实验12-Wireshark-工具的使用与TCP数据包分析

Wireshark工具的使用与TCP数据包分析(SEC-W07-007.1)Wireshark〔前称Ethereal〕是一个网络封包分析软件。网络封包分析软件的功能是捕捉网络数据包，并尽可能显示出最为详细的数据包内容。在过去，网络数据包分析软件或者非常昂贵，或者专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障下，使用者可以免费取得软件及其源代码，并拥有对源代码修改的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。

传输控制协议〔TransmissionControlProtocol〕，简称TCP协议，是一种面向连接〔连接导向〕的、可靠的、基于字节流的运输层〔Transportlayer〕通信协议，由IETF的RFC793说明〔specified〕。在简化的计算机网络OSI模型中，它完成第3层传输层所指定的功能，基于TCP的常见应用如TELNET，SSH，HTTP，FTP等。实验目的学习Wireshark工具的使用。学习TCP协议及其TCP头部结构。利用Wireshark分析TCP数据包内容。实验准备获取Windows远程桌面客户端工具mstsc压缩包并解压。获取效劳器Windows操作系统Administrator管理员口令。获取效劳器IP地址。实验步骤学习Wireshark工具使用步骤说明：使用Wireshark工具，熟悉常见功能配置。准备一台win20003和winxp电脑。效劳器〔win2003〕：设置IP地址为选择控制面板下的添加/删除程序---添加/删除windows组件对话框中的应用程序效劳器---Internet信息效劳---文件传输协议(FTP)效劳。右击我的电脑，选择管理，选择本地用户和组---用户---administrator,设置其密码为123456右击我的电脑，选择属性---远程选项卡，勾选远程桌面下的允许用户远程连接到这台计算机。〔开启了3389端口，通过netstat–an可以查看〕在该效劳器上安装Wireshark软件。Winxp(设置其ip地址为8)1.运行远程桌面客户端程序mstsc.exe，输入效劳器端IP地址，点击Connect连接，如图1：

图12.以Administrator〔管理员〕身份登陆效劳器桌面。注：效劳器Administrator用户的登陆密码为123456。3.在远程桌面中，单击桌面Wireshark程序快捷图标，弹出Wireshark程序如图2：

图24.在Wireshark程序点击查看本机网卡状态配置按钮：InterfaceList，弹出如图3对话框，图例中可以看出本机的网卡信息。

图35.在Wireshark主程序界面中，点击配置详细条件按钮：CaptureOptions，弹出如图4对话框，配置捕捉的详细条件。

图4注：这里我们选择了本地local的网卡，实验环境不同可能会使用不同的网卡。6.在图4的配置界面中，可以通过在CaptureFilter输入框中输入捕捉数据包的条件，样例中的host的意思为：程序只捕捉IP地址为的数据包。7.下面举例了几种常见过滤条件：

tcp

只捕捉tcp数据包

port80

捕捉tcp或udp协议且端口为80的数据包

nottcpport3389

不捕捉tcp端口为3389的数据包

srcanddst

捕捉源地址为且目的地址为的数据包

8.这里我们选择过滤条件为nottcpport3389，点击对话框下方的start按钮开始捕捉网络数据包，捕捉现象如图5所示：图5学习TCP协议及头部结构步骤说明：了解TCP/IP协议，学习TCP数据包头部结构。1.TCP/IP是一个协议集，它包含了IP、TCP、UDP一系列协议，TCP协议意为TransmissionControlProtocol传输控制协议，

它是一种面向连接〔连接导向〕的、可靠的、基于字节流的运输层〔Transportlayer〕通信协议，由IETF的RFC793说明

〔specified〕。在简化的计算机网络OSI模型中，它完成第3层传输层所指定的功能，如图6所示：

图62.TCP协议头最少20个字节，包括假设干个区域头部，结构如图7所示：

图73.由于TCP是基于IP协议的，在利用Wireshark工具分析中，通常可以看到的TCP头和IP头结构组成，如图8所示：

图8使用Wireshark分析TCP数据包步骤说明：配置Wireshark捕捉TCP数据包，分析数据包内容。1.在winxp电脑上，开始--运行中输入mstsc.exe，输入效劳器端IP地址，点击Connect连接登陆到远程效劳器桌面中，运行其上的Wireshark，选择capture菜单下-options，在出现的如图4的对话框的CaptureFilter中输入过滤条件：

host该效劳器的IPandtcpport21

这里我们需要捕捉访问远程效劳器的TCP端口21的所有TCP数据包。2.点击对话框下方的start按钮后，Wireshark会处于捕捉状态。在ftp效劳器进行如下设置：1.创立一个wupeifei帐户，密码为123。2.在C:\Inetpub下找到ftproot文件夹，右击该文件夹，选择属性，然后选择平安选项卡，添加wupeifei帐户对该文件夹有完全权限。.回到winxp客户端系统中，进行如下设置：1.把该机器的那个远程效劳器桌面窗口最小化，不要关闭。2、在该winxp电脑的点击“开始〞->“运行〞，输入命令：

ftp效劳器的IP

利用该命令登陆远程效劳器的FTPServer。注：远程效劳器已经开放了FTP端口21，用户名为wupeifei，密码为123。4.如图9输入正确的用户名wupeifie和密码123，成功登陆后，输入quit命令退出FTP效劳器。图95.最后把该机器的那个远程效劳器桌面窗口最大化，再次回到其上的wireshark界面，wireshark已经捕捉到了ftp的会话数据包，如图10：图106.在图10中，选中捕获的含有密码明文的