实验内容
- 学习Wireshark的使用
- 利用Wireshark分析HTTP协议
- 利用Wireshark分析TCP协议
- 利用Wireshark分析IP协议
- 利用Wireshark分析Ethernet数据帧
- 利用Wireshark分析DNS协议
- 利用Wireshark分析UDP协议
- 利用Wireshark分析ARP协议
一、Wireshark的使用
启动Web浏览器和Wireshark,选择“capture”下拉菜单中的“Capture Options”命令,设置分组俘获的选项后,开始分组捕获。
开始分组捕获,出现分组捕获窗口:
浏览器打开http://www.hit.edu.cn,捕获并提取显示HTTP报文如下:
二、利用Wireshark分析HTTP协议
1. HTTP GET/response 交互
- 启动Web browser,然后启动Wireshark分组嗅探器;
- 在窗口的显示过滤说明处输入“http”,开始Wireshark分组俘获;
- Web browser窗口中输入地址http://hitgs.hit.edu.cn/zhxw/list.htm并跳转;
- 停止分组俘获,得到捕获结果如下:
2. HTTP 条件 GET/response 交互
- 启动浏览器,清空浏览器的缓存。
- 启动Wireshark分组俘获器,开始Wireshark分组俘获。
- 在浏览器的地址栏中输入URL:http://hitgs.hit.edu.cn/zhxw/list.htm跳转并刷新。
- 停止Wireshark分组俘获,结果如下。
三、利用Wireshark分析TCP协议
1. 俘获大量的由本地主机到远程服务器的TCP分组
- 启动浏览器,打开http://gaia.cs.umass.edu/wireshark-labs/alice.txt网页,保存ALICE'S ADVENTURES IN WONDERLAND文本到本地。
- 打开https://gaia.cs.umass.edu/wireshark-labs/TCP-wireshark-file1.html网页,输入保存的本地文件。
- 启动Wireshark,开始分组俘获。
- 单击“Upload alice.txt file”按钮,将文件上传到gaia.cs.umass.edu服务器。
- 停止俘获。
2. 浏览追踪信息
在显示筛选规则中输入“tcp”,可以看到在本地主机和服务器之间传输的一系列tcp和http报文,你应该能看到包含SYN报文的三次握手。也可以看到有主机向服务器发送的一个HTTP POST报文和一系列的“http continuation”报文。
四、利用Wireshark分析IP协议
1. 通过执行traceroute 执行捕获数据包
- 启动Wireshark并开始数据包捕获;
- 启动pingplotter并“Address to Trace Window”域中输入目的地址。
2. 对捕获的数据包进行分析
- 第一个主机发出的ICMP Echo Request消息,在packet details窗口展开数据包的Internet Protocol部分。
- 单击Source按钮对捕获的数据包按源IP地址排序。选择第一个主机发出的ICMP Echo Request消息, 在packet details窗口展开数据包的Internet Protocol部分。
- 找到由最近的路由器(第一跳)返回主机的ICMP Time-to-live exceeded消息。
- 单击Time列按钮对捕获的数据包按时间排序。找到在将包大小改为2000字节后主机发送的第一个ICMP Echo Request消息。
- 找到在将包大小改为3500字节后你的主机发送的第一个ICMP Echo Request消息。
五、利用Wireshark分析ARP协议
- 利用MS-DOS命令:arp或c:\windows\system32\arp查看主机上ARP缓存的内容
- 在命令行模式下输入:ping 192.168.1.82(或其他 IP 地址)
- 启动Wireshark,开始分组俘获。
六、利用Wireshark分析UDP协议
- 启动Wireshark,开始分组捕获;
- 发送QQ消息给你的好友;
- 停止Wireshark组捕获;
- 在显示筛选规则中输入“udp”并展开数据包的细节。
七、利用Wireshark分析DNS协议
- 打开浏览器键入:www.baidu.com;
- 打开Wireshark,启动抓包;
- 在控制台回车执行完毕后停止抓包,查看wireshark捕获的 DNS 报文如下。