精华内容
下载资源
问答
  • wireshark抓包分析实验报告
    2021-07-24 02:06:05

    西安邮电大学

    《计算机网络技术与应用》

    课内实验报告书

    院系名称

    管理工程学院

    实验题目

    Wireshark抓包工具实验报告

    学生姓名

    易霜霜

    专业名称

    信息管理与信息系统

    班 级

    信管1101

    学号

    02115021

    时间

    2013 年 06月 26日

    实验报告

    实验名称 Wireshark抓包工具

    一、 实验目的

    了解Wireshark的使用方法,利用wireshark对数据报进行分析。

    二、 实验内容

    用wireshark 抓包,然后对数据进行分析,抓UDP和FTP的包。然后对它们进行分析。

    三、 设计与实现过程

    (1)安装wireshark软件,并熟悉wireshark软件的使用。

    (2)完成物理机器的操作系统(host os)与虚拟机中操作系统(guest os),在物理机上设置虚拟网卡,设置host os和guest os的IP地址,分别为192.168.228.1和192.168.228.2.

    (3)在guest os上配置各种网络服务,包括有:Web、Email、DNS、FTP。

    (4)在host os上启动wireshark抓包,从host os访问guest os上的各种服务,完成抓包实验。

    1. UDP协议分析

    由于DNS委托的是UDP协议提供传输服务,所以我们以DNS查询中的UDP数据报为例,分析其首部的封装形式

    User Datagram Procol(用户数据报协议):

    首部长度20字节;

    总长度164字节;

    协议为UDP协议,协议号为17;

    首部校验和:0x07b4;

    源端口号Source Port no.56254;

    目标端口号Destination Port no.plysrv-https(6771);

    长度:144字节;

    数据部分:136字节;

    在计算检验和时,临时把“伪首部”和 UDP 用户数据报连接在一起。伪首部仅仅是为了计算检验和,而不参与传输过程;

    2. FTP协议分析

    在guest os中配置好FTP服务器后,在host os中以管理员身份打开命令模式,输入#ftp,ftp>open 192.168.228.2(即在guest os中配置的IP地址),用户名为anonymous(匿名),密码为任意类型的邮箱地址,logged in表示成功登录,如图4.38所示。输入?,查看帮助中的命令。

    File Transfer Protocol(文件传输协议):

    源端口号:21(ftp);

    目标端口号:de-cache-query (1255);

    Sequence number为190;

    ACK=82;

    FTP收到open ASCII mode data connection for /bin/ls.\r\n指令;

    回复客户端:文件数据已准备就绪,将要打开数据连接;

    三、 设计技巧及体会

    一开始的时候会抓包不会分析,久了之后有了经验。我们可以根据二进制码和上面的英文分析相结合来看每个数据。能从二进制里看到目的地址、源地址、采用的协议。抓到的数据会从数据链路层的mac地址和网络层的地址分析。其实操作很简单,看到了抓就行。但是分析才是最重要的,动脑子想,每一行代表什么意思,慢慢学习,就慢慢会了。

    展开阅读全文

    更多相关内容
  • wireshark抓包实验

    2018-07-09 02:40:08
    wireshark网络抓包,TCP,UDP的抓包,包括三次握手,四次挥手。
  • 使用wireshark进行抓包分析实验报告.pdf
  • MSTP模拟实验搭建及测试报告Wireshark抓包分析,内附:拓扑结构、环境配置、测试结果截图、MSTP报文等,用于学习交流。
  • 利用wireshark抓包,GNS3模拟Telne登录
  • 实验Wireshark网络抓包实验 1 实验目的 使用Wireshark软件对网卡上的数据包进行抓取,分析数据包各字段的含义。 掌握数据链路层、网络层、运输层常用数据包的定义 掌握相关网络命令 2 实验环境 Wireshark...
  • 使用Wireshark工具对自己电脑的WLAN端口进行抓包分析其访问一个网站(如www.baidu.com)的过程及所使用的协议,并对HTTP客户请求报文和HTTP服务器响应报文格式进行分析。完成如下任务: 1. 给出HTTP请求报文和响应...
  • 使用wireshark抓包软件分析微信协议 计算机网络大作业 压缩包包含做实验时候配套抓取的包文件 超级详细- -,不服找我,写了好久
  • . . . . . 深 圳 大 学 实 验 报 告 实验课程名称 计算机网络 实验项目名称 使用wireshark进行协议分析 ...2013/6/10 实验报告提交时间 2013/6/10 教务处制 实验目的与要求 学习使用网络数据抓包软件.学习使用网络数据
  • Wireshark抓包——TCP协议分析

    万次阅读 多人点赞 2019-06-11 00:34:17
    一. 实验目的 通过本次实验,掌握使用Wireshark抓取TCP/IP协议数据包的技能,...1.本次实验重点:利用Wireshark抓TCP及TCP分析。 2.本次实验难点:分析抓到的TCP。 3.本次实验环境:Windows 7,Wiresha...

    一. 实验目的

    通过本次实验,掌握使用Wireshark抓取TCP/IP协议数据包的技能,能够深入分析TCP帧格式及“TCP三次握手”。通过抓包和分析数据包来理解TCP/IP协议,进一步提高理论联系实践的能力。

    二. 实验内容

    1.本次实验重点:利用Wireshark抓TCP包及TCP包的分析。

    2.本次实验难点:分析抓到的TCP包

    3.本次实验环境:Windows 7,Wireshark

    4.本次实验内容:

    TCP协议是在计算机网络中使用最广泛的协议,很多的应用服务如FTP,HTTP,SMTP等在传输层都采用TCP协议,因此,如果要抓取TCP协议的数据包,可以在抓取相应的网络服务的数据包后,分析TCP协议数据包,深入理解协议封装,协议控制过程以及数据承载过程。两幅图分别是TCP帧格式及TCP三次握手。

    三.实验过程

    1. TCP包抓取及分析过程如下:

    第一步,确定使用的协议,使用HTTP服务。选择http://www.sina.com.cn/作为目标地址。

    第二步,启动抓包:点击【start】开始抓包,在浏览器地址栏输入http://www.sina.com.cn。

    第三步,通过显示过滤器得到先关数据包:通过抓包获得大量的数据包,为了对数据包分析的方便,需要使用过滤器,添加本机IP地址和TCP协议过滤条件。

    (1)打开命令提示符,通过ipconfig /all来查看本机IP地址。

    (2)在工具栏上的Filter对话框中填入过滤条件:tcp and ip.addr==196.168.100.131,过滤结果如下:

    结果发现效果不是很好,于是将过滤条件中的IP地址更换为http://www.sina.com.cn的IP地址,操作过程如下:

    (1)打开命令提示符,通过ping www.sina.com.cn来查看目标IP地址。

    (2)打开命在工具栏上的Filter对话框中填入过滤条件:tcp and ip.addr==218.30.66.248,过滤结果如下:

    其中,红色框内即为一个三次握手过程:

    第四步,分析TCP数据包,根据第一幅图中的数据帧格式,分析TCP包的各部分。

    • 原端口/目的端口(16bit)。如下图所示,源端口为443,标识了发送进程;目的端口为3201,标识了接收方进程。

    • 序列号(32bit)。如下图所示,发送序列号Sequence Number为0,标识从源端向目的端发送的数据字节流,它表示在这个报文端中的第一个数据字节的顺序号,序列号是32位的无符号类型,序号表达达到2^32 - 1后又从0开始, 当建立一个新的连接时,SYN标志为1,系列号将由主机随机选择一个顺序号ISN(Initial Sequence Number)。

    • 确认号(32bit)。如下图所示,确认号Acknowledgment Number为1,包涵了发送确认一端所期望收到的下一个顺序号。因此确认序列号应当是上次成功接收到数据的顺序号加1。只有ACK标志为1时确认序号字段才有效。TCP为应用层提供全双工服务,这意味着数据能在两个方向上独立的进行传输,因此连接的两断必须要保证每个方向上的传输数据顺序。

    • 偏移(4bit)。如下图所示,偏移32bytes,这里的偏移实际指的是TCP首部的长度Header length,它用来表明TCP首部中32bit字的数目,通过它可以知道一个TCP包它的用户数据从哪里开始。

    • 保留位(6bit)。如下图所示,保留位Reserved未设置。

    • 标志(6bit)。在TCP首部中有6个标志比特,他们中的多个可同时被置为1。如下图所示:

    URG(Urgent Pointer Field Significant):紧急指针标志,用来保证TCP连接不被中断,并且督促中间设备尽快处理这些数据,图中其值为1。

    ACK(Acknowledgement Field Signigicant):确认号字段,该字段为1时表示应答字段有效,即TCP应答号将包含在TCP报文中,图中其值为1。

    PSH(Push Function): 推送功能,所谓推送功能指的是接收端在接收到数据后立即推送给应用程序,而不是在缓冲区中排队,图中其值为0。

    RST(Reset the connection): 重置连接,不过一搬表示断开一个连接,图中其值为0。

    SYN(Synchronize sequence numbers):同步序列号,用来发起一个连接请求,图中其值为1。

    FIN(No more data from sender)表示发送端发送任务已经完成(既断开连接)。

    • 窗口大小(16bit)。 如下图所示,窗口大小Windows size value为29200,表示源主机最大能接收29200字节。

    • 校验和(16bit)。如下图所示,校验和Checksum为0xc24f,包含TCP首部和TCP数据段,这是一个强制性的字段,一定是由发送端计算和存储,由接收端进行验证。

    • 紧急指针(16bit)。如下图所示,URG标志为1,只有当URG标志置为1时该字段才有效,紧急指针是一个正的偏移量,和序号字段中的值相加表示紧急数据最后一个字节的序号。TCP的紧急方式是发送端向另一段发送紧急数据的一种方式。

    • TCP选项。至少1个字节的可变长字段,标识哪个选项有效。Kind=0:选项表结束, Kind=1:无操作, Kind=2:最大报文段长度,Kind=3:窗口扩大因子, Kind=8:时间戳。如下图所示,Kind为2,代表最大报文长度MSS size。

    • 数据部分。当前数据包的数据部分,如下图所示:

    2. TCP三次握手:

    第一次握手数据包:客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接,如下图所示(第一条):

    第二次握手的数据包:服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1,如下图所示(第二条):

    第三次握手的数据包:客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方。在进过三次握手后和服务器建立了TCP连接,如下图所示(第三条):

    展开全文
  • 计算机网络-Wireshark 实验 Wireshark 计算机网络-Wireshark 实验Wireshark 实验一、数据链路层1.实作一熟悉 Ethernet 帧结构2.实作二 了解子网内/外通信时的 MAC 地址1.ping 你旁边的计算机(同一子网)2. ping ...

    Wireshark抓包以及数据解析(计算机网络实验二)

    目录

    本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark 进行,请根据简介部分自行下载安装;
    准备
    请自行查找或使用如下参考资料,了解 Wireshark 的基本使用:
    选择对哪块网卡进行数据包捕获
    开始/停止捕获
    了解 Wireshark 主要窗口区域
    设置数据包的过滤
    跟踪数据流

    一、数据链路层


    数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机网络层。
    在这里插入图片描述

    1.实作一熟悉 Ethernet 帧结构

    使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等;
    在这里插入图片描述
    问题
    你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因?
    有时校验和会由网卡计算,这时wireshark抓到的本机发送的数据包的校验和都是错误的,因此默认关闭WireShark自身校验。

    2.实作二 了解子网内/外通信时的 MAC 地址

    1.ping 你旁边的计算机(同一子网)

    用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析);记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
    在这里插入图片描述
    在这里插入图片描述

    2. ping qige.io (或者本子网外的主机都可以)

    同时用 Wireshark 抓这些包(可 icmp 过滤);记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
    在这里插入图片描述
    在这里插入图片描述

    3. ping www.cqjtu.edu.cn (或者本子网外的主机都可以)

    同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
    在这里插入图片描述
    在这里插入图片描述

    3.实作三 掌握 ARP 解析过程

    为防止干扰,先使用arp -d * 命令清空 arp 缓存
    ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
    在这里插入图片描述
    在这里插入图片描述
    再次使用 arp -d *命令清空 arp 缓存
    然后ping qige.io(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
    在这里插入图片描述
    在这里插入图片描述
    请求时的源ip地址与应答时的目的ip相同;应答时的源ip地址与请求的目的ip相同。
    问题
    通过以上的实验,你会发现:
    1.访问本子网的计算机时,目的 MAC 就是该主机的
    2.访问非本子网的计算机时,目的 MAC 是网关的
    请问原因是什么?
    访问非子网计算机时是通过路由器转接的,MAC地址是接入路由器端口的地址,再通过路由器发给相应计算机

    二、网络层

    1.实作一 熟悉 IP 包结构

    使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    问题
    为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
    为传输时识别ip长度节约时间

    2.实作二 IP 包的分段与重组

    根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
    缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
    在这里插入图片描述
    在这里插入图片描述
    问题
    分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
    发送到可以支持这个数据报的出链路上面

    3.实作三考察 TTL 事件

    在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等
    在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
    请使用tracert www.baidu.com命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
    在这里插入图片描述
    在这里插入图片描述
    问题
    在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
    此包到源点有50跳

    三、传输层

    1.实作一 熟悉 TCP 和 UDP 段结构

    1.tcp

    用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
    在这里插入图片描述
    在这里插入图片描述

    2.udp

    用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
    在这里插入图片描述
    在这里插入图片描述
    问题
    由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
    端口用于进程的识别,源端口识别发起通信的进程;目的端口识别接收通信的进程;端口可保障通信的正常进行,不至于发生紊乱。

    2.实作二 分析 TCP 建立和释放连接

    打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
    在这里插入图片描述
    请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。tcp连接
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
    tcp告知发送完成,释放链接
    问题1
    去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
    有时候抓到的包用rtsp过滤了之后,存在多个tcp连接,导致用follow tcp stream功能查看时,找不到想看的数据,这时候就要分清楚抓到的包是否包含了多个rtsp连接的数据。然后找到正确的连接,再使用follow tcp stream功能
    问题2
    我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
    因为第二次和第三次合并,如果对方没有数据发给本端,也会发送FIN给本端,用于关闭从对方到本端的连接,这时候就可能出现ACK和FIN合在一起的情况。

    四、应用层

    应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析

    1.实作一 了解 DNS 解析

    先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
    清除缓存命令:ipconfig/flushdns
    在这里插入图片描述
    解析命令:nslookup qige.io
    在这里插入图片描述
    在这里插入图片描述
    你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
    在这里插入图片描述
    可了解一下 DNS 查询和应答的相关字段的含义;
    DNS查询和应答报文详解.
    问题
    你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
    例如,对域名www.google.com进行解析就会出现这样的结果。产生这样的结果是为了使google这个谷歌服务器的负载得到平衡(因为每天访问这个站点的次数非常多)。因此这个网站就设有好几个计算机,每一个计算机都运行同样的服务器软件。这些计算机的IP地址当然都是不一样的,但它们的域名却是相同的。这样,第一个访问该网址的就得到第一个计算机的IP地址,而第二个访问者就得到第二个计算机的IP地址等等。这样可使每一个计算机的负荷不会太大
    百度例题: 对同一个域名向DNS服务器发出好几次的DNS请求报文后,每一次得到的ip地址都不一样,这可能吗?.

    2.实作二 了解 HTTP 的请求和应答

    打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
    在这里插入图片描述
    在这里插入图片描述
    请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么(GET)命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    请在你捕获的包中找到 HTTP 应答包,查看应答的代码是(200)什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义
    在这里插入图片描述
    在这里插入图片描述
    问题
    刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
    服务器告诉浏览器当前请求的资源上一次修改的时间是这个时间。浏览器第二次发送请求的时候,告诉浏览器我上次请求的资源现在还在自己的缓存中,如果你那边这个资源还没有修改,就可以不用传送应答体给我了。服务器根据浏览器传来的时间发现和当前请求资源的修改时间一致,就应答304,表示不传应答体了,从缓存里取。

    五、总结

    通过这次实验,对数据的传输以及网络通信有了更深层次的理解,懂得了网络层的ip包组成,传输层协议的应用;对数据的理解也更加深刻。

    六、 参考资料

    Wireshark 实验.
    fiddler抓包分析http code之304.

    展开全文
  • Wireshark实验 前言 本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。 准备 了解 Wireshark 的基本使用: 选择对哪块网卡进行数据包捕获 开始/停止捕获 了解 Wireshark 主要窗口区域 ...

    Wireshark实验


    前言

    本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。


    准备

    了解 Wireshark 的基本使用:

    wireshark用途
    1.网络管理员使用它来解决网络问题
    2.网络安全工程师使用它来检查安全问题
    3.质量检查工程师使用它来验证网络应用
    4.开发人员使用它来调试协议实现
    5.人们用它来学习网络协议内部

    数据链路层

    实作一 熟悉 Ethernet 帧结构

    使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。在这里插入图片描述
    在这里插入图片描述
    目的MAC与源MAC
    在这里插入图片描述
    类型
    在这里插入图片描述
    你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因
    答:wireshark把尾部四个字节的校验字段给过滤了。

    实作二 了解子网内/外通信时的 MAC 地址

    ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

    在这里插入图片描述
    在这里插入图片描述
    目的MAC是主机的

    然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址在这里插入图片描述
    这个 MAC 地址是谁的?
    目的MAC是网关的

    再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?

    ping baidu.com
    在这里插入图片描述

    目的MAC是网关的

    通过以上的实验,你会发现:

    访问本子网的计算机时,目的 MAC 就是该主机的
    访问非本子网的计算机时,目的 MAC 是网关的
    请问原因是什么?
    不出入子网不需要经过网关,所以MAC是主机的
    网关是出入本子网和其他子网需要到达的地方,所以目的MAC是网关的

    实作三 掌握 ARP 解析过程

    为防止干扰,先使用 arp -d * 命令清空 arp 缓存

    这步出现了“ARP项删除失败,请求操作需要提升”
    解决方法:右键,点击Window PowerShell,进入管理员界面,输入arp -a

    ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
    再次使用 arp -d * 命令清空 arp 缓存
    然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。

    结论:如果访问的是计算机所处的本子网的ip,那么ARP解析协议将会直接得到该ip对应的Mac地址,但是如果访问的是非本子网的ip,那么ARP解析将直接得到网关的mac地址。所以要想访问对方,在处于同一子网的条件下,应该知道对方的MAC地址,但是不处于同一子网,需要知道对方所处子网网关的Mac地址。
    因为ARP代理,访问非子网IP时是通过路由器访问的,路由器再把发出去,目标IP收到请求后,再通过路由器端口IP返回回去,那么ARP解析将会得到网关的MAC。

    网络层

    实作一 熟悉 IP 包结构

    使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段

    在这里插入图片描述
    可以观察到
    版本:IPV4;头部长度:20 bytes
    总体长度:68;存活时间TTL:63s

    版本号(Version):长度4比特。标识目前采用的IP协议的版本号。一般的值为0100(IPv4),0110(IPv6)
    IP包头长度Header Length长度4比特。这个字段的作用是为了描述IP包头的长度,因为在IP包头中有变长的可选部分。该部分占4个bit位,单位为32bit(4个字节),即本区域值= IP头部长度(单位为bit)/(84),因此,一个IP包头的长度最长为“1111”,即154=60个字节。IP包头最小长度为20字节。
    IP包总长Total Length长度16比特。 以字节为单位计算的IP包的长度 (包括头部和数据),所以IP包最大长度65535字节。
    标识符Identifier长度16比特。该字段和Flags和Fragment Offest字段联合使用,对较大的上层数据包进行分段(fragment)操作。路由器将一个包拆分后,所有拆分开的小包被标记相同的值,以便目的端设备能够区分哪个包属于被拆分开的包的一部分。
    标记(Flags):长度3比特。该字段第一位不使用。第二位是DF(Don’t Fragment)位,DF位设为1时表明路由器不能对该上层数据包分段。如果一个上层数据包无法在不分段的情况下进行转发,则路由器会丢弃该上层数据包并返回一个错误信息。第三位是MF(More Fragments)位,当路由器对一个上层数据包分段,则路由器会在除了最后一个分段的IP包的包头中将MF位设为1。
    片偏移(Fragment Offset):长度13比特。表示该IP包在该组分片包中位置,接收端靠此来组装还原IP包。
    生存时间(TTL):长度8比特。当IP包进行传送时,先会对该字段赋予某个特定的值。当IP包经过每一个沿途的路由器的时候,每个沿途的路由器会将IP包的TTL值减少1。如果TTL减少为0,则该IP包会被丢弃。这个字段可以防止由于路由环路而导致IP包在网络中不停被转发。
    协议Protocol长度8比特。标识了上层所使用的协议。
    头部校验Header Checksum:长度16位。用来做IP头部的正确性检测,但不包含数据部分。 因为每个路由器要改变TTL的值,所以路由器会为每个通过的数据包重新计算这个值。

    问题
    为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
    答:便于传输时的识别IP总长度,因为接收端需要读数据,接收数据当长度超过1500B时就会被返回链路层进行分段,有标明可以有效节省时间。

    实作二 IP 包的分段与重组

    根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
    缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。
    在这里插入图片描述
    此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等

    在这里插入图片描述

    分段标志:Flags
    偏移量:Fragment Offset
    分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
    答:丢弃并通知发送方。

    实作三 考察 TTL 事件

    在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。

    在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。

    请使用 tracert www.baidu.com 命令进行追踪,
    在这里插入图片描述
    此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
    在这里插入图片描述

    主机发送的数据生存周期呈递增变化

    传输层

    实作一 熟悉 TCP 和 UDP 段结构

    用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
    用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。

    TCP报文段
    报文段包括了20~60字节的首部,其中20字节是没有选项的,后面40字节可选。
    源地址端口:16位字段,发送该报文段的主机中应用程序的端口号
    序号:32位字段。指派给本报文段第一个数据字节的编号,TCP传输保证连接性,发送的每个字节都要编上号。序号就是告诉终点,报文段中的第一个字节是序列中的哪个。建立连接时,发收双发使用各自的随机数产生器产生一个初始序号(ISN),通常,两个方向的ISN是不同的。
    确认号:32位字段定义了接收方期望从对方接受的字节编号。如果报文段的接收方成功的接受了对方发过来的编号x的字节,那么返回x+1作为确认号,确认号可以和数据捎带一起发送。
    HLEN:4位,指出TCP首部一共有多少个4字节,所以范围是5~15
    保留:
    控制:定义了6中不同的控制位或者标志位。
    紧急指针:只有当紧急标志置位时URG,该16位的字段才有效。紧急指针定义了一个数值,把这个数值加到序号上就得到版文段数据部分中最后一个紧急字节的编号。

    UDP的分组
    UDP的分组称用户数据报:它有8字节的固定首部
    总长度:16位字段,定义了用户数据报的总长度为0~65535字节。但实际长度肯定比65535小,因为用户数据报要放在总长度为65535的IP数据报中,封装在IP数据报中。因此UDP长度=IP长度-IP首部长度。
    检验和:增加一个伪首部,对于UDP协议来说协议字段的值为17。若在传输过程中这个值发生改变,接收端计算检验和就能检测出来。UDP使用检验和是可选的,如果不计算就将这16位全部填0.

    用wireshark抓包(tcp过滤)
    在这里插入图片描述
    用wireshark抓包(udp过滤)
    在这里插入图片描述
    问题
    由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?

    答:用来“找路”,端口是确定数据到达用户的哪个进程的一种标识。

    实作二 分析 TCP 建立和释放连接

    打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
    在这里插入图片描述
    qige.io的包和数据流
    在这里插入图片描述

    请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
    在这里插入图片描述
    第一次握手:syn=1,ack=0
    第二次握手:syn=1,ack=1
    第三次握手:syn=0,ack=1

    问题一
    去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?

    答:这是因为我们浏览器在访问qige.io的时候,不止一个端口与qige.io建立连接,而是许多端口同时与它建立连接,这样同时进行加载数据,可以提高运行速度。

    问题二
    我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?

    答:因为我们抓包的时间不够长,这建立的是长连接,如果时间不够,连接还没释放,所以有可能抓不到。

    应用层

    实作一 了解 DNS 解析

    先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
    可了解一下 DNS 查询和应答的相关字段的含义

    DNS应答字段含义

    1.QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文
    2.opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态
    3.AA,授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器
    4.TC,截断标志,仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制,所以过长的DNS报文将被截断。1表示DNS报文超过512字节,并被截断
    5.RD,递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。0表示执行迭代查询,即如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供客户端参考
    6.RA,允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询
    7.zero,这3位未用,必须设置为0
    8.rcode,4位返回码,表示应答的状态。常用值有0(无错误)和3(域名不存在)清除缓存

    问题
    你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?

    答:因为计算机域名解析服务器可能有很多个,所以会同时向几个域名解析服务器发出请求。

    实作二:了解HTTP的请求和应答

    打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
    在这里插入图片描述

    在这里插入图片描述

    请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
    请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
    在这里插入图片描述

    状态码:
    1xx:接收到请求且正在处理
    2xx:请求正常处理完毕:eg:200 OK
    3xx:重定向状态,表示浏览器需要进行附加操作
    4xx:服务器无法处理这个请求 eg :404 Page Not Found
    5xx:服务器处理出错 eg:502 Bad Gateway

    URL:是一个相对的URL。是相对下面的Host来说的。两者组合就是一个完整的URL;这里联合http组合之后就是:http://www.people.com.cn/
    版本:HTTP/1.1;

    Host:
    也就是是你要访问的主机的名字;
    Connection:keep-alive
    值代表的意思是保持连接。这样子有利于在你访问的网页中有很多图片等其他资源的时候,可以使用同一个TCP连接接收,而不是针对每一个文件都建立一次TCP/IP的连接。这个也就是课本上面说的“持久连接”。

    建议: HTTP 请求和应答的头部字段值得大家认真的学习,因为基于 Web
    的编程中我们将会大量使用。如:将用户认证的令牌信息放到头部,或者把 cookie 放到头部等。

    ✎ 问题
    刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?

    答:200(成功) 服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。如果是对您的 robots.txt 文件显示此状态码,则表示 Googlebot 已成功检索到该文件。

    304(未修改)
    自从上次请求后,请求的网页未修改过。服务器返回此响应时,不会返回网页内容。
    如果网页自请求者上次请求后再也没有更改过,您应将服务器配置为返回此响应(称为 If-Modified-Since HTTP 标头)。服务器可以告Googlebot 自从上次抓取后网页没有变更,进而节省带宽和开销。

    总结

    提示:以上就是计算机网络的wirshark抓包实验,通过这次实验,我对计算机网络的分层有了更深的理解,也掌握了从下到上各层的构成与协议及各协议的作用,这次实验使我受益匪浅,但是要完全理解计算机网络还有很长的路要走,还需继续努力学习。

    展开全文
  • 实验六:Wireshark网络抓包实验

    千次阅读 2021-06-25 20:31:55
    实验Wireshark网络抓包实验 一、实验目的 使用Wireshark软件对网卡上的数据包进行抓取,分析数据包各字段的含义。 掌握数据链路层、网络层、运输层常用数据包的定义 掌握相关网络命令 二、实验要求 熟悉...
  • 使用wireshark抓包分析,并且将特殊字段进行分析。
  • 分析相关功能所抓取的数据包和完整大作业报告(word版)均已上传至Wireshark抓包分析微信功能----tcp/ip选修课期末大作业-网络监控文档类资源-CSDN文库 适合Wireshark入门的小伙伴们或者赶计算机网络期末大作业...
  • wireshark 抓包实验

    2021-10-03 14:13:17
    ARP ARP:完成从IP地址到MAC地址的映射。 主机知道192.168.0.195这个IP地址,但不知道目标的MAC地址是啥,所以发个广播问一问。 然后接下来有个应答,人告诉我192.168.0.195的MAC地址是什么 ICMP
  • 实 验 报 告 实验课程名称 实验项目名称 计算机网络 使用 wireshark 进行协议分析 学院 计算机与软件学院 专业 计算机科学与技术 报告人 邓清津 学号 2011150146 班级 2 班 同组人 指导教师 实验时间 实验报告提交...
  • 抓包实验报告

    2014-01-04 23:40:54
    Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。
  • 计算机网络Wireshark实验报告

    千次阅读 2022-01-06 23:55:19
    (1)使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 (2)问题:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 答:因为它会把校验字段给...
  • Wireshark抓包分析交换机工作原理

    千次阅读 2020-04-15 14:38:26
    实验名称】 交换机工作原理 【实验目的】 1、熟悉Linux虚拟网络环境; 2、熟悉Linux中network namespace的...5、熟悉Linux中网络分析软件Wireshark的基本操作; 6、观察交换机(Bridge)的工作过程,分析并掌...
  • 使用wireshark抓包分析TCP三次握手

    千次阅读 2022-05-17 10:55:23
    ②启动Wireshark软件,点击开始抓包后。在浏览器地址输入https://www.baidu.com/ ③在Wireshark软件中使用过滤器,添加本机IP地址和TCP协议过滤条件 2、开始实验 ①获取IP双方IP地址(便于过滤) 获取本机IP地址 ...
  • 摘要: WireShark基本使用,TCP报文分析,Http报文分析,顺便复习下TCP/IP,HTTP的知识点。 TCP协议 TCP是一种面向连接的,可靠的基于字节流的传输层协议。 它的报文格式为: (挺多字段的,挑重点的理解一下:) ...
  • tcp/ip 抓包 wireshark sniffer 实验报告
  • PAGE 19中国地质大学(武汉)计算机学院计算机网络原理课程设计报告姓 名:学 号:联系方式:邮 件:指导老师:二○一二年七月目录WireShark抓包分析TCP三次握手和四次握手实验1、实验思路………………………………...
  • wireshark抓包实验机协议分析.doc

    千次阅读 2021-07-29 03:34:17
    Wireshark抓包分析实验学生姓名: 夏效程学号: V200748016任务分配日期:2009-12-16课程名称: 计算机组网技术WireShark实验报告 : 用Wireshark完成计算机网络协议分析报告开始时间: 2009-12-16报告截至日期: ...
  • 浙江大学城市学院实验报告 ...注意: 务请保存好各自的源代码及实验报告文档,已备后用。 请把实验报告和实验项目放在一个文件夹(如实验01...通过使用Wireshark分析网络协议。 了解钉钉软件中认证、聊天、文件传输协议。
  • 【计算机网络实验 ——wireshark抓包简要分析TCP、UDP协议】 (1)分析 TCPheader: Source Port:16bit源端口,数据发起者的端口号; Destination Port:16bit目的端口,数据接收方的端口号; Sequence Number:32...
  • Wireshark抓包实验

    万次阅读 多人点赞 2017-01-07 15:35:17
    Wireshark抓包 本实例详细介绍了怎样利用Wireshark对网络通信流量进行抓包,包括对TCP,ARP,UDP和ICMP等协议进行抓包分析
  • 使用wireshark抓包软件分析微信协议--zucc

    万次阅读 多人点赞 2019-06-07 21:11:56
    因为csdn自动压缩了上传的图片,导致看到的图片不太精确,稍后将发布可以下载的文档说明 下载地址,可以看到超清的图片,请自行下载 ...使用mac进行wireshark抓包,并选择使用客户端微信,同时...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,182
精华内容 472
热门标签
关键字:

wireshark抓包分析实验报告

友情链接: AppletPlayground-master.zip