网络协议分析免费下载.docx
《网络协议分析免费下载.docx》由会员分享,可在线阅读,更多相关《网络协议分析免费下载.docx(23页珍藏版)》请在冰豆网上搜索。
网络协议分析免费下载
实验报告
项目名称:
网络协议分析工具的使用
课程名称:
计算机网络A
班级:
计111计111
姓名:
葛一波叶博兴
学号:
110776110768
教师:
张晓明
信息工程学院计算机系
一.实验目的
1.了解协议分析仪的使用方法和基本特点,掌握使用协议分析仪分析协议的方法。
2.了解Ping命令的工作过程;
3.了解FTP协议的工作过程。
二.实验前的准备
1.熟悉Ping命令,FTP协议;
2.了解协议分析仪的功能和工作原理;
3.了解Ethereal分析仪的使用方法;
4.阅读本实验的阅读文献;
三.实验内容
1.学习捕获选项的设置和使用。
2.使用Ethereal分析仪捕获一段Ping命令的数据流,并分析其工作过程。
3.登录ftp:
//,并下载三个大小不同的文件(小于1KB、1KB—1MB、1MB以上),使用Ethereal分析仪分析其工作过程。
4.设置显示过滤器,以显示所选部分的捕获数据。
5.保存捕获的数据,分别是TEXT文件和XML文件。
四.实验要求
1.完成上述实验内容;
2.记录捕获的关键数据,并分析协议工作过程。
3.上交实验报告和保存的实验数据。
Wireshark
Wireshark(前称Ethereal)是一个网络封包分析软件。
网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
网络封包分析软件的功能可想像成"电工技师使用电表来量测电流、电压、电阻"的工作-只是将场景移植到网络上,并将电线替换成网络线。
在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。
Ethereal的出现改变了这一切。
在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其程式码,并拥有针对其源代码修改及客制化的权利。
Ethereal是目前全世界最广泛的网络封包分析软件之一。
软件简介
Wireshark使用目的以下是一些使用Wireshark目的的例子:
网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识当然,有的人也会“居心叵测”的用它来寻找一些敏感信息……
Wireshark不是入侵侦测软件(IntrusionDetectionSoftware,IDS)。
对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。
然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。
Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。
Wireshark本身也不会送出封包至网络上。
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题,它是网络和系统管理人员进行网络故障和性能诊断的有效工具。
通常,人们把网络分析总结为四种方式:
基于流量镜像协议分析,基于SNMP的流量监测技术,基于网络探针(Probe)技术和基于流(flow)的流量分析。
而我们下面要向大家介绍的Wireshark就是基于流量镜像协议分析。
流量镜像协议分析方式是把网络设备的某个端口(链路)流量镜像给协议分析仪,通过7层协议解码对网络流量进行监测。
但该方法主要侧重于协议分析,而非用户流量访问统计和趋势分析,仅能在短时间内对流经接口的数据包进行分析,无法满足大流量、长期的抓包和趋势分析的要求。
Wireshark的前身是著名的Ethereal。
Wireshark是一款免费的网络协议检测程序。
它具有设计完美的GUI和众多分类信息及过滤选项。
下面是Wireshark的界面。
用户通过Wireshark,同时将网卡插入混合模式,可以用来****所有在网络上被传送的包,并分析其内容。
通过查看每一封包流向及其内容,用来检查网络的工作情况,或是用来发现网络程序的bugs。
Wireshark是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分析器,支持Unix,Linux和Windows平台。
由于Wireshark是OpenSource,更新快,支持的协议多,特别是数据包过滤功能灵活强大。
Wireshark提供了对TCP、UDP、SMB、telnet和ftp等常用协议的支持。
它在很多情况下可以代替价格昂贵的Sniffer。
Wireshark是一个图形用户接口(GUI)的网络嗅探器,它依赖于Pcap库。
因此在安装之前首先要安装WinPcap,然后再按照默认值安装Wireshark。
1、PING命令
在DOS下使用PING命令,发出四个包,收到四个包,丢失率为零。
源ip地址:
222.31.141.71
目的ip地址:
222.31.140.251;TTL值为64,可判断目的主机操作系统为windows。
分析:
源ip地址:
222.31.141.71
目的ip地址:
222.31.140.251
IP协议版本:
4
头部长度:
20字节
版本:
4
总长度:
60
Fragmentoffset:
0一片偏移
协议:
ICMP协议
头部校验和:
0x4da2
源222.31.141.71目的222.31.140.251
类型:
8
代码:
0
校验和0x4d45
标识符0x0001
2、Tracert命令
Tracert(跟踪路由)是路由跟踪实用程序,用于确定IP数据报访问目标所采取的路径。
Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。
Tracert工作原理
通过向目标发送不同IP生存时间(TTL)值的“Internet控制消息协议(ICMP)”回应数据包,Tracert诊断程序确定到目标所采取的路由。
要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1。
数据包上的TTL减为0时,路由器应该将“ICMP已超时”的消息发回源系统。
Tracert先发送TTL为1的回应数据包,并在随后的每次发送过程将TTL递增1,直到目标响应或TTL达到最大值,从而确定路由。
通过检查中间路由器发回的“ICMP已超时”的消息确定路由。
某些路由器不经询问直接丢弃TTL过期的数据包,这在Tracert实用程序中看不到。
分析:
源ip地址:
222.31.141.71
目的ip地址:
222.31.140.251
IP协议版本:
4
头部长度:
20字节
版本:
4
总长度:
92
Fragmentoffset:
0一片偏移
协议:
ICMP
头部校验和:
0x817b
源222.31.141.71目的222.31.140.251
类型:
8
代码:
0
校验和0xf7ca
标识符0x0001
Tracert跟踪XX
分析:
源ip地址:
101.226.167.15
目的ip地址:
222.31.140.251
IP协议版本:
4
头部长度:
20字节
版本:
4
总长度:
1112
Fragmentoffset:
0一片偏移
存活时间:
63
协议:
HTTP协议
头部校验和:
0x4da2
源2101.226.167.15目的222.31.140.251
3、端口扫描数据捕获与分析
4、访问FTP
登录ftp:
//,并下载三个大小不同的文件(小于1KB、1KB—1MB、1MB以上),使用分析仪分析其工作过程。
(1)FTP服务器的登录
捕获USER和PWD的内容,分析FTP、TCP、IP协议的首部信息。
FTP服务器的端口号为21,用于控制连接。
源ip地址:
210.31.32.5
目的ip地址:
222.31.140.251
IP协议版本:
4
头部长度:
20字节
版本:
4
总长度:
55
Fragmentoffset:
0一片偏移
存活时间:
127
协议:
FTP协议
头部校验和:
0x4de57
源210.31.32.5目的222.31.140.251
源ip地址:
222.31.140.251
目的ip地址:
210.31.32.5
IP协议版本:
4
头部长度:
20字节
版本:
4
总长度:
40
Fragmentoffset:
0一片偏移
存活时间:
64
协议:
TCP协议
(2)FTP文件的下载过程
源ip地址:
222.31.140.251
目的ip地址:
210.31.32.5
IP协议版本:
4
头部长度:
20字节
版本:
4
总长度:
65
Fragmentoffset:
0一片偏移
存活时间:
127
协议:
TCP协议
源端口:
ftp(21)
目的端口:
efidiningport(2553)
序列号:
1018
下一相关序列号:
104
Ack号:
244
头部长度:
20字节
源ip地址:
222.31.140.251
目的ip地址:
210.31.32.5
IP协议版本:
4
头部长度:
20字节
版本:
4
总长度:
40
Fragmentoffset:
0一片偏移
存活时间:
64
协议:
TCP协议
源端口:
vcent-link-v10
目的端口:
procos-1m
序列号:
1
Ack号:
102685
头部长度:
20字节
源ip地址:
222.31.140.251210.31.32.5
目的ip地址:
222.31.140.251
IP协议版本:
4
头部长度:
20字节
总长度:
1500
Fragmentoffset:
0一片偏移
存活时间:
127
协议:
FTP-DATE
源端口:
0procos-1m
目的端口:
vcent-link-v10
序列号:
102685
下一相关序列号:
104145
Ack号:
1
头部长度:
20字节
(3)FTP服务的退出过程
分析FTP、TCP、IP协议的不同内容。
分析:
IP:
源ip地址:
210.31.32.5
目的ip地址:
222.31.140.251
IP协议版本:
4
头部长度:
20字节
总长度:
53
变时:
127
协议:
TCP
头部校验和:
源地址:
210.31.32.5目的地址:
222.31.140.251
源端口:
ftp(21)
目的端口:
efidiningport(2553)
序列号:
1248
下一相关序列号:
1261
Ack号:
264
头部长度:
20字节
分析:
IP:
源ip地址:
210.31.32.5
目的ip地址:
222.31.140.251
IP协议版本:
4
头部长度:
20字节
版本:
4
总长度:
40
变时:
127
协议:
TCP
头部校验和:
源地址:
210.31.32.5目的地址:
222.31.140.251
TCP:
源端口:
ftp(21)
目的端口:
efidiningport(2553)
序列号:
1261
分析:
IP:
源ip地址:
210.31.32.5
目的ip地址:
222.31.140.251
IP协议版本:
4
头部长度:
20字节
总长度:
40
协议:
TCP
头部校验和:
源地址:
210.31.32.5目的地址:
210.31.40.191
TCP:
源端口:
ftp(21)
目的端口:
efidiningport(2553)
Ack号:
265
5.HTTP协议包的捕获与分析
登录到一些著名网站上,将主页浏览过程捕获下来,分析其HTTP、TCP、IP协议的内容。
注意TCP协议中的端口号。
著名网站推荐:
(1)国外:
微软、HP、IBM、……
(2)国内:
金山、XX、搜弧、……
IP:
源ip地址:
222.31.141.71
目的ip地址:
220.181.112.143
IP协议版本:
4
头部长度:
20字节
TTL值为64,可判断目的主机操作系统为windows
版本:
4
总长度:
797
变时:
0×2119
协议:
HTTP
头部校验和:
源地址:
222.31.141.71目的地址:
221.181.112.143
TCP:
源端口:
53794
目的端口:
http(80)
序列号:
1
下一相关序列号:
758
Ack号:
1
头部长度:
20字节
窗口大小:
6813
IP:
源ip地址:
220.181.112.143
目的ip地址:
222.31.141.71
IP协议版本:
4
头部长度:
20字节
TTL值为63,可判断目的主机操作系统为windows
版本:
4
总长度:
1021
变时:
0×5558
协议:
HTTP
头部校验和:
源地址:
221.181.112.143目的地址:
222.31.141.71
TCP:
源端口:
http(80)
目的端口:
53794
序列号:
46721
下一相关序列号:
47702
Ack号:
758
头部长度:
20字节
窗口大小:
6813
6.思考题:
(1)在FTP服务中,FTP数据长度为什么是1460字节?
答:
最大传输单元是1460字节是TCP层的报文段(segment)的长度限制。
(2)如何捕获FTP服务的结束数据包?
答:
可以在filter那个框里面输入ftp,直接显示ftp数据包,然后再看一下information里的信息选择接受数据包
(3)在端口扫描中,对应的协议有TCP和UDP。
应该如何查找某端口对应的服务类型?
答:
用netstat-a—n命令查看
(4)不指定IP地址时,为什么有邻近的主机信息获取不到?
答:
网络协议(IP)是网络上信息从一台计算机传递给另一台计算机的方法或者协议。
网络上每台计算机(主机)至少具有一个IP地址将其与网络上其他计算机区别开。
当你发送或者接受信息时(例如,一个电子邮件信息或一个网页),信息被分成几个小块,称为信息包。
每个信息包都包含了发送者和接受者的网络地址。
网关计算机读到了目的地址,信息包继续向前到下一个邻近的网关照例读到目的地址,如此一直向前通过网络,直到一个网关确认这个信息包属于其最紧邻或者其范围内的计算机。
最终直接进入到其指定地址的计算机。
因为一个信息被分成了许多信息包,如果必要,每个信息包能够通过网络不同的路径发送。
信息包能按照与它们发送时的不同顺序到达。
网络协议(IP)仅仅是递送他们。
另外一个协议,传输控制协议(TCP)才是能够将它们按照正确顺序组合回原样。
IP是一个无连接协议,这就意味着在通信的终点之间没有连续的线路连接。
每个信息包作为一个处理过的独立的单元在网络上传输,这些单元之间没有相互的联系。
(信息包能放在正确的位置上是因为TCP,明了信息中信息包顺序的面向连接协议。
)在开放的系统互连(OSI)通讯模式中IP位于第三层?
?
网络层。
如今最广泛应用的IP版本是IPv4。
然而,IP版本6(IPv6)也已经开始使用了。
IPv6为了更长的地址作准备,因此可以满足更多网络使用者的需要。
IPv6包括了IPv4的功能,任何支持IPv6信息包的服务器同样也支持IPv4信息包。
(5)PING命令操作时,为什么会捕获ARP协议的数据包?
答:
因为ARP协议是“AddressResolutionProtocol”的缩写。
在局域网中,网络中实际传输的是帧,帧里面是有目标主机的MAC地址的。
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。