使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP-UDP协议-TCP协议-协议HTTP-DNS协议

实验一 Wireshark的使用

一、实验目的
1、熟悉并掌握Wireshark的基本使用；
2、了解网络协议实体间进行交互以及报文交换的情况。
二、实验环境
与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。
三、 实验步骤
1.启动Web浏览器（如IE）；
2. 启动Wireshark；
3. 开始分组捕获：单击工具栏开始按钮

4. 在运行分组捕获的同时，在浏览器地址栏中输入某个网页的URL，如：

5. 当完整的页面下载完成后，单击捕获对话框中的“stop”按钮，停止分组捕获。此时， Wireshark主窗口显示已捕获的你本次通信的所有协议报文；
6. 在协议筛选框中输入“http”，单击“apply”按钮，分组列表窗口将只显示HTTP协议报文。
7. 择分组列表窗口中的第一条http报文，它是你的计算机发向服务器（www.1688.com）的HTTP GET报文。当你选择该报文后，以太网帧、IP数据报、TCP报文段、以及HTTP报文首部信息都将显示在分组首部子窗口中，其结果如图2。

                    		 图2 

四、 问题与思考
在实验基础上，回答以下问题：
(1) 列出在第5步中分组列表子窗口所显示的所有协议类型；
网络协议：

传输协议：

(2) 从发出HTTP GET报文到接收到对应的HTTP OK响应报文共需要多长时间？（分组列表窗口中Time列的值是从Wireshark开始追踪到分组被捕获的总的时间数，以秒为单位）

需要0.068527秒
(3) 你主机的IP地址是什么？你访问的服务器的IP地址是什么？
主机IP：

服务器IP：

 
 

实验二 使用Wireshark分析以太网帧与ARP协议

一、实验目的
分析以太网帧，MAC地址和ARP协议
二、实验环境
与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。
三、实验步骤：
1、俘获和分析以太网帧
（1）选择 工具->Internet 选项->删除文件
（2）启动Wireshark 分组嗅探器
（3）在浏览器地址栏中输入如下网址：
https://www.baidu.com/百度一下
（4）停止分组俘获。在俘获分组列表中（listing of captured packets）中找到HTTP GET 信息和响应信息，如图1所示。

                   	图1　HTTP GET信息和响应信息

HTTP GET信息被封装在TCP分组中，TCP分组又被封装在IP数据报中，IP数据报又被封装在以太网帧中）。在分组明细窗口中展开Ethernet II信息（packet details window）。
2、分析地址ARP协议
(1)ARP Caching
ARP协议用于将目的IP转换为对应的MAC地址。Arp命令用来观察和操作缓存中的内容。虽然arp 命令和ARP有一样的名字，很容易混淆，但它们的作用是不同的。在命令提示符下输入arp可以看到在你所在电脑中ARP缓存中的内容。为了观察到你所在电脑发送和接收ARP信息，我们需要清除ARP缓存，否则你所在主机很容易找到已知IP和匹配的MAC地址。
步骤如下:
(2) 清除ARP cache 具体做法:在MSDOS环境下，输入命令arp-d.

(3)启动Wireshark 分组嗅探器
(4)停止分组俘获.输入筛选条件arp，获得arp报文，如图所示

目的MAC地址：28:39:26:02:23:d3
源MAC地址：04:d3:b5:2a:f7:c3
帧类型：ARP(0x0806)
硬件类型：1
协议类型：IPV4(0x0800)
硬件地址长度：6字节
协议地址长度：4字节
Opcode:表示ARP报文的种类；取值为1，表示请求报文；取值为2，表示ARP应答报文
发送端MAC地址：04:d3:b5:2a:f7:c3(信息体的发起端）
发送端IP地址： 192.168.8.1
目的端 MAC地址：00:00:00_00:00:00:00
目的端IP地址：192.168.8.104

四、问题与思考
1、你所在的主机48-bit Ethernet 地址是多少？

2、Ethernet 帧中目的地址是多少？这个目的地址是www.baidu.com的Ethernet 地址吗？

目的地址是www.baidu.com的Ethernet 地址

 
 

实验三 利用Wireshark分析ICMP

一、实验目的
分析ICMP
二、实验环境
与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。
三、实验步骤
Ping命令依赖于ICMP。ICMP可以看作是IP协议的伴随协议。ICMP报文被封装在IP 数据报发送。
一些ICMP报文会请求信息。例如：在ping中，一个ICMP回应请求报文被发送给远程主机。如果对方主机存在，期望它们返回一个ICMP回应应答报文。
一些ICMP报文在网络层发生错误时发送。例如，有一种ICMP报文类型表示目的不可达。造成不可达的原因很多，ICMP报文试图确定这一问题。例如，可能是主机关及或整个网络连接断开。
有时候，主机本身可能没有问题，但不能发送数据报。例如IP首部有个协议字段，它指明了什么协议应该处理IP数据报中的数据部分。IANA公布了代表协议的数字的列表。例如，如果该字段是6，代表TCP报文段,IP层就会把数据传给TCP层进行处理；如果该字段是1，则代表ICMP报文，IP层会将该数据传给ICMP处理。如果操作系统不支持到达数据报中协议字段的协议号，它将返回一个指明“协议不可达”的ICMP报文。IANA同样公布了ICMP报文类型的清单。
1、ping 和 ICMP
利用Ping程序产生ICMP分组。Ping向因特网中的某个特定主机发送特殊的探测报文并等待表明主机在线的回复。具体做法：
（1）打开Windows命令提示符窗口（Windows Command Prompt）。
（2）启动Wireshark 分组嗅探器，在过滤显示窗口（filter display window）中输入icmp,开始Wireshark 分组俘获。
（3）输入“ping –n 10 www.baidu.com” 。其中“-n 10”指明应返回10条ping信息。
（4）当ping程序终止时，停止Wireshark 分组俘获。
实验结束后会出现如图所示的命令窗口：

                    		图1 命令窗口

停止分组俘获后，会出现如图2所示的界面：

                   图2 停止分组俘获后Wireshark的界面

图3是在分组内容窗口中显示了ICMP协议的详细信息。观察这个ICMP分组，可以看出，此ICMP分组的Type 8 and Code 0 即所谓的ICMP “echo request” 分组。

                    	图3 ICMP协议详细信息 

网络协议：IPV4
IP帧部首长度：20byt
服务类型：0x00
IP帧总长度：60字节
协议类型：ICMP(1)
检验和：0x500c
源