Wireshark网络抓包实验
首先通过ipconfig命令查得
本机IP:192.168.43.214
Wireshark对Ping命令抓包分析
实验步骤:
第一步,确定目标地址,选择www.baidu.com作为目标地址。
第二歩,配置过滤器:针对协议进行过滤设置,ping使用的是ICMP协议,抓包前使用捕捉过滤器,过滤设置为icmp。
第三步,启动抓包:点击【start】开始抓包,在命令提示符下键入ping www.baidu.com。
第四步,停止抓包后,截取数据。
第五步,分析数据包,选取一个数据包进行分析。
抓包截图:
实验分析:
报文由IP首部和ICMP报文组成。
蓝色部分为IP首部,共有20字节。
如上图所示,可以看到 IP 数据包的信息:
Version: 4,表示 IPv4。
Header Length: 5, 表示 5 个以 32 bit 为单位的 word,即 20 bytes。
Time to live: 128, 生存时间。
Protocol: 1,表示 ICMP。
Source: 192.168.43.214,源 IP 地址。
Destination: 36.156.69.79,目的 IP 地址。
Type: 该字段有 1 个字节,表示特定类型的 ICMP 报文。
一台主机向一个节点发送一个类型字段值为8的ICMP报文,如果途中没有异常(如果没有被路由丢弃,目标不回应ICMP或者传输失败),则目标返回类型字段值为0的ICMP报文,说明这台主机存在。
Code: 该字段有 1 个字节,进一步细分 ICMP 的类型。如上图所示,Type 的值为 8,Code 的值为 0,表示回显请求。
Checksum: 该字段有 2 个字节,表示校验和。
Identifier: 该字段有 2 个字节,用于匹配 Request/Reply 的标识符。
Seq Num: 该字段有 2 个字节,用于匹配 Request/Reply 的序列号。
Data: 数据载荷。
Wireshark对tracert命令抓包分析
实验步骤:
第一步,确定目标地址,选择www.baidu.com作为目标地址。
第二歩,配置过滤器:针对协议进行过滤设置,tracert使用的是ICMP协议,抓包前使用捕捉过滤器,过滤设置为icmp。
第三步,启动抓包:点击【start】开始抓包,在cmd下键入tracert baidu.com
第四步,停止抓包后,截取数据。
第五步,分析数据包,选取一个数据包进行分析。
抓包截图:
实验分析:
报文由IP首部和ICMP报文组成。
蓝色部分为IP首部,共有20字节。
如上图所示,可以看到 IP 数据包的信息:
Version: 4,表示 IPv4。
Header Length: 5, 表示 5 个以 32 bit 为单位的 word,即 20 bytes。
Time to live: 128, 生存时间。
Protocol: 1,表示 ICMP。
Source: 192.168.43.214,源 IP 地址。
Destination: 192.168.43.1,目的 IP 地址。
Wireshark对DNS协议抓包分析
实验步骤:
打开CMD.exe键入:ping baidu.com
将自动进行域名解析,默认发送4个ICMP报文.
启动Wireshark,选择一个有效网卡,启动抓包.
在控制台回车执行完毕后停止监控.
抓包截图:
实验分析:
总得来看有两个DNS包(一次域名解析),和8个ICMP包(四次ping)
可以发现DNS为应用层协议,下层传输层采用UDP,再下层网络层是IP协议,然后是数据链路层的以太网帧.
需要关注的是应用层的实现也即DNS协议本身.
在此之前,可以从下层获得一些必要信息:
UDP(User Datagram Protocol)报文中:DNS的目的端口(Dst Port)是53
IPv6(Internet Protocol Version 6)报文中目的IP是:
2409:893c:550:89f4:bc46:850a:5fb3:beab
由于IP报文在网络层进行路由选择,他会依次送给路由器而不是直接送给DNS服务器,这一点也十分容易理解,
第一个包是请求包,不可能直接包含DNS服务器地址.
第一个是Transaction ID为标识字段,2字节,用于辨别DNS应答报文是哪个请求报文的响应.
第二个是Flags标志字段,2字节,每一位的含义不同
QR: 查询/响应,1为响应,0为查询
Opcode: 查询或响应类型,这里0表示标准,1表示反向,2表示服务器状态请求
AA: 授权回答,在响应报文中有效,待会儿再看
TC: 截断,1表示超过512字节并已被截断,0表示没有发生截断
RD: 是否希望得到递归回答
RA: 响应报文中为1表示得到递归响应
zero: 全0保留字段
rcode: 返回码
可以看到和第一个请求包相比,响应包多出了一个Answers字段,同时Flags字段每一位都有定义.
关注一下Flags中Answer RRs 为2 说明对应的Answers字段中将会出现2项解析结果.
Answers字段可以看成一个List,集合中每项为一个资源记录,除了上面提到过的Name,Type,Class之外,还有Time to Live,Data length,Address.
Time to Live(生存时间TTL):表示该资源记录的生命周期,从取出记录到抹掉记录缓存的时间,以秒为单位.这里是567合计9min27s.
Data length(资源数据长度):以字节为单位,这里的4表示IP地址的长度为4字节.也就是下面Addr字段的长度.
Address(资源数据): 返回的IP地址,就是我们想要的结果.
Wireshark对FTP协议抓包分析
实验步骤:
FTP 服务器的登录。捕获 USER 和 PWD 的内容,分析 FTP、TCP、IP 协议的首部信息。FTP 服务器的端口号为 21,用于控制连接。
FTP 文件的下载过程。
FTP 服务的退出过程。
抓包截图:
实验分析:
在这里使用的是登录FTP 服务器:ftp.scene.org,通过对登陆过程的捕获可以看到,登陆的账号为anonymous,密码为chrome@example.com(默认)
用Wireshark查看FTP、TCP、IP协议的首部信息,如下图。
下载文件的请求命令为”RETR ”,文件字节大小也不一样。
从发送时间也可以看出来一些差别。介于1MB—10MB的文件可能由于其格式或其他原因,没有正常显示出包的大小和传输时间。不过,通过对比不同的大小的文件,可以得出文件越大TCP切片长度越小,传输的字节越多,所用的传输时间越长。
FTP的退出过程在Wireshark的抓包过程中没有捕获到。
Wireshark对HTTP协议抓包分析
实验步骤:
打开网站: www.qlu.edu.cn
(1) 客户端通过TCP三次握手与服务器建立连接。
(2) TCP建立连接成功后,向服务器发送http请求
(3) 服务器收到客户端的http请求后,将返回应答,并向客户端发送数据。
(4) 客户端通过TCP四次握手,与服务器断开TCP连接。
抓包截图:
实验分析:
1) 物理层的数据帧详细概要
7号帧,线路571字节,实际捕获571字节
Inter face:接口ID
Encapsulation type:封装类型,与wireshark版本有关
Arrival Time捕获时间和日期
Frame number:帧序号
Frame length:帧长度
Capture length:捕获长度
2) 数据链路层以太网帧的头部信息
Destination:目标MAC地址
Source:源MAC地址
3) 网络层IP头部包信息
互联网IPV6
IP包通信类别:(DSCP:CS0,ECN:Not-ECT)差分服务字段
有效长度:517
下一个包头:TCP(6)
跳限制:65
源IP地址
目的IP地址
4) 传输层数据包头部信息
源端口号:60655
目标端口号:80
序列号:1 下一个序列号:498 确认序列号:1
Header length:20字节
TCP标记字段:0x018
流量控制窗口大小:64660
TCP数据段校验和:0x9afb
5) 应用层分析(HTTP协议分析)
Get为请求方式,后面跟请求内容
Host:请求主机名www.qlu.edu.cn
Connection:客户端与服务端指定的请求,相应有关选项(保持连接)
User-agent:发送请求的操作系统及浏览器信息
Accept:客户端可以识别的内容类型列表
Accept-Encoding:客户端可识别的数据编码
Accept-Language:浏览器所支持的语言类型
1885
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
