《计算机网络实验利用wireshark进行协议分析》由会员分享,可在线阅读,更多相关《计算机网络实验利用wireshark进行协议分析(11页珍藏版)》请在金锄头文库上搜索。
1、实验? 4 :利用? Wireshark ?进行协议分析1、实验目的熟悉并掌握?Wireshark的基本操作,了解网络协议实体间进行交互以及报文交换的 情况。2、实验环境必 Wi ndows?9x/NT/2000/XP/2003&与因特网连接的计算机网络系统&分组分析器Wireshark: 要深入理解网络协议,需要仔细观察协议实体之间交换的报文序列。为探 究协议操作细节,可使协议实体执行某些动作,观察这些动作及其影响。snifferIzapy nf aH Elh&Fet frames sertlnec&kedLink (Ettemet)Physical为一个分组嗅探器的结构。1bz-Jircm
2、 retjwxkpacket capture (pcap)peratiix systemTransport (TCP/udp:Melwcxk ifp)appiicaiion (e.g. www inowser, ftp tlient)applicationPcicRef analvzer这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。观 察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器(packet sniff er)。顾名思义,一个分组嗅探器俘获(嗅探)计算机发送和接收的报 文。一般情况下,分组嗅探器将存储和显示出被俘获报文的各协议头部字toft run netrtW*
3、(段的内容。图4-1图 4-1 右边是计算机上正常运行的协议(在这里是因特网协议)和应用程 序(如: web 浏览器和 ftp 客户端)。分组嗅探器(虚线框中的部分)是 附加计算机普通软件上的,主要有两部分组成。分组俘获库(packetcaptur e library)接收计算机发送和接收的每一个链路层帧的拷贝。高层协议(如: HTTP、FTP、TCP、UDP、DNS、IP 等)交换的报文都被封装在链路层帧中, 并沿着物理媒体(如以太网的电缆)传输。图1 假设所使用的物理媒体是 以太网,上层协议的报文最终封装在以太网帧中。分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字 段的内
4、容。为此,分析器必须能够理解协议所交换的所有报文的结构。例 如:我们要显示图 4-1 中 HTTP 协议所交换的报文的各个字段。分组分析 器理解以太网帧格式,能够识别包含在帧中的 IP 数据报。分组分析器也 要理解 IP 数据报的格式,并能从 IP 数据报中提取出 TCP 报文段。然后, 它需要理解 TCP 报文段,并能够从中提取出 HTTP 消息。最后,它需要理 解 HTTP 消息。图?4-1?分组嗅探器的结构Wireshark ?是一种可以运行在? Wi ndows,?UNIX,?L in ux?等操作系统上的?分?taiH nt 启卜二 p:fc.g| b aadef|?aekcgnt-
5、cfti组?分?析?器?。?运行?Wireshark?程序时,其图形用户界面如图?4-2?所示。 最初,各窗口中并无数据显示。在用户选择接口,点击开始抓包按钮之后, Wireshark?的用户界面会变成如图?4-3所示。此时? Wireshark ?的用户界面主要有?5?部分组成,如图?4-3?所示。&?命令菜单(command?menus):命令菜单位于窗口的最顶部,是标准的下拉式菜单。最常用菜单命令有两个:File、Capture。File?菜单允许你保存 俘获的分组数据或打开一个已被保存的俘获分组数据文件或退出? Wireshar k?程序。Capture?菜单允许你开始俘获分组。&?俘
6、获分组列表(listing?of?captured?packets):按行显示已被俘获的分组内容,其中包括:Wireshark?赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名,可以使分组按指定列进行排序。在该列表中,所显示的协议类型是发送或接 收分组的最高层协议的类型。图?4-2?Wireshark?初始用户界面图?4-3?Wireshark ?的用户界面&?分组头部明细(details?of?selected?packet?header):显示俘获分组列表窗口中被选中分组的头部详细信息。包括:与以太网帧有关的信息,与包含在该分组中的?
7、IP?数据报有关的信息。单击以太网帧或?IP?数据报所在行 左边的向右或向下的箭头可以展开或最小化相关信息。另外,如果利用?T CP?或?UDP?承载分组,Wireshark?也会显示?TCP?或?UDP?协议头部信息。 最后,分组最高层协议的头部字段也会显示在此窗口中。&?分组内容窗口(packet?content):以?ASCII?码和十六进制两种格式显示 被俘获帧的完整内容。&?显示筛选规则(display?filter?specification):在该字段中,可以填写协议 的名称或其他信息,根据此内容可以对分组列表窗口中的分组进行过滤。3、实验过程1)? 学习? Wireshark?
8、的使用&?启动主机上的? web ?浏览器。&?启动?Wireshark。你会看到如图?4-2?所示的窗口,只是窗口中没有任 何分组列表。&?开始分组俘获:选择“capture”下拉菜单中的“Capture?Options”命令,会 出现如图?4-3?所示的“ Wireshark:?Capture?Optio ns”窗口,可以设置分组俘 获的选项。&?在实验中,可以使用窗口中显示的默认值。在“ Wireshark:?CaptureOptio ns”窗口(如图?4-4?所示)的最“Interface?List” 下拉菜单,其中显示计算机所具有的网络接口(即网卡)。当计算机具有多个活动网卡时,需要
9、选择其中一个用来发送或接收分组的网络接口(如某个有线接口)。随后,单击“Start”开始进行分组俘获,所有由选定网卡发送和 接收的分组都将被俘获。&?开始分组俘获后,会出现如图?4-5?所示的窗口。该窗口统计显示各类 已俘获数据包。在该窗口的工具栏中有一个“stop”按钮,可以停止分组的 俘获。但此时你最好不要停止俘获分组。磁?磁?&?在显示筛选规则中输入“http”单击“回车”分组列表窗口将只显示?HT TP?协议报文。磁?2)? 利用? Wireshark?分析?HTTP?协议(1)HTTP?GET/response交互&?启动?Web?browser,然后启动?Wireshark?分组嗅
10、探器。在窗口的显示 过滤说明处输入http”分组列表子窗口中将只显示所俘获到的HTTP?报文。&?开始? Wireshark?分组俘获。&?在打开的浏览器窗口中输入以下地址:&?停止分组俘获。根据俘获窗口内容,思考以下问题:&?你的浏览器运行的是HTTP1.0,还是? HTTP1.1 ?你所访问的服务 器所运行?HTTP?协议的版本号是多少?图?4-5?Wireshark?的抓包界面:* I 旳3 ; L町匿ilg II-Ldi l.ii mi onii 1.-3II.IKU. VH 眄 LJWm+JHT-!*S* ji -jc| 亠曹审丄q 口也a O.费:|39 -3 IM1AK UV.
11、!kl 3.Lh IV LEE I. ?l irM JB 3BJUXIrU LLIVUiM-H.- i*V-IE 3 K4r- *M L MMKtQ JIIEiL:-VUK1M W nLET-IIR.H.H Cn.Ukll1*. KT-II L SHU KM LU. Ihl S LXL LR-.3ir. -PCF H L AIMTOW in-IHUP. LW铸 i xnawH EELUii.iw-lil i lahll/UX = K a VA iM AX a SJ Ql 强4243 LMEJKM -乙叶由XHem舊1.1黑IrMJti h !科 EEEr黑M U善 益S h.科rr&?你的浏览
12、器向服务器指出它能接收何种语言版本的对象?&?你的计算机的? IP?地址是多少?服务器_的?IP?地址是多少?&?从服务器向你的浏览器返回的状态代码是多少?(2)HTTP?条件?GET/respons?交互&?启动浏览器,清空浏览器的缓存(在浏览器中,选捧具菜单中的“Internet?选项命令,在出现的对话框中,选择删除文件”。&?启动?Wireshark?分组俘获器。开始?Wireshark?分组俘获。&?在浏览器的地址栏中输入以下URL:L,在你的浏览器中重新输入相同的? URL?或单击浏览器中的,刷新”按 钮。&?停止?Wireshark?分组俘获,在显示过滤筛选说明处输“入ttp”,分
13、组 列表子窗口中将只显示所俘获到的HTTP?报文。根据俘获窗口内容,思考以下问题:&?分析你的浏览器向服务器发出的第一个HTTP? GET?请求的内容,在该请求报文中,是否有一行是:F-MODIFIED-SINCE?&?分析服务器响应报文的内容,服务器是否明确返回了文件的内 容?如何获知?&?分析你的浏览器向服务器发出的较晚“HTTP?GET”请求,在该请 求报文中是否有一行是:IF-MODIFIED-SINCE?如果有,在该首 部行后面跟着的信息是什么?&?服务器对较晚的?HTTP? GET?请求的响应中的?HTTP?状态代码是多 少?服务器是否明确返回了文件的内容?请解释。3)?利用? W
14、ireshark?分析?TCP?协议注:访问以下网址需要设置代理服务器。如无法访问可与实验A联系,下 载tcp-Wireshark-trace文件,利用该文件进行TCP协议分析。(1)俘获大量的由本地主机到远程服务器的CP分组A. 启动浏览器,打开网页,得到ALICES?ADVENTURES?IN?WONDERLAND文 本,将该文件保存到你的主机上。B. 打开h,如图4-6所示,窗口如下图所示。在Browse按钮旁的文本框中输入保存在你的主机上的文件ALICES?ADVENTURES?INWONDERLAND的全名 (含路径),此时不要按Upload alice.txt?file按钮。C. ?启动Wireshark,开始分组俘获。D. ?在浏览器中,单击“Upload? alice.txt? file”按钮,将文件上传到服务器, 一旦文件上传完毕,一个简短的贺词信息将显示在你的浏览器窗口中。图4七?Wireshark-labs网页截图E.?停止俘获。(2) 浏览追踪信息在显示筛选规则中输入“cp”,可以看到在本地主机和服务器之间传输的 一系列?tcp?和?http?报文,你应该能看到包含?SYN?报文的三次握手。也可以 看到有主机向服务器发送的一个HTTP? POST?报文和一系列的“http?c ontinu
