一、实验目的
Wireshark是一个网络封包分析软件。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。了解Wireshark抓包工具的功能,通过学习,进一步理解协议及网络体系结构思想。
二、实验内容
使用 Wireshark,并学习使用它进行网络包分析。
三、实验原理
Wireshark是网卡抓包、数据包过滤、数据包解析、数据包分析。
Wireshark可以提供各种分析工具,如流量图、统计信息等,帮助用户对抓取到的数据包进行分析和诊断。Wireshark常见的应用有:网络管理员用来解决网络问题,网络安全工程师用来检测安全隐患,开发人员用来测试协议执行情况。
四、实验过程
工作流程:启动Wireshark,确定Wireshark的位置;选择捕获接口。择连接到Internet网络的接口;使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获文件。;使用显示过滤器。;使用着色规则。;构建图表;重组数据。
从安装 Wireshark 开始到使用Wireshark观察一些现象的过程
1、下载 Wireshark
Wireshark的官方网站是:Wireshark · Go Deep
下载地址:https://na.dl.wireshark.org/win64/Wireshark-win64-3.4.6.exe
2、准备工作
在同局域网下打开另一台设备,启动一个服务器,查看局域网内的这台设备的IP地址,接下来使用 Wireshark 捕获两者之间的通讯数据包,并且进行分析。3、启动 Wireshark
首先需要先选择监听的网络设备,然后,就可以开始捕获以太网的通信数据包;接下来,可以进行捕获通过它的特定报文,并且分析内容。
4、TCP 握手
主机先向服务器发送TCP连接请求报文段,报头中的同步位SYN=1表示建立连接;在实际的报文段中序号seq是随机生成的且不能为0,但因为Wireshark的特殊处理,所以显式地序号是从0开始的远端服务器处在LISTEN监听状态,收到接请求报文段后,发回确认。在确认报文段,SYN=1,ACK=1,其确认号ack=1,自己选择的序号seq=0,主机收到确认报文段后向服务器发确认,其ACK=1,确认号ack=1,序号seq=1。此时主机的TCP通知上层应用进程连接已经建立。服务器的TCP收到主机的确认后,也通知其上层应用进程:TCP连接已经建立。
5、TCP 报文分析示例
这是上述三次握手过程中的第二次握手的报文的详细信息,项目 信息 说明 源端口80服务器的HTTP默认端口,服务确实开在80端口上目的端口 61577 用户浏览器当前开启的用于和服务器通信的端口TCP段长度 0 该报文不携带数据。
五、实验总结
在实际工作中,我们可以利用WireShark对网络流量进行深入分析,帮助我们了解网络通信的详细情况,排查故障,优化网络性能等。通过WireShark的安装、接口选择和协议使用,我们可以更好地理解和分析网络通信,为网络管理和故障排查提供有力的支持。