基于Wireshark的TCP协议教学设计-电子科技大学.PDF

基于Wireshark的TCP协议教学设计 罗绪成 （电子科技大学计算机科学与工程学院） 摘要：仅通过对协议的描述来讲述 TCP 协议的工作原理是不够，学生缺少对协 议的直观理解，通常不能准确掌握协议的原理，因此是教学中的一个难点。利用 Wireshark 抓包工具，对实际网络包进行分析，具有直观性和趣味性，能够起到 很好的教学效果。 1 Wireshark 抓包工具介绍 Wireshark 是著名的网络协议分析软件，其前身是 Etherreal ，该软件可以完 成网络嗅探和协议分析功能，广泛用于网络故障诊断，协议分析和网络研究中。 Wireshark可以分析前期抓取的网络包，即.pcap文件；也可以通过网络接口 进行实时抓包分析。如果使用.pcap文件，通过文件菜单，打开指定位置的.pcap 文件则显示该文件中所存储的网络包信息。如果需要实时分析网络协议，则通过 capture菜单选取网络接口，然后启动则进行实时流量抓取，并在各子窗口显示相 关信息。通过对显示过滤器的设置，可以筛选出需要分析的网络包。还可以通过 captureoption来设置抓包过滤器，从而决定哪些网络包会被选中，其它的则被 抛弃。Wireshark 的主窗口界面如图 1所示，较详细的解释如下： 图 1 Wireshark 用户界面 1 ①. 网络包列表 显示当前 capture 文件中所有网络包的摘要信息，包括：编号、时间戳、源 IP 地址、目的 IP 地址、协议等信息。capture 文件中的一个网络包对应网络包列 表框中一行，当选中其中一行，则该网络包对应的更详细信息分别显示在下面两 个面板内。 ②. 选中网络包的头部信息 用一种较详细的形式显示所选中网络包的信息，包括协议和协议的各字段信 息，可以通过点击行首的“+ ”来展开信息。 ③. 选中网络包的内容 又称为“网络包字节面板”，以字节的形式显示网络包列表框中选中网络包 的内容。分为三列，最左边一列是字节的偏移量，中间一列是以十六进制表示的 网络包字节信息，而最右边一列是对应的 ASCII 字符（如果没有合适的 ASCII 字符，则用.表示）。 ④. 显示过滤器设置 用 于 设 置 显 示 过 滤 器 ， 从 而 筛 选 出 要 显 示 的 网 络 包 。 例 如 ： ip.src==，则只显示源IP 地址为 的网络包。通过逻辑表达 式可以构造出更复杂的显示过滤器。 根据上述基本的设置功能，可以观察基本的协议行为，理解协议的工作过程， 因此我们可以利用Wireshark 工具进行网络协议的学习，理解网络安全相关的知 识。 2 TCP 三次握手过程 TCP是面向连接的协议，通信双方在开始传输数据前，必须通过“三次握手” 的方式在二者之间建立一条逻辑上的链路（虚电路），用于传输数据。虚电路连 接类似电话，发送和接收数据的进程双方在进行通信之前要利用协议取得一个数 据传输路径的授权，但又并不是如电话那样在之后的通信中独占一条物理线路。 TCP连接的建立包含三个数据包的发送，因此也叫做三次握手机制（three-way handshake ）。图 2是TCP三次握手过程示意图。图中ACK有两个含义：ACK序列 号ACK标志位，读者通过上下文应能理解各自含义。 2 图 2 TCP 的三次握手建立连接的过程示意图 Step 1 : 要求建立连接的主机A产生一个初始序列号为ISNA 的同步标志数据 包 （简称SYN包），并将其发送给B 。其中，该包中TCP头部的序列号字段（SEQ） 值为ISNA ，同步标志位SYN字段设为 1 （图 2 中表示为SEQ＝ISNA ＝1000，SYN ＝1）。 Step 2 : 接收方主机B收到该包之后，也生成一个自己的初始序列号为ISNB 的同步应答与请求数据包（简称ACK-SYN包），并将其返回给A 。该ACK-SYN 包的作用有二，其一是以示同意对方的初始序列号请求，其二是向对方表明自己 的初始序列号。因此