实验二抓包汇编.docVIP

华北电力大学 实 验 报 告 | | 实验名称 网络嗅探实验（Wireshark） 课程名称 网络攻击与防范 | | 专业班级：网络1402班 学生姓名：刘鹏 学号：201409030210 成 绩： 指导教师：曹锦纲 实验日期：2017年3月 25日 一、 实验目的与要求 1.了解Wireshark网络嗅探的工作原理 2.学会使用Wireshark工具抓包 3.学会使用Wireshark来捕获局域网里面的数据，并对数据进行分析，并截取想要的部分。 二、所用仪器、设备 Wireshark软件，pc机几台。 三、数据包分析 首先双击打开软件，然后点击inter face，会出现网卡选定窗口（有的主机会有多个网卡），选定网卡，点击start，软件开始监听主机和外界的联系随时进行抓包，比如你打开浏览器访问了某个网站，该软件会截取进程之间通信的数据包。当你需要暂停的时候就点击工具栏中的capture 然后点击Stop,此时会停止截取数据包，然后点击工具栏中的analyze ，选定对应的数据包类型（即过滤出Tcp、Udp、Ftp等） （1）以太网数据链路层帧格式分析 1.用wireshake截获的数据包 从所截获的图中可以清楚地看到MAC帧的格式为： 目的地址、源地址、类型。然后是IP数据包，IP数据包的格式为：各字段分别是：版本、首部长度、区分服务、总长度、标识、标志、片偏移、生存时间、协议、首部检验和、源地址、目的地址、可选字段、填充、数据部分。 从图中还可看出各字段所占的字节数. （2）协议过滤只显示TCP协议，下面是TCP传输控制协议分析 1.数据包截获截图 如下图所示，其中含有TCP的三次握手建立连接，四次挥手释放链接。 2接下来分别分析三次握手建立连接的详细过程 第一次握手，详细截图如下 分析：从该图可看出： 源主机的IP地址为： 目的主机的IP地址为： 源端口号：4867，为随机端口号；目的端口号：3489，为随机端口号。 序列号：0 首部长度：32字节 标记：SYN为标志为1，表示同步序号发起链接 校验和：ox203a 选项：12字节 滑动窗口：8192字节 第二次握手的详细截图如下 分析:从上图可看出： 源主机的IP地址为： 目的主机的IP地址为： 源端口号：3489，为随机端口号；目的端口号：4867，为随机端口号。 序列号：1 首部长度：32字节 标记：ACK=1，SYN为标志为1，表示同步序号发起链接 校验和：ox256f 选项：12字节 滑动窗口：8192字节 第三次握手的截图如下： 分析：从该图可看出： 源主机的IP地址为： 目的主机的IP地址为： 源端口号：4867，为随机端口号；目的端口号：3489，为随机端口号。 序列号：1 首部长度：20字节 校验和：ox4619 选项：12字节 滑动窗口：65700字节 3.TCP的释放 从该图可看出： 源主机的IP地址为： 目的主机的IP地址为： 源端口号：3489，为随机端口号；目的端口号：4867，为随机端口号。 确认号：1152 首部长度：20字节 标记：FIN为标志为1，表示发起断开链接请求 从该图可看出：该包相对于第一个包有以下更改： 序列号：1，确认号：1153：表示对上一个包的确认 从该图可看出： 源主机的IP地址为： 目的主机的IP地址为： 源端口号：1866，为随机端口号；目的端口号：ftp 21，为随机端口号。 窗口值：65404，序列号56 ack:297 首部长度：20字节 标记：FIN为标志为1，表示发起断开链接请求 校验和：ox1e28 该包为另一主机发起断开链接的请求数据包 内容如下： 源主机的IP地址为： 目的主机的IP地址为： 源端口号：ftp 21；目的端口号：4866，为随机端口号。 首部长度20字节 确认号：57，是对上一个数据包的确认 四、实验总结 通过本次实验，学会了简单的网络嗅探技巧和Wirshark软件的使用方法。初步具备了分析网络数据包的能力。实验中还有些数据不懂有待挖掘。此次试验之后自己网络攻防的能力又增添了几分。 华 北 电 力 大 学 实 验 报 告 第 页 共 页