完整计算机网络实验4利用wireshark进行协议分析Word文件下载.docx
《完整计算机网络实验4利用wireshark进行协议分析Word文件下载.docx》由会员分享,可在线阅读,更多相关《完整计算机网络实验4利用wireshark进行协议分析Word文件下载.docx(15页珍藏版)》请在冰豆网上搜索。
图1假设所使用的物理媒体是以太网,上层协议的报文最终封装在以太网帧中。
分组嗅探器的第二个组成部分是分析器。
分析器用来显示协议报文所有字段的内容。
为此,分析器必须能够理解协议所交换的所有报文的结构。
例如:
我们要显示图4-1中HTTP协议所交换的报文的各个字段。
分组分析器理解以太网帧格式,能够识别包含在帧中的IP数据报。
分组分析器也要理解IP数据报的格式,并能从IP数据报中提取出TCP报文段。
然后,它需要理解TCP报文段,并能够从中提取出HTTP消息。
最后,它需要理解HTTP消息。
是一种可以运行在
Windows,
UNIX,
Linux
等操作系统上的
分
组
析
器
。
运行
程序时,其图形用户界面如图
4-2
所示。
最初,各窗口中并无数据显示。
在用户选择接口,点击开始抓包按钮之后,Wireshark
的用户界面会变成如图
4-3所示。
此时
的用户界面主要有
5
部分组成,如图
4-3
命令菜单(command
menus):
命令菜单位于窗口的最顶部,是标准的下拉式菜单。
最常用菜单命令有两个:
File、Capture。
File
菜单允许你保存俘获的分组数据或打开一个已被保存的俘获分组数据文件或退出
程序。
Capture
菜单允许你开始俘获分组。
俘获分组列表(listing
of
captured
packets):
按行显示已被俘获的分组内容,其中包括:
赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。
单击某一列的列名,可以使分组按指定列进行排序。
在该列表中,所显示的协议类型是发送或接收分组的最高层协议的类型。
分组头部明细(details
selected
packet
header):
显示俘获分组列表窗口中被选中分组的头部详细信息。
包括:
与以太网帧有关的信息,与包含在该分组中的
IP
数据报有关的信息。
单击以太网帧或
数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。
另外,如果利用
TCP
或
UDP
承载分组,Wireshark
也会显示
协议头部信息。
最后,分组最高层协议的头部字段也会显示在此窗口中。
分组内容窗口(packet
content):
以
ASCII
码和十六进制两种格式显示被俘获帧的完整内容。
显示筛选规则(display
filter
specification):
在该字段中,可以填写协议的名称或其他信息,根据此内容可以对分组列表窗口中的分组进行过滤。
3、实验过程
1)
学习
的使用
启动主机上的
web
浏览器。
启动
Wireshark。
你会看到如图
所示的窗口,只是窗口中没有任何分组列表。
开始分组俘获:
选择“capture”下拉菜单中的“Capture
Options”命令,会出现如图
所示的“Wireshark:
Options”窗口,可以设置分组俘获的选项。
4-4
的
Option
在实验中,可以使用窗口中显示的默认值。
在“Wireshark:
CaptureOptions”窗口(如图
所示)的最上面有一个“Interface
List”下拉菜单,其中显示计算机所具有的网络接口(即网卡)。
当计算机具有多个活动网卡时,需要选择其中一个用来发送或接收分组的网络接口(如某个有线接口)。
随后,单击“Start”开始进行分组俘获,所有由选定网卡发送和接收的分组都将被俘获。
开始分组俘获后,会出现如图
4-5
所示的窗口。
该窗口统计显示各类已俘获数据包。
在该窗口的工具栏中有一个“stop”按钮,可以停止分组的俘获。
但此时你最好不要停止俘获分组。
在运行分组俘获的同时,在浏览器地址栏中输入某网页的
URL,如
:
为
显
示
该
网
页
,
浏
览
需
要
连
接
的服务器,并与之交换
HTTP
消息,以下载该网页。
包含这些
报文的以太网帧将被
俘获。
当完整的页面下载完成后,单击
菜单栏中的
stop
按钮,停止分组俘获。
主窗口显示已俘获的你的计算机与其他网络实体交换的所有协议报文,其中一部分就是与
服务器交换的
报文。
此时主窗口与图
相似。
在显示筛选规则中输入“http”,单击“回车”,分组列表窗口将只显示
协议报文。
选择分组列表窗口中的第一条
http
它应该是你的计算机发向
服务器的
GET
当你选择该报文后,以太网帧、IP
数据报、TCP
报文段、以及
报文首部信息都将显示在分组首部子窗口中。
单击分组首部详细信息子窗口中向右和向下箭头,可以最小化帧、以太网、IP、TCP
信息显示量,可以最大化
协议相关信息的显示量。
2)
分析
协议
(1)HTTP
GET/response
交互
✧
Web
browser,然后启动
分组嗅探器。
在窗口的显示过滤说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP
开始
分组俘获。
在打开的浏览器窗口中输入以下地址:
停止分组俘获。
根据俘获窗口内容,思考以下问题:
你的浏览器运行的是
HTTP1.0,还是
HTTP1.1?
你所访问的服务
器所运行
协议的版本号是多少?
你的浏览器向服务器指出它能接收何种语言版本的对象?
你的计算机的
地址是多少?
服务器
从服务器向你的浏览器返回的状态代码是多少?
(2)HTTP
条件
启动浏览器,清空浏览器的缓存(在浏览器中,选择“工具”菜单
中的“Internet
选项”命令,在出现的对话框中,选择“删除文件”)。
分组俘获器。
在浏览器的地址栏中输入以下
URL:
你的浏览器中重新输入相同的
URL
或单击浏览器中的“刷新”按
钮。
停止
分组俘获,在显示过滤筛选说明处输入“http”,分组
列表子窗口中将只显示所俘获到的
分析你的浏览器向服务器发出的第一个
请求的内容,
在该请求报文中,是否有一行是:
IF-MODIFIED-SINCE?
分析服务器响应报文的内容,服务器是否明确返回了文件的内
容?
如何获知?
分析你的浏览器向服务器发出的较晚的“HTTP
GET”请求,在该请
求报文中是否有一行是:
如果有,在该首
部行后面跟着的信息是什么?
服务器对较晚的
请求的响应中的
状态代码是多
少?
服务器是否明确返回了文件的内容?
请解释。
3)
注:
访问以下网址需要设置代理服务器。
如无法访问可与实验
TA联系,下载tcp-Wireshark-trace文件,利用该文件进行TCP协议分析。
(1)俘获大量的由本地主机到远程服务器的TCP分组
A.启动浏览器,打开http:
//gaia.cs.umass.edu/Wireshark-labs/alice.txt网页,得到ALICE'
S
ADVENTURES
IN
WONDERLAND文本,将该文件保存到你的主机上。
B.打开http:
//gaia.cs.umass.edu/Wireshark-labs/TCP-Wireshark-file1.html,如图4-6所示,窗口如下图所示。
在Browse按钮旁的文本框中输入保存在你的主机上的文件ALICE'
INWONDERLAND的全名(含路径),此时不要按“Uploadalice.txt
file”按钮。
图4-6
Wireshark-labs网页截图
C.
启动Wireshark,开始分组俘获。
D.
在浏览器中,单击“Upload
alice.txt
file”按钮,将文件上传到gaia.cs.umass.edu服务器,一旦文件上传完毕,一个简短的贺词信息将显示在你的浏览器窗口中。
E.
停止俘获。
(2)浏览追踪信息
在显示筛选规则中输入“tcp”,可以看到在本地主机和服务器之间传输的一系列
tcp
和
报文,你应该能看到包含
SYN
报文的三次握手。
也可以看到有主机向服务器发送的一个
POST
报文和一系列的“http
continuation”报文。
根据操作思考以下问题:
向
gaia.cs.umass.edu
服务器传送文件的客户端主机的
地址和TCP
端口号是多少?
Gaia.cs.umass.edu
对这一连接,它用来发送和接收
报文的端口号是多少?
(3)TCP
基础
客户服务器之间用于初始化
连接的
报文段的序号(sequence
number)是多少?
在该报文段中,是用什么来标示该报文段是
报文段的?
服务器向客户端发送的
SYNACK
报文段序号是多少?
该报文段中,Acknowledgement
字段的值是多少?
服务器是如何决定此值的?
在该报文段中,是用什么来标示该报文段是SYNACK
你能从捕获的数据包中分析出
三次握手过程吗?
包含
HTT