计算机网络wireshark-实验参考资料

《计算机网络原理》实验参考资料金可音2012.11.18湖南工业大学计算机与通信学院网络工程系总体要求实验目的学习并掌握网络协议分析软件Wireshark的使用方法，学会捕获网络上传输的协议数据单元，观察、分析网络协议首部。加深理解以太网EthernetⅡ协议及其帧的语法（帧格式）和语义加深理解互联网IP协议及其数据报的语法（包格式）和语义加深理解互联网TCP协议及其报文段的语法（报文段格式）和语义加深理解互联网DNS服务及其报文的语法（报文格式）和语义加深理解互联网HTTP协议及其报文的语法（报文格式）和语义实验原理以太网MAC层EtherⅡ协议原理TCP/IP协议族中网络层、传输层、应用层相关协议原理网络协议分析工具Wireshark的工作原理和基本使用规则实验环境与因特网连接的计算机网络系统；主机操作系统为windows；主机上安装了WireShark、IE等软件。实验内容访问百度主页，用WireShark工具捕获以下五个协议的有关协议数据单元，并分析以下五个协议：以太网EtherⅡ协议互联网IP层协议互联网UDP协议互联网DNS互联网HTTP

实验步骤关闭所有上网的软件（如QQ等）在MSDOS下使用ARP–d*命令清除自己电脑中MAC和IP映射表。用ipconfig/flushdns：清空本地的DNS解析器的缓存。Ping，找出对应的IP地址，用来验证WireShark实验的结果启动web浏览器，清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。启动网络协议分析软件WireShark，完成相关的设置（“capture-Optios”），开始捕获数据帧。使用主机上的web浏览器，浏览百度主页（）在PacketListPane（列表面板/列表框）分别查看并分析相关的数据帧，查看并分析其中封装的有关协议的首部控制信息，完成以下五个实验报告。实验报告一：Wireshark使用方法和以太网协议分析实验报告二：IP协议分析实验报告三：TCP协议分析实验报告四：DNS分析实验报告五：HTTP协议分析

实验一Wireshark使用方法和以太网协议分析实验目的学习并掌握网络协议分析软件Wireshark的使用方法，学会捕获、观察、分析网络协议首部。熟悉以太网帧的格式熟悉ARP报文的格式分析802.3协议实验原理以太网MAC层相关协议原理TCP/IP协议族中网络层、传输层、应用层相关协议原理网络协议分析工具Wireshark的工作原理和基本使用规则实验环境与因特网连接的计算机网络系统；主机操作系统为windows；安装WireShark、IE等软件。实验步骤捕获并分析以太帧关闭所有上网的软件（如QQ等）启动web浏览器，清空浏览器缓存。

（在IE窗口中，选择“工具/Internet选项/删除文件”命令）启动网络协议分析软件WireShark。选择“capture”下拉菜单中的“Optios”命令，设置分组捕获的选项。分组捕获：单击“Start”开始进行分组捕获，所有由选定网卡发送和接收的分组都将被捕获。在运行分组捕获的同时，在浏览器地址栏中输入某网页的URL，如：。浏览器下载该网页并显示。包含这些HTTP消息的以太网帧(Frame)将被WireShark捕获。WireShark主窗口显示已捕获的你的计算机与其他网络实体交换的所有协议报文，其中一部分就是与服务器交换的HTTP消息。停止分组捕获在显示筛选编辑框中输入“http”，单击“apply”，分组列表窗口将只显示顶层协议为HTTP的帧。在分组列表窗口找到你的计算机向服务器发送的HTTPGET消息和服务器发送到你主机上的HTTP响应消息。选择“Analyze->EnabledProtocols”，取消对IP复选框的选择，单击OK。当你选择该消息后，以太网帧、IP数据报、TCP报文段、以及HTTP消息首部信息都将显示在分组首部子窗口中。单击分组首部详细信息子窗口中向右和向下箭头，可以最小化帧、以太网、IP、TCP信息显示量，可以最大化HTTP协议相关信息的显示量。选择包含HTTPGET消息的以太网帧，在分组详细信息窗口中，展开EthernetII部分。根据操作，回答“实验报告内容”中的1-4题选择包含HTTP响应消息第一个字节的以太网帧，根据操作，回答“实验报告内容”中的5-8题。实验报告内容在实验的基础上，回答以下问题：你的主机的以太网MAC地址是多少？目标MAC地址是服务器的MAC地址吗？如果不是，该地址是什么设备的MAC地址？给出Frame头部Type字段(2字节)的十六进制值。在包含“HTTPGET”的以太网帧中，字符“G”的位置(是第几个字节，假设Frame头部第一个字节的顺序为1)？以太Frame的源MAC地址是多少？该地址是你主机的MAC地址吗？是服务器的MAC地址吗？如果不是，该地址是什么设备的MAC地址？以太网帧的目的MAC地址是多少？该地址是你主机的地址吗？给出Frame头部2-字节Type字段的十六进制值。在包含“OK”以太网帧中，从该帧的第一个字节算起，”O”是第几个字节？给出Frame头部Type字段的十六进制值。

实验二IP层协议分析实验目的了解ICMP、IP数据包格式；掌握IP数据报的组成和各字段的功能，分析数据报的IP首部；理解ARP、ICMP与IP的关系；理解ARP命令、PING命令与ARP、ICMP协议的关系；熟悉ARP和ICMP协议包格式；了解ARP、ICMP会话过程。实验环境与因特网连接的计算机网络系统；操作系统为windows；WireShark、IE等软件。实验步骤（说明：以下所截界面上的数据与你电脑上的数据会有所不同）首先进入MSDOS字符界面在MSDOS下使用ARP–d*命令清除自己电脑中MAC和IP映射表。见图1所示图1ARP及PING命令运行结果回到windows图形界面下启动WireShark，开始捕获分组。在MSDOS下键入Ping，见图1所示。回到WireShark并停止抓包，见图2所示。查找到ARP请求和应答数据包，回答实验报告内容中的1-2题查到PING命令执行时，产生的ICMP请求和应答报文，回答实验报告内容中的3-5题图2WireShark抓包结果实验报告内容什么是ARP？ARP与IP的关系。ARP请求和应答数据包的数据部分的内容是什么？代表什么意思？什么是ICMP？ICMP与IP的关系。ICMP的请求和应答报文的头部各字段的十六进制值分别是什么，代表什么含义？数据部分的内容以及IP头部的十六进制值分别是什么？内容。什么是“会话”？本实验中那些协议有会话过程？IP有否“会话”？你主机的IP地址是什么？你所访问的主页所在服务器的IP地址是什么？

实验三TCP协议分析实验目的及任务熟悉TCP协议的基本原理利用WireShark对TCP协议进行分析实验环境与因特网连接的计算机网络系统；操作系统为windows；主机安装WireShark、IE等软件。实验步骤捕获本地主机与远程服务器交换的TCP报文段启动WireShark，开始分组捕获。启动浏览器，打开/网页，停止分组捕获在显示筛选规则编辑框中输入“tcp”,可以看到在本地主机和服务器之间传输的一系列tcp和HTTP消息，你应该能看到包含SYNSegment的三次握手。也可以看到有主机向服务器发送的一个HTTPGET消息和一系列的“httpcontinuation”报文。分析TCP的拥塞控制，在WireShark已捕获分组列表子窗口中选择一个TCP报文段。选择菜单：Statistics->TCPStreamGraph->Time-Sequence-Graph(Stevens)。你会看到如下所示的图。回答“四、实验报告内容”中的有关问题。实验报告内容在实验的基础上，回答以下问题：向服务器传送文件的客户端主机的IP地址和TCP端口号分别是多少？服务器的IP地址是多少？对这一连接，它用来发送和接收TCP报文的端口号是多少？客户服务器之间用于初始化TCP连接的TCPSYN报文段的序号（sequencenumber）是多少？在该报文段中，是用什么来标示该报文段是SYN报文段的？服务器向客户端发送的SYNACK报文段序号是多少？该报文段中，Acknowledgement字段的值是多少？服务器是如何决定此值的？在该报文段中，是用什么来标识该报文段是SYNACK报文段的？包含HTTPGET消息的TCP报文段的序号是多少？如果将包含HTTPGET消息的TCP报文段看作是TCP连接上的第一个报文段，那么该TCP连接上的第六个报文段的序号是多少？是何时发送的？该报文段所对应的ACK是何时接收的？前六个TCP报文段的长度各是多少？在整个跟踪过程中，接收端向发送端通知的最小可用缓存是多少？限制发送端的传输以后，接收端的缓存是否仍然不够用？在跟踪文件中是否有重传的报文段？判断的依据是什么？TCP连接的吞吐率(bytestransferredperunittime，单位时间传输的字节数)是多少？写出你的计算过程。利用Time-Sequence-Graph(Stevens)plotting工具，浏览由客户端向服务器发送的报文段序号和时间对应关系图。你能否辨别出TCP慢启动阶段的起止，以及在何处转入避免拥塞阶段？阐述所测量到的数据与TCP理想化的行为有何不同？

实验四DNS分析实验目的及任务熟悉并掌握WireShark的基本操作，了解网络协议实体间的交互以及报文交换。分析DNS协议实验环境与互连网连接的计算机；主机操作系统为Windows；WireShark、IE等软件。实验步骤在MSDOS环境(开始菜单－>运行－>输入命令“cmd”)运行nslookup、ipconfig命令，可以帮助你分析。nslookup允许主机向指定的DNS服务器查询某个DNS记录。如果没有指明DNS服务器，nslookup将把查询请求发向默认的DNS服务器。nslookup的一般格式是：nslookup–option1–option2host-to-finddns-serveripconfig命令用来显示你当前的TCP/IP信息，包括：你的地址、DNS解析器和服务器的信息、适配器的类型等信息。ipconfig/all：显示与主机相关的信息用命令ipconfig/displaydns：查看DNS缓存中的记录用命令ipconfig/flushdns：清空DNS缓存跟踪并分析DNS的基本步骤：利用ipconfig命令清空主机上的DNS缓存。启动浏览器，并将浏览器的缓存清空。启动WireShark，并进行适当的设置。如，在捕获过滤框处输入：“ip.addr==your_IP_address”（如：ip.addr==3）过滤器将会删除所有目的地址和源地址与指定IP地址都不同的分组。开始WireShark捕获分组。在浏览器的地址栏中输入：后，回车。按stop按钮或菜单停止分组捕获。开始WireShark分组捕获。上进行nslookup（即执行命令：）。停止分组捕获。在显示筛选规则编辑框中输入“dns”,找到dns相关的协议数据单元，分析协议控制信息，回答“实验报告内容”中的有关问题。实验报告内容跟踪并分析DNS，根据捕获窗口内容，回答以下问题定位到DNS查询消息和查询响应报文，这两种报文的发送是基于UDP还是基于TCP的？DNS查询消息的目的端口号是多少？DNS查询响应消息的源端口号是多少？DNS查询消息发送的目的地的IP地址是多少？利用ipconfig命令（ipconfig/all查看你主机的本地DNS服务器的IP地址。这两个地址相同吗？考虑一下你的主机随后发送的TCPSYNSegment，包含SYNSegment的IP分组头部中目的IP地址是否与在DNS查询响应消息中提供的某个IP地址相对应？DNS查询消息的目的端口号是多少？DNS查询响应消息的源端口号是多少？DNS查询消息发送的目的地的IP地址是多少？这个地址是你的默认本地DNS服务器的地址吗？检查DNS查询响应消息，其中提供了多少个“answers”？每个answers包含哪些内容？

实验五HTTP分析实验目的及任务熟悉并掌握WireShark的基本操作，了解网络协议实体间的交互以及报文交换。分析HTTP协议实验环境与互连网连接的计算机；主机操作系统为Windows；WireShark、IE等软件。实验步骤HTTP分析启动WireShark，开始分组捕获。启动主机上的web浏览器，浏览百度主页（）。在WireShark主窗口的显示过滤框处输入“http”，分组列表子窗口中将只显示所捕获到的HTTP消息。选择分组列表窗口中的第一条http报文。它应该是你的计算机发向服务器的HTTPGET报文。停止分组捕获。实验报告内容HTTP分析，根据捕获窗口内容，回答以下问题从发出H