网络安全实验七Wireshark网络监听实验.docx
《网络安全实验七Wireshark网络监听实验.docx》由会员分享,可在线阅读,更多相关《网络安全实验七Wireshark网络监听实验.docx(16页珍藏版)》请在冰豆网上搜索。
网络安全实验七Wireshark网络监听实验
计算机与信息科学学院
实验报告
(2012—2013学年第一学期)
课程名称:
网络安全实验
班级:
学号:
姓名:
任课教师:
计算机与信息科学学院
实验报告
实验名称
Wireshark网络监听实验
指导教师
实验类型
实验学时
2
实验时间
12.13
一、实验目的与要求
1、初步掌握Wieshark的使用方法,熟悉其基本配置。
2、通过对Wieshark抓包实例进行分析,进一步加深对各类常用网络协议的理解。
3、学习和掌握如何利用Wireark进行网络安全监测与分析。
二、实验仪器和器材
虚拟主机为windowsxp,物理主机为win7Wieshark软件。
三、实验原理及步骤
(一)、实验原理:
Wireshark是一个网络封包分析软件。
其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
其使用目的包括:
网络管理员检测网络问题,网络完全工程师检查资讯安全相关问题,开发者为新的通讯协定出错,普通使用者学习网络协议的相关知识。
值得注意的是,Wireshark并不是入侵检测软件。
对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。
然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。
Wireshark不会对网络封包产生内容的修改,它只会反映目前流通的封包资讯。
Wireshark本身也不会送出封包至网络上。
(二)、实验步骤:
1、安装Wireshark
(1)双击文件夹中的可执行文件,如图1所示。
图1Wireshark的可执行文件
(2)该对话框时一个安装提示,如果之前没有安装过该文件,则点击下一步,如图2所示。
图2确认对话框
(3)图3所示是一个关于该软件的许可证说明,可以忽略,点击下一步。
图3Wireshark的许可说明
(4)在图4中罗列出来的是一些可选安装组件,可根据实际需要选择安装
图4选择安装组件
(5)以下是关于该软件的图标创建位置和支持的文件拓展,图标部分可根据实际情况选择,然后点击下一步,如图5所示。
图5快捷方式
(6)程序的安装位置,这里选择默认,点击下一步。
图6程序安装位置
(7)安装WinPcap插件,在这一步必须勾选安装,不然无法进行以下的实验。
图7勾选WinPcap插件
(8)下面开始进入WinPcaP插件的安装过程,点击下一步,如图8所示。
图8安装WinPcaP
(9)这一步是对WincaP插件的介绍,可以不用理会,继续下一步。
图9WinPcaP介绍
(10)WinPcaP的许可协议,点击“IAgren”,如图10所示。
图10许可协议
(10)在系统引导时自动启动该插件,默认选择,点击“Install”,如图11所示。
图11WinPcaP的自动启动
(11)经过了那么多步,终于到尽头了。
直接点“Finish”,结束WinPcaP的安装。
图12WinPcaP安装结束
(12)插件安装完了,点击下一步,如图13所示。
图13Wireshark安装结束
(13)Wireshark安装的最后一步,勾选“RunWireshark……”,点击“Finish”
图14Wireshark成功安装
2、Wireshark的基本操作
(1)在ip为192.168.0.4的虚拟主机上双击安装好的Wireshark可执行文件“Wireshake.exe”,弹出Wireshark操作界面。
(2)在菜单栏点击“抓包”,在选项中单击“抓包参数选择”。
如图15所示。
图15选择抓包参数选择
(3)在这里可以看到,有两块活动网卡,因为后面要利用选择的网卡来作为发送和接收分组的网络接口。
所以桥接类型连接的网卡便是我们最佳选择。
图16监听网卡选择
我们在物理主机的命令提示符窗口中“ping192。
168.0.4”,当ping结束后,点击工具栏中的第四个按钮,结束正在运行的抓包,如图17所示。
图17针对icmp的抓包
(4)先来测试一下软件是否能正常运行,在抓包过滤条件中输入icmp,点击右下角的“开始”,如下图所示。
图16输入过滤条件
我们在物理主机的命令提示符窗口中“ping192。
168.0.4”,当ping结束后,点击工具栏中的第四个按钮,结束正在运行的抓包,如图17所示。
图17针对icmp的抓包
从图中可以看到,当ping命令结束时,一共抓到8个数据包,单数都是物理主机发送向虚拟机主机的的ICMPEchoRequest包,双数是由虚拟主机发向物理主机的ICMPEchoReply包,是对前者的数据包的响应。
(5)更改过滤条件,输入如图所示的的条件进行点击“开始”进行抓包,
图18抓获网络浏览的报文
打开浏览器,访问,软件就开始抓包,下图就是一段时间后抓的包。
图18浏览WEB抓到的包
从数据包列表中可以看到,从虚拟机主机访问的目标地址不止一个,而在不同的时间使用的协议也不相同。
虚拟主机要和XX上的服务器连接,虚拟主机就要先发送一个SYN标记的包,告诉服务器建立连接(如数据包7)。
服务器端收到SYN标记的数据包后,就会发一个对SYN包的确认包ACK给客户机(即虚拟主机)表示对第一个SYN包的确认,并继续握手操作(如数据包8)。
虚机主机收到ACK标记的确认包,又发送一个ACK标记的确认包给服务器,通知A连接已建立(如数据包10),通过三次握手,一个TCP连接完成。
而绿色部分下面的窗口表示的是选定的某个数据包的层次结构和协议分析。
最下面窗口是数据包的16进制数据的具体内容,也即是数据包在物理层上传递的数据。
3、在数据包中单词代表的意思
No.列标识出Ethereal捕获的数据包序号
Time表示在什么时间捕获到该数据包
Source和Destination标识出数据包的源地址和目的地址
Protol表明该数据包使用的协议
Info是在列表中大概列出该数据包的信息
Frame代表数据帧
4、常用的过滤条件
a.etherhost00:
e5:
g9:
00:
00:
03
捕获MAC地址为00:
e5:
g9:
00:
00:
03网络设备通信的所有报文
b.host192.168.11.22
捕获IP地址为192.168.11.22网络设备通信的所有报文
c.tcpport80
捕获网络web浏览的所有报文
d.host192.168.0.8andnottcpport80
捕获192.168.0.8除了http外的所有通信数据报文
e.tcp
捕获所有TCP协议的数据包
f.tcpport23
捕获TCP端口号是23的数据包,不管是源端口还是目的端口
……
四、实验小结和思考(包括感想、体会与启示)
通过本实验,掌握了Wieshark的基本配置和使用方法,同时也对数据传输的过程和协议有了更深的了解。
比如建立连接要通过三次握手,软件和网站使用的协议也各不相同。
Wieshark是我们学习和了解网络的有用的软件之一,特别是用用来分析数据包。
在本次试验过程有遇到过问题也有收获经验:
使用wireshark时,通过精确定位过滤来捕获自己想要的包,这样捕获的包比较直观有用且数据包较小。
为了大量数据包对笔记本网卡冲太大导致死机可以在抓包时注意及时的点击关闭正在进行的抓包。
五、指导教师评语
成绩
日期
批阅人
升级会员 