WindowsXP系统下的Wireshark网络安全检测

【前言】

本文是笔者的一个网络安全实验报告，发在csdn上旨在交流学习、加深理解。作为学生，文中难免有错误纰漏之处，恳请各位看官斧正指教。文中XP系统中所用的wireshark下载链接：https://pan.baidu.com/s/1yNc1TPzApscui1GRJx7-ow?pwd=wrsk 
提取码：wrsk

【实验目的】

1. 掌握抓取一次完整的网络通信过程的数据包实验（ping, ICMP协议）；
2. wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息,利用wireshark软件进行抓包分析，完成检测报告，并写出结论；

【实验环境与设备】

1. 要求：windows操作系统、wireshark安装文件、VMware Workstation Pro 。
2. 硬件：三台虚拟机均为windows XP系统（命名为PC1，PC2，监听PC）。
3. 软件：监听工具wireshark
4. 在监听PC上装wireshark工具，监听PC1发送至PC2的数据包。

【实验要求】 

1. 打开虚拟机，克隆三份，分别命名为PC1、PC2、监听PC。将上网模式设置为NAT模式，打开三台虚拟机，设置PC2的IP地址为xxx.xxx.xxx.100+学号后两位， 如学号后两位为01的同学，设置xxx.xxx.xxx.101。确保三台PC能相互通信。

2. 监听PC上安装Wireshark软件；

3. 在监听PC上打开Wireshark，设置捕捉过滤规则为ICMP；

4. 开始抓包。激活PC1，在PC1上ping PC2的IP地址（正常情况下至少返回一个应答包）。激活监听PC，停止抓包，分析抓下来的数据包。

 

【实验步骤】

一：通过克隆创建三个windowsXP系统虚拟机

1：打开虚拟机，新建账户。在“开始”菜单单击“控制面板”，选择“用户账户”,如图1.1.1

图1.1.1 打开“用户账户”设置

2:单击“创建一个新账户”,设置账户名称为“pc1”，如图1.2.1，单击“下一步”

图1.2.1 为新账户起名

3:将账户类型设置为“管理员”,如图1.3.1，单击“创建账户”

图1.3.1 创建管理员账户

4:创建完成后点击新创建的“pc1”账户，单击“创建密码”,如图1.4.1。输入密码和相关信息如图1.4.2。重复上述4步创建一个“pc2”账户。

图1.4.1 为新账户创建密码

图1.4.2 设置账户密码

5：在虚拟机本体关闭的状态下，右键克隆的虚拟机本体，单击“管理”选项里的“克隆”，如下图1.5.1。

图1.5.1 单击“克隆”进行虚拟机的克隆

6：出现克隆向导页面，如图1.6.1，单击“下一页”，在“克隆自”选项中选择“虚拟机中的当前状态”,如图1.6.2，单击“下一页”，在“克隆方法”里选择“创建完整克隆”，如图1.6.3，单击“下一页”

图 1.6.1 虚拟机克隆向导

图1.6.2 选择克隆方式为“虚拟机中的当前状态”

图1.6.3 选择克隆方式为“创建完整克隆”

7:设置克隆机的名称和存储位置，单击“完成”克隆虚拟机，如下图1.3.1。重复上述步骤创建pc2。

图1.7.1 设置克隆机名称和位置

二：配置三台虚拟机的网络

1：打开虚拟机“编辑”选项卡里的“虚拟网络编辑器”如图2.1.1。单击“更改设置”，启用“仅主机模式”并设置子网ip为192.168.146.0，单击“确定”完成设置，如图2.1.2

图2.1.1 打开虚拟网络编辑器

图2.1.2 启用仅主机模式

2：分别打开三台虚拟机设置里的“网络适配器”，在网络连接里选择“仅主机模式”，如图2.2.1

图2.2.1 虚拟机网络设置选择“仅主机模式”

3:在虚拟机的“开始”菜单打开“控制面板”,单击“网络和Internet连接”，如图2.3.1

图2.3.1 打开“网络和Internet连接”

4：单击“网络连接”，如图2.4.1

图2.4.1 打开“网络连接”

5：右键“本地连接”，单击“属性”，如图2.5.1。单击“Internet协议(TCP/IP)”，单击“属性”，如图2.5.2。选中“使用下面的IP地址”，对照实验报告中的网络拓扑图配置相应ip地址，ip地址后三位的前两位为本人学号10，监听机为192.168.146.101，如图2.5.3。重复上述步骤为pc1配置ip 192.168.146.100；pc2配置ip 192.168.146.103。

图2.5.1 打开本地连接的“属性”

图2.5.2 选择Internet协议的属性

图2.5.3 配置ip地址

6：三台虚拟机ip配置完成后相互能够ping通。监听机ping pc1和pc2如图2.6.1；

pc1 ping pc2和监听机如图2.6.2；pc2 ping pc1和监听机如图2.6.3。

图2.6.1 监听机ping另外两台

图2.6.2 pc1 ping另外两台

图2.6.3 pc2 ping另外两台

三：利用wireshark抓包

1：在监听机上安装wireshark。双击执行安装程序，如图3.1.1，按照提示点击“next”即可，之后设置安装位置，如图3.1.2，之后点击“next”直至出现“install”,点击install安装。

图 3.1.1 执行wireshark安装程序

图 3.1.2 设置安装位置

2：在监听机上打开wireshark，在capture-->interfaces里选择网卡，如图3.2.1，选择“本地连接”然后点击“start”开始抓包，如图3.2.2。

图 3.2.1 打开capture-->interfaces

图 3.2.2 选择“本地连接”网卡开始抓包

3：在pc1上ping pc2的ip地址，如图3.3.1

图 3.3.1 pc1上ping pc2的ip地址

四：抓包数据分析

1：将过滤器Filter设置为icmp可看到pc1向pc2发送的四个数据包，协议为ICMP，可以看到发送源地址和目的地址以及请求响应状态，如图4.1.1

图 4.1.1 抓包界面分布

图 4.1.2 pc1向pc2发送的四个数据包

2：以发送的第一个ICMP数据包为例，图4.1.1可看出其在第3帧，点击该行记录，可看到下方有四行分别对应：Frame 物理层的数据帧概况；Ethernet II，src 数据链路层以太网帧头部信息；Internet Protocol version 4，src 网络层IPv4包头部信息；Internet Control Message Protocol  icmp协议信息概况。如图4.2.1

图 4.2.1 抓包数据概况

3：详细信息：物理层的数据帧概况，如图4.3.1；数据链路层以太网帧头部信息，如图4.3.2；网络层IPv4包头部信息，如图4.3.3；网络控制信息协议，如图4.3.4。

图 4.3.1 物理层的数据帧信息

图 4.3.2 数据链路层以太网帧头部信息

图 4.3.3 网络层IPv4包头部信息

图 4.3.4 icmp协议的信息概况

4：捕获过滤器设置：图4.1.1中使用了显示过滤器设置，若使用捕获过滤器，设置捕获协议类型，ip等信息的过滤，可只捕获所求类型的包。如：数据包中只捕获源ip地址为192.168.146.100（pc1），目的地址为192.168.146.103（pc2）的icmp包，需在capture-->filter中点击“new”，在下方的property栏中填写设置的过滤器名称和过滤表达式，名称可设置为filter_pc1_icmp，过滤表达式为icmp and ip.src==192.168.146.100 and ip.dst==192.168.146.103，如图4.4.1，然后抓包，结果如图4.4.2。

图 4.4.1 设置捕获过滤器

图 4.4.2 设置捕获过滤下的抓包结果