试验报告项目从捕获的帧进行观察.ppt

计 算 机 网 络 实验1 利用wireshark分析数据包 1. 什么是wireshark？ Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。 Ethereal 0.2.0.最早版本。后Ethereal被兼并。 官方网站：/ 工作原理 网络分析系统首先是依赖于一套捕捉网络数据分组的函数库（即：分组过滤规则实现）。 Windows系统中用WinPcap作为函数库。所以早起的版本如Ethereal.0.9.0版安装时需要WinPcap的安装。 WinPcap 主站点: Ethereal从0.10.12版本开始内置了WinPcap，因此不必再担心 WinPcap的问题了,Wireshark安装时就已经连带WinPcap安装好了！ 捕捉到数据后，需要进行协议分析和还原工作。Wireshark采用的是协议树的方式。 Wireshark主界面介绍 主窗口通常由下面几部分组成（其它GUI程序通常也是这样） 菜单：用于启动一个活动 主工具条：提供快速访问菜单中常用项目的功能 过滤工具条：可以直接编辑当前使用的显示过滤条件 。 Wireshark主界面介绍 列表面板：显示每一个包的摘要信息。通过在该面板单击相应的包，来控制其它两个面板显示的内容 详细信息面板：显示在列表面板中选 中的包的详细信息（解码过的） 字节信息面板：显示包的完整数据，且会高亮度显示在详细信息面板中的选中的部分 状态条：显示当前程序和捕获的数据的一些详细的内容 。 捕获过滤器的设置 过滤器的选择 实验项目 ① 安装WireShark。 ② 实验前把网络断一下（关掉联网的软件），防止产生一些不必要的流量，不利于分析。 ③ 打开WireShark，选择“CaptureInterfaces”，选择自己的网卡 。 ④ HTTP协议分析。 实验项目 ⑤再次启动WireShark，打开网页，抓包。 ⑥ 再次启动WireShark，打开cmd,ping [url][/url]，抓包。 以太网帧格式 实验报告项目 从捕获的帧进行观察，查看帧的各个域，看看： 先导域包含在记录的数据中么？ 记录的数据是从哪个字段开始到哪个字段结束。比上课讲的标准的最小有效帧长包括的范围相比，有4个字节的校验和么？ 查找捕获帧中长度最长的帧，总长度是多少字节？ 实验报告项目 查找捕获到的你的计算机所发出的ARP请求帧，辨认其目的地址域和源地址字段，看它们的MAC地址是多少？再用Ipconfig /all查看验证，是否一致。 对比下封装ARP分组的帧和其他IP分组的帧，看他们的类型字段的值是多少？分别写下来。 结束 比特流 MAC IP TCP UDP HTTP …… DNS IPX 要加入一个新的协议分析器，就是需要将它挂在树上，指出它的父结点，以及它的协议特征字。 可以根据使用的方便，按照需要直接选择，还可以自己根据需要更改IP地址或者端口号等 以太网 MAC 帧 物理层 MAC层 10101010101010 10101010101010101011 前同步码 帧开始 定界符 7 字节 1 字节 … 8 字节 插入 IP层 目的地址 源地址 类型 数 据 FCS 6 6 2 4 字节 46 ~ 1500 IP 数据报 MAC 帧 * *