實驗一 利用WireShark觀察網(wǎng)絡(luò)協(xié)議分層架構(gòu)

1、察網(wǎng)實驗一利用WireShark觀察網(wǎng)絡(luò)協(xié)議分層架構(gòu)一、實驗?zāi)康募叭蝿?wù)1、熟悉并掌握WireShark的基本操作。2、了解網(wǎng)絡(luò)協(xié)議實體間進行交互以及報文交換的情況。二、實驗環(huán)境與因特網(wǎng)連接的計算機網(wǎng)絡(luò)系統(tǒng); 主機操作系統(tǒng)為windows； WireShark、IE 等軟件。三、預(yù)備知識一個人要深入理解網(wǎng)絡(luò)協(xié)議，需要：觀察它們的工作并使用它們，即觀察兩 個協(xié)議實體之間交換的報文序列，探究協(xié)議操作的細節(jié)，使協(xié)議實體執(zhí)行某些動 作，觀察這些動作及其影響。這些任務(wù)可以在仿真環(huán)境下或在如因特網(wǎng)這樣的真 實網(wǎng)絡(luò)環(huán)境中完成。觀察在正在運行協(xié)議實體間交換報文的基本工具被稱為分組嗅探器（packet sniff

2、er）o顧名思義，一個分組嗅探器俘獲（嗅探）由你的計算機發(fā)送和接收的報 文。一般情況下，分組嗅探器將存儲和顯示出被俘獲報文的各協(xié)議字段的內(nèi)容。圖1右邊是計算機上正常運行的協(xié)議（在這里是因特網(wǎng)協(xié)議）和應(yīng)用程序 （如：web瀏覽器和ftp客戶端）。分組嗅探器（虛線框中的部分）是附加計算 機普通軟件上的，主要有兩部分組成。分組俘獲庫（packet capture library） 接收計算機發(fā)送和接收的每一個鏈路層幀的拷貝。高層協(xié)議（如：HTTP、FTP、 TCP、UDP、DNS、IP等）交換的報文都被封裝在鏈路層幀中，并沿著物理媒體（如以太網(wǎng)的電纜）傳輸。圖1假設(shè)所使用的物理媒體是以太網(wǎng)，并且上層

3、協(xié)議的報 文最終封裝在以太網(wǎng)幀中。分組嗅探器的第二個組成部分是分組分析器。分組分析器用來顯示協(xié)議報文 所有字段的內(nèi)容。為此，分組分析器必須能夠理解協(xié)議所交換的所有報文的結(jié)構(gòu)。 例如：我們要顯示圖1中HTTP協(xié)議所交換的報文的各個字段。分組分析器理解 以太網(wǎng)幀格式，能夠識別包含在幀中的IP數(shù)據(jù)報。分組分析器也要理解IP數(shù)據(jù) 報的格式，并能從IP數(shù)據(jù)報中提取出TCP報文段。然后，它需要理解TCP報文 段，并能夠從中提取出HTTP消息。最后，它需要理解HTTP消息。WireShark是一種可以運行在Windows, UNIX, Linux等操作系統(tǒng)上的分組 分析器。WireShark是免費的，可以從

4、Http:/www.WireS得到。啟動 該軟件時，它的初始運行界面如圖2所示。運行WireShark程序時，其圖形用戶界面如圖3所示。最初，各窗口中并無 數(shù)據(jù)顯示。WireShark的界面主要有五個組成部分：commandmenusFilter:Expression. Clear Applydisplay filterspecificationTimeSourceDestinationProtocol0.00000060.12798722listing ofcapturedpacketsdetails ofselectedpacketheaderInfo6S get /news/ HTTP/

5、1.lrn22226Etp ACK 5eq=n Ack=l Win=65 53 5HTTP GET /HEWS/ HTTP,TCP1163 http SYN seq=o Len=o MS5=1460TCPhrtp 1163 syn, ack seq=0 Ack=l win=57MamTCP TCP segment of a reassembled pduHTTPLTCPprevious segment1 OSTJ continuation0.330467622TCP1163 http ACK Seq=657Ack=1082 Wn n=6480. 342042226TCPTCPRetransmn

6、 ssn onTCPsegment of a rea Frame 4 (710 bytes on wire, 710 bytes captured)0 Ethernet II, Src: Netgear_61:8e:6d (00:09:5b:61:8e:6d), Dst: West el1T_9f:92:b9 (00:Of:db:92:b9) 0 internet Protocol, Src: 6 (6), Dst: 22 (22)S Transmission control Protocol, sre Port: 1163 (1163), Dst Port: http (80), seq:

7、1, Ack: 1, Len: 656 日 Hypertext Transfer ProtocolHost: ww. wi reshark. orgrnUser-Agent: Mozilla/5.0 (Windows; U； Windows NT 5.1; en-U5； rv:l.8.1.4) Gecko/20070515 Firefox/ Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png, Accept-Language: en-us,en;q=0

8、.5rn Accept-Encoding: gzip,deflaternAccept-Charset: ISO-8859-1,utf-8;q=0.7,七 q=0.7rnK e e p-Al n v e: 3OOr nconneern on: k eep-al ivernRef er er : HYPERLINK http:/ww http:/ww. wi reshark. org/f aq. htmlrnCookie: utma=8765 3150.624 71437.1181007382.1181007382.118116914 2.2;packet contentin hexadecima

9、l and ASCII0000001000200030004000500060007000800090OOaO 00 bo9 6 r- rl-ef b b 1 5 o o b 4 - 7- 7- 7- 3 3 3 3 o o d 7- 1 -y rl- 1 5 1eo o 8 p- 4 3 6 6 6 5 3 3 & o o o f 7- 3 c o e 8 7b o rl- o 7- 7- 6 3 3 2 o o o o e rl- b rl-eo 9 4 o o 5 rl- 6 3 3 3 _t5 b 4 4 7- _d 9 3 o 1 o 口.-.I.8 7- 5 7- o 6 7- 3

10、 3 b f 4 7, 47 d _d 7, 4 -d d o o 7- 5 7- o 7- 7- rl- 3 3 f 8 a f 8 7- 7- f f e 6 f o -Qr/f4 7- 6 6 6 4 7- o.，-f o o d 4 o _t o o M _4.，_J,7 4 6 7- 6o 9 8 f a f o e 3 o b 6 o 7- 1 3 6 6 7- 6 6o o 3 4 e -d 9 7- b 3 58 5 7- 7- 3 6 7- 3 6 6 o p- 8 7- 3 b 4 7- f 3 rl- o.117- 7- 6 7- 5 6 5 6 78 115 f 2 e

11、 8 4 5 7- 9 o o f 6 6 7- 66 rl- 4 6 d 8 6 e 8 1 rl- o e d o 6_d r- 6 4 6 664 e o ef a 8 7- o 9 e 9 o 8 c 4 o 6 6 3 6 6 11b o d 3 1e7，rl- 4 5 6 5 1 o 7- 45 6 3 3 b 4 p-4 1 rl- IQ rl- Q o p- 17- 8 5 3 6 3 3a. m. . E. . tQy2 Z. . . P. . . . N. . . P.wT . .GE T /news/HTTP/1. 1.HOSt: ww. wn r es har k. o

12、 rg.user -Agent: Mozi11 a/ 5.0 (win dows; U； wi ndows nt 5.1; en-us;rv:l. 8.1 .4Geek O/200705 15 Fl refFile: C:DOCUMElPAULAWlLOCALSlTempetherXXXXa00324 453 KB 00:00:. P: 671 D: 671 M: 0 Drops: 0Figure 3: Wireshark Graphical User Interface, during packet capture and analysis命令菜單(command menus):命令菜單位于

13、窗口的最頂部，是標準的下拉式菜單。最 常用菜單命令有兩個：File、Capture。File菜單允許你保存俘獲的分組數(shù)據(jù)或打開一個 已被保存的俘獲分組數(shù)據(jù)文件或退出WireShark程序。Capture菜單允許你開始俘獲分 組。俘獲分組列表(listing of captured packets):按行顯示已被俘獲的分組內(nèi)容，其中包括: WireShark賦予的分組序號、俘獲時間、分組的源地址和目的地址、協(xié)議類型、分組中 所包含的協(xié)議說明信息。單擊某一列的列名，可以使分組列表按指定列進行排序。在該 列表中，所顯示的協(xié)議類型是發(fā)送或接收分組的最高層協(xié)議的類型。分組首部明細(details of

14、selected packet header):顯示俘獲分組列表窗口中被選中分組 的頭部詳細信息。包括：與以太網(wǎng)幀有關(guān)的信息，與包含在該分組中的IP數(shù)據(jù)報有關(guān) 的信息。單擊以太網(wǎng)幀或IP數(shù)據(jù)報所在行左邊的向右或向下的箭頭可以展開或最小化 相關(guān)信息。另外，如果利用TCP或UDP承載分組，WireShark也會顯示TCP或UDP 協(xié)議頭部信息。最后，分組最高層協(xié)議的頭部字段也會顯示在此窗口中。分組內(nèi)容窗口(packet content)：以ASCII碼和十六進制兩種格式顯示被俘獲幀的完整 內(nèi)容。顯示篩選規(guī)則(display filter specification):在該字段中，可以填寫協(xié)議的名稱

15、或其他信 息，根據(jù)此內(nèi)容可以對分組列表窗口中的分組進行過濾。四、實驗步驟啟動主機上的web瀏覽器。啟動WireShark。你會看到如圖2所示的窗口，只是窗口中沒有任何分組列表。開始分組俘獲:選擇“capture”下拉菜單中的“Start命令，會出現(xiàn)如圖3所示的“WireShark:Capture Options ”窗口，可以設(shè)置分組俘獲的選項。在實驗中，可以使用窗口中顯示的默認值。在“WireShark: Capture Options”窗口的最 上面有一個“interface”下拉菜單，其中顯示計算機所具有的網(wǎng)絡(luò)接口（即網(wǎng)卡）。當計 算機具有多個活動網(wǎng)卡時，需要選擇其中一個用來發(fā)送或接收分組

16、的網(wǎng)絡(luò)接口（如某個 有線接口）。隨后，單擊“ok”開始進行分組俘獲，所有由選定網(wǎng)卡發(fā)送和接收的分組 都將被俘獲。開始分組俘獲后，會出現(xiàn)如圖4所示的分組俘獲統(tǒng)計窗口。該窗口統(tǒng)計顯示各類已俘獲 分組的數(shù)量。在該窗口中有一個“stop”按鈕，可以停止分組的俘獲。但此時你最好不 要停止俘獲分組。Figure 4: Ethereal Packer Capture Windw在運行分組俘獲的同時，在瀏覽器地址欄中輸入某網(wǎng)頁的URL,如： HYPERLINK 為顯示該網(wǎng)頁，瀏覽器需要連接n的服務(wù)器，并與之交換HTTP報文， 以下載該網(wǎng)頁。包含這些HTTP報文的以太網(wǎng)幀將被WireShark俘獲。當完整的頁面

17、下載完成后，單擊WireShark俘獲窗口中的stop按鈕，停止分組俘獲。此 時，分組俘獲窗口關(guān)閉。WireShark主窗口顯示已俘獲的你的計算機與其他網(wǎng)絡(luò)實體交 換的所有協(xié)議報文，其中一部分就是與n服務(wù)器交換的HTTP報文。此 時主窗口與圖2相似。在顯示篩選規(guī)則中輸入”，單擊apply”，分組列表窗口將只顯示HTTP協(xié)議報文。選擇分組列表窗口中的第一條http報文。它應(yīng)該是你的計算機發(fā)向服 務(wù)器的HTTP GET報文。當你選擇該報文后，以太網(wǎng)幀、IP數(shù)據(jù)報、TCP報文段、以 及HTTP報文首部信息都將顯示在分組首部子窗口中。單擊分組首部詳細信息子窗口中 向右和向下箭頭，可以最小化幀、以太網(wǎng)、

18、IP、TCP信息顯示量，可以最大化HTTP協(xié) 議相關(guān)信息的顯示量。其結(jié)果與圖5相似。Eie Edit 瞠w ko 口鄒恒舊Hflp施巳日乂物品 國中號安殳S S回0跋E面t區(qū)酉豺回EsqxQEKon. Clar Appt*Nd . Time-SaurosDssslrialmnrelncnl Inlu151 &. DT5S5O203 .IM. 36c 6Z02.1 W . 225mttpcanrlnuaxlari or nan-MTTR Traffic15-1 a.lD22a2Q2.1S4.94.223W0L1M.罪-E 目HTTPtEF /set2d(i5. gif HTTP/1-115 52

19、Q2.1M.94.223202.1W.36.66httpGEr /rtrSS55J005Jpg HTTP/1.1/心】.104.邪.日E202.1QM . J4.HTTP HTTPA-1 200 OKUnrcjsQnblQd Packet8.1D&3L5202.154u86B BE202-1M . M- 223MTTPcaHLlnuar 1(311DPhail-MTTPrraffRL5S S.lDQSZaZQ2.BE-202.1W . 2ZSHTTPHTTP A-1 200OK(JPDJ JP3F imaUnr eau flmbl cd Picket160 8.1D&533202.IM-uSa

20、. BE202-1M. 94-223httpconrlnuar 1cmDrrian-HTTFrrarffclai S. lDSUfiZG2. IM.aa. BE-202.1 W .2Z2HTTPEantlnuatianDrnan-HTTPtriFfic1632Q2 .l&4uaoa 6, yqu 225httf conrlnuar 1qh Dr nan-HTTF rrartKLW 0,11Q537202.14,36.65202,1,94,223httpCantinuatiannan-HTlPtraffic165 &.XLO5L52Q22u2alE. 94-225HTTFQQAIInuiUCin

21、MrlOH-HTTFirarT1L67 g,HQ75Q的21網(wǎng)，弱.盼202,1,94,223httpContTnuationornan-HTTPtrafriLbfi 8.1H237202.14.36. B6WOLuM.如HTTPcrmrlnuarlanornan-HTTFTrafficL功 8 Ul崩4202.14,.223ZQ2,1,36,68HTT PST /imaces2QC4/l gft_T, gf HrTP/l= 1L?1 a.1124-54202.14.-96.06242.1&4. 44.223HTTPHTFP/1-1 200 OK (右 IF 白如172 8.15HZ53 20

22、2 ,. 2232O2alW . 36. BBHTTP GET /imaC|E520W/1efT_fl35h3. gif HTTP/1-1172 a.l5S579207.1&4. S&. QBHTTP (EK /iniHgesSOM/lcfUlasM. gif HTTP/1-1L7d $.16037 202.lM.3i5.B5戲LI潤，女Nttp KTrP/1.1 200 逐 htFB鬼)【51河足卻1口用 :kerl：i Frame 30 15H tT/res an vire, LSI-*! bytes caprured) d.9 EThernet llP 5rc: D0：fl0-fr：47

23、:fOESe D51 r M；odE6Q：73-c3:？7S Ihrerner FroracaL iddr ! ZCI2.1EM BB (ZCl2a 6B)P DSC =lr： ZOLL 加.歸前 25曰 rrarifll：l0n canirDl ppotdcdI , src porx hrip i：BD)b dst pctl j LOK? i：1uSL?3b iuWQl, Acks 卜 Lens :w伺勤 Hypertext Tranifer FratocolDot d (1460 bytssjiXldOMidixisaIXMLIM50M6QM70M30W?0ixiauD 6 2 D D D D D D o fl o o 2 y 1 fa F.2 2 2 2 Q -1- codoQOOOO 7 4 2 口! I-.I,.! 3 2?7- D 2 D D D D o D Q A- _JJ D J- D 22 22 2 2 D Ti o u u -u i o o -vd 匚 4il、u二-1- Q J 2 3 -uD 2 b D .口 f o o 自 p Q D c 1