利用wireshark抓包与报文分析
实验日期:2018/4/8 实验地点:6506
班级:信处152 学号2015021118 姓名:张南卿
实验目的:
在通信软件编程、网络设备研发和网络故障检查等领域,抓包软件十分有用。本实验的目的是通过学会wireshark的初步使用方法,掌握以太、IP、UDP、TCP、HTTP等协议,了解通信软件设计和网管的辅助工具。
实验内容
(1)下载和安装抓包软件wireshark。 (2)在桌面启动wireshark,开始执行它。
(3)执行抓包开始和抓包结束;执行过滤设置。 (4)分析抓到的数据包。
(5)从一个抓到的数据包中计算TCP报文的数据段长度。 实验步骤
(1)从网上收集相关命令和软件的说明书、了解其功能及作用。 (2)从网上收集相关命令和软件的使用方法。 (3)下载相关软件、并安装到PC机。 (4)将计算机联网。 (5)点击方框1中的图标选择需要抓包的网卡,出现下图,然后选择抓包的网卡,点击Start开始抓包。
(6)随意选取一个数据包,并对其进行分析。
报文内容分析:
(1).wireshark的运行、过滤器设置、启动、停止过程 1.选择需要抓包的网卡; 2.抓包过滤设置; 3.重新开始新一轮的抓包; 4.停止当前的抓包; 5.重新开始当前的抓包;
(2)IP包分析
从source port开始往下依次代表源端口,目标端口,序号,确认号,数据偏移,窗口,检验。
物理层的数据帧概况:
37号帧,线路66个字节,实际捕获60字节
数据链路层以太网帧头部信息:(be:fc:01:21:04:64)
互联网层IP包头部信息:src:183.232.27.214(183.232.27.214) 首长度:20bytes 总长:52 源地址183.232.27.214 目的地址:172.20.10.4
Flags: 0x12 (ACK) :TCP标记字段,ACK=1;
源MAC地址:98 e0 d9 81 d7 01 目的MAC地址: be fc 01 21 04 64
(3)三次握手过程:
1.第一次握手:
2.第二次握手:
(服务器发回确认包,标志位为SYN,ACK,将确认序号设置为客户的ISN+1。)
3.第三次握手:
(客户端再次发送确认包,SYN标志位为0,ACK标志位为1,并把服务器发来的ACK的序号字段+1,放在确定字段中发给对方,并把数据段ISN的+1。)
实验过程与体会:
通过这次实验学会了wireshark的过滤,开始,停止采集等基本操作,同时学习了如何分析一个报文。
由TCP三次握手可以了解到
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SENT状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED(TCP连接成功)状态,完成三次握手。 所以为了提供可靠的传送,TCP在发送新的数据之前,以特定的顺序将数据包的序号,并需要这些包传送给目标机之后的确认消息。TCP总是用来发送大批量的数据,当应用程序在收到数据后要做出确认时也要用到TCP。