Wireshark抓包实例分析.pdf

W ireshark 抓包实例分析 通信工程学院 010611 班 赖宇超 一．实验 目的 1.初步掌握 W ireshark 的使用 法，熟悉其基本设置，尤其是 Capture Filter 和 Display Filter 的使用。 2.通过对 W ireshark 抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、 UDP、IP、SMT P、POP、FT P、T S 等。 3.进一步培养理论联系实际，知行合一的学术精神。 二．实验原理 1.用 W ireshark 软件抓取本地 PC 的数据包，并观察其主要使用了哪些网络协议。 2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。 3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。 三．实验环境 1.系统环境：Windows 7 Build 7100 2.浏览器：IE8 3.W ireshark：V 1.1.2 4.W inpcap：V 4.0.2 四．实验步骤 1.W ireshark 简介 W ireshark （原 Ethereal）是一个网络封包分析软件。其主要功能是撷取网络封包，并尽 可能显示出最为详细的网络封包资料。其使用 目的包括：网络管理员检测网络问题，网络安 全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的 第 1 页，共 12 页 相关知识……当然，有的人也会用它来寻找一些敏感信息。 值得注意的是，W ireshark 并不是入侵检测软件 （Intrusion Detection Software,IDS ）。对于 网络上的异常流量行为，Wireshark 不会产生警示或是任何提示。然而，仔细分析 Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。W ireshark 不会对网络封包产生内 容的修改，它只会反映出目前流通的封包资讯。 Wireshark 本身也不会送出封包至网络上。 2.实例 实例 1：计算机是如何连接到网络的？ 一台计算机是如何连接到网络的？其间采用了哪些协议？W ireshark 将用事实告诉我们 真相。如图所示： 图一：网络连接时的部分数据包 如图，首先我们看到的是 DHCP 协议和 ARP 协议。 DHCP 协议是动态主机分配协议 (Dynamic Host Configuration Protocol) 。它的前身是 BOOTP。BOOTP 可以自动地为主机设定 TCP/IP 环境，但必须事先获得客户端的硬件地址， 而且，与 其对应的 IP 地址是静态的。DHCP 是 BOOTP 的增强版本，包括服务器端和客户 端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求； 而客户端则会使用从服务器分配下来的 IP 环境数据。 ARP 协议是地址解析协议 (Address Resolution Protocol)。该协议将 IP 地址变换成物理 地址。以以太网环境为例，为了正确地向目的主机传送报文，必须把 目的主机的 3 位 IP 地 址转换成为 48 位以太网的地址。这就需要在互连层有一组服务将 IP 地址转换为相应物理地 址，这组协议就是 ARP 协议。 让我们来看一下数据包的传送过程：