当前位置:文档之家 › 数据包捕获与分析实验要求和Wireshark介绍

数据包捕获与分析实验要求和Wireshark介绍

  • 格式:pptx
  • 大小:2.86 MB
  • 文档页数:31

下载文档原格式

  / 31

合集下载

实验2 网络数据包的监听与分析(参考答案)

实验2 网络数据包的监听与分析(参考答案)

实验2 网络数据包的监听与分析一实验目的1.掌握使用Wireshark软件监听和捕获网络数据包。

2.掌握通过实际观察网络数据进行分析而了解网络协议运行情况。

二实验要求1.设备要求:计算机若干台(装有Windows 2000/XP/2003操作系统、装有网卡),局域网环境,主机装有Wireshark工具。

2.每组1人,独立完成。

三实验预备知识1.Wireshark简介Wireshark是一个开放源码的网络分析系统,也是是目前最好的开放源码的网络协议分析软件之一,支持Linux和Windows平台,支持500多种协议分析。

网络分析系统首先依赖于一套捕捉网络数据包的函数库。

这套函数库工作在在网络分析系统模块的最底层。

作用是从网卡取得数据包或者根据过滤规则取出数据包的子集,再转交给上层分析模块。

从协议上说,这套函数库将一个数据包从链路层接收,将其还原至传输层以上,以供上层分析。

在Linux系统中,1992年Lawrence Berkeley Lab的Steven McCanne 和Van Jacobson提出了包过滤器,称之为BPF(BSD Packet Filter),设计了基于BPF的捕包函数库Libpcap。

在Window系统中,意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库,其实现思想来源于BPF。

2.Wireshark的简单操作方法安装Wireshark之前,需要安装Winpcap,安装过程比较简单。

安装完成后,启动Wireshark,如图2.1所示。

图2.1 启动Wireshark后的界面设置Capture选项。

选择“Capture”-“Options”,弹出“Capture Options”界面,设置完成后点击“Capture”而开始捕获数据,如图2.2所示。

图2.2 “Capture Options”界面在“Capture Options”界面中,主要选项如下:•“Interface”是要求选择在哪个接口(网卡)上抓包。

wireshark抓包实验报告

wireshark抓包实验报告

wireshark抓包实验报告Wireshark抓包实验报告1. 实验简介本次实验旨在通过使用Wireshark软件进行网络抓包,深入了解网络通信过程中的数据传输和协议交互。

通过分析抓包数据,我们可以了解网络流量的组成、协议的运作方式以及网络安全的相关问题。

2. 实验准备在进行实验之前,我们需要准备一台运行Wireshark软件的计算机,并连接到一个网络环境中。

Wireshark是一款开源的网络协议分析工具,可以在各种操作系统上运行。

安装并配置好Wireshark后,我们就可以开始进行抓包实验了。

3. 实验步骤3.1 启动Wireshark打开Wireshark软件,选择需要抓包的网络接口。

Wireshark会监听该接口上的所有网络流量,并将其显示在界面上。

3.2 开始抓包点击“开始”按钮,Wireshark开始抓取网络数据包。

此时,我们可以看到界面上实时显示的数据包信息,包括源地址、目标地址、协议类型等。

3.3 过滤抓包数据由于网络流量非常庞大,我们可以使用过滤器来筛选出我们感兴趣的数据包。

Wireshark提供了丰富的过滤器选项,可以根据协议、源地址、目标地址等条件进行过滤。

3.4 分析抓包数据选中某个数据包后,Wireshark会显示其详细信息,包括协议分层、数据字段等。

通过分析这些信息,我们可以了解数据包的结构和内容,进一步了解网络通信的细节。

4. 实验结果与讨论在实验过程中,我们抓取了一段时间内的网络流量,并进行了分析。

通过对抓包数据的观察和解读,我们得出了以下几点结果和讨论:4.1 协议分层在抓包数据中,我们可以清晰地看到各种协议的分层结构。

从物理层到应用层,每个协议都承担着不同的功能和责任。

通过分析协议分层,我们可以了解协议之间的关系,以及它们在网络通信中的作用。

4.2 数据传输过程通过分析抓包数据,我们可以追踪数据在网络中的传输过程。

我们可以看到数据包从源地址发送到目标地址的路径,了解中间经过的路由器和交换机等设备。

任务三计算机网络实验IP数据报捕获与分析

任务三计算机网络实验IP数据报捕获与分析

任务三计算机网络实验IP数据报捕获与分析一、实验目的本实验的目的是通过使用网络抓包工具捕获IP数据报,了解IP协议的工作过程,分析数据报的结构和内容。

二、实验设备和工具1.计算机2.网络抓包工具:Wireshark三、实验原理IP(Internet Protocol)是网络层的核心协议,在互联网中承担着数据包的传输任务。

IP协议负责将数据包从源主机传输到目标主机,保证数据在不同主机之间的正确传输。

IP数据报是IP协议传输的基本单位,由IP头和数据部分组成。

IP头部包含以下重要字段:1.版本(4位):表示IP协议的版本号,IPv4为4,IPv6为62.首部长度(4位):表示IP头部的长度,以32位的字节为单位。

3.区分服务(8位):用于标识优先级和服务质量等信息。

4.总长度(16位):指明整个IP数据报的长度。

5.标识(16位):用于标识同一个数据报的分片。

6.标志位(3位):标记是否进行数据报的分片。

7.片偏移(13位):表示数据报组装时的偏移量。

8.生存时间(8位):表示数据报在网络中的存活时间。

9.协议(8位):指明IP数据报中携带的数据部分所使用的协议,如TCP、UDP等。

10.头部校验和(16位):用于对IP头部的校验。

11.源IP地址(32位):指明数据报的发送者的IP地址。

12.目的IP地址(32位):指明数据报的目标IP地址。

四、实验步骤1.安装Wireshark软件。

2.打开Wireshark软件,选择需要进行抓包的网络接口。

3.点击“开始”按钮,开始抓包。

4.进行相关网络操作,产生数据包。

5.停止抓包。

6.选中其中一个数据包,进行分析。

五、数据包分析Wireshark软件可以对捕获到的数据包进行详细的分析,提供了丰富的信息和统计数据。

以下是对数据包的一些常规分析内容:1.源IP地址和目的IP地址:根据协议规定,每个IP数据报必须携带源IP地址和目的IP地址,通过分析这两个字段可以确定数据包的发送方和接收方。

捕获再捕获实验报告

捕获再捕获实验报告

一、实验模块计算机网络二、实验标题捕获再捕获实验三、实验目的1. 掌握网络数据包捕获的基本方法;2. 了解不同网络协议的工作原理;3. 学习使用Wireshark等网络抓包工具进行数据包捕获和分析。

四、实验环境1. 实验设备:电脑一台,网络连接正常;2. 实验软件:Wireshark抓包工具;3. 实验环境:以太网。

五、实验内容1. 捕获原始网络数据包;2. 分析捕获到的数据包;3. 再次捕获网络数据包,观察变化。

六、实验步骤1. 打开Wireshark,选择合适的网络接口进行抓包;2. 设置过滤条件,只捕获特定的协议数据包,如TCP、UDP等;3. 启动抓包,进行网络操作(如浏览网页、发送邮件等);4. 停止抓包,查看捕获到的数据包;5. 分析捕获到的数据包,了解协议工作原理;6. 再次进行网络操作,观察数据包的变化;7. 对比分析两次捕获到的数据包,找出差异。

七、实验过程1. 打开Wireshark,选择以太网接口进行抓包;2. 设置过滤条件,只捕获HTTP协议数据包;3. 启动抓包,打开网页进行浏览;4. 停止抓包,查看捕获到的数据包;5. 分析捕获到的数据包,了解HTTP协议工作原理;6. 再次进行网络操作,如发送邮件;7. 对比分析两次捕获到的数据包,找出差异。

八、实验结果与分析1. 第一次捕获到的数据包为HTTP请求,包含请求方法、URL、版本等信息;2. 第二次捕获到的数据包为HTTP响应,包含响应状态码、内容长度、实体等;3. 对比两次捕获到的数据包,发现第二次捕获的数据包中,请求方法和URL与第一次相同,但响应状态码、内容长度等有所不同。

九、实验总结1. 通过本次实验,掌握了网络数据包捕获的基本方法;2. 学习了不同网络协议的工作原理,如HTTP协议;3. 使用Wireshark等网络抓包工具,对捕获到的数据包进行分析,有助于了解网络通信过程。

十、实验反思1. 在实验过程中,需要注意设置合适的过滤条件,以便快速定位所需捕获的数据包;2. 分析数据包时,要熟悉不同协议的格式和内容,以便准确解读数据包;3. 实验过程中,遇到的问题主要包括数据包捕获失败、分析不准确等,通过查阅资料和请教他人,成功解决了这些问题。

计算机网络练习之使用WireShark捕获和分析数据包

计算机网络练习之使用WireShark捕获和分析数据包

以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一:运行wireshark开始捕获数据包,如图所示点击第二行的start开始捕获数据包。

启动界面:抓包界面的启动是按file下的按钮(或capture下的interfaces)之后会出现这个是网卡的显示,因为我有虚拟机所以会显示虚拟网卡,我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包。

(捕捉本地连接对应的网卡,可用ipconfig/all 查看)二:几分钟后就捕获到许多的数据包了,主界面如图所示:如上图所示,可看到很多捕获的数据。

第一列是捕获数据的编号;第二列是捕获数据的相对时间,从开始捕获算为0.000秒;第三列是源地址,第四列是目的地址;第五列是数据包的信息。

选中第一个数据帧,然后从整体上看看Wireshark的窗口,主要被分成三部分。

上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据。

三:开始分析数据1.打开“命令提示符”窗口,使用“arp -a”命令查看本地计算机ARP高速缓存。

2.使用“arp -d”命令清除本地计算机ARP高速缓存,再使用“arp -a”命令查看。

此时,本地计算机ARP高速缓存为空。

3.在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮将计算机与数据设备相连(3928或路由器),参见静态路由配置。

3.此时,网络协议分析软件开始捕获数据,在“命令提示符”窗口中PING同一子网中的任意主机。

(计算机Aping计算机B)因为PING命令的参数为IP地址,因此使用PING命令前,需要使用ARP机制将IP地址转换为MAC地址,这个过程用户是无法感知的。

因为我们在使用PING命令前已经开始网络数据包捕获,因此,此时网络协议分析软件将捕获到ARP解析数据包。

wireshark抓包实验报告总结

wireshark抓包实验报告总结

wireshark抓包实验报告总结一、实验目的本次实验的主要目的是学习Wireshark抓包工具的使用方法,掌握网络通信过程中数据包的组成和解析方式,以及了解常见网络协议的运行机制。

二、实验环境本次实验使用的操作系统为Windows 10,使用Wireshark版本为3.4.6。

三、实验步骤1. 安装Wireshark软件并打开。

2. 选择需要抓包的网络接口,并开始抓包。

3. 进行相应的网络操作,例如访问网站、发送邮件等。

4. 停止抓包,并对捕获到的数据包进行分析和解析。

四、实验结果1. 抓取HTTP请求和响应数据包通过Wireshark抓取HTTP请求和响应数据包,可以轻松地了解HTTP协议在通信过程中所传输的信息。

例如,在访问一个网站时,可以看到浏览器向服务器发送GET请求,并获取到服务器返回的HTML 页面等信息。

同时还可以看到HTTP头部中所携带的信息,例如User-Agent、Cookie等。

2. 抓取TCP连接数据包通过Wireshark抓取TCP连接数据包,可以了解TCP协议在建立连接、传输数据和关闭连接时所涉及到的所有步骤。

例如,在进行FTP 文件传输时,可以看到TCP三次握手建立连接,以及文件传输过程中TCP的流量控制和拥塞控制等。

3. 抓取UDP数据包通过Wireshark抓取UDP数据包,可以了解UDP协议在通信过程中所涉及到的所有信息。

例如,在进行DNS域名解析时,可以看到DNS服务器返回的IP地址等信息。

五、实验总结通过本次实验,我学会了使用Wireshark抓包工具进行网络数据包分析的方法,并了解了常见网络协议的运行机制。

同时也发现,在网络通信过程中,数据包所携带的信息非常丰富,能够提供很多有用的参考和指导。

因此,在实际工作中,我们应该灵活运用Wireshark等工具进行网络数据包分析,并结合具体业务场景进行深入研究和分析。

wireshark抓包实验报告

wireshark抓包实验报告Wireshark抓包实验报告引言:网络是现代社会中不可或缺的一部分,人们在日常生活中几乎无时无刻不在使用网络。

然而,网络的复杂性使得网络问题的排查变得困难。

Wireshark作为一款强大的网络抓包工具,可以帮助我们深入分析网络数据包,从而更好地理解和解决网络问题。

本文将介绍Wireshark的基本原理和使用方法,并通过实际抓包实验来验证其功能和效果。

一、Wireshark的基本原理Wireshark是一款开源的网络协议分析工具,可以运行在多个操作系统上。

它通过捕获网络接口上的数据包,并将其解析成可读的形式,以便我们进行深入分析。

Wireshark支持多种协议,包括以太网、无线网络、TCP/IP等,使得我们能够全面了解网络通信的细节。

二、Wireshark的使用方法1. 下载和安装Wireshark可以从其官方网站上免费下载,根据自己的操作系统选择合适的版本进行安装。

安装完成后,打开Wireshark并选择要抓包的网络接口。

2. 抓包设置在开始抓包之前,我们需要进行一些设置以确保我们能够捕获到想要分析的数据包。

首先,我们可以设置抓包过滤器来过滤出特定的数据包,以减少不必要的干扰。

其次,我们可以选择是否启用深度分析,以获取更详细的协议信息。

3. 开始抓包一旦设置完成,我们可以点击“开始”按钮开始抓包。

Wireshark将开始捕获网络接口上的数据包,并将其显示在主界面上。

我们可以看到每个数据包的详细信息,包括源IP地址、目标IP地址、协议类型等。

4. 数据包分析Wireshark提供了丰富的功能和工具,使得我们可以对抓包的数据包进行深入分析。

我们可以通过点击每个数据包来查看其详细信息,并根据需要进行过滤、排序和搜索。

此外,Wireshark还提供了统计功能,帮助我们了解网络流量的情况。

三、实验验证为了验证Wireshark的功能和效果,我们进行了一次抓包实验。

实验中,我们使用Wireshark抓取了一段时间内的网络数据包,并进行了分析。

网络与信息安全技术实验报告

网络与信息安全技术实验报告一、实验目的随着信息技术的飞速发展,网络与信息安全问题日益凸显。

本次实验的目的在于深入了解网络与信息安全技术的原理和应用,通过实际操作和实验分析,提高对网络攻击与防御的认识和应对能力,增强信息安全意识,为保障网络环境的安全稳定奠定基础。

二、实验环境本次实验在以下环境中进行:1、操作系统:Windows 10 专业版2、实验软件:Wireshark 网络协议分析工具、Nmap 端口扫描工具、Metasploit 渗透测试框架等三、实验内容与步骤(一)网络数据包捕获与分析1、打开 Wireshark 软件,选择合适的网络接口进行数据包捕获。

2、在捕获过程中,访问了一些常见的网站,如百度、淘宝等,并进行了文件下载操作。

3、停止捕获后,对捕获到的数据包进行分析。

重点关注了 TCP 三次握手、HTTP 请求与响应、DNS 查询等过程。

通过分析 TCP 三次握手,了解了建立连接的过程和相关标志位的变化。

对 HTTP 请求与响应的分析,掌握了网页访问时的数据传输格式和内容。

DNS 查询的分析有助于了解域名解析的过程和机制。

(二)端口扫描与服务探测1、运行 Nmap 工具,对目标主机进行端口扫描。

2、设定了不同的扫描参数,如全端口扫描、特定端口扫描等。

3、对扫描结果进行分析,确定目标主机开放的端口以及可能运行的服务。

发现开放的端口如80(HTTP)、443(HTTPS)、22(SSH)等。

根据端口对应的服务,初步评估目标主机的安全性。

(三)漏洞利用与渗透测试1、利用 Metasploit 框架,选择了一些常见的漏洞模块进行测试。

2、对目标主机进行了漏洞扫描,发现了一些可能存在的安全漏洞。

3、尝试利用漏洞获取系统权限,如通过弱口令漏洞登录系统。

四、实验结果与分析(一)网络数据包捕获与分析结果1、 TCP 三次握手过程正常,标志位的变化符合标准协议。

2、 HTTP 请求与响应中,未发现明显的异常数据传输,但部分网站的响应时间较长,可能与网络拥堵或服务器负载有关。

wireshark实验报告

wireshark实验报告Wireshark实验报告Wireshark是一个非常强大的网络协议分析工具,它可以帮助我们监控和分析网络上的数据包,从而深入了解网络通信的细节。

在本次实验中,我们使用Wireshark来分析一个简单的网络通信场景,并进行一些实验来了解它的功能和用途。

实验一:捕获数据包首先,我们打开Wireshark并选择要监控的网络接口,然后开始捕获数据包。

在捕获过程中,我们可以看到不断出现的数据包,它们包含了网络通信中的各种信息,如源地址、目标地址、协议类型等。

通过Wireshark的过滤功能,我们可以只显示特定协议的数据包,从而更方便地进行分析。

实验二:分析HTTP通信接下来,我们模拟了一个简单的HTTP通信场景,比如在浏览器中访问一个网页。

通过Wireshark捕获到的数据包,我们可以看到HTTP请求和响应的细节,包括请求头、响应头、数据内容等。

通过分析这些数据包,我们可以了解HTTP 通信的工作原理,以及了解网页加载过程中的各种细节。

实验三:检测网络异常最后,我们模拟了一个网络异常的场景,比如断开网络连接或者遭遇网络攻击。

通过Wireshark捕获到的数据包,我们可以看到异常情况下的网络通信情况,从而及时发现问题并进行处理。

Wireshark的强大过滤功能可以帮助我们快速定位异常数据包,以便更快地解决网络问题。

通过以上实验,我们对Wireshark的功能和用途有了更深入的了解。

它不仅可以帮助我们监控网络通信,还可以帮助我们分析网络问题、学习网络协议等。

在今后的网络工作中,Wireshark将成为我们不可或缺的利器,帮助我们更好地理解和管理网络通信。

wireshark抓包分析实验报告

Wireshark抓包分析实验若惜年一、实验目的:1.学习安装使用wireshark软件,能在电脑上抓包。

2.对抓出包进行分析,分析得到的报文,并与学习到的知识相互印证。

二、实验内容:使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据,分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。

三、实验正文:IP报文分析:从图中可以看出:IP报文版本号为:IPV4首部长度为:20 bytes数据包长度为:40标识符:0xd74b标志:0x02比特偏移:0寿命:48上层协议:TCP首部校验和:0x5c12源IP地址为:目的IP为:从图中可以看出:源端口号:1891目的端口号:8000udp报文长度为:28检验和:0x58d7数据长度:20 bytesUDP协议是一种无需建立连接的协议,它的报文格式很简单。

当主机中的DNS 应用程序想要惊醒一次查询时,它构造一个DNS查询报文段并把它给UDP,不需要UDP之间握手,UDP为报文加上首部字段,将报文段交给网络层。

第一次握手:从图中看出:源端口号:56770目的端口号:80序列号为:0首部长为: 32 bytesSYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手:从图中看出:源端口号是:80目的端口号为:56770序列号为:0ack为:1Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手:从图中看出:源端口:56770目的端口:80序列号为:1ACK为:1首部长为:20bytesAcknowledgement为1表示包含确认的报文所以,看出来这是TCP连接成功了Tcp是因特网运输层的面向连接的可靠的运输协议,在一个应用进程可以开始向另一个应用进程发送数据前,这两个进程必须先握手,即它们必须相互发送预备文段,建立确保传输的参数。

发送报文:GET/HTTP/:是请求一个页面文件HOST:是请求的主机名Connection:持续连接Accept: 收到的文件User-Agent : 浏览器的类型Accept-encoding: gzip ,deflate ,sdch限制回应中可以接受的内容编码值,指示附加内容的解码方式为gzip ,deflate ,sdch 。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收 方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容。 如果捕获的是一个OSI layer 2的封包,在Source(来源)和 Destination(目的地)列中看到的将是MAC地址,当然,此时Port (端口)列将会为空。 如果捕获的是一个OSI layer 3或者更高层的封包,在Source(来源) 和Destination(目的地)列中看到的将是IP地址。Port(端口)列 仅会在这个封包属于第4或者更高层时才会显示。 在Edit menu -> Preferencesቤተ መጻሕፍቲ ባይዱ可以添加/删除列或者改变各列的颜色:
1.捕捉过滤器
2.显示过滤器
点击show the capture options…
一:选择本地的网络适配器
二:设置捕捉过滤
填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名 字并保存,以便在今后的捕捉中继续使用这个过滤器。
Protocol(协议): 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议,则默认使用所有支持的协议。 Direction(方向): 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地,则默认使用 "src or dst" 作为关键字。 例如,"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。 Host(s): 可能的值: net, port, host, portrange. 如果没有指定此值,则默认使用"host"关键字。 例如,"src 10.1.1.1"与"src host 10.1.1.1"相同。 Logical Operations(逻辑运算): 可能的值:not, and, or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左 至右进行。 例如, "not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。 "not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同。
Port Type… TCP Stream Graph 传输层通信端口类型 传输控制协议TCP数据流波形图
在菜单下面,是一些常用的快捷按钮。 您可以将鼠标指针移动到某个图标上以获得其功能说明。
显示过滤器用于查找捕捉记录中的内容。 请不要将捕捉过滤器和显示过滤器的概念相混淆。请参考Wireshark 过滤器中的详细内容。
这里显示的是在封包列表中被选中项目的详细信息。 信息按照不同的OSI layer进行了分组,可以展开每个项目查看。下 面截图中展开的是HTTP信息。
“解析器”在Wireshark中也被叫做“16进制数据查看面板”。这里显 示的内容与“封包详细信息”中相同,只是改为以16进制的格式表述。 在上面的例子里,我们在“封包详细信息”中选择查看TCP端口 (80),其对应的16进制数据将自动显示在下面的面板中(0050)。

启动后的界面
功能界面介绍
MENUS SHORTCUTS (菜单) (快捷方式) DISPLAY FILTER (显示过滤器)
PACKET LIST PANE (封包列表)
PACKET DETAILS PANE (封包详细信息) DISSECTOR PANE (16进制数据) MISCELLANOUS (杂项)

3
分析工具设计要求

根据Wireshark抓取的数据帧信息,编程实现 按协议类型分析其构成(语言不限),并撰 写设计报告
4
Wireshark简介
网络管理员使用Wireshark来检测网络问题,网络安全工程 师使用Wireshark来检查资讯安全相关问题,开发者使用 Wireshark来为新的通讯协定除错,普通使用者使用 Wireshark来学习网络协定的相关知识。当然,有的人也会 “居心叵测”的用它来寻找一些敏感信息…… Wireshark不是入侵侦测软件(Intrusion Detection Software,IDS)。对于网络上的异常流量行为,Wireshark不 会产生警示或是任何提示。然而,仔细分析 Wireshark截取 的封包能够帮助使用者对于网络行为有更清楚的了解。 Wireshark不会对网络封包产生内容的修改,它只会反映出 目前流通的封包资讯。 Wireshark本身也不会送出封包至网 络上。
"File"(文件) 打开或保存捕获的信息。 "Edit" (编辑)查找或标记封包。进行全局设置。 "View"(查看) 设置Wireshark的视图。 "Go" (转到)跳转到捕获的数据。 "Capture"(捕获)设置捕捉过滤器并开始捕捉。 "Analyze"(分析)设置分析选项。 "Statistics" (统计)查看Wireshark的统计信息。 "Help" (帮助)查看本地或者在线支持。
TCP/IP协议及网络编程技术
2016-2017学年春季学期
数据包捕获与分析实验介绍
徐俊刚
1
实验概述
本实验学习通过Wireshark捕捉实时网络数据包,并 根据网络协议分析流程对数据包在TCP/IP各层协议中 进行实际解包分析,为网络协议分析和还原提供技术 手段。 参考Wireshark的工作原理,用Visual C++或Eclipse 或者Qt编写一个简单的数据包捕获(可选)与分析工 具。 提交和检查:
Firewall ACL Rules Enabled Protocols… Decode As… User Specified Decodes… Follow TCP Stream Follow SSL stream Expert Info Expert Info Composite 防火墙 ACL 规则 Resize All Columns 改变所有列大小 VoIP Calls 互联网 IP电话的数据 WAP-WSP 无线应用协议 WAP和WSP的数据 Expand Sub trees 扩展开数据包内封装协议的子树结构 已可以分析的协议列表 BOOTP-DHCP 引导协议和动态主机配置协议的数据 Expand All 全部扩展开 将网络数据按某协议规则解码 Destinations… 通信目的端 Collapse All 全部折叠收缩 用户自定义的解码规则 Flow Graph… 网络通信流向图 Coloring Rules… 对不同类型的数据包用 HTTP 超文本传输协议的数据 跟踪TCP 传输控制协议的通信数据段, 不同颜色标识的规则 IP address… 互联网 IP地址 将分散传输的数据组装还原 Show Packet inISUP New Window 将数据包显示在一个新的窗口 ISUP Messages… 协议的报文 跟踪SSL 安全套接层协议的通信数据流 Multicast 多播数据流 ReloadStreams 将数据文件重新加 ONC-RPC Programs 专家分析信息 Packet Length 数据包的长度 构造专家分析信息

◦ 实验报告 ◦ 数据包分析工具演示 ◦ 时间待定
2017/8/19 2
实验要求
安装和配置Wireshark 学习Wireshark的各项功能 捕获各种协议类型的数据包,包括但不限于 ARP, RARP, IP, ICMP, TCP, UDP, IGMP, BOOTP, DHCP, SNMP等 设计数据包捕获(可选)与分析工具,对上 述数据包进行分析,并截取分析结果 撰写实验报告

Go 运行 Statistics对已捕获的网络数据进行统计分析 Edit 编辑 Capture 捕获网络数据 View 视图 已捕获数据文件的总统计概况 Back Summary 向后运行 File 打开文件 Protocol Hierarchy 数据中的协议类型和层次结构 MainPacket… Toolbar 主工具栏 搜索数据包 Interfaces… 选择本机的网络接口 Find Forward 向前运行 Conversations进行数据捕获 会话 Filter Toolbar 过滤器工具栏 Open 打开文件 Find 搜索下一个 GoNext to packet… 转移到某数据包 Endpoints 定义统计分析的结束点 Wireless Toolbar 无线工具栏 Open Recent 打开近期访问过的文件 Options… 捕获参数选择 IO Graphs 输入 /输出数据流量图 GoPrevious to Corresponding Packet 转到相应的数据包 Find 搜索前一个 Statusbar 运行状况工具栏 Conversation List 会话列表 开始捕获网络数据 Merge… Start 将几个文件合并为一个文件 Previous Packet 前一个数据包 Packet List 数据包列表 Mark Packet (toggle) 对数据包做标记(标定) Endpoint List 停止捕获网络数据 统计分析结束点的列表 Stop Close 关闭此文件 Packet Details 数据包细节 Next Packet 下一个数据包 Service Response Time 从客户端发出请求至收到服务器 Find Next Mark 搜索下一个标记的包 Restart 重新开始捕获 响应的时间间隔 Packet Bytes 数据包字节 Save As… 保存为 … First Packet Mark 第一个数据包 Find Previous 搜索前一个标记的包 Capture Filters… 选择捕获过滤器 Time Display Format 时间显示格式 Help 帮助 Last Packet 最后一个数据包 File Set Mark 文件属性 All Packets 对所有包做标记 Name resolution 名字解析(转换: 域名 /IP地址, Contents Wireshark 使用手册 ANSI 按照美国国家标准协会的 ANSI 协议分析 Export 文件输出 厂商名 /MAC 地址,端口号 /端口名) Fax T38 Analysis... 按照 T38传真规范进行分析 Supported Protocols Wireshark 支持的协议清单 Unmark All Packets 去除所有包的标记 GSM 全球移动通信系统 GSM 的数据 Colorize Packet Manual List 颜色标识的数据包列表 Print… Set 打印输出 Pages 使用手册( HTML 网页) Analyze 对已捕获的网络数据进行分析 Time Reference (toggle) 设置参考时间 (标定) H.225 H.225 协议的数据 Auto关闭 Scroll in Live CaptureOnline 现场捕获时实时滚动 Wireshark Wireshark 在线 Quit Display Filters… 选择显示过滤器 MTP3 MTP3 协议的数据 Find Next 搜索下一个参考点 Zoom In Reference 放大显示 About Wireshark 关于 Wireshark RTP 实时传输协议 RTP 的数据 Apply as Filter 将其应用为过滤器 Zoom Out 缩小显示搜索前一个参考点 Find Previous Reference SCTP 数据流控制传输协议SCTP的数据 Prepare a Filter 设计一个过滤器 Normal Size 正常大小 SIP... 会话初始化协议 SIP的数据 Preferences 参数选择