1、Wireshark抓包及分析實驗學生姓名： 夏效程 學號： V200748016 任務分配日期：2009-12-16課程名稱： 計算機組網技術 WireShark實驗報告 : 用Wireshark完成計算機網絡協議分析報告開始時間: 2009-12-16 報告截至日期: 2009-12-30一 實驗的目的本次實驗的目的就是要學會wireshark抓包軟件的基本使用方法，wireshark抓包的基本過程，以及對所抓到的數據包進行詳細的分析并能很好的李杰一些基本的數據的含義。能達到對網絡數據的基本的監控和查詢的能力。實驗一 802.3協議分析和以太網（一）實驗目的1、分析802.3協議2、熟悉以太

2、網幀的格式、了解ARP、ICMP、IP數據包格式實驗步驟：1、捕獲并分析以太幀 （1）清空瀏覽器緩存（在IE窗口中，選擇“工具/Internet選項/刪除文件”命令）。如下圖 （2）啟動WireShark，開始分組捕獲。 （3）在瀏覽器的地址欄中輸入： 瀏覽器將顯示華科大主頁。如下圖所示： （4）停止分組捕獲。首先，找到你的主機向服務器發送的HTTP GET消息的Segment序號，以及服務器發送到你主機上的HTTP 響應消息的序號。http的segement段序號是47 45 54如下圖：由下圖可以得到服務器發送到我主機上的http響應消息的序號是：由上圖可知為44 ： 1、你的主機的48位

3、以太網地址(MAC地址)是多少？我的主機的mac地址是： 2、目標MAC地址是服務器的MAC地址嗎？如果不是，該地址是什么設備的MAC地址？不是服務器的MAC地址；該地址是網關的地址。 3、給出Frame頭部Type字段(2字節)的十六進制值。十六進制的值是08 00如圖所示： 4、在包含“HTTP GET”的以太網幀中，字符“G”的位置(是第幾個字節，假設Frame頭部第一個字節的順序為1)？如果frame得頭部為順序1，則“G”的位置為67。如下圖所示： 5、以太Frame的源MAC地址是多少？該地址是你主機的MAC地址嗎？是服務器的MAC地址嗎？如果不是，該地址是什么設備的MAC地址？由

4、上圖可以得到：源mac地址為：00:1a:a9:1c:07:19該mac地址既不是我主機的mac地址也不是web服務器的mac地址，他是網關地址。Frame的源地址是 6、以太網幀的目的MAC地址是多少？該地址是你主機的地址嗎？上面的00:13:8f:3a:81:f0就是以太幀的mac地址。該地址是我的主機地址。 7、給出Frame頭部2-字節Type字段的十六進制值。由上圖可以知道08:00就是type的值。 8、在包含“OK”以太網幀中，從該幀的第一個字節算起，”O”是第幾個字節？由下圖可以知道o的地址是：15 9、寫下你主機ARP緩存中的內容。其中每一列的含義是什么？以上的顯示寫的依次是

5、：interface：就是自己主機的ip地址，下面的就是默認網關的ip地址，后面的四十八位的十六進制的數是默認網關的mac地址。 10、包含ARP請求報文的以太網幀的源地址和目的地址的十六進制值各是多少？由下圖可以知道源mac地址是：00:1a:1c:07:19目的mac地址是：FF:FF:FF:FF:FF:FF 11、給出Frame頭部Type字段的十六進制值。由上圖可以知道：十六進制的值是：08 06 12、從/innotes/std/std37.txt處下載ARP規范說明。在http:/www.erg.abdn.ac.uk/users/gor

6、ry/course/inet-pages/arp.html處有一個關于ARP的討論網頁。根據操作回答： 形成ARP響應報文的以太網幀中，ARP-payload部分opcode字段的值是多少？由上面的圖可以知道opcode的值是00 01 在ARP報文中是否包含發送方的IP地址？包含發送方的ip地址，但是是默認網關的ip地址 13、包含ARP響應(reply)報文的以太網幀中，源地址和目的地址的十六進制值各是多少？以上的de 14 6e fe為源地址的值上面的顯示的de 14 6e 27是目的地址的值。實驗三 TCP協議分析（一）實驗目的及任務1、熟悉TCP協議的基本原理2、利用WireShar

7、k對TCP協議進行分析（二）實驗環境1、與因特網連接的計算機網絡系統；操作系統為Windows；WireShark、IE等軟件。2、預備知識要深入理解網絡協議，需要仔細觀察協議實體之間交換的報文序列。為探究協議操作細節，可使協議實體執行某些動作，觀察這些動作及其影響。這些任務可以在仿真環境下或在如因特網這樣的真實網絡環境中完成。觀察在正在運行協議實體間交換報文的基本工具被稱為分組嗅探器（packet sniffer）。顧名思義，一個分組嗅探器捕獲（嗅探）計算機發送和接收的報文。一般情況下，分組嗅探器將存儲和顯示出被捕獲報文的各協議頭部字段內容。在WireShark介紹部分Figure 1為一個

8、分組嗅探器的結構。Figure 1右邊是計算機上正常運行的協議（在這里是因特網協議）和應用程序（如：web瀏覽器和ftp客戶端）。分組嗅探器（虛線框中的部分）是附加計算機普通軟件上的，主要有兩部分組成。分組捕獲庫接收計算機發送和接收的每一個鏈路層幀的拷貝。高層協議（如：HTTP、FTP、TCP、UDP、DNS、IP等）交換的報文都被封裝在鏈路層幀(Frame)中，并沿著物理介質（如以太網的電纜）傳輸。Figure 1假設所使用的物理媒體是以太網，上層協議的報文最終封裝在以太網幀中。分組嗅探器的第二個組成部分是分析器。分析器用來顯示協議報文所有字段的內容。為此，分析器必須能夠理解協議所交換的所有

9、報文的結構。例如：我們要顯示Figure 1中HTTP協議所交換的報文的各個字段。分組分析器理解以太網幀格式，能夠識別包含在幀中的IP數據報。分組分析器也要理解IP數據報的格式，并能從IP數據報中提取出TCP報文段。然后，它需要理解TCP報文段，并能夠從中提取出HTTP消息。最后，它需要理解HTTP消息。WireShark是一種可以運行在Windows, UNIX, Linux等操作系統上的分組分析器。最初，各窗口中并無數據顯示。WireShark的界面主要有五個組成部分：命令菜單（command menus）：命令菜單位于窗口的最頂部，是標準的下拉式菜單。最常用菜單命令有兩個：File、Ca

10、pture。File菜單允許你保存捕獲的分組數據或打開一個已被保存的捕獲分組數據文件或退出WireShark程序。Capture菜單允許你開始捕獲分組。 捕獲分組列表（listing of captured packets）：按行顯示已被捕獲的分組內容，其中包括：WireShark賦予的分組序號、捕獲時間、分組的源地址和目的地址、協議類型、分組中所包含的協議說明信息。單擊某一列的列名，可以使分組按指定列進行排序。在該列表中，所顯示的協議類型是發送或接收分組的最高層協議的類型。分組頭部明細（details of selected packet header）：顯示捕獲分組列表窗口中被選中分組的頭

11、部詳細信息。包括：與以太網幀有關的信息，與包含在該分組中的IP數據報有關的信息。單擊以太網幀或IP數據報所在行左邊的向右或向下的箭頭可以展開或最小化相關信息。另外，如果利用TCP或UDP承載分組，WireShark也會顯示TCP或UDP協議頭部信息。最后，分組最高層協議的頭部字段也會顯示在此窗口中。分組內容窗口（packet content）：以ASCII碼和十六進制兩種格式顯示被捕獲幀的完整內容。顯示篩選規則（display filter specification）：在該字段中，可以填寫協議的名稱或其他信息，根據此內容可以對分組列表窗口中的分組進行過濾。（三）實驗步驟1、捕獲大量的由本地主

12、機到遠程服務器的TCP分組 （1）啟動WireShark，開始分組捕獲。 （2）啟動瀏覽器，打開http:/www.網頁， （3）停止分組捕獲。2、瀏覽追蹤信息 （1）在顯示篩選規則編輯框中輸入“tcp”,可以看到在本地主機和服務器之間傳輸的一系列tcp和HTTP消息，你應該能看到包含SYN Segment的三次握手。也可以看到有主機向服務器發送的一個HTTP POST消息和一系列的“http continuation”報文。如下圖所示： （2）根據操作回答“（四）實驗報告內容”中的1-2題。3、TCP基礎 根據操作回答“（四）實驗報告內容”中的3-10題4、TCP擁塞控制 （1）在WireS

13、hark已捕獲分組列表子窗口中選擇一個TCP 報文段。選擇菜單： Statistics->TCP Stream Graph-> Time-Sequence-Graph(Stevens)。你會看到如下所示的圖。 （2）根據操作回答“（四）實驗報告內容”中的11-12題。（四）實驗報告內容在實驗的基礎上，回答以下問題：1、向服務器傳送文件的客戶端主機的IP地址和TCP端口號分別是多少？20如下圖所示：Tcp的端口號是34902、服務器的IP地址是多少？對這一連接，它用來發送和接收TCP報文的端口號是多少？Tcp的端口是803、客戶服務器之間用于初始化TCP連接的

14、TCP SYN報文段的序號（sequence number）是多少？在該報文段中，是用什么來標示該報文段是SYN報文段的？由上圖可以知道客戶服務器之間用于初始化TCP連接的TCP SYN報文段的序號是0，用下面圖中所示標示值為0x024、服務器向客戶端發送的SYNACK報文段序號是多少？該報文段中，Acknowledgement字段的值是多少？服務器是如何決定此值的？在該報文段中，是用什么來標識該報文段是SYNACK報文段的？序號是如圖所示：為59下面圖中所示：值為1隨機生成的Acknowledgement。如下圖所示可以知道標志為 0x105、包含HTTP POST消息的TCP報文段的序號是

15、多少？6、如果將包含HTTP POST消息的TCP報文段看作是TCP連接上的第一個報文段，那么該TCP連接上的第六個報文段的序號是多少？是何時發送的？該報文段所對應的ACK是何時接收的？7、前六個TCP報文段的長度各是多少？前六個報文段的長度分別是78 ，66 ，54 ，674 ，60，261。8、在整個跟蹤過程中，接收端向發送端通知的最小可用緩存是多少？限制發送端的傳輸以后，接收端的緩存是否仍然不夠用？由下圖可以知道最小的緩存是65535夠用9、在跟蹤文件中是否有重傳的報文段？判斷的依據是什么？10、TCP連接的吞吐率(bytes transferred per unit time，單位時間

16、傳輸的字節數)是多少？寫出你的計算過程。由上圖可以知道在這個過程中有241個tcp包進行了傳遞，而用的時間是13.302451000秒所以就可以進行計算 241/13.302451000=18.116962個/秒11、 利用Time-Sequence-Graph(Stevens) plotting工具，瀏覽由客戶端向服務器發送的報文段序號和時間對應關系圖。你能否辨別出TCP慢啟動階段的起止，以及在何處轉入避免擁塞階段？12、闡述所測量到的數據與TCP理想化的行為有何不同？理想化的行為是沒有包括網絡的擁塞情況的，在實際的網絡環境中是不可能沒有延時的，就好似時間的長短問題，所以測量到得會比理想化的

17、小一些，就是效率會低一些。實驗四 利用WireShark分析HTTP和DNS（一）實驗目的及任務1、熟悉并掌握WireShark的基本操作，了解網絡協議實體間的交互以及報文交換。2、分析HTTP協議3、分析DNS協議（二）實驗環境與因特網連接的計算機網絡系統；主機操作系統為Windows2000或Windows XP；WireShark等軟件。（三）實驗步驟1、WireShark的使用(1) 啟動主機上的web瀏覽器。(2) 啟動WireShark。(3) 開始分組捕獲：選擇“capture”下拉菜單中的“Optios”命令，在“WireShark: Capture Options”窗口中可以

18、設置分組捕獲的選項。(4) 在實驗中，可以使用窗口中顯示的默認值。在“WireShark: Capture Options”窗口的最上面有一個“interface”下拉菜單，其中顯示計算機中所安裝的網絡接口（即網卡）。當計算機具有多個活動網卡（裝有多塊網卡，并且均正常工作）時，需要選擇其中一個用來發送或接收分組的網絡接口（如某個有線接口）。(5) 隨后，單擊“Start”開始進行分組捕獲，所有由選定網卡發送和接收的分組都將被捕獲。(6) 開始分組捕獲后，會出現分組捕獲統計窗口。該窗口統計顯示各類已捕獲分組的數量。在該窗口中有一個“stop”按鈕，可以停止分組的捕獲。(7) 在運行分組捕獲的同時

19、，在瀏覽器地址欄中輸入某網頁的URL，如：。i. 為顯示該網頁，瀏覽器需要連接的服務器，并與之交換HTTP消息，以下載該網頁。包含這些HTTP消息的以太網幀(Frame)將被WireShark捕獲。ii. WireShark主窗口顯示已捕獲的你的計算機與其他網絡實體交換的所有協議報文，其中一部分就是與服務器交換的HTTP消息。(8) 在顯示篩選編輯框中輸入“http”，單擊“apply”，分組列表窗口將只顯示HTTP消息。(9) 選擇分組列表窗口中的第一條HTTP消息。它應該是你的計算機發向服務器的HTTP GET消息。當你選擇該消息后，以太網幀、IP數據報、TCP報文段、以及HTTP消息首部

20、信息都將顯示在分組首部子窗口中。單擊分組首部詳細信息子窗口中向右和向下箭頭，可以最小化幀、以太網、IP、TCP信息顯示量，可以最大化HTTP協議相關信息的顯示量。2、HTTP和DNS分析（1）HTTP GET/response交互首先通過下載一個非常簡單的HTML文件（該文件非常短，并且不嵌入任何對象）。（a） 啟動Web 瀏覽器，然后啟動WireShark。在窗口的顯示過濾規則編輯框處輸入“http”，分組列表子窗口中將只顯示所捕獲到的HTTP消息。（b） 一分鐘以后，開始WireShark分組捕獲。（c） 在打開的Web瀏覽器窗口中輸入以下地址：http:/www.（d） 停止分組捕獲。根

21、據捕獲窗口內容，回答“（四）實驗報告內容”中的“2、HTTP和DNS分析”1-6題。（2）HTTP 條件GET/response交互（a） 啟動瀏覽器，清空瀏覽器的緩存（在瀏覽器中，選擇“工具”菜單中“Internet選項”命令，在出現的對話框中，選擇“刪除文件”）。（b） 啟動WireShark。開始WireShark分組捕獲。（c） 在瀏覽器的地址欄中輸入以下URL:http:/www.（d） 在你的瀏覽器中重新輸入相同的URL或單擊瀏覽器中的“刷新”按鈕。（e） 停止WireShark分組捕獲，在顯示過濾篩選說明處輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據操作

22、回答“（四）實驗報告內容”中的“2、HTTP和DNS分析”7-10題。（3）獲取長文件（a） 啟動瀏覽器，將瀏覽器的緩存清空。（b） 啟動WireShark，開始WireShark分組捕獲。（c） 在瀏覽器的地址欄中輸入以下URL:http:/www.（d） 停止WireShark分組捕獲，在顯示過濾篩選編輯框中輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據操作回答“（四）實驗報告內容”中的“2、HTTP和DNS分析”的11-14題。（4）嵌有對象的HTML文檔（a） 啟動瀏覽器，將瀏覽器的緩存清空。（b） 啟動WireShark。開始WireShark分組捕獲。（c）

23、 在瀏覽器的地址欄中輸入以下URL:http:/www.（d） 停止WireShark分組捕獲，在顯示過濾篩選說明處輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據操作回答“（四）實驗報告內容”中的“2、HTTP和DNS分析”的15-16題。（5）HTTP認證(選作)（a） 啟動瀏覽器，將瀏覽器的緩存清空。（b） 啟動WireShark。開始WireShark分組捕獲。（c） 在瀏覽器的地址欄中輸入以下URL:http:/www.（d） 停止WireShark分組捕獲，在顯示過濾篩選說明處輸入“http”,分組列表子窗口中將只顯示所捕獲到的HTTP消息。根據操作回答“（四

24、）實驗報告內容”中的“2、HTTP和DNS分析”的17-18題。（6）跟蹤DNS nslookup工具允許主機向指定的DNS服務器查詢某個DNS記錄。如果沒有指明DNS服務器，nslookup將把查詢請求發向默認的DNS服務器。 nslookup的一般格式是：nslookup option1 option2 host-to-find dns-server ipconfig命令用來顯示你當前的TCP/IP信息，包括：你的地址、DNS服務器的地址、適配器的類型等信息。如果，要顯示與主機相關的信息用命令： ipconfig/all 如果查看DNS緩存中的記錄用命令： ipconfig/display

25、dns 要清空DNS緩存，用命令： ipconfig /flushdns 運行以上命令需要進入MSDOS環境。(開始菜單>運行>輸入命令“cmd”)（a） 利用ipconfig命令清空主機上的DNS緩存。啟動瀏覽器，并將瀏覽器的緩存清空。（b） 啟動WireShark，在顯示過濾篩選規則編輯框處輸入：“ip.addr = = your_IP_address”(如：ip.addr= =3)過濾器將會刪除所有目的地址和源地址與指定IP地址都不同的分組。（c） 開始WireShark分組捕獲。（d） 在瀏覽器的地址欄中輸入：（e） 停止分組捕獲。（f） 根據操作回

26、答“（四）實驗報告內容”中的 “2、HTTP和DNS分析”19-25題。（g） 開始WireShark分組捕獲。（h） 在（i） 停止分組捕獲。（j） 根據操作回答“（四）實驗報告內容” 中的 “2、HTTP和DNS分析”26-29題。（k） 重復上面的實驗，只是將命令替換為：nslookup type=NS （l） 根據操作回答“（四）實驗報告內容” 中的 “2、HTTP和DNS分析”30-32題。（m） 根據操作回答“（四）實驗報告內容” 中的 “2、HTTP和DNS分析”33-35題。（四）實驗報告內容1、WireShark的使用(1) 列出在第7步中分組列表子窗口所顯示的

27、所有協議類型。我所看到的是如下圖所示：(2) 從發出HTTP GET消息到接收到HTTP OK響應報文共需要多長時間？（在默認的情況下，分組列表窗口中Time列的值是從WireShark開始追蹤到分組被捕獲時總的時間，以秒為單位。若要按time-of-day格式顯示Time列的值，需選擇View下拉菜單，再選擇Time Display Format，然后選擇Time-of-day。）由下圖可以知道時間是0.006917000S(3) 你主機的IP地址是什么？你所訪問的主頁所在服務器的IP地址是什么？我的主機的ip地址是20 我所訪問服務器的的ip地址是：202.114.

28、0.245如下圖所示：(4) 寫出兩個第9步所顯示的HTTP消息頭部行信息。2、HTTP和DNS分析(1) 你的瀏覽器使用的是HTTP1.0，還是HTTP1.1？你所訪問的Web服務器所使用HTTP協議的版本號是多少？我的瀏覽器是使用的http1.1的；訪問的web頁也是使用的http1.1(2) 你的瀏覽器向服務器指出它能接收何種語言版本的對象？我的瀏覽器指出能接受的語言是html(3) 你的計算機的IP地址是多少？服務器的IP地址是多少？我的計算機ip地址是20 服務器的IP地址是(4) 從服務器向你的瀏覽器返回response消息的狀態代碼是多少？304如下圖所示

29、：(5) 你從服務器上所獲取的HTML文件的最后修改時間是多少？最后的修改時間如下圖所示為：可知道是2009年12月12號(6) 返回到瀏覽器的內容一共多少字節？(7) 分析你的瀏覽器向服務器發出的第一個HTTP GET請求的內容，在該請求消息中，是否有一行是：IF-MODIFIED-SINCE？有如下圖所示：(8) 分析服務器響應消息的內容，服務器是否明確返回了文件的內容？如何獲知？由下面的兩個圖可以知道服務器返回了文件內容：可以看到一些內容圖片信息等。(9) 分析你的瀏覽器向服務器發出的第二個“HTTP GET”請求，在該請求報文中是否有一行是：IF-MODIFIED-SINCE？如果有，

30、在該首部行后面跟著的信息是什么？有信息是資源創建的時間。(10) 服務器對第二個HTTP GET請求的響應消息中的HTTP狀態代碼是多少？服務器是否明確返回了文件的內容？請解釋。狀態的代碼是服務器返回的文件內容是如下圖所示：可以看到data之后就是所返回的數據。(11) 你的瀏覽器一共發出了多少個HTTP GET請求？我的瀏覽器一共發了46個http get請求(12) 承載這一個HTTP響應報文一共需要多少個TCP報文段？一共需要三個tcp報文段(13) 與這個HTTP GET請求相對應的響應報文的狀態代碼和狀態短語是什么？狀態代碼是304 狀態短語是(14) 在被傳送的數據中一共有多少個H

31、TTP狀態行？一共有94個http狀態行(15) 你的瀏覽器一共發出了多少個HTTP GET請求消息？這些請求消息被發送到的目的地IP地址是多少？(16) 瀏覽器在下載這兩個圖片時，是串行下載還是并行下載？請解釋。是串行下載，因為數據的傳輸時是按順序傳輸的，而且不同的圖片被包含在不同的幀當中進行傳輸，圖片的傳輸是串行的。(17) 對于瀏覽器發出的、最初的HTTP GET請求消息，服務器的響應消息的狀態代碼和狀態短語分別是什么?狀態代碼是304，狀態語是(18) 當瀏覽器發出第二個HTTP GET請求消息時，在HTTP GET消息中包含了哪些新的頭部行？多了這個消息(19) 定位到DNS查詢消息

32、和查詢響應報文，這兩種報文的發送是基于UDP還是基于TCP的？這兩種報文是基于udp的是無連接的(20) DNS查詢消息的目的端口號是多少？DNS查詢響應消息的源端口號是多少？由下圖可以知道目的端口和源端口分別是：56609 和53(21) DNS查詢消息發送的目的地的IP地址是多少？利用ipconfig命令（ipconfig/all查看你主機的本地DNS服務器的IP地址。這兩個地址相同嗎？由上圖可以知道與本地的ip地址是一樣的(22) 檢查DNS查詢消息，它是哪一類型的DNS查詢？該查詢報文中包含“answers”嗎？遞歸查詢Recursive Query如下圖所示該報文不包含answer應答(23) 檢查DNS查詢響應消息，其中共提供了多少個“answers”？每個answers包含哪些內容？其中只有一個answer