實驗四、使用Wireshark網(wǎng)絡(luò)分析器分析數(shù)據(jù)包

1、實驗四、使用 Wireshark 網(wǎng)絡(luò)分析器分析數(shù)據(jù)包實驗?zāi)康?、掌握Wireshark工具的安裝和使用方法2、理解TCP/IP協(xié)議棧中IP、TCP UD等協(xié)議的數(shù)據(jù)結(jié)構(gòu)3、掌握ICMP協(xié)議的類型和代碼二、實驗內(nèi)容1、安裝 Wireshark2、捕捉數(shù)據(jù)包3、分析捕捉的數(shù)據(jù)包三、實驗工具1、計算機n臺（建議學(xué)生自帶筆記本）2、無線路由器n臺四、相關(guān)預(yù)備知識1 、熟悉 win7 操作系統(tǒng)2、Sniff Pro 軟件的安裝與使用（見Sniff Pro 使用文檔）五、實驗步驟1、安裝 WiresharkWireshark 是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是 嘗試捕獲網(wǎng)絡(luò)包， 并嘗試顯示包的

2、盡可能詳細的情況。網(wǎng)絡(luò)包分析 工具是一種用來測量有什么東西從網(wǎng)線上進出的測量工具，Wireshark 是最好的開源網(wǎng)絡(luò)分析軟件。Wireshark 的主要應(yīng)用如下：1）網(wǎng)絡(luò)管理員用來解決網(wǎng)絡(luò)問題 2）網(wǎng)絡(luò)安全工程師用來檢測安全隱患 3）開發(fā)人員用來測試協(xié)議執(zhí)行情況 4）用來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議 5）除了上面提到的， Wireshark 還可以用在其它許多場合。Wireshark 的主要 特性(1)支持UNIX和 Windows平臺2）在接口實時捕捉包 3）能詳細顯示包的詳細協(xié)議信息 4）可以打開 / 保存捕捉的包5）可以導(dǎo)入導(dǎo)出其他捕捉程序支持的包數(shù)據(jù)格式6）可以通過多種方式過濾包 7）多種方式查找包

3、 8）通過過濾以多種色彩顯示包 9）創(chuàng)建多種統(tǒng)計分析五、實驗內(nèi)容1了解數(shù)據(jù)包分析軟件 Wireshark 的基本情況；2安裝數(shù)據(jù)包分析軟件 Wireshark ；3配置分析軟件 Wireshark ；4對本機網(wǎng)卡抓數(shù)據(jù)包；5分析各種數(shù)據(jù)包。六、實驗方法及步驟1 Wireshark 的安裝及界面1)Wireshark 的安裝2)Wireshark 的界面 啟動 Wireshark 之后，主界面如圖：rhc Ttrcshrb NctTazk主菜單項:主菜單包括以下幾個項目：File包括打開、合并捕捉文件，save/保存,Print/打印,Export/導(dǎo)出捕捉文件的全部或部分。以及退出Wiresh

4、ark項.Edit包括如下項目：查找包，時間參考，標(biāo)記一個多個包，設(shè)置預(yù)設(shè)參 數(shù)。（剪切，拷貝，粘貼不能立即執(zhí)行。）View控制捕捉數(shù)據(jù)的顯示方式，包括顏色，字體縮放，將包顯示在分離的窗口，展開或收縮詳情面版的地樹狀節(jié)點GO包含到指定包的功能Capture允許您開始或停止捕捉、編輯過濾器。Analyze包含處理顯示過濾，允許或禁止分析協(xié)議，配置用戶指定解碼和追 蹤TCP流等功能。見Statistics包括的菜單項用戶顯示多個統(tǒng)計窗口，包括關(guān)于捕捉包的摘要，協(xié) 議層次統(tǒng)計等等。見Help包含一些輔助用戶的參考內(nèi)容。如訪問一些基本的幫助文件，支持 的協(xié)議列表，用戶手冊。在線訪問一些網(wǎng)站，“關(guān)于”等

5、等。2 Wireshark 的設(shè)置和使用1）啟動 Wireshark 以后，選擇菜單 Capature->Interfaces, 選擇捕獲的網(wǎng)卡，單擊 Capture 開始捕獲2）當(dāng)停止抓包時，按一下st op ,抓的包就會顯示在面板中，并且已經(jīng)分析好了。下面是一個截圖如圖2-2所示。!”(Untitledit cshsii k3B區(qū)Edit yiev/ Oo C郎：Ute 加a瘧uteristics HelpHerMO. .1両£0飭mwRsiCieslinaiiQfiiBMWCTgWWC207.531315115.?3fi.54.15上二T. 5312bH10. 2 J.

6、bl. 15?37. 5 3JO71la. 2D.fil.lJ237, 5如出石115.28. &4.LJ$7i7. u時茹聞T：5. ?R. n4,1 T Cl257.初 9Gi115.23S. 54.ia(?267 5635510. ?D. Cl. 15271、5y2OSS11).238. my7B7. "CiiO4H297,93117507.S95211115.230.i1/.fey2247!,?：).rd.155?7,707：io*?D.ri J r337,70BSS55討7.7?57q74”i尹J tT mt.7jiTIC. no 1 ?n1 0

7、 . 2 . 51.15 rts.ja. 54.115. ?5S. 54.13 lU.20. 61.151 0. ? 0, M , I -i10.0. bl.15115.253. 54.1510,c!D,bl.l510.70.M .1 -i 115.生乩54.L羽 10.20,61,15 115.28.115. ?53.54.139115.233. M.13010.20m .15in -| ft1 k1135S十N, ack £eq： http Hack Sec-i Ad GET /euPil efrrt./iietwQP' Ic/tresF h(ttc E TCP ij.a

8、s TC 口 Trp LISS Ltc= _GET / 20 nt enrt /n etwor k /v1 r es r L187 > ht r.ip rm： 5已QC1 Ler 1139 > http rs'N see-a Ler Tn 5pgTipm h d rPcTpirb' j T嚴(yán)C j-i im丹 % r- F, "i十 L FikTg-l 2 r PAserrh' r E=s?errb' Su耳.=?心5 t rcs5?ctti31 USS CACKTspyppTt nf 4 sequanrt o上 a> http Aj

9、CksegucTt 曠 qaypHrt nf 4 rPHEeirb'> hftta RACK £眈-,05 f 5egTierrt of 4 rec33eirb' Ercasian. C car AcoiyF Frame 19 C2 bytes on vire,G? byte capturecC + Etherneti-Fi TrttprnMOOD OCIO 002 0 003 O6f口 d lY-fr-4CGin 4 口口a D o D eOnoof 03 a Q o _u5 3d4 7 7-'D亠 FM邸H> :4 5:tl, Sr c： wi

10、ser :)n_5-t ：ec:dj (OD:Od :34 :ec:d3J. D3* : MangzhOL4_3e；6b：ed CCi0:0r：e2 _ Prrtrnrnl.烷廣廣！ 'I n. ?Ci. hi .1 n 0. ><).1 M. xt ! Ti jh. Uh*) (11 x ? *h. h4_| £41 工I>lFds/'cuctu iHET jqca 胛 CALS-1 w rr fn*m wJO'WQSEn 時.| p ; i o© 口 ； $ $ m； o d 片;c圖2-2 Wireshark數(shù)據(jù)包分析Wire

11、shark和其它的圖形化嗅探器使用基本類似的界面，整個窗口被分成三個部分：最上面為數(shù)據(jù)包列表，用來顯示截獲的每個數(shù)據(jù)包的總結(jié)性信息；中間為協(xié)議樹，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；最下邊是以十六進制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時的最終形式。2）設(shè)置capture選項選擇菜單captureInterface ，如圖2-3所示，在指定的網(wǎng)卡上點“ Prepare” 按鈕，設(shè)置 capture 參數(shù)。.Upwigcti匚育JF_3m -二廳J 三芒話簡L. il. -f )r'P C-ptKi F p3f 片r忡 In E E|q : I lEJuq mrdp 廠 u

12、iTiii p.-|.：n pac呎時 in?| tyniWslMtiiLJ宀 F uir. I ICajtLire -lle(3；Fitc； Ir J 1叫=P?! ittiplF TlipuCispW CiptlaisL UpcHt* IIDT packets m real! “rsr . ill - ' 1 I'.1rl1 Hi 須 1 'Pul - C)-廠 I'-ilr- . i.i- 1；1-i-i1 III w. 一*F "PNliFLh1MP廠 LL'IJ £ d 3*1. L w Ll5L扎"Stop Ca

13、ffclureL . arterj 1卜肩:匕1可廠. affcrj| 1=1 .-Jr吩二廠art=rI I止（“1*riarriE Rcz'aKtiur-T Enable MAT- namE rES-olubanrr En able ir er I卻d rt “ 31 nt? r egoiutioni也 tJeiQ E n atile netMiQi-k n a me l eal utlonL £=二iri<f1l- L.i_ Jl r-hj 代匚 rrmi ?=圖2-3 capture 選擇設(shè)置In terface :指定在哪個接口（網(wǎng)卡）上抓包。一般情況下都是單

14、網(wǎng)卡，所以使用缺省的就可以。Limit each p acket:限制每個包的大小，缺省情況不限制。Cap ture p ackets in pro miscuous mode:是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個選項。Filter :過濾器。只抓取滿足過濾規(guī)則的包（可暫時略過）。File :如果需要將抓到的包寫到文件中，在這里輸入文件名 稱。use ring buffer:是否使用循環(huán)緩沖。缺省情況下不使用，即 一直抓包。注意，循環(huán)緩沖只有在寫文件的時候才有效。如果使用 了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時回卷。其他

15、的項 選擇缺省的就可以了。2.顯示過濾器的使用方法在抓包完成以后用顯示過濾器，可以在設(shè)定的條件下（協(xié)議名稱、是否存在某個域、域值等）來查找你要找的數(shù)據(jù)包。如果只想 查看使用TCP協(xié)議的包，在 Wireshark窗口的左下角的Filter 中 輸入TCP然后回車，Wireshark就會只顯示TCP協(xié)議的包。如圖2-4所示。圖2-4設(shè)置過濾條件為TCP!文如果想抓取IP地址是5的主機，它所接收收或發(fā)送的所有的TCP報文，那么合適的顯示Filter（過濾器）就是如圖2-5所示。& IO * a 回衛(wèi)中比買2E±$JaE 型鎮(zhèn) sNd _TlrrvSaurcDrn

16、fccDl2.6149-JI,單溝925.昂討旳弓Il陽陽弭3532.655933? 2.67355flU' 2 . tM亂:丄仇“殲仁訂J - T HH1R 亍程:竹-.Difftr khlliTutlID.20.bl.xS10.J a_hL 小ID. 20. tl.XS 1921客卜孑213M&8rlg2話 i/J 10*192lD,za.L，15?IP 遼6L<?匹 19Ell?.2u- BlL-IS己"I即匸螢21±.5a.J_jE-L921 r. -j.r #11 iTlTiJ-iKP.JQ.M-IT 2_ja.yu.LDa.L2 二 jJS

17、.TiZ I Ot. Lg aiadU'S 亠 L2Jh丸拓燦-工！Mr?工 61-15 12r2o.ftl.l72：.S-?Q.lDfi=i?2丄.1 二J. ol丄1IC揖覦1呼亠dlu, LUH>L?21Q.ZCl61-1ID.21. bh-15T Tj 口 >|-|1 AC 1 iT. ITCPTCPTTiZPHTTP 'TCP TCP rillP upp TCPHTTP HTTP 好KTfP HTTP Ti-FihiTp 1 2円丁 zzr A n-icp ATKj KPIlf 1GET / HTTF心1 li?p 事 22陽*tK hUD > 22

18、7 ACKIAOAckIlrr-iuo Lfln-O riET-LGDQ£&q-L AjCt-l 4rn-ti53j LEH-方 rufiHiilad PliLiSeq-L ft匚Ei佃丄勺-1忌L*|-«U - ., EMY AX；1C-15S6 WllnS7&CL*n-U HlP/n.Q SOD O ftw/Mnf) 弔FP 口yion tr nDn*TTT_"nTri£ 22山T i Mtp <K Seq-LlBe A<t-L5D3 匚五 1叫瓠 伽 Qrmn胡TTp trifflt iv-.rf-iU5-"-

19、lgri c- 妙n-nTTp 匸口尸址> mtp tAZkJ t糾.ilfc!匕 ACV.-il2J frEij也応巧勺F Firin-rrP rpf+ir cynzTiuallon ar mn-Mrrp craf ri£ -I 1 1 T - rf " rl « ”4 .i ri I-hrtn-65535 LBn-a>4rVl<Cf Fl4ldi VUU (邑CP U*誡：U垃丄#It； L = N! OXVUTatjI I t-qrhr 43Idcrit-tflcatAnn: 口住酣初)+ Pl呻 1 0jd4 CD«i I &q

20、uot;訶皀mFrwfiitn offsMi -JHre to Uve? 123,r<ITuiDl : TCP e沁町帀M黑h 曲KM屮；眥啊論«"貳匸13au-i：fr! lO.JO.tl-lS <Xft?0.61 1S5D電rd陽Hm： 21乩訶D乩化1乩Wl«江92udOuM弼k>D ki" is til & dij Ui OZQ脾r?艸皿軸常 fiL <0 盹 c7 亡肛 3b la c5 阡于f 7E « Gfl QD 3? MQQ7a<1514kT 陽 WDIJgQIDB3口 DD MUtniD

21、D or 兇4 IB Od TO 悅 0?J J J AR l I* 4 . Ej Uh S-!- I *-*"卜14 * J P B 亠L(fēng) |Jb-1 B . L P _ I _ . J I F19 TDOCTJ 昨-1 IOC wi I 左虬® -imniWflir MTgOif AdV-ISkB DQDa »|k urriD Fi|r；M aoript o圖2-5設(shè)置過濾條件為IP地址是5的主機所有的TCP報文七、學(xué)習(xí)使用WireShark對ARF協(xié)議進行分析(1)啟動 WireShark捕獲數(shù)據(jù)停止抓包并分析ARP青求報文將Filter

22、過濾條件設(shè)為arp，回車或者點擊“ Apply ”按鈕,（4） ARP青求報文分析 1）粘貼你捕獲的ARP青求報文滋驢洱 0曰K訃凸 囲中申宙齊址ig 5 靦直龜亡 "ms訊 9Nd . Tima二 0.3439：.2574?S DuraDosn AmD0：2i：&3 !a:&t- tro白d j占t QQjgl；frr 口 ad匚CTWj J»H ttlft W WJigW BW4ja(?:cf ftracjBirSDry_T* 7Zr：h?3ra adcis碣;話；理已"薊話丄fcraad:-l5tProtocolArpAAiP應(yīng)Q ARF 沁

23、bifD詢DMri需ZDhas丄G M亠4L 2S47 tell 10.2D.61.25 LSUUdMT Tall410. 2O.6i aTJT 1 IQ.JD.U.ID-.込乩 3547 rell 10.20- 61-Ifl L5. 20,?lL,Tell 辿丑也 旳三$站耳世4 tEO 6ytt flu -rt, tu tyt*；i <止趴時也址TlrPi 沖j IT.汕“ 31 ：«沁乳門肚MIDDDt1hw cJelta 產(chǎn)m prwl du? packets Q, 3 51300UDD reconcslTlrtw 1nc« ref4>-tPicF CT

24、 flrit fr*TiFL d-fl33'ife?9ddo accandaFrartti Hgr； *Pm已砒 Lengtn： EOCjpTUPD Lfl<"ijch： -60 liytG Fr4nt in nrl Ht：尸/匹procD匚dls 1ri frmtie: ezhiiii pC0>r1 iiUlc mu斗 Z町Calori rq ；ule rringj rp+ EherndC Zl, src： 5C；lTt J5±ifl3 :qbtl5 5C；Tr ：33 ；D5jn ：li A D£C L BTaidCESL Crrt1T：1

25、T：rT!rr：1T ± AeMkh昶Ohlt'ftn P*! OCCrOl (-X昭FJ-卄-fJ Ff? UJ-LlL： tE g E Cfi ；iiO0E第lUaTP:U-i*I- i2；ii ?4uD J'J<IL'LAJJU-Ljda rtJ_J_ 11 _一11 ILxlIILLnIt:11； I：1-DQOC iWl<3EiJ問D IP 1*0 C U ODhPI： DFrams 常 anwhca h曲 e2）分析你捕獲的ARP青求報文第一行幀基本信息分析（粘貼你的Frame信息）Frame Number （ 幀的編號）：1457_（

26、捕獲時的編號）Frame Length（幀的大小）：60節(jié)。（以太網(wǎng)的幀最小64個字節(jié)，而這里只有6 0個字節(jié)，應(yīng)該是沒有把四個字節(jié)的CRC計算在里面，加上它就剛好。）Arrival Time（幀被捕獲的日期和時間）:_sep 23,_2014幀距離前一個幀的捕幀距離第一個幀的捕獲時間15 :15 :38 .463721000Time delta from prev ious cap tured frame（獲時間差）:_0.002937000 seco nds.Time si nee refernce or first frame（差）:24.488816000 secondsProtoco

27、ls in frame（ 幀裝載的協(xié)議）：_eth:arp 第二行數(shù)據(jù)鏈路層:（粘貼你的數(shù)據(jù)鏈路層信息）Dest in ati on（目 的 地 址）Broadcast(fffffffffffQ（這是個MAC地址,這個MAC地址是一個廣播地址，就是局域網(wǎng)中的所有計算機都會Source （源地址）：G-ProCom_45:48:16(00:23:24:45:48:16)幀中封裝的協(xié)議類型:ARP（0x0806）（這個是 ARP協(xié)議的類型編Trailer :是協(xié)議中填充的數(shù)據(jù)，為了保證幀最少有 64字節(jié)。第三層ARP協(xié)議:（粘貼你的ARP青求報文）在上圖中，我們可以看到如下信息:H ardware

28、 type（硬件類型）：Ethemet(l)P rotocol type（協(xié)議類型）：IP(0X08OO)H ardware size(硬件信息在幀中占的字節(jié)數(shù)）:P rotocol size(協(xié)議信息在幀中占的字節(jié)數(shù)）:操作碼(op code): requset(0X0001)發(fā)送方的MAC地址(Sender MAC address) : G-ProCom 45:48:16(00:23:24:45:48:16)發(fā)送方的 IP 地址(Sender IP address ):2(2)目標(biāo)的MAC地址(Target MAC address:):00:00:0

29、0 00:00:00(00:00:00:00:00:00)目標(biāo)的 IP 地址(Target IP address:):()(3)分析ARP應(yīng)答報文(粘貼你的ARP應(yīng)答報文)應(yīng)答報文中的操作碼(op code): rep ly(0X0002)發(fā)送方的MAC 地址(Sender MAC address):0c:da:41:63:03:f4(0c:da:41:63:03:f4),發(fā)送方的 IP 地址(Sender IP address ):()目標(biāo)的MAC地址(Target MAC address: ) : G-P ro

30、Com_45:47:dd(00:23:24:45:47:dd)目標(biāo)的 IP 地址(Target IP address:):8(8),練習(xí)1:對于上述2、3中的arp請求報文和應(yīng)答報文，將ARP請求報文和ARP應(yīng)答報文中的字段信息填入表3-1。表3-1 RPP請求報文和ARP應(yīng)答報文的字段信息字段 項ARP請求數(shù)據(jù)報文ARP應(yīng)答數(shù)據(jù)報文鏈路 層Desti n atio n項Broadcast(ff:ff:ff:ff:ff:G-P roCom_45:47:dd(00:23:24:45:47:dd)鏈路 層Sourc e項G-P roCom_45:48:16(00:23:24:45:48:16)0c:da:41:63:03:f4(0c:d