实验1 网络协议分析工具Wireshark的使用

1、大连理工大学本科实验报告课程名称： 网络综合实验 学院（系）： 软件学院 专 业： 金融信息化 班 级： 学 号： 学生姓名： 2010年 6月 29日 大连理工大学实验报告学院（系）： 软件学院 专业： 金融信息化 班级： OOXX班 实验时间： 实验室： D图407 实验台： 指导教师签字： 成绩： 实验一：网络协议分析工具Wireshark的使用一、实验目的学习使用网络协议分析工具Wireshark的方法，并用它来分析一些协议。二、实验原理和内容1、tcp/ip协议族中网络层传输层应用层相关重要协议原理2、网络协议分析工具Wireshark的工作原理和基本使用规则三、实验环境以及设备 P

2、c机、双绞线四、实验步骤（操作方法及思考题）1. 用Wireshark观察ARP协议以及ping命令的工作过程： （1） 用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；ipconfig/all 00-15-C5-7B-30-A6 192.168.1.1 （2） 用“arp”命令清空本机的缓存；arp -d（3） 运行Wireshark，开始捕获所有属于ARP协议或ICMP协议的，并且 源或目的MAC地址是 本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）;过滤规则：ether host 00:15:C5:7B:30:A6 and (arp or

3、icmp)（4）执行命令：“ping 缺省路由器的IP地址” ；ping 192.168.1.1写出（1），（2）中所执行的完整命令（包含命令行参数），（3）中需要设置的Wireshark的Capture Filter过滤规则，以及解释用Wireshark所观察到的执行（4）时网络上出现的现象。Wireshark截图:首先，通过ARP协议来找到所ping机器的ip地址，本机器发送一个广播包，在子网中查询192.168.1.17的MAC地址，然后一个节点发送了响应该查询的ARP分组，告知机器所查询的MAC地址。接下来，本机器发送了3个回显请求ICMP报文，目的地段回复了三个响应的回显应答ICMP

4、报文，说明连通正常。2. 用Wireshark观察tracert命令的工作过程： （1） 运行Wireshark, 开始捕获tracert命令中用到的消息；（2） 执行“tracert -d ”寝室里使用的是网通而非校园网，没能像在实验室里那样显示有7个路由根据Wireshark所观察到的现象思考并解释tracert的工作原理。Wireshark截图:由图可见，本地主机发送了三次ICMP请求回显数据报，由于中途无别的路由器，直接到达目的端，目的主机随之发送相应的ICMP回显应答报文。3. 用Wireshark观察TCP连接的建立过程和终止过程：(1) 启动Wireshark, 配置过滤规则为捕

5、获所有源或目的是本机的Telnet协议的包（提示：Telnet使用的传输层协议是TCP，它使用TCP端口号23）；(2) 在Windows命令行窗口中执行命令 “”，登录后再退出。请在实验报告中：a. 写出步骤（1）中需要设置的Wireshark的Capture Filter过滤规则； 过滤规则：host 192.168.1.100 and (tcp port 23)b. 根据Wireshark所观察到的现象解释TCP三次握手的连接建立过程； 可见：第一步，本地主机192.168.1.100向目的主机发送了一个SYN=1的报文段；第二步，目的主机收到该报文段后，回复了一个允许连接的报文段，SY

6、N亦为1；第三步，收到上步报文段后，本地主机回复了一个对其进行确认的报文段。c. 根据Wireshark所观察到的现象解释TCP的连接终止过程； 首先，目的主机202.118.66.5向本地主机192.168.1.100发送了一个FIN比特置为1的TCP 报文段；接着，本地主机收到上一步的报文段后回复了一个确认报文段；然后，目的主机发送其终止报文段，其FIN比特被置为1；最后，本地主机对该终止报文段进行确认，回送一确认报文段。d. 根据Wireshark所观察到的现象说出是哪一方首先发起连接关闭；由图知，目的主机首先发送了FIN比特为1的报文段，故是目的主机首先发起连接关闭。 4. 用Wire

7、shark观察使用DNS来进行域名解析的过程：（1）在Windows命令窗口中执行命令“nslookup(回车)”，进入该命令的交互模式； （2）启动Wireshark, 配置过滤规则为捕获所有源或目的是本机的DNS协议中的包（提示：DNS使用的传输层协议是UDP，它使用UDP端口号53）； （3）在提示符“>”下直接键入域名，解析它所对应的IP地址； （4）在提示符“>”下键入命令“set type=mx”，设置查询类型为MX记录; （5）在提示符“>”下键入域名“”,解析它所对应的MX记录； （6）在提示符“>”下键入命令“set type=a”，恢复查询类型为A记

8、录; （7）在提示符“>”下键入MX记录的查询结果，从而查出“”邮件服务器的IP地址； （8）在提示符“>”下键入“exit”，退出nslookup的交互模式。请在实验报告中回答：a. 写出步骤（2）中需要设置的Wireshark的Capture Filter过滤规则； Capture Filter过滤规则：过滤规则：host 192.168.1.100 and (udp port 53)b. 根据Wireshark所观察到的现象解释解析域名“”所对应IP地址的过程。首先，本地主机的DNS客户端向网络中发送一个查询且资源记录类型为A的DNS查询报文；接着，收到一个DNS回答报文，告

9、知了其IP地址为60.19.29.24；然后，本地DNS客户端又发送了一个RR类型为AAA的查询报文；最后，收到回答报文，告知无这样的域名。c. 根据Wireshark所观察到的现象解释解析域名“”所对应MX记录的过程。解析:首先，本地主机的DNS客户端向网络中发送一个查询.domain且资源记录类型为MX的DNS查询报文；接着，收到一个DNS回答报文，告知无这样的域名；然后，本地主机的DNS客户端又发送了一个查询 且资源记录类型为MX的DNS查询报文；最后，收到一个DNS回答报文，告知其规范主机名为。d. “”域有几个邮件服务器？它们的IP地址分别是什么？ 可知有2个邮件服务器，它们的IP地址分别是： 202.108.252.141和202.108.252.210.五、讨论、建议、质疑1.无线网络里如何才能用Wireshark捕捉到数据包呢？在图书馆用笔记本进行该实验时，我已经注意是在使用无线局