计算机网络练习wireshark捕获和分析数据包.doc

计算机网络练习之使用WireShark捕获和分析数据包 Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。Wireshark也使用pcap network library来进行封包捕捉。. Wireshark的优势：- 安装方便。- 简单易用的界面。- ???一：安装并运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。 如上图所示，可看到很多捕获的数据。第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第五列是数据包的信息。 选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。简单的使用打开软件，选择：capture-options，在 interface 中选择一个网卡，并且在 capture -capturefilters 中增加一个过滤器，常用的过滤器如 ip.addr == 然后点capture- start ，就开始抓包了。要停止的话capture-stop,当然也可以用上面的图标。抓到了包之后，是二进制的，在包上面点击右键选择 Follow TCP Stream ，就可以看到 http 包了。 帧号 时间??? 源地址????????? 目的地址????? 高层协议? 包内信息概况No.? Time??? Source???????? Destination????? Protocol??? Info1? 0.000000? 25?? 2? TCP???? 2764 http [SYN] Seq=0 Len=0 MSS=1460????????? ??? 源端口目的端口[请求建立TCP链接] 以下为物理层的数据帧概况 Frame 1 (62 bytes on wire, 62 bytes captured)?1号帧，线路62字节，实际捕获62字节 Arrival Time: Jan 21, 2008 15:17:33.910261000????? 捕获日期和时间[Time delta from previous packet:0.00000 seconds]此包与前一包的时间间隔[Time since reference or first frame: 0.00 seconds]此包与第1帧的间隔时间Frame Number: 1??????????????????????????????????? 帧序号Packet Length: 62 bytes??????????????????????????? 帧长度Capture Length: 62 bytes?????????????????????????? 捕获长度[Frame is marked: False]?????????????????????????? 此帧是否做了标记：否[Protocols in frame: eth:ip:tcp]?????????????????? 帧内封装的协议层次结构[Coloring Rule Name: HTTP]????????? ??用不同颜色染色标记的协议名称：HTTP[Coloring Rule String: http || tcp.port == 80]?????染色显示规则的字符串： 以下为数据链路层以太网帧头部信息 Ethernet II, Src: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61), Dst: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a)以太网协议版本II，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）?Destination: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a) 目的：厂名_序号（网卡地址）??? Source: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61)? 源：厂名_序号（网卡地址）??Type: IP (0x0800)?帧内封装的上层协议类型为IP（十六进制码0800） 以下为互联网层IP包头部信息 Internet Protocol, Src: 25 (25), Dst: 2 (2)???????????? 互联网协议，源IP地址，目的IP地址Version: 4?互联网协议IPv4（此部分参看教材页图 122 的IPv4数据报字段结构） Header length: 20 bytes?????????????????????????