作業1網絡嗅探器安裝與使用

wireshark與對應的OSI七層模型

:JVkfosort：gd\N七而醒22：汝4?初DW0d五16aiA&石?.—&

tie匕叱的，awptumwtstcsifiiect-onyicds

jrenior-

TimtourerOoft>rdtionProtocoller>gthI”。

60.7195^8tXT^2rtSB.1.102239.255.255.250SSDP175M-SD=

163.72023000192.16B.1.102239.235.25S.250SSOP175M-SE>

296.05659500192.168.1.102199.47.217.148HTTP250GET.

366.08553700192.ie>8.1.102199.47.217.148HTTP250GET?

4^6.72037400192.168.1.102239.255.255.2S0SSOP175M-SE/

6610.6614540192.168.1.102HTTP1156GET,

R711.14S7020€1.116192.160.1.102HTTP95aHTTP.

13111.6735230192.16B.1.102114.80.142.90HTTP1029由?

?不?13211.683W501W.168.1.102114.80.142.90HTTP134GET.

1S3-1.-i847CSQLS?2.168.1.102XI，.80.1/12.0。HTTP工83?T.▼

會5?

憐，??eramt29：25。bytoion?，「?(2QQQbits).25。bytescaptured(2000bits)or

一EthernetII.Src:P-odrive_26:12:kr(00:0^:11:26:12:^5.Ost:Tp-LinkT_74:

煙蠟制，internotProtocolvtrs^cn4,Src:192,168.1.102(192.168.1.102).Dst:199.

1-T「ansm”si。。ControlPrct。卬,5KPo「t:ssslog-mgr(1204),Mt=>o>：：Htf

r典，兌

WWM

【思考】

如何在交換環境里實現監聽？（端口映射）

答：局域網內，在同一交換機下工作的PC機，如圖所示。PC機A和PC機B在同一交換機下工作，PC

機A安裝Wireshark后，把交換機上任意一個PC機的數據端口做鏡像，設置交換機來復制所有數據到用戶

交換端口下的Wireshark端口，這時PC機A就可以抓取到其他PC機的數據了，如抓取PC機B的數據，

從而實現監聽。

路由器

作業2TCP/IP協議配置與網絡實用命令

【實驗內容】

1、TCP/IP協議的安裝和配置

2?常見網絡命令的使用

（1）Ping

ping是一種電腦網絡工具，用來測試數據包能否通過IP協議到達特定主機。ping的運作原理是向目標

主機傳出一個ICMP（echo請求）數據報,并等待接收echo響應數據報。程序會按時間和成功響應的次

數估算丟失數據包率（丟包率）和數據包往返時間（網絡時延,Round-tripdelaytime\

命令格式：

pingIP地址或主機名[-t][-a][-ncount][-1size]

參數含義:

-t不停地向目標主機發送數據;

-a以IP地址格式來顯示目標主機的網絡地址；

-ncount指定要Ping多少次，具體次數由count來指定；

-Isize指定發送到目標主機的數據包的大小。

（2）ipconfig

ipconfig實用程序可以測試出本地主機的IP地址、網卡地址等信息，可以查看配置的情況。

ipconfig的命令格式如下：ipconfig[/?|/all|/release[adapter]|/renew[adapter]]

其中的參數說明如下：

使用不帶參數的ipconfig命令可以得到以下信息：IP地址、子網掩碼、默認網關。

/?顯示ipconfig的格式和參數的英文說明；

/all顯示所有的配置信息；

/release為指定的適配器（或全部適配器）釋放IP地址（只適用于DHCP）;

/renew為指定的適配器（或全部適配器）更新IP地址（只適用于DHCP\

ipconfig/all,可以得到更多的信息：主機名、DNS服務器、節點類型、網絡適配器的物理地址、主機

的IP地址、子網掩碼以及默認網關等。

(3)tracert

tracert實用程序顯示用戶數據所經過路徑上各個路由器的信息，內容包括：每一站的編號、反應時間、

站點名稱或IP地址。從中可以查看路由器處理時間的差別。

tracert命令格式為：

tracertIP地址或主機名[-d][-hmaximumhops][-jhostjist][-wtimeout]

其中的參數說明如下：

-d不解析目標主機的名字；

-hmaximum_hops指定搜索到目標地址的最大跳躍數；

-jhostjist按照主機列表中的地址釋放源路由；

-wtimeout指定超時時間間隔,程序默認的時間單位是毫秒。

tracert命令用IP生存時間(TTL)字段和ICMP錯誤消息來確定從一個主機到網絡上其他主機的路

由。

首先，tracert送出一個TTL是1的IP數據報到目的地，當路徑上的第一個路由器收到這個數據包時，

它將TTL減1。此時，TTL變為0,所以該路由器會將此數據包丟掉，并送回一個FICMPtimeexceeded]

消息(包括發IP包的源地址，IP包的所有內容及路由器的IP地址)，tracert收到這個消息后，便知道這個

路由器存在于這個路徑上接著tracert再送出另一個TTL是2的數據包發現第2個路由器……tracert每

次將送出的數據包的TTL加1來發現另一個路由器，這個重復的動作一直持續到某個數據包抵達目的地。

當數據包到達目的地后，該主機則不會送回ICMPtimeexceeded消息，一旦到達目的地，由于tracert通

過UDP數據包向不常見端口（30000以上）發送數據包，因此會收到FICMPportunreachable］消息，故可

判斷到達目的地。

tracert有一個固定的時間等待響應（ICMPTTL到期消息），如果這個時間過了，它將打印出一系列的*

號表明：在這個路徑上，這個設備不能在給定的時間內發出ICMPTTL到期消息的響應。然后,tracert給

TTL記數器加1，繼續進行。

（4）netstat

netstat為網絡協議統計命令，可以查看網絡協議的統計結果、發送和接收數據的大小，連接和偵聽端

口的狀態。Netstat的命令格式為：netstat-參數。一共有7個參數，說明如下：

-a顯示所有的TCP連接、所有偵聽的TCP和UDP端口。

-e顯小Ethernet統計，可以和/s參數一起使用。

-n顯示以數字形式表示的地址和端口號。

顯示由協議參數指定的協議的連接，協議可以是、、、與

-pprotoprotoTCPUDPTCPv6UDPv6o

參數/s一起使用，會按協議顯示統計信息，此時的協議可以是TCP、UDP、IP、ICMP、TCPv6.UDPv6、

IPV6ICMPv6o

-s按協議顯示統計信息。

-r顯示IP路由表的內容。該參數的作用與routeprint命令等價。

-t指定再次自動統計、顯示統計信息的時間間隔,t數值為秒。若沒有指定，會顯示當前統計信息后

退出。

第二列本地地址：1:XXXXX,表示本地IP地址及對應的tcp端口

第三列外部地址：目的網站域名或目的服務器IP:http(或https)

第三列狀態含義：

CLOSED:無連接是活動的或正在進行LISTEN:服務器在等待進入呼叫

SYN_RECV:一個連接請求已經到達,等待確認SYN_SENT:應用已經開始，打開一個連接

ESTABLISHED:正常數據傳輸狀態FIN_WAIT1:應用說它已經完成

FIN_WAIT2:另一邊已同意釋放ITMED_WAIT:等待所有分組死掉

CLOSING:兩邊同時嘗試關閉TIME_WAIT:另一邊已初始化一個釋放

LAST_ACK:等待所有分組死掉

(5)route

route命令是在本地IP路由表中顯示和修改條目網絡命令。

route[-f][-p][Command][Destination][maskNetmask][Gateway][metricMetric][ifInterface]

-f清除所有不是主路由（網掩碼為55的路由）、環回網絡路由（目標為,

網掩碼為的路由）或多播路由（目標為,網掩碼為的路由）的條目的

路由表。如果它與命令之一（例如add、change或delete）結合使用，表會在運行命令之前清除。

-P與add命令共同使用時，指定路由被添加到注冊表并在啟動TCP/IP協議的時候初始化IP路由

表。默認情況下,啟動TCP/IP協議時不會保存添加的路由。與print命令一起使用時，則顯示永久路由列

表。所有其它的命令都忽略此參數。永久路由存儲在注冊表中的位置是

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRout

es0

接口列表：

第一行為以太網網卡mac地址第二行為Windows無線熱點mac地址第三行為WLANmac

第四行為軟件回環接口第五行為隧道適配器Teredo隧道虛擬接口

【思考】

1.TCP/IP協議配置中的“網關”作用是什么？

答：網關實質上是一個網絡通向其他網絡的路由器的IP地址。只有設置好網關的IP地址，TCP/IP協議

才能利用路由器轉發實現不同網絡之間的相互通信。

2.上網查詢routeprint結果（本機路由表）的含義。

答：

第一列是網絡目標地址，列出了路由器連接的所有的網段。

第二列是網絡掩碼，提供這個網段本身的子網掩碼，而不是連接到這個網段的網卡的子網掩碼，這基本

上能夠讓路由器確定目的網絡的地址類。

第三列是網關，一旦路由器確定它要把這個數據包轉發到哪一個目的網絡，路由器就要查看網關列表，

網關表告訴路由器這個數據包應該轉發到哪一個網關IP地址才能達到目的網絡。

第四列是接口地址，接口列告訴路由器哪一個網卡連接到了合適的目的網絡。從技術上說，接口列僅告

訴路由器分配給網卡的IP地址，相應的網卡就把路由器連接到目的網絡，然而，路由器很聰明,知道這個地

址綁定到哪一個物理網卡。

第五列是躍點數，躍點數用于指出路由的成本，通常情況下代表到達目標地址所需要經過的躍點數量，

一個躍點代表經過一個路由器。躍點數越低，代表路由成本越低；躍點數越高，代表路由成本越高。當具有

多條到達相同目的網絡的路由項時，TCP/IP會選擇具有更低躍點數的路由項。

3.如何用ping檢測網絡中的故障點？用ping測試網絡連通性時，若出現"Destinationhost

unreahable"，則意味著什么？"Destionationhostunreachable"和"Timeout"的區別是什么？

答：

A.用ping檢測網絡中的故障點：

1)ping,檢測TCP/IP協議棧是否正常

這個命令檢測的是本地回環地址，被送到本地計算機的IP軟件，如果未能ping通，則表示TCP/IP的

安裝或運行存在某些問題。

2)ping本地IP,檢測網卡或本地配置是否正常

這個命令被送到計算機所配置的IP地址，我們的計算機始終都應對該命令作出應答，如果沒有，則表示

本地配置或安裝存在問題。出現此問題時，局域網用戶可以斷開網線，然后重新發送該命令，如果能ping

通，則表示另一臺計算機可能配置了相同的IP地址。

3)ping局域網內其他IP,檢測網卡、網線等是否正常

這個命令離開本地計算機，經過網卡及網絡電纜到達其他計算機，再返回。收到回送應答表明本地網絡

中的網卡和載體運行正確。如果沒有收到回送應答，那么表示子網掩碼不正確(網段不一致)，或網卡配置錯

誤，或電纜系統有問題。

4)ping網關IP,檢測與網關的連接性

這個命令如果應答正確，表示局域網中的網關路由器正在運行并能夠作出應答。

5)ping遠程IP,檢測遠程連接

能ping通表示可以成功的訪問Internet(但不排除ISP的DNS會有問題\

6)pinglocalhost,檢測主機文件

localhost是一個保留域名，在Windows系統中，它是的別名，每臺計算機都應能將該名字

轉換成該地址。如果沒有做到這一點，則表示主機文件(/Windows/host)存在問題。

B.出現"Destinationhostunreahable,f，則意味著目標主機不能達到。

出現這種情況，可能的原因有：①對方與自己不在同一網段內，而自己又未設置默認路由；②網線故障；

③網卡故障。

C.^Destionationhostunreachable"和"Timeout"的區別

所經過的路由器的路由表中具有到達目標的路由，而目標因為其它原因不可到達，這時候會出現

"Requesttimedout";如果路由表中連到達目標的路由都沒有,那就會出現"destinationhost

unreachable"o

作業3Internet應用與應用層協議分析

【實驗步驟】

1.訪問建立的web站點，用wireshark分析網站的訪問過程。

2.使用wireshark分析DNS的工作過程。熟悉DNS格式以及字段意義。注意分別設置不同的本地DNS

服務器分析DNS解析過程。

答：

DNS請求報文段：

DNS報文字段含義：

1)標識ID:請求客戶端設置的16位標示，服務器給出應答的時候會帶相同的標示字段回來，這樣

請求客戶端就可以區分不同的請求應答了。

2)標志：

QR]opcodeJAA|TCRD|RA|(zero)[rcode

1111134

a.QR1個比特位用來區分是請求(0)還是應答(1\

b.OPCODE4個比特位用來設置查詢的種類，應答的時候會帶相同值，可用的值如下：

0標準查詢(QUERY)1反向查詢(IQUERY)

2服務器狀態查詢(STATUS)3-15保留值，暫時未使用

c.AA授權應答(AuthoritativeAnswer)這個比特位在應答的時候才有意義，指出給出應答的服務器是

查詢域名的授權解析服務器。

注意因為別名的存在，應答可能存在多個主域名，這個AA位對應請求名，或者應答中的第一個主域名。

d.TC截斷(Truncation)-用來指出報文比允許的長度還要長，導致被截斷。

e.RD期望遞歸(RecursionDesired)-這個比特位被請求設置，應答的時候使用的相同的值返回。如

果設置了RD,就建議域名服務器進行遞歸解析，遞歸查詢的支持是可選的。

f.RA支持遞歸(RecursionAvailable)-這個比特位在應答中設置或取消，用來代表服務器是否支持遞

歸查詢。

h.Z保留值，暫時未使用。在所有的請求和應答報文中必須置為0。

i.RCODE應答碼(Responsecode)-這4個比特位在應答報文中設置，代表的含義如下：

0沒有錯誤。

1報文格式錯誤(Formaterror)-服務器不能理解請求的報文。

2服務器失敗(Serverfailure)-因為服務器的原因導致沒辦法處理這個請求。

3名字錯誤(NameError)-只有對授權域名解析服務器有意義，指出解析的域名不存在。

4沒有實現(NotImplemented)-域名服務器不支持查詢類型。

5拒絕(Refused)-服務器由于設置的策略拒絕給出應答。比如，服務器不希望對某些請求者給出應答,

或者服務器不希望進行某些操作(比如區域傳送zonetransfer\

6-15保留值，暫時未使用。

3)問題數QDCOUNT無符號16位整數表示報文請求段中的問題記錄數。

4)資源記錄數ANCOUNT無符號16位整數表示報文回答段中的回答記錄數。

5)授權資源記錄數NSCOUNT無符號16位整數表示報文授權段中的授權記錄數。

6）額外資源記錄數ARCOUNT無符號16位整數表示報文附加段中的附加記錄數。

3.用wireshark分析FTP的工作過程。注意觀察FTP的工作模式，用于控制連接的端口和數據連接的

端口。

答：

798.897276300FTP60Request:noop

808.897733083FTP73Response:200Connandokay.

818.097770172.27.23.G300TCP5413509?21[ACK]5eq-7Ack-20Win-255Len-0

828.897792300FTP61Request:CWO/

838.898523003FTP82Response:250Directorychangedto/

848.898561300TCP5413509,21[ACK]Seq-14Ack-48Win-2S4Len-0

858.899514300FTP60Request:noop

868.899927003FTP73Response:200Conmandokay.

878.89995。300TCP5413509，21[ACK]Seq-20Ack-67Win-254Len-0

888.900021300FTP61Request:CM)/

898.900639003FTP82Response:250Directorychangedto/

908.900660300TCP5413599，21[ACK]Seq-27Ack-95Win-2S4Len-0

918.900713300FTP59Request:PWD

928.900995003FTP85Response:257*/"iscurrentdirectory.

938.901012300TCPS413509,21[ACK]Seq-32Ack-126Win-254Len^G

948.901080300FTP61Request:CWD/

958.961708003FTP82Response:250Directorychangedto/

968.901726300TCP5413599，21[ACK]Seq-39Ack-154Win-254Len*9

978.902370300FTP62Request:TYPEI

988.902939003FTP74Response:200TypesettoI.

998.903002300TCPS413599，21[ACK]Seq?47Ack-174Win-254Len-0

1008.903135300FTP60Request:PASV

1018.965737003FTP104Response:227EnteringPassiveMode(172,27,21,206,11,146)

1028.905771300TCP5413509，21FACK1Seq-53Ack?224Win-254Len-0

服務端命令端口21

NOOP無操作（啞包；通常用來保活）

CWD改變工作目錄

PWD打印工作目錄，返回主機的當前目錄

TYPE設定傳輸模式（ASCII/二進制）

1018.905737003FTP104Response:227EnteringPassiveMode

1028.905771300TCP____5413509f21[ACK]Seq=53Ack-224Jin

Frame101:104bytesonwire(832bits),104bytescaptured(832bits)oninterface0

EthernetII,Src:Ibm_4f:lf:bb(00:21:5e:4f:lf:bb),Dst:Micro-St_33:af:64(30:9c:23:33:af:64)

>InternetProtocolVersion4,Src:00,Dst:3

TransmissionControlProtocol,SrcFort:21,DstPort:13509,Seq:174,Ack:53,Len:50

?FileTransferProtocol(FTP)

▼227EnteringPassiveMode(172,27,21,200,11,146)\r\n

Responsecode:EnteringPassiveMode(227)

Responsearg:EnteringPassiveMode(172,27,21,200,11,146)

PassiveIPaddress:00

Passiveport:2962

PASV進入被動模式（服務器端啟動數據端口2962）

1038.905932380TCP6613513-2962[SYN]Seq-0Win-8192Len-0MSS-1460WS-2S6SACK_PERM?

1048.9062S6172.27.21.zeeJTCP662962-13513[SYN,ACK]Scq-0Ack-1Win-16384L?n-0MSS-1466WS-l

1058.906288300TCP5413513?2962[ACK]S^q-1Ack-1Win-65536Len-0

1068.906381360FTP72Request:SIZE\301\267\317\260\314\M2.xlsx

1078.907317003FTP64Response:2139093

1088.9973493172.27.21.zeeTCP5413509-21(ACK]Seq-71Ack-234Win-254Len-0

1098.9074743eeFTP72Request:RETR\301\2^7\317\26O\314\M2.xlsx

1198.908518003FTP-DATA1514FTPData:1469bytes

1118.998519003FTP-DATA1514FTPData:1460bytes

1128.96852000172.27.23.0FTP125Response:150OpeningBIMARYmodedataconnectionfor\3Ol\267\313

1138.9085ss300TCP5413513-2962[ACK]Seq-1Ack-2921Win-65536Len-0

1148.968565306TCP5413509-21(ACK)Seq-89Ack-305Win-253Len-0

1158.909253003FTP-DATA1514PTPData:1469bytes

1168.9992540O)FTP-DATA1514FTPData:1460bytes

1170.909272172.27.23.G3172.27.21.200TCP5413513~29G2[ACK]Svq-lAck-5B41Wiii-6553GLcn-0

1188.999636003FTP-DATA1514FTPData:1460bytes

1198.909637003FTP78Response:226Transfercoiaplote.

1298.909657300TCP5413513?2962[ACK]Seq-1Ack-7301Win-65536Len-0

1218.909660360TCP5413509■*21[ACK]Soq-89Ack-329Win-253Lon-0

1228.9100330O)FTP-DATA1514FTPData:1460bytes

?/j?卜1產?UA1AKiHUAtai.333bytes

1248.910043306TCP5413513?2962[ACK]Seq-1Ack-909SWin-65280Len-0

1258.91171730?TCP5413513■*2962(FIN,ACK)Seq-1Ack-9095Win-65280l?n-0

1268.912298003TCP602962?13513[ACK]Seq-9095Ack-2Win-65535Len-0

客戶端發起數據通道的TCP三次握手

SIZE請求返回文件大小

RETR請求傳輸文件副本

傳輸數據

4.郵件收發過程和協議分析

基于web的郵件或客戶端的郵件軟件按如outlook收發郵件捕獲數據報分析郵件收發過程和SMTP、

POP3等協議格式和工作過程。

作業4數據鏈路層和網絡層協議分析

【實驗內容】

1.以太協議分析

從主機A上向主機B發PING檢測報文，捕獲以太數據幀，記錄并分析各字段的含義。

2.ARP協議分析：

a）運行Wireshark程序；

b）進入DOS窗口，用arp-a查看本機上的ARP表的情況，然后用arp-dB刪除B的記錄（如果有的

話）；

c）把網線斷開1分鐘，然后再聯網，觀察此時是否能捕獲ARP報文，如果能，記錄并分析各字段的含

義；

d）從主機A上向主機B發PING檢測報文，觀察此時是否能捕獲ARP報文，如果能，記錄并分析各字

段的含義；

e）通過arp-a查看ARP表的更新情況，記錄此時能否看到B對應的MAC地址；

f）再次從主機A上向主機B發PING檢測報文，或者再次從主機B上向主機A發PING檢測報文，觀

察看此時是否能捕獲ARP報文;

g）主機A上和主機B停止進行任何數據通信，5分鐘后再次從A向B發PING檢測報文，或者從主機

B上向主機A發PING檢測報文，觀察看此時是否能捕獲ARP報文。

3.IP協議分析

1）從主機A上向主機B發PING檢測報文，捕獲IP數據包，記錄并分析各字段的含義，并與IP數據

包格式進行比較；

2）使用ping命令，制定數據包長度，如ping-I2000,使用嗅探器IP分片情況，并分析分片和重組

過程。

3）在Dos仿真環境下運行tracert“校園網內某服務器IP地址"捕獲IP數據包，記錄并分析各

字段的含義，并與IP數據包格式進行比較。

答：

1)ApingB

依19149A1172272363172272361KMP74Echo(ping)cguoC(zplyin61)

611.9159092)ICMP74Echo(ping)replyId-ex0001,s?q-145/37120,ttl"128(requestin60)

912.90933832ICMP74Echo(ping)requestid-exeeei,seq-146/37376,ttl-128(replyin92)

922.91062423ICMP74Echo(ping)replyid-exeeei,seq-146/37376,ttl-128(reqgstin91)

1033.99973532ICMP74Echo(ping)requestid-exWOl,seq-147/37632,ttl-128(replyin164)

164L91W992)ICMP74Echo(ping)replyldfx0001,seq-147/37632,ttl-128(requestin10))

1214.92361832ICMP74Echo(ping)requestid-ex0eei,seq“48/37888,ttl-128(replyin122)

1224.9249812)ICMP74Echo(ping)r^plyid.0xe00i,$^-148/37888,ttl-128(zqgstin121)

*InternetProtocolVersion%Src:172,27.23.63,Dst:172,27.23.62

0100....-Version:4辦議版本IPv4

....0101-HeaderLength:20bytes(5)首都長度20bytes

>DifferentiatedServicesField:0x08(DSCP:CS0,ECN:Not-ECT）區分服務

TotalLength:⑨總長度60

Identification0x301d(12317)標識12317

>Flags:0x00標志0

Fragmentoffset:0片偏稱0

Timetolive:128生存時間128

Protocol:ICMP(1)協議【CMP

Headercbecksun:0x0000[validationdisabled]首郃校膾和0

[Headerchecks-status:Unverified]

Sour