收藏
下载资源 加入VIP免费专享

wireshark抓包实验机协议分析.docx

上传人:牧羊曲112 文档编号:4926388 上传时间:2023-05-23 格式:DOCX 页数:24 大小:445.27KB
返回 下载 相关 举报
wireshark抓包实验机协议分析.docx_第1页
第1页 / 共24页
wireshark抓包实验机协议分析.docx_第2页
第2页 / 共24页
wireshark抓包实验机协议分析.docx_第3页
第3页 / 共24页
wireshark抓包实验机协议分析.docx_第4页
第4页 / 共24页
wireshark抓包实验机协议分析.docx_第5页
第5页 / 共24页
亲,该文档总共24页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《wireshark抓包实验机协议分析.docx》由会员分享,可在线阅读,更多相关《wireshark抓包实验机协议分析.docx(24页珍藏版)》请在三一办公上搜索。

1、Wireshark抓包及分析实验学生姓名:学号:_任务分配日期:_课程名称:计算机组网技术WireShark实验报告用Wireshark完成计算机网络协议分析 报告开始时间:报告截至日期:实验的目的本次实验的目的就是要学会wireshark抓包软件的基本使用方法,wireshark抓包的基本过 程,以及对所抓到的数据包进行详细的分析并能很好的李杰一些基本的数据的含义。能达到 对网络数据的基本的监控和查询的能力。实验一 8023协议分析和以太网(一) 实验目的1、分析802.3协议2、熟悉以太网帧的格式、了解ARP、ICMP、IP数据包格式实验步骤:1、捕获并分析以太帧(1)清空浏览器缓存(在I

2、E窗口中,选择“工具/Internet选项/删除文 件”命令)。如下图(2) 启动WireShark,开始分组捕获。(3) 在浏览器的地址栏中输入:浏览器将显示华科大主页。如下图所示:包学中科氏大字-Microsok Internet Explorer文件(E)编辑(曰查看(力收藏(也工具(D 帮助(M后退, 回画。八搜索收藏夹 3回建修&地址(0)袒 伊S。可5 搜索/ 固空间应用 斜书签,座2山口何问音乐 翁5 -鹰 O-7-2P何烦e转到 揪凝G夺命书生华中穴;找资源1搜网页KJ新建 目任务列表普迅雷看看尊合新闻2010年度国家目科基金申请动员大会召开(图)物理学院领导走访学生宿舍并召开

3、座谈国内首例坐骨连体女婴成活分离手术在汉成功(国)-“千金药业奖学金颁奖仪式举行华中大一石河子大学09年对口支援工作例会召开-中国气象局副局长矫梅燕一行来校调研关于召开华中科技大学校企合作委员会成立大会的通知关于举行华中科技大学-wise。联合实验室落成典礼的通知中共湖北省委组织部千部任前公示学校要闻校友总会图书馆如点链接领导论谈网站首页学校要闻综合新闻重要信息视频新闻图片速递国际会议重要信息I学校揖况I管理机构I院系设置I I科技产业I广纳英才I招生信息II国际交流I出版馆藏I校友之家IEnglish Version学科建设|人才培养|同济医学院| 就业信息|科学研究|信息化建设|校园文化I

4、内部网|华中大在强|(4)停止分组捕获。首先,找到你的主机向服务器发 送的HTTP GET消息的Segment序号,以及服务器发送到你主机上的HTTP响 应消息的序号。http的segement段序号是47 45 54如下图:004 000 0047455420485454502f312e31-GET /HTTP/1.100500 a416363743a202f2a0d0 a41.Accept:*/J . A0060636570744c6167616765Ma20ccept-Lanquaqe:00707a682d636e0 a41636370742d45zh-cn.Accept-En00806

5、36f64696e3a2067702c2064codi nq:gzip, de r-Modifi0090666c6174650 a496&646966fl ate. .100a065642d53696e63653a5468752c20ed-si nee:Thu, 1OObO32204e6f762032303 03038Ma322 Nov 2009 08:2400c0313620474d540d0 a2d4e6f6e:16 GMT.if-Noneoodo4d617463683a202238343430-Match:f084408OOeO373136336361313a64220d0 a67163

6、cal:77d.UOOfO65722d4167656e743a4d6f7a696cser-Agent: MOZl1.1I- 1由下图可以得到服务器发送到我主机上的http响应消息的序号是:1、你的主机的48位以太网地址(MAC地址)是多少?00:13:8F:3A:81:F0 (Asiarock)00:13:8F:3A:81:F0 (Asiarock)我的主机的mac地址是:2、目标MAC地址是服务器的MAC地址吗?如果不是, 该地址是什么设备的MAC地址?不是服务器的MAC地址;该地址是网关的地址。3、给出Frame头部Type字段(2字节)的十六进制值。十六进制的值是08 00如图所示::

7、- E.A.nx.rPC .wo.GET / HTTP/1.1A .l.卜-.十 *甘 / *甘I*.-c.Lrt.c T- _I o 7- 1 o21M CJ -d o o s - 4 c 8 o 2 凸o 8 7- d 1.-1 o 7 o 3.-.II8 s of _ o 6 4 2 _1o 4 c 1 o fid o 5 _1 1 e b o 4 _ 8 d _9 o cl- _1_d _y _d 4 凸3 c 8 o c J _1f 1 7- 8 8 _ 8 4 s o 43 Ltl1 0 M 1 o 8 o.,, o o d 1 f .n o 4 f o二 _9 o o o o c

8、 1 o cl- o 7- o o o 4 o 4 o o 5 -.1.- d d o c J 1 d b 4 4 _y f b7,7 r _dd o rj 4 d _己 d c J f o - 1 5ff o 凸 o 1 o f o.-1 o o o f o 凸o o o o o! o 1 4 c o o o o o 凸 J J J - J J4、在包含“HTTP GET”的以太网帧中,字符“G”的位置(是第几个字 节,假设Frame头部第一个字节的顺序为1)?如果frame得头部为顺序1,则“G”的位置为67。如下图所示:Accept-Encoding: gzip, deflaternIf

9、-Modlf1ed-slnee: Thu, 12 Nov 2009 OS:24:16 GMTrnT -4. I. r-.F. .1 . -4L. -4 i-i11 11 i-!i*Z 7 1iZ. 1 7 7 .J .GET / HTTP/1.1 .Accept : */*.A ccept-La nguage: zh-cn.A ccept-En codlng: gzi p, de 4 I -i +- .-1 T -P Fill i-i r-l -1 4- -i11 o e 5 _| 3 4 2 LtlLtl_-. pd_d 5 4 _-. o 3 4 LtlLL-.1 d c J d oIi3

10、 o 6 2 2 _-. f a 7- 4C.-12 2 _h- 7- N _-. o f l.-.un_4- 5 6 7-7,c=. 4dc J c J _yrj 5 ? 6 6 J4 o 7- 3 _drj5 6 6 7- _1 8 a e 3 74 3 _h- _h- 6 ll-.o 4 11 o n -z 7- 6 4 2 Jf o a _d - 2 7- 4 o 3 凸 o 5 d d 7-rj 6 2 o 6-.-.II4 CJ CJ 4 743 4ps 匚 Ltlrr LtlLtlLL-.3 o-219 d6 7- 6 61 c J d 44 h- 2 6- ll-.o _d 3

11、 _y f o o -h- -h- -h-o d 3 _d mll-. o o LtlrrLtl_D04 0 050070080Men1 l-ITTD i=im iarl- Mal-hrbrl,卜卜卜 ram iac- mciFhcrl PD arLcil-e- 1 A7 PiiorJ 1 M arLarl D Tima , 00 00 00 0005、以太Frame的源MAC地址是多少?该地址是你主机的MAC地址吗? 是服务器的MAC地址吗?如果不是,该地址是什么设备的MAC 地址?Ei Frame 17 (309 bytes on wire, 309 bytes capturecf)Ei

12、Ethernet II, Src: Fuj 1 anst J_c: 07:19 (00:1a: a9:1c: 07:19), Dst: Asi arock_Ba:81 :f0 (00:13 : 8f: Ba:81 :f0)Ei internet Protocol, Src: 202.114.0. 245 (202.114.0. 245), Dst: 222.20.110.120 (222.20.110.120)Ei Transmission Control Protocol, Src Port: http (80), Dst Port: genluslm (3005), Seq: 1, Ack

13、: 298, Len: 243 口 Hi/nprTpvT TrjnFpr prnTnn-!由上图可以得到:源mac地址为:00:1a:a9:1c:07:19该mac地址既不是我主机的 mac地址也不是web服务器的mac地址,他是网关地址。Frame的源地址是6、以太网帧的目的MAC地址是多少?该地址是你主机的地址吗?Dst: Asiarock_3a:81:f0 (00:13:8f:3a:81:f0) t: 222.20.110.120 (222.20.110.120)rt: genluslm (3005), 5eq: 1, Ack: 298, Len: 243上面的00:13:8f:3a:8

14、1:f0就是以太帧的mac地址。该地址是我的主机地址。7、给出Frame头部2-字节Type字段的十六进制值。由上图可以知道08:00就是type的值。8、在包含“OK”以太网帧中,从该帧的第一个字节算起,” O”是第几 个字节?由下图可以知道o的地址是:150000485454502f312e3120 323 030 20 4f 4b 0dHTTP/1.1200 OK.00100 a436e74656e742d 4c656e 67 74 68 3a.Content-Length:00202031363339360d0 a43 6f6e74 65 6e 74 2d16396.content-0

15、030547970653a20746578 742f68 74 6d 6c 0dType: text/html.00400.1436e7465742d 4c63 61 74 69.content-Locari00506e3a20687474703a2f 2f7777 77 2e 68 75n: http:/www.hu006073742e6564752e636e 2f696e 64 65 78 cod0 a4c6173 742d4d 6f 64 69 66html.Last-Modif0080696564Ba205468752c 203132 20 4e 6f 761ed: Thu,12 N

16、ov9、写下你主机ARP缓存中的内容。其中每一列的含义是什么?以上的显示写的依次是:interface:就是自己主机的ip地址,下面的就是默认网 关的ip地址,后面的四十八位的十六进制的数是默认网关的mac地址。10、包含ARP请求报文的以太网帧的源地址和目的地址的十六进制值各是 多少?由下图可以知道源mac地址是:00:1a:1c:07:19目的mac地址是: FF:FF:FF:FF:FF:FF0 Frame 34lb。 bytes on wire, bytes capturedjii Ethernet II, src: FujianstJ-C:07:19 (00:la:a9:1c:07:1

17、9), ii Address Resolution Protocol (request)11、给出Frame头部Type字段的十六进制值。0000001000200030a a 4 Q 11- Q o o s o Q o d Q f 1 o Q f o o Q f o o Q f o o o f 4 o o f o o Q f 6 o Q f o o Q f o o Q f o o o f 8 o Q f o o Q1 e o Q f o o e o o 6 o Ltl4 o o 1 o8 s o od o9 -y o Q 1 1 o Q 7- 7- o Q o o o o7- Q 1 1 2

18、 Q _y -y s o _d _d 6 Q12、从 ftp:/ftp.rfc-editor.org/innotes/std/std37.txt 处下载 ARP 规范说明。在 http:/www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html 处有一个关于 ARP 的讨论网页。根据操作回答:形成ARP响应报文的以太网帧中,ARP-payload部分opcode字段的值 是多少?opcode: request (0x0001)is gratuitous: Falsesender MAC address: Fujianst_lc:07:1

19、9 (00:1a:a9:1c:07:19)sender IP address: 222.20.110.254 (222.20.110.254Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)Target IP address: 222.20.110.39 (222.20.110.39-d -d 4 o 111 o o o e o o od o1 e o ofo o e o 0 6 06 4 0 o 1 o8 e o Odo9 9 0 0 1 1 o o7 7 0 0 o o o o c c 7 o 112 0 -y 9 e o -

20、d -d 6 oDOOO ff ff ff ff ffD010 08 00 06 04 00 3020 00 00 00 00 00 3030 00 00 00 00 00由上面的图可以知道opcode的值是00 01在ARP报文中是否包含发送方的IP地址?包含发送方的ip地址,但是是默认网关的ip地址13、包含ARP响应(reply)报文的以太网帧中,源地址和目的地址的十六进 制值各是多少?upcoae: request uxuuuj is gratuitous: FalseSender MAC address : Fuj 1 anst_lc: 07:19 (00:1c: 07:19)Sen

21、der IP address: 222.20.110.254 (222.20.110.254)Target MAC address : 00:00: 00_00 : 00:00 (00 : 00:00 : 00:00 : 00)Target IP address: 222.20.110.39 (222.20.110.39)o o o o 0 12 3 o o o o -J -J -J -J_d _d 4 o 1 1 o o o e o o o d o f 1 o o f o o o f o o o f o o o f 4 o o f o o o f -h- o o f o o o f o o

22、o f o o o f 8 o o f o o o9 9 0 0 1 1 o o 7 7 0 0 o o o o c c 7 o 112 09 9 e o -d -d 6 o1 o o o6 oe r e Ltl 14 leo o o o o o o o以上的de 14 6e fe为源地址的值sender MAC address: Fujian5t_lc:07:19 (00:1a:a9:1c:07:19) Sender IP address: 222.20.110.254 (222.20.110.254)Target MAC address: 00:00:00_00:00:00 (00:00:

23、00:00:00:00)Target IP address: 222.20.110.39 C222.20.110.39)00000010ff ffff ffff00lala08060020000000de1400300000000000c c1 19 9_d 3e o6 o9 9 0 01 1 o o7 7 0 0 o o o o1 e o of o o e o 0 6 0 _b 4 o o 1 o Seo Odo上面的显示的de 14 6e 27是目的地址的值。实验三TCP协议分析(一) 实验目的及任务1、熟悉TCP协议的基本原理2、利用WireShark对TCP协议进行分析(二)实验环境1

24、、与因特网连接的计算机网络系统;操作系统为Windows; WireShark、IE 等软件。2、预备知识要深入理解网络协议,需要仔细观察协议实体之间交换的报文序列。为探究 协议操作细节,可使协议实体执行某些动作,观察这些动作及其影响。这些任务 可以在仿真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协 议实体间交换报文的基本工具被称为分组嗅探器(packet sniffer)。顾名思义,一 个分组嗅探器捕获(嗅探)计算机发送和接收的报文。一般情况下,分组嗅探器 将存储和显示出被捕获报文的各协议头部字段内容。在 WireShark介绍部分 Figure 1为一个分组嗅探器的结构。F

25、igure 1右边是计算机上正常运行的协议(在这里是因特网协议)和应用程 序(如:web浏览器和ftp客户端)。分组嗅探器(虚线框中的部分)是附加计算 机普通软件上的,主要有两部分组成。分组捕获库接收计算机发送和接收的每一 个链路层帧的拷贝。高层协议(如:HTTP、FTP、TCP、UDP、DNS、IP等) 交换的报文都被封装在链路层帧(Frame )中,并沿着物理介质(如以太网的电缆) 传输。Figure 1假设所使用的物理媒体是以太网,上层协议的报文最终封装在以 太网帧中。分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段 的内容。为此,分析器必须能够理解协议所交换的所有报文

26、的结构。例如:我们 要显示Figure 1中HTTP协议所交换的报文的各个字段。分组分析器理解以太网 帧格式,能够识别包含在帧中的IP数据报。分组分析器也要理解IP数据报的格 式,并能从IP数据报中提取出TCP报文段。然后,它需要理解TCP报文段,并 能够从中提取出HTTP消息。最后,它需要理解HTTP消息。WireShark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组分 析器。最初,各窗口中并无数据显示。WireShark的界面主要有五个组成部分:命令菜单(command menus):命令菜单位于窗口的最顶部,是标准的下拉 式菜单。最常用菜单命令有两个:Fil

27、e、Capture。File菜单允许你保存捕获的分 组数据或打开一个已被保存的捕获分组数据文件或退出WireShark程序。Capture 菜单允许你开始捕获分组。捕获分组列表(listing of captured packets):按行显示已被捕获的分组内容, 其中包括:WireShark赋予的分组序号、捕获时间、分组的源地址和目的地址、 协议类型、分组中所包含的协议说明信息。单击某一列的列名,可以使分组按指 定列进行排序。在该列表中,所显示的协议类型是发送或接收分组的最高层协议 的类型。分组头部明细(details of selected packet header):显示捕获分组列表窗

28、口中 被选中分组的头部详细信息。包括:与以太网帧有关的信息,与包含在该分组中 的IP数据报有关的信息。单击以太网帧或IP数据报所在行左边的向右或向下的 箭头可以展开或最小化相关信息。另外,如果利用 TCP或UDP承载分组, WireShark也会显示TCP或UDP协议头部信息。最后,分组最高层协议的头部 字段也会显示在此窗口中。分组内容窗口(packet content):以ASCII码和十六进制两种格式显示被捕获帧的完整内容。显示筛选规则(display filter specification):在该字段中,可以填写协议的名 称或其他信息,根据此内容可以对分组列表窗口中的分组进行过滤。(三

29、)实验步骤1、捕获大量的由本地主机到远程服务器的TCP分组(1)启动WireShark,开始分组捕获。(2)启动浏览器,打开 (3)停止分组捕获。2、浏览追踪信息(1)在显示筛选规则编辑框中输入“tcp”,可以看到在本地主机和服务器之 间传输的一系列tcp和HTTP消息,你应该能看到包含SYN Segment的三次握手。 也可以看到有主机向服务器发送的一个 HTTP POST消息和一系列的“ http continuation ”报文。如下图所示:lo.Time |5ource4 Destination4 protocol |Inro92.307331219.246.57.89222.20.1

30、10.191TCPedm-manager 13394 SYN Seq=0 Win=65535235.414995219.246. 57.89222.20.110.191TCPedm-manaqer 13394 SYN Seq=0 Win=65535325.859783222.20.110.120222.202.96.196TCPItctcp http SYN Seq=0 Win=65535 Len=0 r335.895689222.202.96.196222.20.110.120TCPhttp Itctcp SYN, ACK Seq=0 Ack=l Win=5:345.895762222.20

31、.110.120222.202.96.196TCPItctcp http ACK Seq=l Ack=l Win=65535 1355.896190222.20.110.120222.202.96.196HTTPGET /tbi . q?ciricl=VR&ui n=405805309&tm=1910506:365.918122222.202.96.196222.20.110.120TCPhttp Itctcp ACK Seq=l Ack=621 Win=7080375.924958222.202.96.196222.20.110.120HTTPHTTP/1.1 200 OK (text/ht

32、ml)386.073260222.20.110.120222.202.96.196TCPItctcp http ACK Seq=621 Ack=208 Win=65:589. 562267222.20.110.120202.114.0.245TCPcolubris http SYN Seq=0 Win=65 53 5 Len= colubris SYN, ACK seq=0 Ack=l win:609.562778222.20.110.120202.114.0.245TCPcolubris hrrp ack seq=l Ack=l win=ti5 53619.564711222.20.110.

33、120202.114.0.245HTTPGET / HTTP/1.1629.566167202.114.0.245222.20.110.120TCPtcp segmenr of a reassembled pdu639.566765202.114.0.245222.20.110.120TCPtcp segmenr of a reassembled pdu649.566848222.20.110.120202.114.0.245TCPcolubris http ack 5eq=371 Ack=2897 win:659.567683202.114.0.245222.20.110.120TCPTCP

34、 segment of a reassembled pdu1J-一IBii Frame 9 (78 bytes on wire, 78 bytes captured) Ethernet II, Src: Fuj1anstJ_c:07:19 (00:1a:a9:1c:07:19), Dst: 00:ea:01:19:98:ab (00:ea:01:19:98:ab) internet Protocol, Src: 219.246.57.89 (219.246.57.89), Dst: 222.20.110.191 (222.20.110.191) Transmission Control Pro

35、tocol, Src Port: edm-manager (3460), Dst Port: 13394 (13394), Seq: 0, Len: 0(2)根据操作回答“(四)实验报告内容”中的1-2题。3、TCP基础根据操作回答“(四)实验报告内容”中的3-10题4、TCP拥塞控制(1)在WireShark已捕获分组列表子窗口中选择一个TCP报文段。选择菜 单:Statistics-TCP Stream Graph- Time-Sequence-Graph(Stevens)。你会看到如 下所示的图。(2)根据操作回答“(四)实验报告内容”中的11-12题。(四)实验报告内容在实验的基础上,

36、回答以下问题:1、向服务器传送文件的客户端主机的IP地址和TCP端口 号分别是多少?222.20.110.120如下图所示: I- I b 11 u 7J 、*kJ. Jun 5i yyiiu, -iuj/ Jun 口,卜_5 uujB Ethernet II, src: FujianstJ_c:07:19 (00:1a:a9:1c:07:19, Dst: Asiarock_3a:81:f0 (00:13:8f:3a:81:f0)B internet Protocol, Src: 202.114.0.245 (202.114.0.245), Dst: 222.20.110.120 (222.2

37、0.110.120)B Transmission control Protocol, src Port: http (8。), Dst Port: colubris (3490), seq: 1, Ack: 371, Len: 144 3Tcp的端口号是34902、服务器的IP地址是多少?对这一连接,它用来发送和接 收TCP报文的端口号是多少?服务器的ip地址是202.114.0.2453Frame 61 (436 bytes on wire, 436 bytes captured)iEthernet II, Src: Asiarock_3a:81:f0 (00:13:8f:3a:81:f0)

38、, Dst: FujianSt:07:19 (00:la:a9:lc:07:19)iinternet Protocol, Src: 222.20.110.120 (222.20.110.120), Dst: 202.114.0.245 (202.114.0.245)iTransmission control Protocol, src Port: colubris (3490), Dst Port: hrtp (80), seq: 1, Ack: 1, Len:iHypertext Transfer ProtocolTcp的端口是803、客户服务器之间用于初始化TCP连接的TCP SYN报文段

39、的序号(sequence number)是多少?在该报文段中,是用什么来标示该报文段是SYN报文段的?二 II I 0.1 Ulll I J J I LJI I JLJIILI LJ I r I ULLJJLJIm )1 J F LJI LJ I UkJI I JF LJI I I L USource port: colubris (3490) Destlnat1 on port: http (80) stream 1ndex: 4sequence number: 0 (relative sequence number) Header length: 44 bytesEi Flags: 0x0

40、2 (SYN)0.0.0.0 .0Congestion window Reduced (cwr): Not set ECN-Echo: Not set urgent: Not setAcknowledgement: Not setPush: Not seto o o o o 0 12 3 4 o o o o oo o of 8 o o o f ordo 5 fa1 4f f o-9OOOO 10 5 0 0 7 0 0 0 0 0 4 0 0 0c c 2 f o1 5 A- 4 o9 2 d 5 o a 6 o o o3 61 o o oo 4-y6 o o4 o o o2 o o o-d

41、73 6 f o 8 c21 6 旧4 o b o5 o o oo 1 o 7- o o 5 _d o 1 4 c b o o 8 o o., o 7- o o o 8 s o 3 4 o 6 o o o o 4 o 3 1 f 1 o o o 1 e o 11 8 d o o o由上图可以知道客户服务器之间用于初始化TCP连接的TCP SYN报文段的 序号是0,用下面图中所示Header Iength: 44 bytesB Flags: 0x02 (5YN)0 = congestion window Reduced (cwr): Not set.0= ECN-Echo: Not set.0=

42、 urgent: Not set.0 . = Acknowledgement: Not set.0. = Push: Not set0. = Reset: Not set1.= syn: setR rExoert info fchat/seauenceJ: connection establ 1 sh reauest (synj : so o o o o 0 12 3 43 6 9 4 0 10 6 0 0 0 0 0 2 0 0 4 0 0 0 _y o o o o 10 5 0 0 7 0 0 0 0 0 4 0 0 0 c c 2f o 1 5 A- 4 o -y 2 d 5 o a 6 o o o o 5 f 1 4f f o o o of 8 o o of oo 2 2 1 o

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号