wireshark抓包实验报告 下载本文

本 科 实 验 报 告

实验名称:

学 员:学 号: 专业:所属学院:

利用EtherPeek工具进行的网络抓包实验

国防科学技术大学训练部制

【实验名称】

利用Wireshark工具进行的抓包实验

【实验目的】

通过Wireshark软件捕获并观察ARP协议、ICMP协议、FTP协

议、HTTP协议以及TCP协议的工作原理,包括协议序列和报文内容

【实验内容】

实验环境描述:

网络环境:因特网 操作系统:Windows 7 软件: Wiresharkv1.12.4

实验步骤:

1. Ping命令(ARP, ICMP分析) 2. 在实验主机使用FTP应用(FTP分析) 3. 在实验主机使用web应用(HTTP分析)

【实验过程】

1. ping命令(ICMP、ARP分析)

实验主机的IP地址为:192.168.0.189 实验主机的MAC地址为:9c:4e:36:cf:db:e4 在实验主机的命令框内输入命令:ping121.14.1.189

Wireshark抓获的数据包如下:

观察可得,抓获的报文里协议类型有ICMP与ARP。(前12条是输入ping命令后抓取的) (1)ICMP分析:

首先明确一下ICMP的相关知识:

ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是

TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。

各种ICMP报文的前32bits都是三个长度固定的字段:type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位) 8bits类型和8bits代码字段:一起决定了ICMP报文的类型。

常见的有:

类型0、代码0:回应应答。 类型3、代码0:网络不可达 类型3、代码1:主机不可达

类型5、代码1:为主机重定向数据包 类型8、代码0:回应

类型11、代码0:传输中超出TTL(常说的超时)

16bits校验和字段:包括数据在内的整个ICMP数据包的校验和,其计算方法和IP头部校验和的计算方法是一样的。

类型代码 类型描述