实验一(WireShark)

实验一、Packet Tracer中TCP/IP 协议与OSI模型

Wireshark工具的使用

实验目的：复习Packet Tracer的用法；查看并叙述TCP/IP协议族及OSI模型构成；掌握Wireshark 工具的使用

一、Packet Tracer中TCP/IP 协议与OSI模型

操作要求见附录文档“e1-2482”。操作完成后，在EventList列中，找出一个从WebClient 到WebServer的TCP协议报文，下图为单击“Info”信息后的参考图

回答下列问题：

1、OSI模型中In Layers 与Out Layers各包含那些信息？

2、为什么OSI模型中Layer5—Layer7没有任何信息

3、Layer2中的头有哪些信息？

4、Layer3中的头有哪些信息？

5、Layer4中的头有哪些信息？

6、Web Client 与Web server的IP地址分别为多少？

7、在In Layers中源端口号、目的端口号分别为多少？分别代表客户机还是服务器？

8、在Out Layers中源端口号、目的端口号分别为多少？分别代表客户机还是服务器？

9、分别查看“Inbound PDU details”与“Outbound PDU details”。比较两者的共同点与

不同点。

二、Wireshark工具的使用

参考以下文档。

如果我们通过以下方式对网络协议进行探索，那就会对协议的理解更加深入。通过观察协议的工作及实际使用它们，即观察两个通信协议实体之间交换的报文系列，研究运行的细节，使协议执行某些动作，观察这些动作的机器后果。所有这些都能够在仿真环境下或在因特网等真实环境下完成。本课程有关实验采用后一种方式进行，我们使用个人计算机运行各种网络应用程序，在计算机上观察网络协议及在因特网中执行的协议进行报文交换过程。

观察在通信实体之间的报文交换过程的基本工具称为分组嗅探器（packet sniffer），分组嗅探器捕捉（嗅探）由你使用的计算机发出和或接收的信息。它也能够显示这些捕捉到的报文各个协议字段的内容。通过它能观察到运行在你的计算机上应用程序或协议所发出及接收到的信息，但本身并不发送分组包，类似的，接收的分组包也不是嗅探器上。分组嗅探器接收运行在计算机上的程序或协议所发出和接收信息的一个拷贝。

图1是分组嗅探器的结构。

图1：分组嗅探器结构

在图1中：因特网协议栈与应用（如浏览器火ftp客户端）以运行在计算机上，分组嗅探器在图1中的虚线矩形内，属于计算机上额外的应用软件，它由两部分组成：分组捕捉库接收由你的计算机发出和接收到的每个链路层数据帧的一个拷贝。回到教材中的1.5节（见下图2），在高层协议上交换的信息如HTTP, FTP, TCP, UDP, DNS, IP等都封装到链路曾协议中，然后通过物理媒介如电缆灯进行传输。图1中，假设物理媒介为以太网，因此，所有高层的

协议都封装在以太网帧中，通过捕捉所有链路层的数据帧就能够得到计算机上执行的应用程序所发出和接收到的信息。

分组嗅探器的第二部分是分组分析器，它显示一个协议信息域的内容，要想达到这个目的，分组分析器必须“理解”所有协议交换的结构。例如，我们对HTTP协议信息交换域的内容感兴趣，分组分析器理解以太帧格式，因此，能分辨出IP数据报，也能理解IP数据报格式，从而在IP数据报中提炼出TCP报文段。最后，分析器读出TCP报文段结构，以此提炼出包含在TCP报文段中的HTTP信息。从而就能分辨出HTTP协议等内容，如知道HTTP信息的第一个字节包含字符串“GET”、“POST” 或“HEAD”。

我们将使用Wireshark 分组嗅探器[https://www.360docs.net/doc/717626583.html,/]，它能给我们显示出协议栈中不同层收那个的协议发出和接收的信息内容（丛技术角度看，Wireshark是一个在计算机上捕捉分组的分组分析器）。Wireshark 是一个免费使用的协议分析器，可以运行在Windows, Linux/Unix, and Mac 等系统下。.之所以认为是一个理想的分析器，，是因为它稳定、有广泛的使用基础和很好的文档(https://www.360docs.net/doc/717626583.html,/docs/wsug_html_chunked/)支持。

图2：因特网的层次结构

1、开始Wireshark

为了运行Wireshark,你需要在计算机上安装同时支持Wireshark与libpcap或者WinPCap 分组捕捉库。当你安装Wireshark时，Libpcap软件将自动给你安装好。参考以下网址https://www.360docs.net/doc/717626583.html,/download.html。

下载和安装Wireshark软件按以下步骤进行：:

1）进入https://www.360docs.net/doc/717626583.html,/download.html下载和安装Wireshark

2）下载Wireshark用户指导书

Wireshark FAQ有许多帮助提示，如果在安装和运行时出现问题，可以寻求帮助。

2、运行Wireshark

运行Wireshark程序后，其图形化界面如下图所示。初始化状态下，各个窗口没有数据。

图3：Wireshark 界面

Wireshark 界面有5个部分:

命令菜单（command menus）：位于窗口的顶部，为标准的弹出式菜单，File 与Capture 菜单项是我们常用的。通过文件（File）项，我们能存储捕捉到的数据或者打开以前捕捉到的数据文件，此外还有程序退出功能。通过捕捉（Capture）项，开始捕捉分组。

分组列表窗口（packet-listing window）：将捕捉到的每个分组显示为一行，包含分组编号（由Wireshark指定的，不是协议中的开头部分的编号）、捕捉分组的时间、分组的原始和目的地址，协议类型及分组中的协议规范信息。分组列表可以通过按列排序存储。协议

类型域列出了本分组发或接受的最高层协议。

分组详细信息（packet-header details window）：显示所选择（高亮度）的分组的详细信息（为了宣组一个分组，移动光标到分组的那一行，单击鼠标左键），这些信息包括：以太数据帧、包含此分组的IP数据报文。以太网和IP层等信息显示的数量可以缩放或最小化，这只要通过单击窗口内每个以太网数据帧或IP数据报框的“+”和“—”就可以。如果此分组通过TCP或UDP传输，TCP与UDP的详细信息就显示出来，也可以简单的缩放和最小化。最后，窗口还能提供发送和接收的最高层的协议详细信息。

分组主题窗口（packet-contents window）显示捕捉到的每一帧的整个主要内容，可以用ASCII及16进制方式显示。

分组显示过滤区域（packet display filter field）：在这一区域中，你可以输入协议名称或其他信息，来过滤分组列表窗口中（及分组头、分组主体窗口）的信息。在下例中，除HTTP协议外，其他分组信息都隐藏起来。

3、Wireshark的测试运行

学习任何软件使用的最好方法是实际运行起来，现在假设你的计算机已经通过以太网技术连接到因特网上。按下列步骤进行：

1）启动你喜欢的浏览器，将显示所选择的主页

2）启动Wireshark软件，一开始，除了在5个部分没有任何数据外，你将看到一个类似图3那样的窗口。

3）为了启动分组捕捉，选择“Capture”下拉菜单，并选择“Options”，系统将弹出“Wireshark:Capture Options”窗口，显示如下。

图4：Wireshark Capture Options窗口

4）你可以使用这个窗口中的大多数默认参数，但记住，不能选中“Hide capture info dialog”项，你的计算机网络接口为（物理连接等）信息已下拉式显示在窗口的顶端，在计算机具有多个接口（计算机有无线、有线两种连接）的情况下，你需要选择所用来发送和接收的接口（很可能是采用有线的）。选择好网络接口（或者通过系统选定默认接口）后，单击“Start Packer capture”，就开始进行分组捕捉门所有通过计算机发送和接收到的分组都将通过Wireshark捕捉到。

5）一旦你开始捕捉，分组捕捉总信息窗口就显示出来，如下图所示。这个窗口列出了捕捉到的各类分组数量，并且包含停止（stop）按钮。在捕捉过程中，千万不能按下停止（stop）按钮。

图5：Wireshark Packet Capture 窗口

1）在Wireshark运行时，输入URL:

https://www.360docs.net/doc/717626583.html,/wireshark-labs/INTRO-wireshark-file1.html

浏览器显示相应的网页，为了显示本网页，浏览器将接触https://www.360docs.net/doc/717626583.html, 的HTTP服务器，并与该服务器交换HTTP信息，据此，下载本网页，包含TTTP信息的以太网数据帧就能够被Wireshark捕捉到。

2）一旦浏览器显示了INTRO-wireshark-file1.html页面后，停止Wireshark分组捕捉功能，这只要在Wireshark捕捉窗口中选择停止就可以了，此时，Wireshark分组捕捉敞口消失，而Wireshark 的主窗口类似图3那样。系统拥有包含你计算机和其他网络实体交换信息的分组数据。计算机与https://www.360docs.net/doc/717626583.html, web服务器交换的HTTP信息出现在分组捕捉窗口上，除次之外，还有其他类型的信息也出现在窗口上，尽管，你只是下载一个Web页面，但在你运行的计算机上还有大量你看不到的其他类型协议。

3）在Wireshark主窗口的顶部显示过滤器的小窗口处输入http（小写，Wireshark 中的协议名都为小写），然后选择”Apply” ,这样只有HTTP消息显示出来。

4）在分组列表场口中选择第一个消息，这应该是HTTP GET消息，它是从你的计算机发送到https://www.360docs.net/doc/717626583.html, HTTP 服务器的。当你选择HTTP GET消息时，以太网数据帧，IP数据报、TCP段以及HTTP消息头部信息将显示在分组表头窗口中，通过单击详细信息左边的“+”、“—”，可最小与最大化化数据帧、以太网协议、因特网及传输控制信息，界面显示如图6所示。

5）退出Wireshark系统。

图6 第9步运行后，Wireshark的图例

本实验的目的是安装和初步熟悉Wireshark，经过以上步骤的操作运行，回答以下问题。1）在第7步，列出出现在分组窗口中的未经过滤的的10种不同的协议

2）HTTP GET消息发出到收到HTTP OK消息的时间是多少？（系统默认情况下，分组列表中出现的时间丛Wireshark开始跟踪计算，单位为秒）。为了按显示日-时间格式显示，在Wireshark的View中选择“Time Display Format”，然后选择“Time-of-day”。

3）https://www.360docs.net/doc/717626583.html,的Internet地址是多少？，你的计算机Internet地址呢？

4）复制出第9步的图形到电子文档（以Word格式）

Wireshark抓包实验报告.

第一次实验：利用Wireshark软件进行数据包抓取 1.3.2 抓取一次完整的网络通信过程的数据包实验 一，实验目的： 通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。 二，实验环境： 操作系统为Windows 7,抓包工具为Wireshark. 三，实验原理： ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。 四，验步骤： 1.确定目标地址：选择https://www.360docs.net/doc/717626583.html,作为目标地址。 2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1

图 1-1 3.启动抓包：点击【start】开始抓包，在命令提示符下键入ping https://www.360docs.net/doc/717626583.html,, 如图 1-2

图 1-2 停止抓包后，截取的数据如图 1-3 图 1-3 4，分析数据包：选取一个数据包进行分析，如图1- 4

图1-4 每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。DLC协议的目的和源地址是MAC地址，IP协议的目的和源地址是IP地址，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下： （1）诊断报文（类型：8，代码0；类型：0代码：0）； (2）目的不可达报文（类型：3，代码0-15）； （3）重定向报文（类型：5，代码：0--4）； （4）超时报文（类型：11，代码：0--1）； （5）信息报文（类型：12--18）。

实验一-Wireshark的安装与使用

一、实验目的 1、熟悉并掌握Wireshark的基本使用； 2、了解网络协议实体间进行交互以及报文交换的情况。 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、预备知识 要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。 观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer），又称分组捕获器。顾名思义，分组嗅探器捕获（嗅探）你的计算机发送和接收的报文。 图显示了一个分组嗅探器的结构。 图分组嗅探器的结构 图右边是计算机上正常运行的协议和应用程序（如：Web浏览器和FTP客户端）。分组嗅探器（虚线框中的部分）主要有两部分组成：第一是分组捕获器，其功能是捕获计算机发送和接收的每一个链路层帧的拷贝；第二个组成部分是分组分析器，其作用是分析并显示协议报文所有字段的内容（它能识别目前使用的各种网络协议）。 Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组

嗅探器，是一个开源免费软件，可以从下载。 运行Wireshark 程序时，其图形用户界面如图所示。最初，各窗口中并无数据显示。Wireshark 的界面主要有五个组成部分： 命令和菜单 协议筛选框 捕获分组 列表 选定分组 首部明细 分组内容 左：十六进制 右：ASCII码 图 Wireshark 主界面 命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。 协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。 捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名，可以使分组列表按指定列排序。其中，协议类型是发送或接收分组的最高层协议的类型。 分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息，需要查看哪层信息，双击对应层次或单击该层最前面的“＋”即可。 分组内容窗口（packet content）：分别以十六进制（左）和ASCII码（右）两种格式显示被捕获帧的完整内容。

wireshark抓包分析实验报告

Wireshark抓包分析实验 若惜年 一、实验目的： 1.学习安装使用wireshark软件，能在电脑上抓包。 2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。 二、实验内容： 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文： IP报文分析： 从图中可以看出： IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符：0xd74b 标志：0x02 比特偏移：0 寿命：48 上层协议：TCP 首部校验和：0x5c12 源IP地址为：119.75.222.18 目的IP为：192.168.1.108

从图中可以看出： 源端口号：1891 目的端口号：8000 udp报文长度为：28 检验和：0x58d7 数据长度：20 bytes UDP协议是一种无需建立连接的协议，它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报文段交给网络层。

第一次握手： 从图中看出： 源端口号：56770 目的端口号：80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手： 从图中看出： 源端口号是：80 目的端口号为：56770 序列号为：0 ack为：1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手： 从图中看出： 源端口：56770 目的端口：80 序列号为：1 ACK为：1 首部长为：20bytes Acknowledgement为1表示包含确认的报文 所以，看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议，在一个应用进程可以开始向另一个应用进程发送数据前，这两个进程必须先握手，即它们必须相互发送预备文段，建立确保传输的参数。

计算机网络实验Wireshark

计算机网络实验指导书

目录 实验一Wireshark的安装与使用 (3) 实验二使用Wireshark分析以太网帧与ARP协议 (7) 实验三使用Wireshark分析IP协议 (11) 实验四利用Wireshark分析ICMP (19) 实验五使用Wireshark分析UDP协议 (25) 实验六使用Wireshark分析TCP协议 (29) 实验七利用Wireshark分析协议HTTP (35) 实验八利用Wireshark分析DNS协议 (40) 实验九使用Wireshark分析FTP协议(选作) (44) 实验十使用Wireshark分析SMTP与POP3协议(选作) (48)

实验一Wireshark的安装与使用 一、实验目的 1、熟悉并掌握Wireshark的基本使用; 2、了解网络协议实体间进行交互以及报文交换的情况。 二、实验环境 与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。 三、预备知识 要深入理解网络协议,需要观察它们的工作过程并使用它们,即观察两个协议实体之间交换的报文序列,探究协议操作的细节,使协议实体执行某些动作,观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。 观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器(packet sniffer),又称分组捕获器。顾名思义,分组嗅探器捕获(嗅探)您的计算机发送与接收的报文。 图1显示了一个分组嗅探器的结构。 图1 图1右边就是计算机上正常运行的协议与应用程序(如:Web浏览器与FTP客户端)。分组嗅探器(虚线框中的部分)主要有两部分组成:第一就是分组捕获器,其功能就是捕获计算机发送与接收的每一个链路层帧的拷贝;第二个组成部分就是分组分析器,其作用就是分析并显示协议报文所有字段的内容(它能识别目前使用的各种网络协议)。 Wireshark就是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器,就是一个开源免费软件,可以从、wireshark、org下载。

实验一 wireshark抓包工具使用

实验一wireshark抓包工具使用[实验目的] 学习wireshark抓包工具的使用 了解wireshark抓包工具的功能 通过学习，进一步理解协议及网络体系结构思想 [实验原理] Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。 主要应用： 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议 [实验内容] 下载WIRESHARK，学习工具的使用和功能。

Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级） 过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark出现以后，这种现状得以改变。 Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 工作流程 （1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 （2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。 （3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。 （4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。 （5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。 （6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的 形式可以很方便的展现数据分布情况。

wireshark 实验 DHCP

Wireshark Lab: DHCP Version: 2.0 ? 2007 J.F. Kurose, K.W. Ross. All Rights Reserved Computer Networking: A Top-down Approach, 4th edition. In this lab, we’ll take a quick look at DHCP. Recall that DHCP is used extensively in corporate, university and home-network wired and wireless LANs to dynamically assign IP addresses to hosts (as well as to configure other network configuration information). This lab is brief, as we’ll only examine the DHCP packets captured by a host. If you also have administrative access to your DHCP server, you may want to repeat this lab after making some configuration changes (such as the lease time). If you have a router at home, you most likely can configure your DHCP server. Because many linux/Unix machines (especially those that serve many users) have a static IP address and because manipulating DHCP on such machines typically requires super-user privileges, we’ll only present a Windows version of this lab below. DHCP Experiment In order to observe DHCP in action, we’ll perform several DHCP-related commands and capture the DHCP messages exchanged as a result of executing these commands. Do the following1: 1.Begin by opening the Windows Command Prompt application (which can be found in your Accessories folder). As shown in Figure 1, enter “ipconfig /release”. The executable for ipconfig is in C:\windows\system32. This command releases your current IP address, so that your host’s IP address becomes 0.0.0.0. 1If you are unable to run Wireshark live on a computer, you can download the zip file https://www.360docs.net/doc/717626583.html,/wireshark-labs/wireshark-traces.zip and extract the file dhcp-ethereal-trace-1. The traces in this zip file were collected by Wireshark running on one of the author’s computers, while performing the steps indicated in the Wireshark lab. Once you have downloaded the trace, you can load it into Wireshark and view the trace using the File pull down menu, choosing Open, and then selecting the dhcp-ethereal-trace-1 trace file. You can then use this trace file to answer the questions below.

wireshark 实验 HTTP

Wireshark Lab: HTTP Version: 2.0 (Sept. 2009) ? 2009 J.F. Kurose, K.W. Ross. All Rights Reserved Computer Networking: A Top- down Approach, 5th edition . Having gotten our feet wet with the Wireshark packet sniffer in the introductory lab, we’re now ready to use Wireshark to investigate protocols in operation. In this lab, we’ll explore several aspects of the HTTP protocol: the basic GET/response interaction, HTTP message formats, retrieving large HTML files, retrieving HTML files with embedded objects, and HTTP authentication and security. Before beginning these labs, you might want to review Section 2.2 of the text. 1. The Basic HTTP GET/response interaction Let’s begin our exploration of HTTP by downloading a very simple HTML file - one that is very short, and contains no embedded objects. Do the following: 1. Start up your web browser. 2. Start up the Wireshark packet sniffer, as described in the Introductory lab (but don’t yet begin packet capture). Enter “http” (just the letters, not the quotation marks) in the display-filter-specification window, so that only captured HTTP messages will be displayed later in the packet-listing window. (We’re only interested in the HTTP protocol here, and don’t want to see the clutter of all captured packets). 3. Wait a bit more than one minute (we’ll see why shortly), and then begin Wireshark packet capture. 4. Enter the following to your browser https://www.360docs.net/doc/717626583.html,/wireshark-labs/HTTP-wireshark-file1.html Your browser should display the very simple, one-line HTML file. 5. Stop Wireshark packet capture. Your Wireshark window should look similar to the window shown in Figure 1. If you are unable to run Wireshark on a live network connection, you can download a packet trace that was created when the steps above were followed.1 1 Download the zip file https://www.360docs.net/doc/717626583.html,/wireshark-labs/wireshark-traces.zip and extract the file http-ethereal-trace-1. The traces in this zip file were collected by Wireshark running on one of the author’s

Wireshark抓包实验报告

西安郵電學院 计算机网络技术及应用实验 报告书 系部名称：管理工程学院学生姓名：xxx 专业名称：信息管理 班级：10xx 学号：xxxxxxx 时间：2012 年x 月x 日

实验题目Wireshark抓包分析实验 一、实验目的 1、了解并会初步使用Wireshark，能在所用电脑上进行抓包 2、了解IP数据包格式，能应用该软件分析数据包格式 3、查看一个抓到的包的内容，并分析对应的IP数据包格式 二、实验内容 1、安装Wireshark，简单描述安装步骤。 2、打开wireshark，选择接口选项列表。或单击“Capture”，配置“option” 选项。 3、设置完成后，点击“start”开始抓包，显示结果。 4、选择某一行抓包结果，双击查看此数据包具体结构。 5、捕捉IP数据报。 ①写出IP数据报的格式。 ②捕捉IP数据报的格式图例。 ③针对每一个域所代表的含义进行解释。 三、实验内容（续，可选） 1、捕捉特定内容 捕捉内容：http 步骤：①在wireshark软件上点开始捕捉。 ②上网浏览网页。 ③找到包含http格式的数据包，可用Filter进行设置，点击 中的下拉式按钮，选择http。 ④在该数据帧中找到Get 的内容。 实验体会

Wireshark抓包分析实验报告 一．实验目的 1.了解并初步使用Wireshark，能在所用电脑上进行抓包。 2.了解IP数据包格式，能应用该软件分析数据包格式。 3.查看一个抓到的包的内容，并分析对应的IP数据包格式。 二．主要仪器设备 协议分析软件Wireshark，联网的PC机。 三．实验原理和实验内容 1 安装WireShark。这个不用说了，中间会提示安装WinPcap,一切都是默认的了

wireshark 实验 Getting Started

Wireshark Lab: Getting Started Version: 2.0 ? 2007 J.F. Kurose, K.W. Ross. All Rights Reserved Computer Networking: A Top-down Approach, 4th edition. “Tell me and I forget. Show me and I remember. Involve me and I understand.” Chinese proverb One’s understanding of network protocols can often be greatly deepened by “seeing protocols in action” and by “playing around with protocols” – observing the sequence of messages exchanged between two protocol entities, delving down into the details of protocol operation, and causing protocols to perform certain actions and then observing these actions and their consequences. This can be done in simulated scenarios or in a “real” network environment such as the Internet. The Java applets that accompany this text take the first approach. In these Wireshark labs1, we’ll take the latter approach. You’ll be running various network applications in different scenarios using a computer on your desk, at home, or in a lab. You’ll observe the network protocols in your computer “in action,” interacting and exchanging messages with protocol entities executing elsewhere in the Internet. Thus, you and your computer will be an integral part of these “live” labs. You’ll observe, and you’ll learn, by doing. The basic tool for observing the messages exchanged between executing protocol entities is called a packet sniffer. As the name suggests, a packet sniffer captures (“sniffs”) messages being sent/received from/by your computer; it will also typically store and/or display the contents of the various protocol fields in these captured messages. A packet sniffer itself is passive. It observes messages being sent and received by applications and protocols running on your computer, but never sends packets itself. Similarly, received packets are never explicitly addressed to the packet sniffer. Instead, a packet sniffer receives a copy of packets that are sent/received from/by application and protocols executing on your machine. 1 Earlier versions of these labs used the Ethereal packet analyzer. In May 2006, the developer of Ethereal joined a new company, and had to leave the Ethereal? trademarks behind. He then created the Wireshark network protocol analyzer, a successor to Ethereal?. Since Ethereal? is no longer being actively maintained or developed, we have thus switched these labs over to Wireshark with the 4th edition of our text.

实验1_ Wireshark使用

实验一Wireshark使用 一、实验目的 1、熟悉并掌握Wireshark的基本使用； 2、了解网络协议实体间进行交互以及报文交换的情况。 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、预备知识 要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。 观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer），又称分组捕获器。顾名思义，分组嗅探器捕获（嗅探）你的计算机发送和接收的报文。 图1显示了一个分组嗅探器的结构。 图1 图1右边是计算机上正常运行的协议和应用程序（如：Web浏览器和FTP客户端）。分组嗅探器（虚线框中的部分）主要有两部分组成：第一是分组捕获器，其功能是捕获计算机发送和接收的每一个链路层帧的拷贝；第二个组成部分是分组分析器，其作用是分析并显示协议报文所有字段的内容（它能识别目前使用的各种网络协议）。 Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从https://www.360docs.net/doc/717626583.html,下载。

运行Wireshark 程序时，其图形用户界面如图2所示。最初，各窗口中并无数据显示。Wireshark 的界面主要有五个组成部分： 图2 ● 命令菜单（command menus ）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。 ● 协议筛选框（display filter specification ）：在该处填写某种协议的名称，Wireshark 据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。 ● 捕获分组列表（listing of captured packets ）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名，可以使分组列表按指定列排序。其中，协议类型是发送或接收分组的最高层协议的类型。 ● 分组首部明细（details of selected packet header ）：显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息，需要查看哪层信息，双击对应层次或单击该层最前面的“＋”即可。 ● 分组内容窗口（packet content ）：分别以十六进制（左）和ASCII 码（右）两种格式显示被捕获帧的完整内容。 四、实验步骤 命令和菜单 协议筛选框 捕获分组 列表 选定分组 首部明细 分组内容 左：十六进制 右：ASCII 码

实验一、Wireshark报文捕捉实验---

实验一Wireshark报文捕捉实验 一、实验目的 1.掌握Wireshark抓包软件的基本使用方法； 2.使用Wireshark抓取Telnet的数据报，分析IP头结构； 3.使用Wireshark抓取Telnet的数据报，分析TCP头的结构、分析TCP的“三 次握手”和“四次挥手”的过程。 二、实验环境 1.运行Windows的PC机； 2.Wireshark软件； 3.Winpcap软件。 三、实验原理 1.IP头结构； IP包头长度（Header Length）：长度4比特。这个字段的作用是为了描述IP包头的长度，因为在IP包头中有变长的可选部分。该部分占4个bit位，单位为32bit（4个字节），即本区域值= IP头部长度（单位为bit）/(8*4)，因此，一个IP包头的长度最长为“1111”，即15*4＝60个字节。IP包头最小长度为20字节。 2.TCP的“三次握手”和“四次挥手”的过程。 TCP三次握手 所谓三次握手(Three-way Handshake)，是指建立一个TCP连接时，需要客户端和服务器总共发送3个包。 三次握手的目的是连接服务器指定端口，建立TCP连接,并同步连接双方的序列号和确认号并交换TCP 窗口大小信息.在socket编程中，客户端执行connect()时。将触发三次握手。

?第一次握手: 客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口，以及初始序号X,保存在包头的序列号(Sequence Number)字段里。 ?第二次握手: 服务器发回确认包(ACK)应答。即SYN标志位和ACK标志位均为1同时，将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即X+1。 ?第三次握手. 客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1 TCP 四次挥手

实验六_利用Wireshark分析协议HTTP

实验六利用Wireshark分析协议HTTP 一、实验目的 分析HTTP协议 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 1、利用Wireshark俘获HTTP分组 （1）在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。之后，还要在客户端清空DNS高速缓存，来确保Web服务器域名到IP地址的映射是从网络中请求。在WindowsXP机器上，可在命令提示行输入ipconfig/flushdns(清除DNS解析程序缓存)完成操作。 （2）启动Wireshark 分组俘获器。 （3）在Web 浏览器中输入：https://www.360docs.net/doc/717626583.html, （4）停止分组俘获。 图1.1 利用Wireshark俘获的HTTP分组 在URL https://www.360docs.net/doc/717626583.html,中，https://www.360docs.net/doc/717626583.html,是一个具体的web 服务器的域名。最前面有两个DNS分组。第一个分组是将域名https://www.360docs.net/doc/717626583.html,

转换成为对应的IP 地址的请求，第二个分组包含了转换的结果。这个转换是必要的，因为网络层协议——IP协议，是通过点分十进制来表示因特网主机的，而不是通过https://www.360docs.net/doc/717626583.html,这样的域名。当输入URL http：//https://www.360docs.net/doc/717626583.html, 时，将要求Web服务器从主机https://www.360docs.net/doc/717626583.html,上请求数据，但首先Web浏览器必须确定这个主机的IP地址。 随着转换的完成，Web浏览器与Web服务器建立一个TCP连接。最后，Web 浏览器使用已建立好的TCP连接来发送请求“GET/HTTP/1.1”。这个分组描述了要求的行为（“GET”）及文件（只写“/”是因为我们没有指定额外的文件名），还有所用到的协议的版本（“HTTP/1.1”）。 2、HTTP GET/response交互 （1）在协议框中，选择“GET/HTTP/1.1” 所在的分组会看到这个基本请求行后跟随着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行，以此将该首部与下一个首部隔开。 “Host”首部在HTTP1.1版本中是必须的，它描述了URL中机器的域名，本例中是https://www.360docs.net/doc/717626583.html,。这就允许了一个Web服务器在同一时间支持许多不同的域名。有了这个数不，Web服务器就可以区别客户试图连接哪一个Web服务器，并对每个客户响应不同的内容，这就是HTTP1.0到1.1版本的主要变化。 User-Agent首部描述了提出请求的Web浏览器及客户机器。 接下来是一系列的Accpet首部，包括Accept（接受）、Accept-Language （接受语言）、Accept-Encoding（接受编码）、Accept-Charset（接受字符集）。它们告诉Web服务器客户Web浏览器准备处理的数据类型。Web服务器可以将数据转变为不同的语言和格式。这些首部表明了客户的能力和偏好。 Keep-Alive及Connection首部描述了有关TCP连接的信息，通过此连接发送HTTP请求和响应。它表明在发送请求之后连接是否保持活动状态及保持多久。大多数HTTP1.1连接是持久的（persistent）,意思是在每次请求后不关闭TCP 连接，而是保持该连接以接受从同一台服务器发来的多个请求。 （2）我们已经察看了由Web浏览器发送的请求，现在我们来观察Web服务器的回答。响应首先发送“HTTP/1.1 200 ok”，指明它开始使用HTTP1.1版本来发送网页。同样，在响应分组中，它后面也跟随着一些首部。最后，被请求的实际数据被发送。

实验使用Wireshark分析UDP

实验六使用W i r e s h a r k分析U D P 一、实验目的 比较TCP和UDP协议的不同 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 1、打开两次TCP流的有关跟踪记录，保存在tcp_2transmit.cap中，并打开两次UDP 流中的有关跟踪文件udp_2transmit.cap 。如图所示： 图1：TCP 流跟踪记录 图2：UDP流跟踪记录 2、分析此数据包： （1）TCP传输的正常数据： tcp_2transmit.cap文件的分组1到13中显示了TCP连接。这个流中的大部分信息与前面的实验相同。我们在分组1到分组3中看到了打开连接的三次握手。分组10到分组13显示的则是连接的终止。我们看到分组10既是一个带有FIN标志的请求终止连接的分组，又是一个最后1080个字节的（序号是3921—5000）的重传。 TCP将应用程序写入合并到一个字节流中。它并不会尝试维持原有应用程序写人的边界值。我们注意到TCP并不会在单个分组中传送1000字节的应用程序写入。前1000个字节会在分组4种被发送，而分组5则包含了1460个字节的数据-----一些来自第二个缓冲区，而另一些来自第三个缓冲区。分组7中含有1460个字节而分组8中则包含剩余的1080个字节。（5000-1000-1460-1460=1080） 我们注意到实际报告上的2.48秒是从初始化连接的分组1开始到关闭连接的分组10结束。分组11—13未必要计入接收端应用程序的时间内，因为一旦接收到第一个FIN，TCP 层便马上发送一个关闭连接的信号。分组11—13只可能由每台计算机操作系统得TCP层后台传输。 如果我们注意到第一个包含数据的分组4和最后一个分组8之间的时间，我们就大约计算出和由UDP接收端所报告的0.01秒相同的时间。这样的话，增加TCP传输时间的主

wireshark 实验 TCP

Wireshark Lab: TCP Version: 2.0 ? 2007 J.F. Kurose, K.W. Ross. All Rights Reserved Computer Networking: A Top-down Approach, 4th edition. In this lab, we’ll investigate the behavior of TCP in detail. We’ll do so by analyzing a trace of the TCP segments sent and received in transferring a 150KB file (containing the text of Lewis Carrol’s Alice’s Adventures in Wonderland) from your computer to a remote server. We’ll study TCP’s use of sequence and acknowledgement numbers for providing reliable data transfer; we’ll see TCP’s congestion control algorithm – slow start and congestion avoidance – in action; and we’ll look at TCP’s receiver-advertised flow control mechanism. We’ll also briefly consider TCP connection setup and we’ll investigate the performance (throughput and round-trip time) of the TCP connection between your computer and the server. Before beginning this lab, you’ll probably want to review sections 3.5 and 3.7 in the text.1 1. Capturing a bulk TCP transfer from your computer to a remote server Before beginning our exploration of TCP, we’ll need to use Wireshark to obtain a packet trace of the TCP transfer of a file from your computer to a remote server. You’ll do so by accessing a Web page that will allow you to enter the name of a file stored on your computer (which contains the ASCII text of Alice in Wonderland), and then transfer the file to a Web server using the HTTP POST method (see section 2.2.3 in the text). We’re using the POST method rather than the GET method as we’d like to transfer a large amount of data from your computer to another computer. Of course, we’ll be running Wireshark during this time to obtain the trace of the TCP segments sent and received from your computer. 1 All references to the text in this lab are to Computer Networking: A Top-down Approach, 4th edition.