实验一、Wireshark报文捕捉实验---

本科实验报告实验名称：利用EtherPeek工具进行的网络抓包实验学员：学号：专业：所属学院：国防科学技术大学训练部制【实验名称】利用Wireshark工具进行的抓包实验【实验目的】通过Wireshark软件捕获并观察ARP协议、ICMP协议、FTP协议、HTTP协议以及TCP协议的工作原理，包括协议序列和报文内容【实验内容】实验环境描述：网络环境：因特网操作系统：Windows 7软件：Wiresharkv1.12.4实验步骤：1.Ping命令（ARP, ICMP分析）2.在实验主机使用FTP应用(FTP分析)3.在实验主机使用web应用(HTTP分析)【实验过程】1.ping命令(ICMP、ARP分析)实验主机的IP地址为：192.168.0.189实验主机的MAC地址为：9c:4e:36:cf:db:e4在实验主机的命令框内输入命令：ping121.14.1.189Wireshark抓获的数据包如下：观察可得，抓获的报文里协议类型有ICMP与ARP。

（前12条是输入ping命令后抓取的）（1）ICMP分析：首先明确一下ICMP的相关知识：ICMP是（Internet Control Message Protocol）Internet控制报文协议。

它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。

控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

各种ICM P报文的前32bits都是三个长度固定的字段：type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位) 8bits类型和8bits代码字段：一起决定了ICM P报文的类型。

常见的有：类型0、代码0：回应应答。

类型3、代码0：网络不可达类型3、代码1：主机不可达类型5、代码1：为主机重定向数据包类型8、代码0：回应类型11、代码0：传输中超出TTL（常说的超时）16bits校验和字段：包括数据在内的整个ICM P数据包的校验和，其计算方法和IP头部校验和的计算方法是一样的。

Wireshark的使用实验报告计算机网络实验报告学院计算机与通信工程学院专业网络工程班级1401班学号20 姓名实验时间：2016.3.30一、实验名称：网络协议分析器Wireshark二、实验目的：了解Wireshark的界面组成，熟悉Wireshark的基本操作，掌握捕捉过滤器和显示过滤器的使用三、实验环境：局域网中的任意一台主机PC（10.64.44.35），Wireshark version1.10.11.四、实验步骤：使用Wireshark捕获数据包的一般过程为：步骤1：启动Wireshark。

步骤2：开始分组捕获。

单击工具栏的按钮，出现如图所示对话框，进行系统参数设置。

单击“Start”按钮开始进行分组捕获。

Wireshark配置界面步骤3：单击捕获对话框中的“stop”按钮，停止分组捕获。

此时，Wireshark 主窗口显示已捕获的局域网内的所有协议报文。

步骤4：筛选具体的协议。

如要筛选的协议为http协议，只需要在协议筛选框中输入“http”，单击“Apply”按钮，分组列表窗口将只显示HTTP协议报文。

这样就可以捕获所需要的数据包，并可以借助Wireshark提供的功能的网络数据包的分析。

用Wireshark分析协议的一般过程：在抓包完成后，可以利用显示过滤器找到感兴趣的包，也可根据协议、是否存在某个域、域值、域值之间的关系来查找感兴趣的包。

Wireshark的显示过滤器：可以使用表1.1所示的操作符来构造显示过滤器英文名称运算符中文名称应用举例 eq = = 等于Ip.addr==10.1.10.20ne ！= 不等于Ip.addr!=10.1.10.20gt > 大于Frame.pkt_len>10 lt < 小于Frame.pkt_len<10 ge >= 大于等于Frame.pkt_len>=10le <= 小于等于Frame.pkt_len<=10也可以使用下面逻辑操作符将表达式组合起来：逻辑与and(&&): 如ip.addr==10.1.10.20&&tcp.flag.fin;逻辑或or(II) 如 ip.addr==10.1.10.20IIip.addr==10.10.21.1;异或xor(^^)如 ip.addr==10.1.10.20xor ip.addr==10.10.21.1;逻辑非！：如！Llc。

wireshark抓包实验报告Wireshark抓包实验报告1. 实验简介本次实验旨在通过使用Wireshark软件进行网络抓包，深入了解网络通信过程中的数据传输和协议交互。

通过分析抓包数据，我们可以了解网络流量的组成、协议的运作方式以及网络安全的相关问题。

2. 实验准备在进行实验之前，我们需要准备一台运行Wireshark软件的计算机，并连接到一个网络环境中。

Wireshark是一款开源的网络协议分析工具，可以在各种操作系统上运行。

安装并配置好Wireshark后，我们就可以开始进行抓包实验了。

3. 实验步骤3.1 启动Wireshark打开Wireshark软件，选择需要抓包的网络接口。

Wireshark会监听该接口上的所有网络流量，并将其显示在界面上。

3.2 开始抓包点击“开始”按钮，Wireshark开始抓取网络数据包。

此时，我们可以看到界面上实时显示的数据包信息，包括源地址、目标地址、协议类型等。

3.3 过滤抓包数据由于网络流量非常庞大，我们可以使用过滤器来筛选出我们感兴趣的数据包。

Wireshark提供了丰富的过滤器选项，可以根据协议、源地址、目标地址等条件进行过滤。

3.4 分析抓包数据选中某个数据包后，Wireshark会显示其详细信息，包括协议分层、数据字段等。

通过分析这些信息，我们可以了解数据包的结构和内容，进一步了解网络通信的细节。

4. 实验结果与讨论在实验过程中，我们抓取了一段时间内的网络流量，并进行了分析。

通过对抓包数据的观察和解读，我们得出了以下几点结果和讨论：4.1 协议分层在抓包数据中，我们可以清晰地看到各种协议的分层结构。

从物理层到应用层，每个协议都承担着不同的功能和责任。

通过分析协议分层，我们可以了解协议之间的关系，以及它们在网络通信中的作用。

4.2 数据传输过程通过分析抓包数据，我们可以追踪数据在网络中的传输过程。

我们可以看到数据包从源地址发送到目标地址的路径，了解中间经过的路由器和交换机等设备。

Wireshark抓包实验⼀、实验名称利⽤Wireshark抓包并分析 TCP/IP 协议⼆、实验⽬的通过实验，了解和掌握报⽂捕获⼯具 Wireshark 的使⽤⽅法和基本特点，使⽤ Wireshark 捕获⽹络报⽂，并分析各种⽹络协议的报⽂格式和⼯作过程。

三、实验内容使⽤ Wireshark 捕获⽹络报⽂，分析以太⽹、ARP、IP、TCP、DNS 和 HTTP 等协议的报⽂格式和⼯作过程。

四、实验步骤DNS分析在 cmd 下运⾏：nslookup –type=Anslookup –type=NS nslookup –type=MX nslookup –type=A 然后⽤Wireshark捕获报⽂并分析DNS和UDP协议的报⽂格式和⼯作过程。

ICMP分析在cmd下运⾏pingtracert然后⽤Wireshark捕获报⽂并分析 ICMP 报⽂格式和⼯作过程。

TCP/IP分析a) 在浏览器输⼊ ⽹址后，然后⽤ Wireshark 捕获报⽂并分析HTTP，TCP，IP，ARP和以太⽹等协议的报⽂格式和⼯作过程。

b) 运⾏各⾃编写的 UDP 和 TCP 客户/服务器程序并进⾏抓包分析。

五、实验结果及分析（⼀）DNS分析通过ipconfig命令查看IP、⽹关地址IP地址192.168.43.217默认⽹关192.168.43.1DNS报⽂格式DNS分析⼤体相同，就选择其⼀进⾏分析1.在cmd下运⾏nslookup -type=A ⾮权威应答：110.53.188.133 113.247.230.248 202.197.9.133应答服务器地址为192.168.43.1，为默认⽹关地址利⽤wireshark进⾏抓包分析，筛选DNS报⽂，本次运⾏有4个DNS报⽂，可以看出对应请求包和响应包的源IP与⽬的IP刚好相反。

Query这是⼀个请求报⽂。

⾸先主机发送⼀个 DNS 报⽂。

DNS 采⽤ UDP 协议⽀持。

网络报文分析实验报告实验目的本次实验旨在通过对网络报文的分析，深入了解网络通信过程中数据的传输和交互。

实验背景随着互联网的快速发展，网络通信已经成为了人们日常生活中一个不可或缺的组成部分。

网络通信的基本单位是报文，它是在网络中传输的数据单元。

通过对网络报文的分析，可以帮助我们更好地理解、掌握网络通信的工作原理。

实验材料- Wireshark软件：用于捕获和分析网络报文。

实验步骤1. 下载并安装Wireshark软件。

2. 打开Wireshark软件并选择要监测的网络接口。

3. 开始捕获网络报文。

4. 执行特定操作，如访问一个网页、发送邮件等，以产生网络通信。

5. 停止网络报文捕获。

6. 分析捕获到的网络报文。

实验结果通过对网络报文的捕获和分析，我们可以了解到以下几个方面的信息：1. 源IP地址和目标IP地址：可以确定报文是从哪个主机发送到哪个主机。

2. 源端口号和目标端口号：可以确定报文是通过哪个应用程序发送和接收的。

3. 报文的数据内容：可以查看报文中的数据部分，并进行进一步的分析，如解码加密的数据、查找特定信息等。

4. 报文的协议类型：可以确定报文使用的是哪个协议，如TCP、UDP、HTTP 等。

5. 报文的长度和时间戳：可以了解报文的大小和传输时间。

实验分析通过分析捕获到的网络报文，我们可以获得以下几个方面的信息：1. 网络通信的双方：通过源IP地址和目标IP地址，我们可以知道网络通信是由哪两台主机之间进行的。

2. 通信所使用的协议：通过报文的协议类型，我们可以确定报文是使用TCP、UDP、HTTP还是其他协议进行传输。

3. 通信的具体内容：通过分析报文的数据部分，我们可以了解到通信中传输的具体内容，如网页的HTML代码、文件的二进制数据等。

4. 通信的时间和速率：通过报文的时间戳和长度，我们可以了解到通信过程所花费的时间和传输速率。

实验总结通过本次实验，我们对网络报文的分析有了更深入的了解。

wireshark实验⼀答案1.What is the IP address and TCP port number used by the clientcomputer (source) that is transferring the file to /doc/8d460b7e8e9951e79b892738.html ?Ip address 192.168.1.36TCP port number：19572.What is the IP address of /doc/8d460b7e8e9951e79b892738.html ? On what port numberis it sending and receiving TCP segments for this connection?the IP address of /doc/8d460b7e8e9951e79b892738.html ：128.119.245.12port number：803.What is the sequence number of the TCP SYN segment that is usedto initiate the TCP connection between the client computer and /doc/8d460b7e8e9951e79b892738.html What is it in the segment that identifies the segment as a SYN segmentsequence number:0syn 被设置为1说明是syn段4.What is the sequence number of the SYNACK segment sent bygaia.cs.umass.ed to the client computer in reply to the SYN? What is the value of the ACKnowledgement field in the SYNACK segment?How did /doc/8d460b7e8e9951e79b892738.html determine that value? What is it in the segment that identifies the segment as a SYNACK segment?The sequence number of the SYNACK segment sent by /doc/8d460b7e8e9951e79b892738.html is:0 SYNACK segment 中ACKnowledgement 的值为1；ACKnowledgement number的值为SYN消息中sequencenumber加上1所得；SYN 和Acknowledgement f都置为1说明这是⼀个SYNACK segment.5.What is the sequence number of the TCP segment containing theHTTP POST command?第11号报⽂段是包含HTTP POST 命令的TCP segment。

网络与协议论文题目:_ 网络抓包分析姓名:__ _韩龙_ _ __班级:___ 信研103班__ __学号: S2*******2010年11月网络抓包分析一、分析目的通过学习Wireshark进行网络抓包分析，进一步理解在tcp/ip模型中网络协议的组成，对网络中数据的传输深刻的了解。

二、分析的主要内容主机ip地址：115.25.13.152 测试机ip地址：115.25.13.1561.ARP数据包分析ARP地址解析协议的作用是：在32bit的IP地址和采用不同网络技术的硬件地址之间提供动态映射。

输入：“ping 115.25.13.156”，软件开始捕获数据包，在fliter过滤器中输入“ARP”，找出相应的ARP请求、应答的数据包，如图1.1和图1.2：图1.1 ARP请求报文本主机（115.25.13.152）向广播中发送ARP请求“who has 115.25.13.156？”要求找出ip为115.25.13.156的主机的物理地址，然后告诉本主机，根据数据包细节层得到具体ARP分组格式和参数：随后，IP地址为115.25.13.156的主机向本主机（115.25.13.152）发送一个ARP应答报文，如图1.2：图1.2 ARP应答报文“115.25.13.156 is at 00:1b:38:04:f1:37”，即告诉本主机（115.25.13.152），ip地址为115.25.13.156的主机的物理地址是00:1b:38:04:f1:37。

根据数据包细节层得到具体ARP分组格式和参数：2.ICMP 数据包分析ICMP 即Internet 控制报文协议，包括两种类型,一类是ICMP 查询报文，一类是ICMP 差错报文，其作用是用于ip 主机和路由器之间交换错误报文和其他重要协议。

（1）输入“ping 115.25.13.156”,软件开始捕获数据包，在fliter 过滤器中输入“icmp ”，找出相应的icmp请求、应答的数据包。

wireshark抓包实验报告Wireshark抓包实验报告引言：网络是现代社会中不可或缺的一部分，人们在日常生活中几乎无时无刻不在使用网络。

然而，网络的复杂性使得网络问题的排查变得困难。

Wireshark作为一款强大的网络抓包工具，可以帮助我们深入分析网络数据包，从而更好地理解和解决网络问题。

本文将介绍Wireshark的基本原理和使用方法，并通过实际抓包实验来验证其功能和效果。

一、Wireshark的基本原理Wireshark是一款开源的网络协议分析工具，可以运行在多个操作系统上。

它通过捕获网络接口上的数据包，并将其解析成可读的形式，以便我们进行深入分析。

Wireshark支持多种协议，包括以太网、无线网络、TCP/IP等，使得我们能够全面了解网络通信的细节。

二、Wireshark的使用方法1. 下载和安装Wireshark可以从其官方网站上免费下载，根据自己的操作系统选择合适的版本进行安装。

安装完成后，打开Wireshark并选择要抓包的网络接口。

2. 抓包设置在开始抓包之前，我们需要进行一些设置以确保我们能够捕获到想要分析的数据包。

首先，我们可以设置抓包过滤器来过滤出特定的数据包，以减少不必要的干扰。

其次，我们可以选择是否启用深度分析，以获取更详细的协议信息。

3. 开始抓包一旦设置完成，我们可以点击“开始”按钮开始抓包。

Wireshark将开始捕获网络接口上的数据包，并将其显示在主界面上。

我们可以看到每个数据包的详细信息，包括源IP地址、目标IP地址、协议类型等。

4. 数据包分析Wireshark提供了丰富的功能和工具，使得我们可以对抓包的数据包进行深入分析。

我们可以通过点击每个数据包来查看其详细信息，并根据需要进行过滤、排序和搜索。

此外，Wireshark还提供了统计功能，帮助我们了解网络流量的情况。

三、实验验证为了验证Wireshark的功能和效果，我们进行了一次抓包实验。

实验中，我们使用Wireshark抓取了一段时间内的网络数据包，并进行了分析。

Wireshark抓包实验报告第一次实验：利用Wireshark软件进行数据包抓取抓取一次完整的网络通信过程的数据包实验一，实验目的：通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。

二，实验环境：操作系统为Windows 7,抓包工具为Wireshark.三，实验原理：ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

四，验步骤：2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1图 1-1图 1-2停止抓包后，截取的数据如图 1-3图 1-34，分析数据包：选取一个数据包进行分析，如图1- 4图1-4每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。

DLC协议的目的和源是MAC，IP协议的目的和源是IP，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。

ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下：（1）诊断报文（类型：8，代码0；类型：0代码：0）；(2）目的不可达报文（类型：3，代码0-15）；（3）重定向报文（类型：5，代码：0--4）；（4）超时报文（类型：11，代码：0--1）；（5）信息报文（类型：12--18）。

一，实验目的：通过本次实验，掌握使用Wireshark抓取TCP协议的数据包的技能，能够在深入分析“TCP的三次握手”，TCP的四次挥手协议在网络数据流的基础上，进一步提高理论联系实践的能力。

Wireshark抓包工具计算机网络实验实验一 Wireshark使用一、实验目的1、熟悉并掌握Wireshark的基本使用；2、了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、预备知识要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。

Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从下载。

运行Wireshark程序时，其图形用户界面如图2所示。

最初，各窗口中并无数据显示。

Wireshark的界面主要有五个组成部分：命令和菜单协议筛选框捕获分组列表选定分组首部明细分组内容左：十六进制右：ASCII码图1命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。

协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。

捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。

单击某一列的列名，可以使分组列表按指定列排序。

其中，协议类型是发送或接收分组的最高层协议的类型。

分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的首部详细信息。

包括该分组的各个层次的首部信息，需要查看哪层信息，双击对应层次或单击该层最前面的“＋”即可。

分组内容窗口（packet content）：分别以十六进制（左）和ASCII码（右）两种格式显示被捕获帧的完整内容。