完整计算机网络实验4利用wireshark进行协议分析.docx

完整计算机网络实验4利用wireshark进行协议分析.docx

《完整计算机网络实验4利用wireshark进行协议分析.docx》由会员分享，可在线阅读，更多相关《完整计算机网络实验4利用wireshark进行协议分析.docx（15页珍藏版）》请在冰豆网上搜索。

完整计算机网络实验4利用wireshark进行协议分析

实验 4：

利用 Wireshark 进行协议分析

1、实验目的

熟悉并掌握 Wireshark 的基本操作，了解网络协议实体间进行交互以及报文交换的情况。

2、实验环境

ØWindows 9x/NT/2000/XP/2003

Ø与因特网连接的计算机网络系统

Ø分组分析器Wireshark：

要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。

为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。

这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。

观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packetsniffer）。

顾名思义，一个分组嗅探器俘获（嗅探）计算机发送和接收的报文。

一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。

图4-1为一个分组嗅探器的结构。

图 4-1 分组嗅探器的结构

图4-1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：

web浏览器和ftp客户端）。

分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。

分组俘获库（packetcapturelibrary）接收计算机发送和接收的每一个链路层帧的拷贝。

高层协议（如：

HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。

图1假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分析器。

分析器用来显示协议报文所有字段的内容。

为此，分析器必须能够理解协议所交换的所有报文的结构。

例如：

我们要显示图4-1中HTTP协议所交换的报文的各个字段。

分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。

分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP报文段。

然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。

最后，它需要理解HTTP消息。

Wireshark 是一种可以运行在 Windows, UNIX, Linux 等操作系统上的 分 组 分 析 器 。

 运行 Wireshark 程序时，其图形用户界面如图 4-2 所示。

最初，各窗口中并无数据显示。

在用户选择接口，点击开始抓包按钮之后，Wireshark 的用户界面会变成如图 4-3所示。

此时 Wireshark 的用户界面主要有 5 部分组成，如图 4-3 所示。

Ø 命令菜单（command menus）：

命令菜单位于窗口的最顶部，是标准的下拉式菜单。

最常用菜单命令有两个：

File、Capture。

File 菜单允许你保存俘获的分组数据或打开一个已被保存的俘获分组数据文件或退出 Wireshark 程序。

Capture 菜单允许你开始俘获分组。

Ø 俘获分组列表（listing of captured packets）：

按行显示已被俘获的分组内容，其中包括：

Wireshark 赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。

单击某一列的列名，可以使分组按指定列进行排序。

在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。

Ø 分组头部明细（details of selected packet header）：

显示俘获分组列表窗口中被选中分组的头部详细信息。

包括：

与以太网帧有关的信息，与包含在该分组中的 IP 数据报有关的信息。

单击以太网帧或 IP 数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。

另外，如果利用 TCP 或 UDP 承载分组，Wireshark 也会显示 TCP 或 UDP 协议头部信息。

最后，分组最高层协议的头部字段也会显示在此窗口中。

Ø 分组内容窗口（packet content）：

以 ASCII 码和十六进制两种格式显示被俘获帧的完整内容。

Ø 显示筛选规则（display filter specification）：

在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。

3、实验过程

1） 学习 Wireshark 的使用

Ø 启动主机上的 web 浏览器。

Ø 启动 Wireshark。

你会看到如图 4-2 所示的窗口，只是窗口中没有任何分组列表。

Ø 开始分组俘获：

选择“capture”下拉菜单中的“Capture Options”命令，会出现如图 4-3 所示的“Wireshark:

 Capture Options”窗口，可以设置分组俘获的选项。

图 4-4 Wireshark 的 Capture Option

Ø 在实验中，可以使用窗口中显示的默认值。

在“Wireshark:

 CaptureOptions”窗口（如图 4-4 所示）的最上面有一个“Interface List”下拉菜单，其中显示计算机所具有的网络接口（即网卡）。

当计算机具有多个活动网卡时，需要选择其中一个用来发送或接收分组的网络接口（如某个有线接口）。

随后，单击“Start”开始进行分组俘获，所有由选定网卡发送和接收的分组都将被俘获。

Ø 开始分组俘获后，会出现如图 4-5 所示的窗口。

该窗口统计显示各类已俘获数据包。

在该窗口的工具栏中有一个“stop”按钮，可以停止分组的俘获。

但此时你最好不要停止俘获分组。

Ø 在运行分组俘获的同时，在浏览器地址栏中输入某网页的 URL，如 ：

  。

 为 显 示 该 网 页 ， 浏 览 器 需 要 连 接 的服务器，并与之交换 HTTP 消息，以下载该网页。

包含这些 HTTP 报文的以太网帧将被 Wireshark 俘获。

Ø 当完整的页面下载完成后，单击 Wireshark 菜单栏中的 stop 按钮，停止分组俘获。

Wireshark 主窗口显示已俘获的你的计算机与其他网络实体交换的所有协议报文，其中一部分就是与 服务器交换的 HTTP 报文。

此时主窗口与图 4-3 相似。

Ø 在显示筛选规则中输入“http”，单击“回车”，分组列表窗口将只显示 HTTP 协议报文。

Ø 选择分组列表窗口中的第一条 http 报文。

它应该是你的计算机发向  服务器的 HTTP GET 报文。

当你选择该报文后，以太网帧、IP 数据报、TCP 报文段、以及 HTTP 报文首部信息都将显示在分组首部子窗口中。

单击分组首部详细信息子窗口中向右和向下箭头，可以最小化帧、以太网、IP、TCP 信息显示量，可以最大化 HTTP 协议相关信息的显示量。

2） 利用 Wireshark 分析 HTTP 协议

（1）HTTP GET/response 交互

✧ 启动 Web browser，然后启动 Wireshark 分组嗅探器。

在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP 报文。

✧ 开始 Wireshark 分组俘获。

✧ 在打开的浏览器窗口中输入以下地址：

✧ 停止分组俘获。

根据俘获窗口内容，思考以下问题：

✧ 你的浏览器运行的是 HTTP1.0，还是 HTTP1.1？

你所访问的服务

器所运行 HTTP 协议的版本号是多少？

✧ 你的浏览器向服务器指出它能接收何种语言版本的对象？

✧ 你的计算机的 IP 地址是多少？

服务器 

的 IP 地址是多少？

✧ 从服务器向你的浏览器返回的状态代码是多少？

（2）HTTP 条件 GET/response 交互

✧ 启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单

中的“Internet 选项”命令，在出现的对话框中，选择“删除文件”）。

✧ 启动 Wireshark 分组俘获器。

开始 Wireshark 分组俘获。

✧ 在浏览器的地址栏中输入以下 URL:

你的浏览器中重新输入相同的 URL 或单击浏览器中的“刷新”按

钮。

✧ 停止 Wireshark 分组俘获，在显示过滤筛选说明处输入“http”,分组

列表子窗口中将只显示所俘获到的 HTTP 报文。

根据俘获窗口内容，思考以下问题：

✧ 分析你的浏览器向服务器发出的第一个 HTTP GET 请求的内容，

在该请求报文中，是否有一行是：

IF-MODIFIED-SINCE？

✧ 分析服务器响应报文的内容，服务器是否明确返回了文件的内

容？

如何获知？

✧ 分析你的浏览器向服务器发出的较晚的“HTTP GET”请求，在该请

求报文中是否有一行是：

IF-MODIFIED-SINCE？

如果有，在该首

部行后面跟着的信息是什么？

✧ 服务器对较晚的 HTTP GET 请求的响应中的 HTTP 状态代码是多

少？

服务器是否明确返回了文件的内容？

请解释。

3） 利用 Wireshark 分析 TCP 协议

注：

访问以下网址需要设置代理服务器。

如无法访问可与实验 TA联系，下载tcp-Wireshark-trace文件，利用该文件进行TCP协议分析。

（1）俘获大量的由本地主机到远程服务器的TCP分组

A.启动浏览器，打开http:

//gaia.cs.umass.edu/Wireshark-labs/alice.txt网页，得到ALICE'S ADVENTURES IN WONDERLAND文本，将该文件保存到你的主机上。

B.打开http:

//gaia.cs.umass.edu/Wireshark-labs/TCP-Wireshark-file1.html，如图4-6所示，窗口如下图所示。

在Browse按钮旁的文本框中输入保存在你的主机上的文件ALICE'S ADVENTURES INWONDERLAND的全名（含路径），此时不要按“Uploadalice.txt file”按钮。

图4-6 Wireshark-labs网页截图

C. 启动Wireshark，开始分组俘获。

D. 在浏览器中，单击“Upload alice.txt file”按钮，将文件上传到gaia.cs.umass.edu服务器，一旦文件上传完毕，一个简短的贺词信息将显示在你的浏览器窗口中。

E. 停止俘获。

（2）浏览追踪信息

在显示筛选规则中输入“tcp”,可以看到在本地主机和服务器之间传输的一系列 tcp 和 http 报文，你应该能看到包含 SYN 报文的三次握手。

也可以看到有主机向服务器发送的一个 HTTP POST 报文和一系列的“http continuation”报文。

根据操作思考以下问题：

Ø 向 gaia.cs.umass.edu 服务器传送文件的客户端主机的 IP 地址和TCP 端口号是多少？

Ø Gaia.cs.umass.edu 服务器的 IP 地址是多少？

对这一连接，它用来发送和接收 TCP 报文的端口号是多少？

（3）TCP 基础

根据操作思考以下问题：

Ø 客户服务器之间用于初始化 TCP 连接的 TCP SYN 报文段的序号（sequence number）是多少？

在该报文段中，是用什么来标示该报文段是 SYN 报文段的？

Ø 服务器向客户端发送的 SYNACK 报文段序号是多少？

该报文段中，Acknowledgement 字段的值是多少？

Gaia.cs.umass.edu 服务器是如何决定此值的？

在该报文段中，是用什么来标示该报文段是SYNACK 报文段的？

Ø 你能从捕获的数据包中分析出 tcp 三次握手过程吗？

Ø 包含 HTT