计算机网络 | 实验一 wireshark抓包工具使用

实验一 wireshark抓包工具使用

班级	xxx	实验环境	Win10 Pro 1709(64位)
姓名	xxx	软件版本	Wireshark 3.2.4(64位)
学号	xxx

一、实验目的

• 学习wireshark抓包工具的使用
• 了解wireshark抓包工具的功能
• 通过学习，进一步理解协议及网络体系结构思想

二、实验原理

Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况。

主要应用：

• 网络管理员用来解决网络问题
• 网络安全工程师用来检测安全隐患
• 开发人员用来测试协议执行情况
• 用来学习网络协议

三、实验内容

下载WIRESHARK，学习工具的使用和功能。

四、实验过程

1.Wireshark的下载、安装与配置

访问Wireshark官网：https://www.wireshark.org/，选择Wireshark的稳定版，下载Windows Installer (64-bit)并安装

2.初识Wireshark

Wireshark的工作原理是捕获某一网卡的数据包，当配置多块网卡时，需要选择一块网卡进行抓包，此处选择以太网

3.查看网络环境

控制面板-网络和Internet-网络和共享中心-更改适配器设置-以太网-状态-详细信息，得到了以下关键信息：

名称	地址
IPv4地址	10.0.0.108
子网掩码	255.255.255.0
默认网关	10.0.0.1

4.启动抓包

截图显示的是Wireshark抓到的部分数据包，有TCP、UDP、ARP、MDNS、ICMPv6等多种协议的数据包

名称	对应层次
Frame	物理层
Ethernet Ⅱ	数据链路层
Internet Protocol Version 4	网络层
Transmission Control Protocol	传输层
Hypertext Transfer Protocol	应用层

5.追踪打开一个网页时，TCP的三次握手与HTTP报文

5.1 以访问华中科技大学软件学院主页(http://sse.hust.edu.cn/)为例，对Wireshark设置捕获过滤器：

ip.src == 210.42.108.5 or ip.dst== 210.42.108.5

5.2 此时，Wireshark只显示源地址或目标地址为210.42.108.5的数据包，捕获结果如下图所示：

5.3 上图最上面三个数据包反映了TCP连接建立的三次握手过程。

• 第一次握手：客户机(10.0.0.108)主动打开一条TCP连接，从客户机(10.0.0.108)发送报文段至服务器(210.42.108.5)：SYN=1，Seq=0，不携带数据，等待服务器确认

• 第二次握手：服务器(210.42.108.5)返回确认报文至客户机(10.0.0.108)：SYN=1，ACK=1，Seq=0，不携带数据

• 第三次握手：从客户机(10.0.0.108)发送报文段至服务器(210.42.108.5)：ACK=1，Seq=1，不携带数据，TCP连接正式建立

• 下图为第二次握手的报文段的详细分析：

5.4 HTTP报文分析

• 编号为26的数据包是HTTP状态码为200的数据包，服务器已成功处理了请求，表明服务器已提供请求的网页

• HTTP的GET报文在TCP三次握手之后，也证明了HTTP协议建立于TCP协议之上

6.使用Wireshark追踪QQ好友IP地址

6.1 启动Wireshark，设置以下过滤条件，过滤80、443、8080、8000等端口、开始抓包：

not(tcp.port == 80 or tcp.port == 443 or tcp.port == 8080 or tcp.port == 8000) and ip.src != 10.0.0.1 and ip.dst != 10.0.0.1

6.2 拨打QQ电话

6.3 返回Wireshark，查看结果

很明显10.74.33.140是局域网IP地址，那么124.160.213.132就是所要寻找的目标IP

五、习题与思考题

1、网络工程师能通过WIRESHARK做哪些工作？

• 检查网络协议的执行情况
• 排查网络故障，解决网络问题

五、习题与思考题

1、网络工程师能通过WIRESHARK做哪些工作？

• 检查网络协议的执行情况
• 排查网络故障，解决网络问题
• 网络攻防，检测网络安全隐患