实验一 利用WireShark观察网络协议分层架构

1、察网实验一利用WireShark观察网络协议分层架构一、实验目的及任务1、熟悉并掌握WireShark的基本操作。2、了解网络协议实体间进行交互以及报文交换的情况。二、实验环境与因特网连接的计算机网络系统; 主机操作系统为windows； WireShark、IE 等软件。三、预备知识一个人要深入理解网络协议，需要：观察它们的工作并使用它们，即观察两 个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动 作，观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真 实网络环境中完成。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniff

2、er）o顾名思义，一个分组嗅探器俘获（嗅探）由你的计算机发送和接收的报 文。一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议字段的内容。图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序 （如：web浏览器和ftp客户端）。分组嗅探器（虚线框中的部分）是附加计算 机普通软件上的，主要有两部分组成。分组俘获库（packet capture library） 接收计算机发送和接收的每一个链路层帧的拷贝。高层协议（如：HTTP、FTP、 TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。图1假设所使用的物理媒体是以太网，并且上层

3、协议的报 文最终封装在以太网帧中。分组嗅探器的第二个组成部分是分组分析器。分组分析器用来显示协议报文 所有字段的内容。为此，分组分析器必须能够理解协议所交换的所有报文的结构。 例如：我们要显示图1中HTTP协议所交换的报文的各个字段。分组分析器理解 以太网帧格式，能够识别包含在帧中的IP数据报。分组分析器也要理解IP数据 报的格式，并能从IP数据报中提取出TCP报文段。然后，它需要理解TCP报文 段，并能够从中提取出HTTP消息。最后，它需要理解HTTP消息。WireShark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组 分析器。WireShark是免费的，可以从

4、Http:/www.WireS得到。启动 该软件时，它的初始运行界面如图2所示。运行WireShark程序时，其图形用户界面如图3所示。最初，各窗口中并无 数据显示。WireShark的界面主要有五个组成部分：commandmenusFilter:Expression. Clear Applydisplay filterspecificationTimeSourceDestinationProtocol0.00000060.12798722listing ofcapturedpacketsdetails ofselectedpacketheaderInfo6S get /news/ HTTP/

5、1.lrn22226Etp ACK 5eq=n Ack=l Win=65 53 5HTTP GET /HEWS/ HTTP,TCP1163 http SYN seq=o Len=o MS5=1460TCPhrtp 1163 syn, ack seq=0 Ack=l win=57MamTCP TCP segment of a reassembled pduHTTPLTCPprevious segment1 OSTJ continuation0.330467622TCP1163 http ACK Seq=657Ack=1082 Wn n=6480. 342042226TCPTCPRetransmn

6、 ssn onTCPsegment of a rea Frame 4 (710 bytes on wire, 710 bytes captured)0 Ethernet II, Src: Netgear_61:8e:6d (00:09:5b:61:8e:6d), Dst: West el1T_9f:92:b9 (00:Of:db:92:b9) 0 internet Protocol, Src: 6 (6), Dst: 22 (22)S Transmission control Protocol, sre Port: 1163 (1163), Dst Port: http (80), seq:

7、1, Ack: 1, Len: 656 日 Hypertext Transfer ProtocolHost: ww. wi reshark. orgrnUser-Agent: Mozilla/5.0 (Windows; U； Windows NT 5.1; en-U5； rv:l.8.1.4) Gecko/20070515 Firefox/ Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png, Accept-Language: en-us,en;q=0

8、.5rn Accept-Encoding: gzip,deflaternAccept-Charset: ISO-8859-1,utf-8;q=0.7,七 q=0.7rnK e e p-Al n v e: 3OOr nconneern on: k eep-al ivernRef er er : HYPERLINK http:/ww http:/ww. wi reshark. org/f aq. htmlrnCookie: utma=8765 3150.624 71437.1181007382.1181007382.118116914 2.2;packet contentin hexadecima

9、l and ASCII0000001000200030004000500060007000800090OOaO 00 bo9 6 r- rl-ef b b 1 5 o o b 4 - 7- 7- 7- 3 3 3 3 o o d 7- 1 -y rl- 1 5 1eo o 8 p- 4 3 6 6 6 5 3 3 & o o o f 7- 3 c o e 8 7b o rl- o 7- 7- 6 3 3 2 o o o o e rl- b rl-eo 9 4 o o 5 rl- 6 3 3 3 _t5 b 4 4 7- _d 9 3 o 1 o 口.-.I.8 7- 5 7- o 6 7- 3

10、 3 b f 4 7, 47 d _d 7, 4 -d d o o 7- 5 7- o 7- 7- rl- 3 3 f 8 a f 8 7- 7- f f e 6 f o -Qr/f4 7- 6 6 6 4 7- o.，-f o o d 4 o _t o o M _4.，_J,7 4 6 7- 6o 9 8 f a f o e 3 o b 6 o 7- 1 3 6 6 7- 6 6o o 3 4 e -d 9 7- b 3 58 5 7- 7- 3 6 7- 3 6 6 o p- 8 7- 3 b 4 7- f 3 rl- o.117- 7- 6 7- 5 6 5 6 78 115 f 2 e

11、 8 4 5 7- 9 o o f 6 6 7- 66 rl- 4 6 d 8 6 e 8 1 rl- o e d o 6_d r- 6 4 6 664 e o ef a 8 7- o 9 e 9 o 8 c 4 o 6 6 3 6 6 11b o d 3 1e7，rl- 4 5 6 5 1 o 7- 45 6 3 3 b 4 p-4 1 rl- IQ rl- Q o p- 17- 8 5 3 6 3 3a. m. . E. . tQy2 Z. . . P. . . . N. . . P.wT . .GE T /news/HTTP/1. 1.HOSt: ww. wn r es har k. o

12、 rg.user -Agent: Mozi11 a/ 5.0 (win dows; U； wi ndows nt 5.1; en-us;rv:l. 8.1 .4Geek O/200705 15 Fl refFile: C:DOCUMElPAULAWlLOCALSlTempetherXXXXa00324 453 KB 00:00:. P: 671 D: 671 M: 0 Drops: 0Figure 3: Wireshark Graphical User Interface, during packet capture and analysis命令菜单(command menus):命令菜单位于

13、窗口的最顶部，是标准的下拉式菜单。最 常用菜单命令有两个：File、Capture。File菜单允许你保存俘获的分组数据或打开一个 已被保存的俘获分组数据文件或退出WireShark程序。Capture菜单允许你开始俘获分 组。俘获分组列表(listing of captured packets):按行显示已被俘获的分组内容，其中包括: WireShark赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中 所包含的协议说明信息。单击某一列的列名，可以使分组列表按指定列进行排序。在该 列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。分组首部明细(details of

14、selected packet header):显示俘获分组列表窗口中被选中分组 的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关 的信息。单击以太网帧或IP数据报所在行左边的向右或向下的箭头可以展开或最小化 相关信息。另外，如果利用TCP或UDP承载分组，WireShark也会显示TCP或UDP 协议头部信息。最后，分组最高层协议的头部字段也会显示在此窗口中。分组内容窗口(packet content)：以ASCII码和十六进制两种格式显示被俘获帧的完整 内容。显示筛选规则(display filter specification):在该字段中，可以填写协议的名称

15、或其他信 息，根据此内容可以对分组列表窗口中的分组进行过滤。四、实验步骤启动主机上的web浏览器。启动WireShark。你会看到如图2所示的窗口，只是窗口中没有任何分组列表。开始分组俘获:选择“capture”下拉菜单中的“Start命令，会出现如图3所示的“WireShark:Capture Options ”窗口，可以设置分组俘获的选项。在实验中，可以使用窗口中显示的默认值。在“WireShark: Capture Options”窗口的最 上面有一个“interface”下拉菜单，其中显示计算机所具有的网络接口（即网卡）。当计 算机具有多个活动网卡时，需要选择其中一个用来发送或接收分组

16、的网络接口（如某个 有线接口）。随后，单击“ok”开始进行分组俘获，所有由选定网卡发送和接收的分组 都将被俘获。开始分组俘获后，会出现如图4所示的分组俘获统计窗口。该窗口统计显示各类已俘获 分组的数量。在该窗口中有一个“stop”按钮，可以停止分组的俘获。但此时你最好不 要停止俘获分组。Figure 4: Ethereal Packer Capture Windw在运行分组俘获的同时，在浏览器地址栏中输入某网页的URL,如： HYPERLINK 为显示该网页，浏览器需要连接n的服务器，并与之交换HTTP报文， 以下载该网页。包含这些HTTP报文的以太网帧将被WireShark俘获。当完整的页面

17、下载完成后，单击WireShark俘获窗口中的stop按钮，停止分组俘获。此 时，分组俘获窗口关闭。WireShark主窗口显示已俘获的你的计算机与其他网络实体交 换的所有协议报文，其中一部分就是与n服务器交换的HTTP报文。此 时主窗口与图2相似。在显示筛选规则中输入”，单击apply”，分组列表窗口将只显示HTTP协议报文。选择分组列表窗口中的第一条http报文。它应该是你的计算机发向服 务器的HTTP GET报文。当你选择该报文后，以太网帧、IP数据报、TCP报文段、以 及HTTP报文首部信息都将显示在分组首部子窗口中。单击分组首部详细信息子窗口中 向右和向下箭头，可以最小化帧、以太网、

18、IP、TCP信息显示量，可以最大化HTTP协 议相关信息的显示量。其结果与图5相似。Eie Edit 瞠w ko 口邹恒旧Hflp施巳日乂物品 国中号安殳S S回0跋E面t区酉豺回EsqxQEKon. Clar Appt*Nd . Time-SaurosDssslrialmnrelncnl Inlu151 &. DT5S5O203 .IM. 36c 6Z02.1 W . 225mttpcanrlnuaxlari or nan-MTTR Traffic15-1 a.lD22a2Q2.1S4.94.223W0L1M.罪-E 目HTTPtEF /set2d(i5. gif HTTP/1-115 52

19、Q2.1M.94.223202.1W.36.66httpGEr /rtrSS55J005Jpg HTTP/1.1/心】.104.邪.日E202.1QM . J4.HTTP HTTPA-1 200 OKUnrcjsQnblQd Packet8.1D&3L5202.154u86B BE202-1M . M- 223MTTPcaHLlnuar 1(311DPhail-MTTPrraffRL5S S.lDQSZaZQ2.BE-202.1W . 2ZSHTTPHTTP A-1 200OK(JPDJ JP3F imaUnr eau flmbl cd Picket160 8.1D&533202.IM-uSa

20、. BE202-1M. 94-223httpconrlnuar 1cmDrrian-HTTFrrarffclai S. lDSUfiZG2. IM.aa. BE-202.1 W .2Z2HTTPEantlnuatianDrnan-HTTPtriFfic1632Q2 .l&4uaoa 6, yqu 225httf conrlnuar 1qh Dr nan-HTTF rrartKLW 0,11Q537202.14,36.65202,1,94,223httpCantinuatiannan-HTlPtraffic165 &.XLO5L52Q22u2alE. 94-225HTTFQQAIInuiUCin

21、MrlOH-HTTFirarT1L67 g,HQ75Q的21网，弱.盼202,1,94,223httpContTnuationornan-HTTPtrafriLbfi 8.1H237202.14.36. B6WOLuM.如HTTPcrmrlnuarlanornan-HTTFTrafficL功 8 Ul崩4202.14,.223ZQ2,1,36,68HTT PST /imaces2QC4/l gft_T, gf HrTP/l= 1L?1 a.1124-54202.14.-96.06242.1&4. 44.223HTTPHTFP/1-1 200 OK (右 IF 白如172 8.15HZ53 20

22、2 ,. 2232O2alW . 36. BBHTTP GET /imaC|E520W/1efT_fl35h3. gif HTTP/1-1172 a.l5S579207.1&4. S&. QBHTTP (EK /iniHgesSOM/lcfUlasM. gif HTTP/1-1L7d $.16037 202.lM.3i5.B5戏LI润，女Nttp KTrP/1.1 200 逐 htFB鬼)【51河足却1口用 :kerl：i Frame 30 15H tT/res an vire, LSI-*! bytes caprured) d.9 EThernet llP 5rc: D0：fl0-fr：47

23、:fOESe D51 r M；odE6Q：73-c3:？7S Ihrerner FroracaL iddr ! ZCI2.1EM BB (ZCl2a 6B)P DSC =lr： ZOLL 加.归前 25曰 rrarifll：l0n canirDl ppotdcdI , src porx hrip i：BD)b dst pctl j LOK? i：1uSL?3b iuWQl, Acks 卜 Lens :w伺勤 Hypertext Tranifer FratocolDot d (1460 bytssjiXldOMidixisaIXMLIM50M6QM70M30W?0ixiauD 6 2 D D D D D D o fl o o 2 y 1 fa F.2 2 2 2 Q -1- codoQOOOO 7 4 2 口! I-.I,.! 3 2?7- D 2 D D D D o D Q A- _JJ D J- D 22 22 2 2 D Ti o u u -u i o o -vd 匚 4il、u二-1- Q J 2 3 -uD 2 b D .口 f o o 自 p Q D c 1