精华内容
下载资源
问答
  • 西安邮电大学计算机网络wireshark抓包分析实验报告.doc
    2021-07-24 02:06:05

    西安邮电大学

    《计算机网络技术与应用》

    课内实验报告书

    院系名称

    管理工程学院

    实验题目

    Wireshark抓包工具实验报告

    学生姓名

    易霜霜

    专业名称

    信息管理与信息系统

    班 级

    信管1101

    学号

    02115021

    时间

    2013 年 06月 26日

    实验报告

    实验名称 Wireshark抓包工具

    一、 实验目的

    了解Wireshark的使用方法,利用wireshark对数据报进行分析。

    二、 实验内容

    用wireshark 抓包,然后对数据进行分析,抓UDP和FTP的包。然后对它们进行分析。

    三、 设计与实现过程

    (1)安装wireshark软件,并熟悉wireshark软件的使用。

    (2)完成物理机器的操作系统(host os)与虚拟机中操作系统(guest os),在物理机上设置虚拟网卡,设置host os和guest os的IP地址,分别为192.168.228.1和192.168.228.2.

    (3)在guest os上配置各种网络服务,包括有:Web、Email、DNS、FTP。

    (4)在host os上启动wireshark抓包,从host os访问guest os上的各种服务,完成抓包实验。

    1. UDP协议分析

    由于DNS委托的是UDP协议提供传输服务,所以我们以DNS查询中的UDP数据报为例,分析其首部的封装形式

    User Datagram Procol(用户数据报协议):

    首部长度20字节;

    总长度164字节;

    协议为UDP协议,协议号为17;

    首部校验和:0x07b4;

    源端口号Source Port no.56254;

    目标端口号Destination Port no.plysrv-https(6771);

    长度:144字节;

    数据部分:136字节;

    在计算检验和时,临时把“伪首部”和 UDP 用户数据报连接在一起。伪首部仅仅是为了计算检验和,而不参与传输过程;

    2. FTP协议分析

    在guest os中配置好FTP服务器后,在host os中以管理员身份打开命令模式,输入#ftp,ftp>open 192.168.228.2(即在guest os中配置的IP地址),用户名为anonymous(匿名),密码为任意类型的邮箱地址,logged in表示成功登录,如图4.38所示。输入?,查看帮助中的命令。

    File Transfer Protocol(文件传输协议):

    源端口号:21(ftp);

    目标端口号:de-cache-query (1255);

    Sequence number为190;

    ACK=82;

    FTP收到open ASCII mode data connection for /bin/ls.\r\n指令;

    回复客户端:文件数据已准备就绪,将要打开数据连接;

    三、 设计技巧及体会

    一开始的时候会抓包不会分析,久了之后有了经验。我们可以根据二进制码和上面的英文分析相结合来看每个数据。能从二进制里看到目的地址、源地址、采用的协议。抓到的数据会从数据链路层的mac地址和网络层的地址分析。其实操作很简单,看到了抓就行。但是分析才是最重要的,动脑子想,每一行代表什么意思,慢慢学习,就慢慢会了。

    展开阅读全文

    更多相关内容
  • wireshark 抓包 实验报告
  • wireshark抓包实验

    2018-07-09 02:40:08
    wireshark网络抓包,TCP,UDP的抓包,包括三次握手,四次挥手。
  • Wireshark抓包实验报告.doc
  • Wireshark抓包实例分析

    2019-04-19 11:19:21
    Wireshark网络抓包案例分析介绍,存档 ,邮箱QQ等
  • wireshark抓包实验分析

    2017-05-06 17:00:33
    抓包实验 wireshark
  • 实验六Wireshark网络抓包实验 1 实验目的 使用Wireshark软件对网卡上的数据包进行抓取,分析数据包各字段的含义。 掌握数据链路层、网络层、运输层常用数据包的定义 掌握相关网络命令 2 实验环境 Wireshark...
  • 抓包实验报告

    2014-01-04 23:40:54
    Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。
  • 使用wireshark抓包软件分析微信协议 计算机网络大作业 压缩包包含做实验时候配套抓取的包文件 超级详细- -,不服找我,写了好久
  • Wireshark抓包实验

    万次阅读 多人点赞 2019-01-09 11:19:01
    Wireshark抓包实验 1.1 学习Wireshark工具的基本操作 学习捕获选项的设置和使用,如考虑源主机和目的主机,正确设置 Capture Filter;捕获后设置 Display Filter。 1.2 PING命令的网络包捕获分析 PING命令是基于ICMP...

    Wireshark抓包实验

    1.1 学习Wireshark工具的基本操作

    学习捕获选项的设置和使用,如考虑源主机和目的主机,正确设置 Capture Filter;捕获后设置 Display Filter。

    1.2 PING命令的网络包捕获分析

    PING命令是基于ICMP协议而工作的,发送4个包,正常返回四个包。以主机210.31.40.41为例,主要实验步骤为:

    (1)设置“捕获过滤”:在 Capture Filter 中填写 host 210.31.40.41;

    (2)开始抓包;

    (3)在 DOS 下执行 PING 命令;

    (4)停止抓包。

    (5)设置“显示过滤”: IP.Addr=210.31.40.41

    在这里插入图片描述

    (6)选择某数据包,重点分析其协议部分,特别是协议首部内容,点开所有带+号的内容。

    (7)针对重要内容截屏,并解析协议字段中的内容,一并写入 WORD 文档中。
    在这里插入图片描述

    ​ 通过简单的分析我们可以看到,Ping命令使用ICMP协议,每发送一个包到210.31.40.41后都会收到一个包,一共发送了四个包,收到四个包如所示。分析其中的一个包,可以看到其类型长度为8,数据长度为32byte,见图

    1.3 TRACERT 命令数据捕获

    观察路由跳步过程。分别自行选择校内外 2 个目标主机。比如,

    (1)校内:tracert 210.31.32.8

    首先,在执行tracert命令之前,先在Wireshark中过滤选择出210.31.32.8的相关请求。之后,win+r打开cmd界面执行tracert命令
    在这里插入图片描述

    ​ 截获到的数据如下图,
    在这里插入图片描述
    通过对该抓包结果的简单分析,可以看出,抓到的协议类型主要有两种即ICMP和DNS协议,选择不同类型的协议来查看其具体内容。

    DNS协议:
    在这里插入图片描述

    通过上图简单的分析查看可以得知,DNS协议从10.10.215.246到210.31.32.8,同时包含了UDP协议,源端口为61149,目标端口为53。DNS对域名210.31.40.41进行了84次标准查询,可以看到在DNS的事务ID为:0xc39f,在DNS服务器中的查询结果在第185行。

    ICMP协议:
    在这里插入图片描述

    ICMP的内容在之前已经分析过了,在这里不在赘述,从图中对比可以看到,data的数据长度变为了64bytes。

    (2)校外:tracert www.sogou.com
    在这里插入图片描述
    在这里插入图片描述

    ​ 通过简单的分析可以看出,在对搜狗进行抓包时出现了两种协议即ICMP和NBNS协议,其中NBNS协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名地址映射方法。
    在这里插入图片描述

    1.4 端口扫描数据捕获与分析

    (1)各组自行下载和安装某个端口扫描工具,比如 NMAP、SUPERSCAN、SCANPORT、

    SSPORT、TCPVIEW。

    (2)扫描对方的主机,获得开放的端口号。捕获其所有相关信息和协议内容。显示过滤举例:

    在这里,使用Zenmap对本机进行端口扫描,扫描结果如下图。
    在这里插入图片描述

    可以看到,本机开放了6个端口,不同端口提供不同的服务,可以看到其中的80端口为Http服务,说明在本机上部署了自己的网站,用80作为端口。

    查看Wireshark对该端口的抓包情况
    在这里插入图片描述

    从图中看到两种协议,TCP和HTTP,这也印证了我之前部署网站的说法。

    (3)关闭某一开放的端口,重新扫描,观察捕获效果。
    在这里插入图片描述

    ​ 关闭端口后进行扫描,可以看到被关闭的端口扫描不到了。

    1.5 FTP 协议包捕获与分析

    登录FTP 服务器:ftp.scene.org,重点捕获其 3 个关键过程:

    (1)FTP 服务器的登录

    捕获 USER 和 PWD 的内容,分析 FTP、TCP、IP 协议的首部信息。FTP 服务器的端口号为 21,用于控制连接。
    在这里插入图片描述

    在这里使用的是filezilla登陆的FTP服务器,通过对登陆过程的捕获可以看到,登陆的账号为anonymous,密码为anonymous@example.com(默认)。

    用Wireshark查看FTP、TCP、IP协议的首部信息,如下图。
    在这里插入图片描述

    (2)FTP 文件的下载过程

    要求分别下载三个大小不同的文件(小于 1MB、1MB—10MB、10MB 以上),观察 FTP、TCP 和 IP 协议中的数据分片过程。
    在这里插入图片描述

    从图5-3中可以简单看出,下载文件的请求命令为”RETA ”,文件字节大小也不一样。

    从发送时间也可以看出来一些差别。介于1MB—10MB的文件可能由于其格式或其他原因,没有正常显示出包的大小和传输时间。不过,通过对比不同的大小的文件,可以得出文件越大TCP切片长度越小,传输的字节越多,所用的传输时间越长。

    (3)FTP 服务的退出过程

    分析 FTP、TCP、IP 协议的不同内容。

    FTP的退出过程在Wireshark的抓包过程中没有捕获到。

    1.6 HTTP 协议包的捕获与分析

    登录到国内外的一些门户网站上,将主页浏览过程捕获下来,分析其 HTTP、TCP、UDP、

    IP 协议的内容。注意 TCP 协议中的端口号。

    补充一下HTTP的工作流程:

    (1) 客户端通过TCP三次握手与服务器建立连接。

    (2) TCP建立连接成功后,向服务器发送http请求

    (3) 服务器收到客户端的http请求后,将返回应答,并向客户端发送数据。

    (4) 客户端通过TCP四次握手,与服务器断开TCP连接。

    国内网站:

    国内这里以京东商城为列jd.com(111.13.28.118),捕获主页浏览过程,抓包结果如图。从图中可以看出,No分别为1950、1951、1958时进行了TCP三次握手,此时使用的是TCP协议的80端口。(说明:Wireshark抓包仅限于http,对于https其无法解密识别,国内大部分网站主页都是http,只有在登陆界面或者少数主页是https加密,不过为了掩盖性,大部分网站的头部都以https开头,尽管他们没有发挥任何作用。)
    在这里插入图片描述
    在这里插入图片描述

    从包的数据中可以分析得出(见图6-2),本机地址10.10.215.246,捕获端口为19651。目标地址为111.13.28.118,开放端口为80,TCP协议数据切片长度为382。在看看HTTP协议,其中http请求头为Mozilla/5.0(Windows NT 10.0;Win64; X64)…以及它的接受语言为中文等等,是正常访问url时向服务器发送的一些数据信息。

    1.7 EMAIL 协议包的捕获与分析

    登录到校内外的邮件系统,捕获自己的登录信息,重点分析其 SMTP、POP3 协议的内容。注意其端口号分别是 25 和 110。

    国内外大部分邮箱采用ssl加密,即https协议,其中http常用端口为80,https常用端口号为443。下面我使用的是foxmail客户端来进行EMAIL协议包的捕获,捕获内容如下图
    在这里插入图片描述
    在Protocol列中可以看到显示的协议有TCP和SMTP。由于SMTP是基于TCP协议的,所以在使用SMTP协议发送邮件之前,首先要通过TCP三次握手建立连接。从图中倒数第三个SMTP包的后面可以看到我发送邮件的邮箱账号。第75帧表示成功登陆邮箱,第78帧表示发送邮件的账户,本例中是****@qq.com。第81帧表示接受邮件的账户,本例中采用qq邮箱为例。第83帧是客户端发送的内容,84帧使用接收了文本的内容。
    在这里插入图片描述
    该界面较为清晰的展示了邮件信息(右键一个SMTP包,选择follow->TCP Stream查看),红色部分为客户端发送的信息,蓝色部分是服务器相应信息。在该界面可以看到客户端的主机名、邮件账户、使用的邮件客户端、邮件内容类型和传输格式等等。也可以看见发送的信息内容,由于内容被转换为base64位格式的信息,进行了加密。

    四、 思考题

    (1)在 FTP 服务中,FTP 数据长度为什么是 1460 字节?

    最大传输单元是1460字节是TCP层的报文段(segment)的长度限制。

    (2)如何捕获 FTP 服务的结束数据包?

    在过滤器中输入ftp,会看到在Information信息列中出现Request:QUIT的内容,表示为ftp的结束包

    (3)在端口扫描中,对应的协议有 TCP 和 UDP。应该如何查找某端口对应的服务类型?

    在cmd命令行中使用netstat -a -n命令查看。

    (4)不指定 IP 地址时,为什么有的邻近主机捕获不到?

    每个信息包能够通过网络不同的路径发送,信息包能按照与它们发送时的不同顺序到达。网络协议(IP)仅仅是递送他们,TCP才是能够将它们按照正确顺序组合回原样。IP是一个无连接协议,这就意味着在通信的终点之间没有连续的线路连接。这就导致了会有一些主机捕获不到信息。

    (5)PING 命令操作时,为什么会捕获 ARP 协议的数据包?

    因为ARP协议是“Address Resolution Protocol” 的缩写。在局域网中,网络中实际传输的是帧,帧里面是有目标主机的MAC地址的。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址以保证通信的顺利进行。

    参考文章:

    如何关闭139端口及445端口等危险端口

    聊一聊HTTPS那些事

    TCP协议(1)–TCP首部

    wireshark过滤规则及使用方法

    wireshark抓包教程

    电子邮件抓包分析

    展开全文
  • wireshark抓包实验机协议分析.doc

    千次阅读 2021-07-29 03:34:17
    Wireshark抓包及分析实验学生姓名: 夏效程学号: V200748016任务分配日期:2009-12-16课程名称: 计算机组网技术WireShark实验报告 : 用Wireshark完成计算机网络协议分析报告开始时间: 2009-12-16报告截至日期: ...

    Wireshark抓包及分析实验

    学生姓名: 夏效程

    学号: V200748016

    任务分配日期:2009-12-16

    课程名称: 计算机组网技术

    WireShark实验报告 : 用Wireshark完成计算机网络协议分析

    报告开始时间: 2009-12-16

    报告截至日期: 2009-12-30

    实验的目的

    本次实验的目的就是要学会wireshark抓包软件的基本使用方法,wireshark抓包的基本过程,以及对所抓到的数据包进行详细的分析并能很好的李杰一些基本的数据的含义。能达到对网络数据的基本的监控和查询的能力。

    实验一 802.3协议分析和以太网

    (一)实验目的

    1、分析802.3协议

    2、熟悉以太网帧的格式、了解ARP、ICMP、IP数据包格式

    实验步骤:

    1、捕获并分析以太帧

    (1)清空浏览器缓存(在IE窗口中,选择“工具/Internet选项/删除文件”命令)。如下图

    (2)启动WireShark,开始分组捕获。

    (3)在浏览器的地址栏中输入:

    /

    浏览器将显示华科大主页。如下图所示:

    (4)停止分组捕获。首先,找到你的主机向服务器发送的HTTP GET消息的Segment序号,以及服务器发送到你主机上的HTTP 响应消息的序号。

    http的segement段序号是47 45 54如下图:

    由下图可以得到服务器发送到我主机上的http响应消息的序号是:

    由上图可知为44

    1、你的主机的48位以太网地址(MAC地址)是多少?

    我的主机的mac地址是:

    2、目标MAC地址是服务器的MAC地址吗?如果不是,该地址是什么设备的MAC地址?

    不是服务器的MAC地址;该地址是网关的地址。

    3、给出Frame头部Type字段(2字节)的十六进制值。

    十六进制的值是08 00如图所示:

    4、在包含“HTTP GET”的以太网帧中,字符“G”的位置(是第几个字节,假设Frame头部第一个字节的顺序为1)?

    如果frame得头部为顺序1,则“G”的位置为67。如下图所示:

    5、以太Frame的源MAC地址是多少?该地址是你主机的MAC地址吗?是服务器的MAC地址吗?如果不是,该地址是什么设备的MAC地址?

    由上图可以得到:源mac地址为:00:1a:a9:1c:07:19该mac地址既不是我主机的mac地址也不是web服务器的mac地址,他是网关地址。

    Frame的源地址是

    6、以太网帧的目的MAC地址是多少?该地址是你主机的地址吗?

    上面的00:13:8f:3a:81:f0就是以太帧的mac地址。该地址是我的主机地址。

    7、给出Frame头部2-字节Type字段的十六进制值。

    由上图可以知道08:00就是type的值。

    8、在包含“OK”以太网帧中,从该帧的第一个字节算起,”O”是第几个字节?由下图可以知道o的地址是:15

    9、写下你主机ARP缓存中的内容。其中每一列的含义是什么?

    以上的显示写的依次是:interface:就是自己主机的ip地址,下面的就是默认网关的ip地址,后面的四十八位的十六进制的数是默认网关的mac地址。

    10、包含ARP请求报文的以太网帧的源地址和目的地址的十六进制值各是多少?由下图可以知道源mac地址是:00:1a:1c:07:19目的mac地址是:

    FF:FF:FF:FF:FF:FF

    11、给出Frame头部Type字段的十六进制值。

    由上图可以知道:十六进制的值是:08 06

    12、从/innotes/std/std37.txt处下载ARP规范说明。在http://www.erg.abdn.ac.uk/users/gorry/course/inets/arp.html处有一个关于ARP的讨论网页。根据操作回答:

    ①形成ARP响应报文的以太网帧中,ARP-payload部分opcode字段的值是多少?

    由上面的图可以知道opcode的值是00 01

    ②在ARP报文中是否包含发送方的IP地址?

    包含发送方的ip地址,但是是默认网关的ip地址

    13、包含ARP响应(reply)报文的以太网帧中,源地址和目的地址的十六进制值各是多少?

    以上的de 14 6e fe为源地址的值

    上面的显示的de 14 6e 27是目的地址的值。

    实验三 TCP协议分析

    (一)实验目的及任务

    1、熟悉TCP协议的基本原理

    2、利用WireShark对TCP协议进行分析

    (

    展开全文
  • 该文档详细描述了wireshark抓包分析tcp三次握手四次挥手详解及网络命令,亲自整理,适合新手借鉴
  • 使用wireshark抓包软件分析微信协议 计算机网络大作业 超级详细- -,不服找我,写了好久
  • Wireshark实验 前言 本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。 准备 了解 Wireshark 的基本使用: 选择对哪块网卡进行数据包捕获 开始/停止捕获 了解 Wireshark 主要窗口区域 ...

    Wireshark实验


    前言

    本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。


    准备

    了解 Wireshark 的基本使用:

    wireshark用途
    1.网络管理员使用它来解决网络问题
    2.网络安全工程师使用它来检查安全问题
    3.质量检查工程师使用它来验证网络应用
    4.开发人员使用它来调试协议实现
    5.人们用它来学习网络协议内部

    数据链路层

    实作一 熟悉 Ethernet 帧结构

    使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。在这里插入图片描述
    在这里插入图片描述
    目的MAC与源MAC
    在这里插入图片描述
    类型
    在这里插入图片描述
    你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因
    答:wireshark把尾部四个字节的校验字段给过滤了。

    实作二 了解子网内/外通信时的 MAC 地址

    ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

    在这里插入图片描述
    在这里插入图片描述
    目的MAC是主机的

    然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址在这里插入图片描述
    这个 MAC 地址是谁的?
    目的MAC是网关的

    再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?

    ping baidu.com
    在这里插入图片描述

    目的MAC是网关的

    通过以上的实验,你会发现:

    访问本子网的计算机时,目的 MAC 就是该主机的
    访问非本子网的计算机时,目的 MAC 是网关的
    请问原因是什么?
    不出入子网不需要经过网关,所以MAC是主机的
    网关是出入本子网和其他子网需要到达的地方,所以目的MAC是网关的

    实作三 掌握 ARP 解析过程

    为防止干扰,先使用 arp -d * 命令清空 arp 缓存

    这步出现了“ARP项删除失败,请求操作需要提升”
    解决方法:右键,点击Window PowerShell,进入管理员界面,输入arp -a

    ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
    再次使用 arp -d * 命令清空 arp 缓存
    然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。

    结论:如果访问的是计算机所处的本子网的ip,那么ARP解析协议将会直接得到该ip对应的Mac地址,但是如果访问的是非本子网的ip,那么ARP解析将直接得到网关的mac地址。所以要想访问对方,在处于同一子网的条件下,应该知道对方的MAC地址,但是不处于同一子网,需要知道对方所处子网网关的Mac地址。
    因为ARP代理,访问非子网IP时是通过路由器访问的,路由器再把发出去,目标IP收到请求后,再通过路由器端口IP返回回去,那么ARP解析将会得到网关的MAC。

    网络层

    实作一 熟悉 IP 包结构

    使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段

    在这里插入图片描述
    可以观察到
    版本:IPV4;头部长度:20 bytes
    总体长度:68;存活时间TTL:63s

    版本号(Version):长度4比特。标识目前采用的IP协议的版本号。一般的值为0100(IPv4),0110(IPv6)
    IP包头长度Header Length长度4比特。这个字段的作用是为了描述IP包头的长度,因为在IP包头中有变长的可选部分。该部分占4个bit位,单位为32bit(4个字节),即本区域值= IP头部长度(单位为bit)/(84),因此,一个IP包头的长度最长为“1111”,即154=60个字节。IP包头最小长度为20字节。
    IP包总长Total Length长度16比特。 以字节为单位计算的IP包的长度 (包括头部和数据),所以IP包最大长度65535字节。
    标识符Identifier长度16比特。该字段和Flags和Fragment Offest字段联合使用,对较大的上层数据包进行分段(fragment)操作。路由器将一个包拆分后,所有拆分开的小包被标记相同的值,以便目的端设备能够区分哪个包属于被拆分开的包的一部分。
    标记(Flags):长度3比特。该字段第一位不使用。第二位是DF(Don’t Fragment)位,DF位设为1时表明路由器不能对该上层数据包分段。如果一个上层数据包无法在不分段的情况下进行转发,则路由器会丢弃该上层数据包并返回一个错误信息。第三位是MF(More Fragments)位,当路由器对一个上层数据包分段,则路由器会在除了最后一个分段的IP包的包头中将MF位设为1。
    片偏移(Fragment Offset):长度13比特。表示该IP包在该组分片包中位置,接收端靠此来组装还原IP包。
    生存时间(TTL):长度8比特。当IP包进行传送时,先会对该字段赋予某个特定的值。当IP包经过每一个沿途的路由器的时候,每个沿途的路由器会将IP包的TTL值减少1。如果TTL减少为0,则该IP包会被丢弃。这个字段可以防止由于路由环路而导致IP包在网络中不停被转发。
    协议Protocol长度8比特。标识了上层所使用的协议。
    头部校验Header Checksum:长度16位。用来做IP头部的正确性检测,但不包含数据部分。 因为每个路由器要改变TTL的值,所以路由器会为每个通过的数据包重新计算这个值。

    问题
    为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
    答:便于传输时的识别IP总长度,因为接收端需要读数据,接收数据当长度超过1500B时就会被返回链路层进行分段,有标明可以有效节省时间。

    实作二 IP 包的分段与重组

    根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
    缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。
    在这里插入图片描述
    此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等

    在这里插入图片描述

    分段标志:Flags
    偏移量:Fragment Offset
    分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
    答:丢弃并通知发送方。

    实作三 考察 TTL 事件

    在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。

    在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。

    请使用 tracert www.baidu.com 命令进行追踪,
    在这里插入图片描述
    此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
    在这里插入图片描述

    主机发送的数据生存周期呈递增变化

    传输层

    实作一 熟悉 TCP 和 UDP 段结构

    用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
    用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。

    TCP报文段
    报文段包括了20~60字节的首部,其中20字节是没有选项的,后面40字节可选。
    源地址端口:16位字段,发送该报文段的主机中应用程序的端口号
    序号:32位字段。指派给本报文段第一个数据字节的编号,TCP传输保证连接性,发送的每个字节都要编上号。序号就是告诉终点,报文段中的第一个字节是序列中的哪个。建立连接时,发收双发使用各自的随机数产生器产生一个初始序号(ISN),通常,两个方向的ISN是不同的。
    确认号:32位字段定义了接收方期望从对方接受的字节编号。如果报文段的接收方成功的接受了对方发过来的编号x的字节,那么返回x+1作为确认号,确认号可以和数据捎带一起发送。
    HLEN:4位,指出TCP首部一共有多少个4字节,所以范围是5~15
    保留:
    控制:定义了6中不同的控制位或者标志位。
    紧急指针:只有当紧急标志置位时URG,该16位的字段才有效。紧急指针定义了一个数值,把这个数值加到序号上就得到版文段数据部分中最后一个紧急字节的编号。

    UDP的分组
    UDP的分组称用户数据报:它有8字节的固定首部
    总长度:16位字段,定义了用户数据报的总长度为0~65535字节。但实际长度肯定比65535小,因为用户数据报要放在总长度为65535的IP数据报中,封装在IP数据报中。因此UDP长度=IP长度-IP首部长度。
    检验和:增加一个伪首部,对于UDP协议来说协议字段的值为17。若在传输过程中这个值发生改变,接收端计算检验和就能检测出来。UDP使用检验和是可选的,如果不计算就将这16位全部填0.

    用wireshark抓包(tcp过滤)
    在这里插入图片描述
    用wireshark抓包(udp过滤)
    在这里插入图片描述
    问题
    由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?

    答:用来“找路”,端口是确定数据到达用户的哪个进程的一种标识。

    实作二 分析 TCP 建立和释放连接

    打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
    在这里插入图片描述
    qige.io的包和数据流
    在这里插入图片描述

    请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
    在这里插入图片描述
    第一次握手:syn=1,ack=0
    第二次握手:syn=1,ack=1
    第三次握手:syn=0,ack=1

    问题一
    去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?

    答:这是因为我们浏览器在访问qige.io的时候,不止一个端口与qige.io建立连接,而是许多端口同时与它建立连接,这样同时进行加载数据,可以提高运行速度。

    问题二
    我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?

    答:因为我们抓包的时间不够长,这建立的是长连接,如果时间不够,连接还没释放,所以有可能抓不到。

    应用层

    实作一 了解 DNS 解析

    先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
    可了解一下 DNS 查询和应答的相关字段的含义

    DNS应答字段含义

    1.QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文
    2.opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态
    3.AA,授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器
    4.TC,截断标志,仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制,所以过长的DNS报文将被截断。1表示DNS报文超过512字节,并被截断
    5.RD,递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。0表示执行迭代查询,即如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供客户端参考
    6.RA,允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询
    7.zero,这3位未用,必须设置为0
    8.rcode,4位返回码,表示应答的状态。常用值有0(无错误)和3(域名不存在)清除缓存

    问题
    你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?

    答:因为计算机域名解析服务器可能有很多个,所以会同时向几个域名解析服务器发出请求。

    实作二:了解HTTP的请求和应答

    打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
    在这里插入图片描述

    在这里插入图片描述

    请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
    请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
    在这里插入图片描述

    状态码:
    1xx:接收到请求且正在处理
    2xx:请求正常处理完毕:eg:200 OK
    3xx:重定向状态,表示浏览器需要进行附加操作
    4xx:服务器无法处理这个请求 eg :404 Page Not Found
    5xx:服务器处理出错 eg:502 Bad Gateway

    URL:是一个相对的URL。是相对下面的Host来说的。两者组合就是一个完整的URL;这里联合http组合之后就是:http://www.people.com.cn/
    版本:HTTP/1.1;

    Host:
    也就是是你要访问的主机的名字;
    Connection:keep-alive
    值代表的意思是保持连接。这样子有利于在你访问的网页中有很多图片等其他资源的时候,可以使用同一个TCP连接接收,而不是针对每一个文件都建立一次TCP/IP的连接。这个也就是课本上面说的“持久连接”。

    建议: HTTP 请求和应答的头部字段值得大家认真的学习,因为基于 Web
    的编程中我们将会大量使用。如:将用户认证的令牌信息放到头部,或者把 cookie 放到头部等。

    ✎ 问题
    刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?

    答:200(成功) 服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。如果是对您的 robots.txt 文件显示此状态码,则表示 Googlebot 已成功检索到该文件。

    304(未修改)
    自从上次请求后,请求的网页未修改过。服务器返回此响应时,不会返回网页内容。
    如果网页自请求者上次请求后再也没有更改过,您应将服务器配置为返回此响应(称为 If-Modified-Since HTTP 标头)。服务器可以告Googlebot 自从上次抓取后网页没有变更,进而节省带宽和开销。

    总结

    提示:以上就是计算机网络的wirshark抓包实验,通过这次实验,我对计算机网络的分层有了更深的理解,也掌握了从下到上各层的构成与协议及各协议的作用,这次实验使我受益匪浅,但是要完全理解计算机网络还有很长的路要走,还需继续努力学习。

    展开全文
  • WireShark抓包分析telnet
  • FTP实验wireshark抓包

    千次阅读 2020-06-19 11:53:49
    2.3抓包分析 2.3.1连接建立 客户端和服务器端主动发起连接请求,并用一个随机源端口号2057,和目的端口号21进行TCP三次握手建立控制通道的TCP连接。 控制通道建立成功后,需要进行身份认证,由于此处我设置的是...
  • wireshark实验抓包分析

    2018-06-15 11:05:39
    wireshark实验抓包分析..........................................
  • 北邮2020 计算机网络抓包实验报告

    千次阅读 2020-07-14 15:18:22
    实验内容和实验环境描述 实验内容: 1)捕获在连接 Internet 过程中产生的网络层分组:DHCP 分组,ARP 分组,IP 数据分组,ICMP 分 组。 2)分析各种分组的格式,说明各种分组在建立网络连接过程中的作用。 3)分析 ...
  • 实验六:Wireshark网络抓包实验

    千次阅读 2021-06-25 20:31:55
    实验六 Wireshark网络抓包实验 一、实验目的 使用Wireshark软件对网卡上的数据包进行抓取,分析数据包各字段的含义。 掌握数据链路层、网络层、运输层常用数据包的定义 掌握相关网络命令 二、实验要求 熟悉...
  • 利用wireshark抓包,GNS3模拟Telne登录
  • 计算机网络Wireshark实验报告

    千次阅读 2022-01-06 23:55:19
    (1)使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 (2)问题:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 答:因为它会把校验字段给...
  • wireshark实现明文抓包

    千次阅读 2021-12-14 15:13:57
    然后打开wireshark抓包,进入eth0网段 然后输入这样的过滤器内容 http and ip.addr==你的ip这样可以更快看到你要找的ip 然后进入原已经打开的4399.com里面进行账号登录 登录后再去wireshark中就可以看到有...
  • 免费下载。通过Wireshark分析HTTP协议 ,并且通过Wireshark分析SMTP和POP3协议。 1、熟悉HTTP协议的工作原理 ...3、熟悉SMTP和POP3协议的工作原理 4、了解SMTP和POP3协议在实际网络中的运行过程 计网上机实验报告~~~
  • Wireshark实验实验准备1.数据链路层1)实作一 熟悉 Ethernet 帧结构2)实作二 了解子网内/外通信时的 MAC 地址3)实作三 掌握 ARP 解析过程2.网络层1)实作一 熟悉 IP 结构2)实作二 IP 的分段与重组3)实作三 ...
  • MSTP模拟实验搭建及测试报告Wireshark抓包分析,内附:拓扑结构、环境配置、测试结果截图、MSTP报文等,用于学习交流。
  • tcp/ip 抓包 wireshark sniffer 实验报告
  • 作业二:wireshark抓包与ping操作

    千次阅读 2021-10-17 20:19:44
    wireshark是一款功能完备的抓包工具,利用这个工具便可以抓取不同协议的数据包。 一、网站数据包的抓取 (1)随意打开网站输入账号与密码,如: (2)利用wireshark进行抓包,并用http.request.method==POST来过滤...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,359
精华内容 543
关键字:

wireshark抓包实验报告

友情链接: ccr.zip