计算机网络实验利用wireshark进行协议分析

实验?4:利用?Wireshark?进行协议分析

1、实验目的

熟悉并掌握?Wireshark?的基本操作,了解网络协议实体间进行交互以及报文交换的情况。 2、实验环境

?Windows?9x/NT/2000/XP/2003 ?与因特网连接的计算机网络系统 ?分组分析器Wireshark:

要深入理解网络协议,需要仔细观察协议实体之间交换的报文序列。为探究协议操作细节,可使协议实体执行某些动作,观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器(packet sniffer)。顾名思义,一个分组嗅探器俘获(嗅探)计算机发送和接收的报文。一般情况下,分组嗅探器将存储和显示出被俘获报文的各协议头部字

段的内容。图 4-1 为一个分组嗅探器的结构。

图 4-1 右边是计算机上正常运行的协议(在这里是因特网协议)和应用程序(如:web 浏览器和 ftp 客户端)。分组嗅探器(虚线框中的部分)是附加计算机普通软件上的,主要有两部分组成。分组俘获库(packetcapture library)接收计算机发送和接收的每一个链路层帧的拷贝。高层协议(如:HTTP、FTP、TCP、UDP、DNS、IP 等)交换的报文都被封装在链路层帧中,并沿着物理媒体(如以太网的电缆)传输。图 1 假设所使用的物理媒体是以太网,上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。为此,分析器必须能够理解协议所交换的所有报文的结构。例如:我们要显示图 4-1 中 HTTP 协议所交换的报文的各个字段。分组分析器理解以太网帧格式,能够识别包含在帧中的 IP 数据报。分组分析器也要理解 IP 数据报的格式,并能从 IP 数据报中提取出 TCP 报文段。然后,它需要理解 TCP 报文段,并能够从中提取出 HTTP 消息。最后,它需要理解 HTTP 消息。

图?4-1?分组嗅探器的结构

Wireshark?是一种可以运行在?Windows,?UNIX,?Linux?等操作系统上的?分?

组?分?析?器?。?运行?Wireshark?程序时,其图形用户界面如图?4-2?所示。 最初,各窗口中并无数据显示。在用户选择接口,点击开始抓包按钮之后,Wireshark?的用户界面会变成如图?4-3所示。

此时?Wireshark?的用户界面主要有?5?部分组成,如图?4-3?所示。 ??命令菜单(command?menus):命令菜单位于窗口的最顶部,是标准的下拉式菜单。最常用菜单命令有两个:File、Capture。File?菜单允许你保存俘获的分组数据或打开一个已被保存的俘获分组数据文件或退出?Wireshark?程序。Capture?菜单允许你开始俘获分组。

??俘获分组列表(listing?of?captured?packets):按行显示已被俘获的分组内容,其中包括:Wireshark?赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名,可以使分组按指定列进行排序。在该列表中,所显示的协议类型是发送或接收分组的最高层协议的类型。

图?4-2?Wireshark?初始用户界面

图?4-3?Wireshark?的用户界面

??分组头部明细(details?of?selected?packet?header):显示俘获分组列表窗口中被选中分组的头部详细信息。包括:与以太网帧有关的信息,与包含在该分组中的?IP?数据报有关的信息。单击以太网帧或?IP?数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。另外,如果利用?TCP?或?UDP?承载分组,Wireshark?也会显示?TCP?或?UDP?协议头部信息。最后,分组最高层协议的头部字段也会显示在此窗口中。

??分组内容窗口(packet?content):以?ASCII?码和十六进制两种格式显示被俘获帧的完整内容。

??显示筛选规则(display?filter?specification):在该字段中,可以填写协议的名称或其他信息,根据此内容可以对分组列表窗口中的分组进行过滤。 3、实验过程

1)?学习?Wireshark?的使用

??启动主机上的?web?浏览器。

??启动?Wireshark。你会看到如图?4-2?所示的窗口,只是窗口中没有任何分组列表。

??开始分组俘获:选择“capture”下拉菜单中的“Capture?Options”命令,会出现如图?4-3?所示的“Wireshark:?Capture?Options”窗口,可以设置分组俘获的选项。

??在实验中,可以使用窗口中显示的默认值。在“Wireshark:?CaptureOp

tions”窗口(如图?4-4?所示)的最上面有一个“Interface?List”下拉菜单,其中显示计算机所具有的网络接口(即网卡)。当计算机具有多个活动网卡时,需要选择其中一个用来发送或接收分组的网络接口(如某个有

图?4-4?Wireshark?的?Capture?Option

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4