实验三使用wireshark查看协议数据单元.doc

使用 Wireshark? 查看协议数据单元 学习目标 能够说明协议分析器 (Wireshark) 的用途。 能够使用 Wireshark 执行基本的 PDU 捕获。 能够对简单的网络数据通信量执行基本的 PDU 分析。 实验 Wireshark 的功能和选项，如 PDU 捕获和显示过滤。 背景 Wireshark 是一种协议分析器软件，即“数据包嗅探器”应用程序，适用于网络故障排除、分析、软件和协议开发以及教学。2006 年 6 月前，Wireshark 的原名是 Ethereal。 数据包嗅探器（亦称网络分析器或协议分析器）是可以截取并记录通过数据网络传送的数据通信量的计算机软件。当数据流通过网络来回传输时，嗅探器可以“捕获”每个协议数据单元 (PDU)，并根据适当的 RFC 或其它规范对其内容进行解码和分析。 Wireshark 的编程使其能够识别不同网络协议的结构。因此，它可以显示 PDU 的封装和每个字段并可解释其含义。 对于从事网络工作的任何人来说，它都是一款实用工具，可以用于数据分析和故障排除。 要了解相关信息并下载该程序，请转到 HYPERLINK http://www.W 场景 要捕获 PDU，安装了 Wireshark 的计算机必须有效地连接到网络且必须在运行 Wireshark 才能捕获数据。 启动 Wireshark 后将显示如下屏幕。 要开始数据捕获，首先需要选择 Capture（捕获）菜单中的 Options（选项）。 Options（选项）对话框显示了多项设置和过滤器，用于确定捕获的数据通信类型及其数量。 首先，必须确保将 Wireshark 设置为监控正确的接口。从 Interface（接口）下拉列表中选择使用中的网络适配器。通常，在计算机上是连接的以太网适配器。 然后可以设置其它选项。在 Capture Options（捕获选项）对话框的可用选项中，需要检查下图突出显示的两个选项。 将 Wireshark 设置为在混杂模式下捕获数据包 如果未选中此功能，将只捕获发往本计算机的 PDU。 如果选中此功能，则会捕获发往本计算机的所有 PDU 和该计算机网卡在同一网段上检测到的所有 PDU（即“途经”该网卡但不发往该计算机的 PDU）。 注意：捕获其它的 PDU 要依靠此网络中连接终端设备计算机的中间设备。由于这些课程的各部分使用了不同的中间设备（???线器、交换机、路由器），因此您会看到不同的 Wireshark 结果。 设置 Wireshark 进行网络名称解析 此选项可用于控制 Wireshark 是否将 PDU 中出现的网络地址转换为名称。尽管此功能很有用，但名称解析过程可能会将多余的 PDU 添加到捕获的数据中，从而造成分析失真。 此外，它还具有其它一些捕获过滤和过程设置功能。 单击 Start（开始）按钮开始数据捕获过程，此时将出现一个消息框显示此过程的进度。 捕获数据 PDU 时，消息框中将显示其类型和数量。 以上示例显示了捕获 ping 过程然后捕获网页访问的进度。 单击 Stop（停止）按钮时，捕获过程会终止并显示主屏幕。 以下是 Wireshark 的主显示窗口，有三个窗格。 Packet Details Pane 图示顶部的 PDU（或数据包）列表窗格显示了捕获的每个数据包的摘要信息。单击此窗格中的数据包可控制另外两个窗格中显示的信息。 图示中间的 PDU（或数据包）详细信息窗格更加详细地显示了“数据包列表”窗格中所选的数据包。 图示底部的 PDU（或数据包）字节窗格显示了“数据包列表”窗格中所选数据包的实际数据（以十六进制形式表示实际的二进制），并突出显示了在“数据包详细信息”窗格中所选的字段。 “数据包列表”中的每行对应捕获数据的一个 PDU 或数据包。如果选择此窗格中的一行，其相关详细信息将显示在“数据包详细信息”和“数据包字节”窗格中。上例所示为使用 ping 实用程序和访问 http://www.W 时捕获的 PDU。此窗格中选择了编号为 1 的数据包。 数据包详细信息窗格以更加详细的形式显示了当前数据包（即“数据包列表”窗格中所选的数据包）。此窗格显示了所选数据包的协议和协议字段。该数据包的协议和字段以树结构显示，可以展开和折叠。 数据包字节窗格以称为“十六进制转储”的样式显示当前数据包（即“数据包列表”窗格中所选的数据包）的数据。本实验不会详细研究此窗格。但是，在需要进行更加深入的分析时，此处显示的信息有助于分析 PDU 的二进制值和内容。 捕获的数据 PDU 信息可以保存在文件中。这样，将来就可以随时在 Wireshark 中打开此文件进行分析而无需再次捕获同样的数据通信量。打开捕获文件时显示的信息与原始捕获的信息相同。 关闭数据捕获屏幕或退