實(shí)驗(yàn)12-Wireshark-工具的使用與TCP數(shù)據(jù)包分析

Wireshark工具的使用與TCP數(shù)據(jù)包分析(SEC-W07-007.1)Wireshark〔前稱Ethereal〕是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是捕捉網(wǎng)絡(luò)數(shù)據(jù)包，并盡可能顯示出最為詳細(xì)的數(shù)據(jù)包內(nèi)容。在過(guò)去，網(wǎng)絡(luò)數(shù)據(jù)包分析軟件或者非常昂貴，或者專門屬于營(yíng)利用的軟件。Wireshark的出現(xiàn)改變了這一切。在GNUGPL通用許可證的保障下，使用者可以免費(fèi)取得軟件及其源代碼，并擁有對(duì)源代碼修改的權(quán)利。Wireshark是目前全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。

傳輸控制協(xié)議〔TransmissionControlProtocol〕，簡(jiǎn)稱TCP協(xié)議，是一種面向連接〔連接導(dǎo)向〕的、可靠的、基于字節(jié)流的運(yùn)輸層〔Transportlayer〕通信協(xié)議，由IETF的RFC793說(shuō)明〔specified〕。在簡(jiǎn)化的計(jì)算機(jī)網(wǎng)絡(luò)OSI模型中，它完成第3層傳輸層所指定的功能，基于TCP的常見(jiàn)應(yīng)用如TELNET，SSH，HTTP，F(xiàn)TP等。實(shí)驗(yàn)?zāi)康膶W(xué)習(xí)Wireshark工具的使用。學(xué)習(xí)TCP協(xié)議及其TCP頭部結(jié)構(gòu)。利用Wireshark分析TCP數(shù)據(jù)包內(nèi)容。實(shí)驗(yàn)準(zhǔn)備獲取Windows遠(yuǎn)程桌面客戶端工具mstsc壓縮包并解壓。獲取效勞器Windows操作系統(tǒng)Administrator管理員口令。獲取效勞器IP地址。實(shí)驗(yàn)步驟學(xué)習(xí)Wireshark工具使用步驟說(shuō)明：使用Wireshark工具，熟悉常見(jiàn)功能配置。準(zhǔn)備一臺(tái)win20003和winxp電腦。效勞器〔win2003〕：設(shè)置IP地址為選擇控制面板下的添加/刪除程序---添加/刪除windows組件對(duì)話框中的應(yīng)用程序效勞器---Internet信息效勞---文件傳輸協(xié)議(FTP)效勞。右擊我的電腦，選擇管理，選擇本地用戶和組---用戶---administrator,設(shè)置其密碼為123456右擊我的電腦，選擇屬性---遠(yuǎn)程選項(xiàng)卡，勾選遠(yuǎn)程桌面下的允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)?！查_(kāi)啟了3389端口，通過(guò)netstat–an可以查看〕在該效勞器上安裝Wireshark軟件。Winxp(設(shè)置其ip地址為8)1.運(yùn)行遠(yuǎn)程桌面客戶端程序mstsc.exe，輸入效勞器端IP地址，點(diǎn)擊Connect連接，如圖1：

圖12.以Administrator〔管理員〕身份登陸效勞器桌面。注：效勞器Administrator用戶的登陸密碼為123456。3.在遠(yuǎn)程桌面中，單擊桌面Wireshark程序快捷圖標(biāo)，彈出Wireshark程序如圖2：

圖24.在Wireshark程序點(diǎn)擊查看本機(jī)網(wǎng)卡狀態(tài)配置按鈕：InterfaceList，彈出如圖3對(duì)話框，圖例中可以看出本機(jī)的網(wǎng)卡信息。

圖35.在Wireshark主程序界面中，點(diǎn)擊配置詳細(xì)條件按鈕：CaptureOptions，彈出如圖4對(duì)話框，配置捕捉的詳細(xì)條件。

圖4注：這里我們選擇了本地local的網(wǎng)卡，實(shí)驗(yàn)環(huán)境不同可能會(huì)使用不同的網(wǎng)卡。6.在圖4的配置界面中，可以通過(guò)在CaptureFilter輸入框中輸入捕捉數(shù)據(jù)包的條件，樣例中的host的意思為：程序只捕捉IP地址為的數(shù)據(jù)包。7.下面舉例了幾種常見(jiàn)過(guò)濾條件：

tcp

只捕捉tcp數(shù)據(jù)包

port80

捕捉tcp或udp協(xié)議且端口為80的數(shù)據(jù)包

nottcpport3389

不捕捉tcp端口為3389的數(shù)據(jù)包

srcanddst

捕捉源地址為且目的地址為的數(shù)據(jù)包

8.這里我們選擇過(guò)濾條件為nottcpport3389，點(diǎn)擊對(duì)話框下方的start按鈕開(kāi)始捕捉網(wǎng)絡(luò)數(shù)據(jù)包，捕捉現(xiàn)象如圖5所示：圖5學(xué)習(xí)TCP協(xié)議及頭部結(jié)構(gòu)步驟說(shuō)明：了解TCP/IP協(xié)議，學(xué)習(xí)TCP數(shù)據(jù)包頭部結(jié)構(gòu)。1.TCP/IP是一個(gè)協(xié)議集，它包含了IP、TCP、UDP一系列協(xié)議，TCP協(xié)議意為TransmissionControlProtocol傳輸控制協(xié)議，

它是一種面向連接〔連接導(dǎo)向〕的、可靠的、基于字節(jié)流的運(yùn)輸層〔Transportlayer〕通信協(xié)議，由IETF的RFC793說(shuō)明

〔specified〕。在簡(jiǎn)化的計(jì)算機(jī)網(wǎng)絡(luò)OSI模型中，它完成第3層傳輸層所指定的功能，如圖6所示：

圖62.TCP協(xié)議頭最少20個(gè)字節(jié)，包括假設(shè)干個(gè)區(qū)域頭部，結(jié)構(gòu)如圖7所示：

圖73.由于TCP是基于IP協(xié)議的，在利用Wireshark工具分析中，通常可以看到的TCP頭和IP頭結(jié)構(gòu)組成，如圖8所示：

圖8使用Wireshark分析TCP數(shù)據(jù)包步驟說(shuō)明：配置Wireshark捕捉TCP數(shù)據(jù)包，分析數(shù)據(jù)包內(nèi)容。1.在winxp電腦上，開(kāi)始--運(yùn)行中輸入mstsc.exe，輸入效勞器端IP地址，點(diǎn)擊Connect連接登陸到遠(yuǎn)程效勞器桌面中，運(yùn)行其上的Wireshark，選擇capture菜單下-options，在出現(xiàn)的如圖4的對(duì)話框的CaptureFilter中輸入過(guò)濾條件：

host該效勞器的IPandtcpport21

這里我們需要捕捉訪問(wèn)遠(yuǎn)程效勞器的TCP端口21的所有TCP數(shù)據(jù)包。2.點(diǎn)擊對(duì)話框下方的start按鈕后，Wireshark會(huì)處于捕捉狀態(tài)。在ftp效勞器進(jìn)行如下設(shè)置：1.創(chuàng)立一個(gè)wupeifei帳戶，密碼為123。2.在C:\Inetpub下找到ftproot文件夾，右擊該文件夾，選擇屬性，然后選擇平安選項(xiàng)卡，添加wupeifei帳戶對(duì)該文件夾有完全權(quán)限。.回到winxp客戶端系統(tǒng)中，進(jìn)行如下設(shè)置：1.把該機(jī)器的那個(gè)遠(yuǎn)程效勞器桌面窗口最小化，不要關(guān)閉。2、在該winxp電腦的點(diǎn)擊“開(kāi)始〞->“運(yùn)行〞，輸入命令：

ftp效勞器的IP

利用該命令登陸遠(yuǎn)程效勞器的FTPServer。注：遠(yuǎn)程效勞器已經(jīng)開(kāi)放了FTP端口21，用戶名為wupeifei，密碼為123。4.如圖9輸入正確的用戶名wupeifie和密碼123，成功登陸后，輸入quit命令退出FTP效勞器。圖95.最后把該機(jī)器的那個(gè)遠(yuǎn)程效勞器桌面窗口最大化，再次回到其上的wireshark界面，wireshark已經(jīng)捕捉到了ftp的會(huì)話數(shù)據(jù)包，如圖10：圖106.在圖10中，選中捕獲的含有密碼明文的