的Frame信息）Frame Number（ 帧的编号）：_1457_（捕获时的编号）Frame Length(帧的大小)：_60_字节。（以太网的帧最小64个字节，而这里只有个字节，

9、应该是没有把四个字节的CRC计算在里面，加上它就刚好。）Arrival Time(帧被捕获的日期和时间): _sep 23,_2014 15 :15 :38 .463721000_Time delta from previous captured frame(帧距离前一个帧的捕获时间差):_0.002937000 seconds_Time since refernce or first frame(帧距离第一个帧的捕获时间差)：_24.488816000 seconds_Protocols in frame(帧装载的协议)：_eth:arp_第二行 数据链路层：（粘贴你的数据链路层信息）Des

10、tination（目的地址）：_Broadcast(ff:ff:ff:ff:ff:ff)_（这是个MAC地址，这个MAC地址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧）Source（源地址）：G-ProCom_45:48:16(00:23:24:45:48:16)帧中封装的协议类型：ARP(0x0806)（这个是ARP协议的类型编号。）Trailer：是协议中填充的数据，为了保证帧最少有64字节。第三层 ARP协议：（粘贴你的ARP请求报文）在上图中，我们可以看到如下信息：ardware type（硬件类型）：_Ethernet(1)_rotocol type（协议类型）： I

11、P(0x0800)_ardware size(硬件信息在帧中占的字节数)：_6_rotocol size(协议信息在帧中占的字节数)：_4_操作码（opcode）：requset(0X0001)发送方的地址（Sender MAC address）：G-ProCom_45:48:16(00:23:24:45:48:16)_发送方的IP地址（Sender IP address）：_10.30.28.22(10.30.28.22)_目标的地址（Target MAC address:）：_00:00:00_00:00:00(00:00:00:00:00:00)_目标的IP地址（Target IP ad

12、dress:）：_10.30.28.1(10.30.28.1)_（3）分析ARP应答报文（粘贴你的ARP应答报文）应答报文中的操作码（opcode）：reply(0X0002)发送方的地址（Sender MAC address）： _0c:da:41:63:03:f4(0c:da:41:63:03:f4)_发送方的IP地址（Sender IP address）：_10.30.28.1(10.30.28.1)_目标的地址（Target MAC address:）：_ G-ProCom_45:47:dd(00:23:24:45:47:dd)_目标的IP地址（Target IP address:）：

13、_10.30.28.38(10.30.28.38)_练习1：对于上述2、3中的arp请求报文和应答报文，将ARP请求报文和ARP应答报文中的字段信息填入表3-1。表3-1 RPP请求报文和ARP应答报文的字段信息字段项ARP请求数据报文ARP应答数据报文链路层Destination项Broadcast(ff:ff:ff:ff:ff:ff)G-ProCom_45:47:dd(00:23:24:45:47:dd)链路层Source项G-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)网络层Sender MA

14、C AddressG-ProCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:da:41:63:03:f4)网络层Sender IP Address10.30.28.22(10.30.28.22)10.30.28.1(10.30.28.1)_网络层Target MAC Address00:00:00_00:00:00(00:00:00:00:00:00)G-ProCom_45:47:dd(00:23:24:45:47:dd)网络层Target IP Address10.30.28.1(10.30.28.1)10.30.28.38(10.30

15、.28.38)练习2：ARP报文是直接封装在以太帧中的，为此以太帧所规定的类型字段值为_0806h_练习3：对地址转换协议（ARP）描述正确的是（ D ）A ARP封装在IP数据报的数据部分 B 发送ARP包需要知道对方的MAC地址C ARP是用于IP地址到域名的转换 D ARP是采用广播方式发送的练习4：ARP欺骗的原理是什么.如何进行防范.ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。防范措施：建立DHCP服务器；建立MAC数据库；网关机器关闭机器