使用wireshark进行协议分析实验报告

使用wireshark进行协议分析实验报告一、实验目的1.熟悉Wireshark软件的基本操作，包括启动、捕获数据包、保存捕获文件等。2.掌握常见网络协议的工作原理，如TCP、UDP、HTTP、FTP等。3.通过分析数据包，深入理解协议的交互过程，能够解读协议头部信息，分析协议数据传输的特点。4.学会利用Wireshark工具进行网络故障排查，例如发现网络连接问题、协议异常等，并能提出相应的解决方案。

二、实验环境1.操作系统：Windows102.实验工具：Wireshark软件

三、实验步骤

（一）Wireshark软件的启动与基本设置1.双击桌面上的Wireshark图标，启动软件。2.在启动后的界面中，选择用于捕获数据包的网络接口。一般情况下，有线网络选择对应的本地连接，无线网络选择对应的WiFi连接。这里以有线网络为例，选择本地连接后点击"开始"按钮，Wireshark便开始捕获网络数据包。3.为了便于后续分析，对捕获设置进行一些调整。在菜单栏中选择"编辑">"首选项"，在弹出的对话框中进行如下设置：在"捕获"选项卡中，设置捕获缓冲区大小，可适当增大以避免数据包丢失。在"显示"选项卡中，调整字体大小和颜色，使数据包信息显示更清晰。

（二）捕获特定协议的数据包1.捕获TCP协议数据包在Wireshark的捕获界面中，在过滤框中输入"tcp"，然后点击"应用"按钮。此时，Wireshark将只捕获TCP协议相关的数据包。打开一个网页浏览器，访问一个网站，如百度（.baidu）。在访问过程中，Wireshark会持续捕获TCP数据包。访问完成后，点击Wireshark捕获界面中的"停止"按钮，停止数据包捕获。2.捕获UDP协议数据包清空过滤框中的内容，然后在过滤框中输入"udp"，点击"应用"按钮。使用命令行工具ping一个UDP服务，例如"pings1472p00"（假设目标UDP服务器地址为00，这里的参数仅为示例，实际应根据目标服务器设置）。在执行命令过程中，Wireshark捕获UDP数据包。命令执行完毕后，停止数据包捕获。3.捕获HTTP协议数据包再次清空过滤框，输入"http"，点击"应用"按钮。重复上述访问百度网站的操作，Wireshark会捕获HTTP协议数据包。访问结束后，停止捕获。4.捕获FTP协议数据包清空过滤框，输入"ftp"，点击"应用"按钮。使用FTP客户端软件（如FileZilla）连接到一个FTP服务器。在连接和传输文件过程中，Wireshark捕获FTP数据包。操作完成后，停止捕获。

（三）数据包分析1.TCP数据包分析打开捕获的包含TCP数据包的文件。首先观察TCP头部信息，了解源端口、目的端口、序列号、确认号、标志位等字段的含义。分析TCP连接的建立过程（三次握手）。找到SYN包、SYN+ACK包和ACK包，理解它们在连接建立中的作用。查看TCP数据传输过程中的数据包，分析窗口大小的变化以及数据的分段传输情况。观察TCP连接的关闭过程（四次挥手），找到FIN包、ACK包等，理解其交互逻辑。2.UDP数据包分析打开UDP数据包捕获文件。查看UDP头部，了解源端口、目的端口、长度等字段。分析UDP数据包在传输数据时的特点，例如数据的无连接传输方式，以及与TCP相比在可靠性方面的差异。3.HTTP数据包分析打开HTTP数据包捕获文件。首先查看HTTP请求包，分析请求方法（如GET、POST等）、请求头和请求体的内容。接着查看HTTP响应包，分析响应状态码（如200表示成功，404表示未找到等）、响应头和响应体的内容。分析HTTP协议在传输网页数据时的过程，例如如何通过多个数据包传输完整的网页内容。4.FTP数据包分析打开FTP数据包捕获文件。观察FTP控制连接和数据连接的建立与拆除过程。分析FTP命令和响应的交互，例如登录命令（USER、PASS等）以及服务器的响应。查看FTP数据传输过程中的数据包，了解数据是如何在数据连接上传输的。

（四）网络故障排查示例1.模拟网络连接问题禁用本地网络连接，然后在Wireshark中尝试捕获数据包。观察捕获结果，发现没有任何数据包被捕获，这表明网络连接中断时Wireshark无法捕获到数据。重新启用网络连接，再次捕获数据包，恢复正常捕获。2.分析协议异常在捕获数据包过程中，手动修改数据包的某些字段（如TCP头部的序列号），然后观察Wireshark的分析结果。发现Wireshark能够检测到数据包的异常，并在数据包列表中标记为红色。分析这种异常数据包对网络通信的影响，例如可能导致连接中断或数据传输错误。通过研究Wireshark的分析信息，尝试找出恢复正常通信的方法，如重新建立连接或纠正数据包错误。

四、实验结果与分析

（一）TCP协议分析结果1.TCP连接建立（三次握手）源主机向目的主机发送SYN包，请求建立连接。此时SYN标志位置为1，序列号为随机值x。目的主机收到SYN包后，返回SYN+ACK包。其中SYN标志位仍为1，确认号为x+1，同时自己生成一个序列号y。源主机收到SYN+ACK包后，发送ACK包，确认号为y+1。至此，TCP连接建立成功。2.TCP数据传输在数据传输过程中，窗口大小根据网络状况动态调整。例如，当网络带宽充足时，窗口大小增大，允许一次性传输更多数据；当网络出现拥塞时，窗口大小减小，以避免数据丢失。数据以分段的形式传输，每个数据包包含一定长度的数据。通过序列号和确认号确保数据的有序传输和可靠交付。3.TCP连接关闭（四次挥手）源主机发送FIN包，表示请求关闭连接。FIN标志位置为1，序列号为z。目的主机收到FIN包后，返回ACK包，确认号为z+1。目的主机发送FIN包，请求关闭连接。此时FIN标志位为1，序列号为w。源主机收到FIN包后，返回ACK包，确认号为w+1。至此，TCP连接关闭。

（二）UDP协议分析结果1.UDP头部简单，只包含源端口、目的端口、长度和校验和字段。2.UDP是无连接的传输协议，数据传输不保证可靠性、有序性和流量控制。例如，在捕获的UDP数据包中，可能会出现数据包丢失或乱序到达的情况，但UDP本身不会进行重传或纠错处理。3.UDP常用于对传输效率要求较高、对可靠性要求相对较低的应用场景，如DNS查询、视频流传输等。

（三）HTTP协议分析结果1.HTTP请求包GET请求方法用于获取资源，请求头中包含了客户端的信息，如浏览器类型、版本等。请求体在GET请求中一般为空。POST请求方法用于向服务器提交数据，请求体中包含提交的数据。请求头与GET请求类似，但可能会有一些与数据提交相关的特殊字段。2.HTTP响应包响应状态码表示请求的结果。200状态码表示请求成功，服务器返回了请求的资源。响应头中包含了服务器的信息、资源的类型、长度等。响应体中则是实际返回的网页内容或数据。3.HTTP协议通过多个数据包传输网页内容，例如图片、CSS、JavaScript文件等会分别通过不同的数据包进行传输。每个数据包的大小根据实际数据量和网络MTU（最大传输单元）进行调整。

（四）FTP协议分析结果1.FTP控制连接客户端通过USER命令向服务器发送用户名，服务器返回331状态码，表示需要密码。客户端发送PASS命令提交密码，服务器返回230状态码，表示登录成功。后续的LIST、RETR、STOR等命令用于文件操作，服务器根据命令返回相应的状态码和信息。2.FTP数据连接当客户端执行文件传输命令（如RETR下载文件或STOR上传文件）时，会建立数据连接。数据连接用于实际的数据传输。在数据传输过程中，数据包按照一定的格式在数据连接上传输，确保文件的完整传输。

（五）网络故障排查结果1.网络连接中断时，Wireshark无法捕获到数据包，这与网络连接的工作原理相符。网络连接中断会导致数据包无法在网络中传输，因此Wireshark监测不到。2.手动修改数据包字段导致的协议异常，Wireshark能够准确检测并标记。通过分析Wireshark的提示信息，可以进一步了解异常的原因，如序列号不匹配可能导致数据接收方无法正确重组数据，从而采取相应的措施解决问题，如重新同步序列号或重新建立连接。

五、实验总结通过本次使用Wireshark进行协议分析的实验，深入了解了TCP、UDP、HTTP、FTP等常见网络协议的工作原理和交互过程。1.Wireshark是一个强大的网络协议分析工具，通过它可以直观地观察网络数据包的详细信息，包括协议头部、数据内容等，有助于深入理解协议的运行机制。2.在实验过程中，掌握了不同协议的特点和应用场景。TCP提供可靠的面向连接的数据传输，适用于对数据准确性要求较高的应用；UDP则以高效、无连接的方式传输数据，适用于对实时性要求较高但对可靠性要求相对较低的场景；HTTP用于传输网页等超文本数据；FTP用于文件的上传和下载。3.学会了利用Wireshark进行网络故障排查。通过分析数据包的异常情况，可以快速定位网络连接问题或协议错误，并提出解决方案。这对于保障网络的正常运行具有重要意义。4.然而，在实验中也遇到了一些问题。例如，对于一些复杂协议的