Wireshark抓包实例分析的认识.doc

Wireshark抓包实例分析 通信工程学院 010611班 赖宇超 一．实验目的 初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。 通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、 UDP、IP、SMTP、POP、FTP、TLS等。 进一步培养理论联系实际，知行合一的学术精神。 实验原理 用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。 查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。 根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。 实验环境 系统环境：Windows 7 Build 7100 浏览器：IE8 Wireshark：V 1.1.2 Winpcap：V 4.0.2 实验步骤 Wireshark简介 Wireshark（Ethereal）是一个网络封包分析软件。功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。用目的网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协的相关知识当然，有的人也会用它来寻找一些敏感信息Wireshark并不是入侵测软件（Intrusion Detection Software,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。 Wireshark将用事实告诉我们真相。如图所示： 图一：网络连接时的部分数据包 如图，首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议 (Dynamic Host Configuration Protocol)它的前身是 BOOTP。BOOTP可以自动地为主机设定TCP/IP环境但须事先获得客户端的硬件地址而且与 IP地址是静态的。DHCP是 BOOTP 的增强版本，服务器端客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。ARP协议是地址解析协议 (Address Resolution Protocol该协议IP地址变换成物理地址。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。当 DHCP 客户端第一次登录网络的时候，它会网络发出一个 DHCP DISCOVER 封包。因为客户端还不知道自己属于哪一个网络，所以封包的来源地址会为，而目的地址则55，然后再附上 DHCP discover 的信息，向网络进行广播。 当 DHCP 服务器监听到客户端发出的 DHCP discover 广播后，它会从那些还没有租出的地址范围内，选择最前面的空置 IP ，连同其它 TCP/IP 设定，响应给客户端一个 DHCP OFFER 封包。 客户端向网络发送一个 ARP 封包，查询ARP 封包DHCP V6协议也开始工作。 …… 数据包No.51：通过ARP协议，服务器端最终也获得了客户端的网络地址。 到此为止，我认为客户端（本地PC）的已完成网络注册。 现将客户端（本地PC）和服务器端（本地路由器）相关参数展示如下： 图二：客户端（本地PC）相关参数 图三：服务器端（本地路由器）相关参数 实例2：你的密码安全吗？ 随着Internet的普及，越来越多的人开始拥有越来越多的密码。小到QQ，MSN，E-mail等，大到支付宝，信息管理系统等，可是一个核心问题是：你的密码安全吗？让我们来看看下面几个例子。 Test 1：FTP工具软件 这里，我们采用的FTP工具软件是FlashFXP V3.7.8。登陆时抓包如下： 图四：FlashFXP登陆时的部分数据包 首先，我们来看一下常用到的三个协议：SSDP、DNS和 FTP。 　　SSDP是简单服务发现协Simple Service Discovery Protocol)，该协议定义了如何在网络上发现网络服务的方法。SSDP信息的传送是依靠HTTPU和HTTPMU进行的。不论是控制指针，或是UPnP设备，工作中都必然用到SSDP，设备接入网络之后，要利用它向网络广播自己的存在，以便尽快与对应的控制指针建立联系设备利用SSDP的方