【实验指导书】实验三：网络协议的分析.doc

《【实验指导书】实验三：网络协议的分析.doc》由会员分享，可在线阅读，更多相关《【实验指导书】实验三：网络协议的分析.doc（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、实验三：网络协议的分析一、 实验目的：1. 掌握使用Wireshark分析各种网络协议的技能；2. 深入理解应用层协议HTTP和FTP的工作过程，及协议内容；二、实验环境：1. 运行Windows 2000 / 2003 Server / XP操作系统的PC一台；2. 每台PC具有一块以太网卡，通过双绞线与局域网相连；3. Wireshark安装程序（可以从http:/www.wireshark.org/下载）。三、实验内容与要求： 1. 参照附件一：了解网络协议分析仪Wireshark，完成Wireshark的安装和基本使用。2. 捕获IP数据报运行程序，单击CAPTURE菜单下的start

2、命令，开始捕获数据报。输入过滤条件为只捕获IP协议的数据报。如下图所示。（1） 在命令行模式下测试与其他同学使用主机的连通性，即“ping ”，就可以看到捕获区域有捕获到的IP的数据报了。对DOS界面和Wireshark捕捉界面分别截屏，并对该数据报进行分析，填写下表：源IP地址172.18.69.165目的IP地址172.18.69.167首部长度20byte总长度60是否分片否标识0x00上层协议Icmp(1)生存时间64（2）在命令行模式下执行“ping -l ”，对DOS界面截屏观察并分析Wireshark中捕捉的数据报，此处数据块数值设置为（2000+ N）字节，N为你的学号后三位。

3、例如：电信1001班学生董飞飞的学号是“8”，他需要执行ping命令中的数值为2108B，即执行“ping -l 2108B”，如下图所示：因为每次ping的数值大于1500B，所以必定存在分片问题。共分了几片？截屏记录捕捉的结果；将每个分片的数据报信息填写至下表，并作比较（此处如是2108字节的话，会分成两个分片，需分别记录分片1和分片2的数据报头部内容）：分片1：源IP地址165.18.69.165目的IP地址165.18.69.167首部长度20总长度1500标识0x01MF1片偏移0上层协议Icmp(1)分片2:源IP地址165.18.69.165目的IP地址165.18.69.167

4、首部长度20总长度850标识0x00MF1片偏移185上层协议Icmp(1)（2） 思考：若是ping的数据报大小调整为(3500+N)字节，N为你的学号后三位,分片情况又怎样？对DOS界面截屏，在Wireshark中捕捉相应数据报并截屏分析，完成下面表格的内容。第1个数据报源IP地址172.18.69.165目的IP地址172.18.65.167首部长度20总长度1500标识0x01MF1片偏移0上层协议Icmp(1)第2个数据报源IP地址172.18.69.165目的IP地址172.18.69.167首部长度20总长度1500标识0x01MF1片偏移185上层协议Icmp(1) 第3个数据

5、报源IP地址172.18.69.165目的IP地址172.18.69.167首部长度20总长度870标识0x00MF1片偏移370上层协议Icmp(1)3.捕捉TCP报文段运行程序，单击CAPTURE菜单下的start命令，开始捕获数据报。然后输入过滤条件为只捕获TCP协议的数据报。然后打开IE浏览器，访问本校主页（）。就可以看到捕获区域有捕获到的TCP的数据报了。观察TCP实现“三次握手”的报文段，并截屏记录捕捉的结果如下图的形式：另外，需将“三次握手”中的每个报文段的信息填写至下表，并作比较：第1个报文段源IP地址172.18.69.165目的IP地址60.191.187.15源端口号50

6、845目的端口号80序号1确认号SYN字段1ACK字段0窗口值64240第2个报文段源IP地址172.18.69.165目的IP地址60.191.187.15源端口号80目的端口号50845序号确认号1SYN字段1ACK字段1窗口值6432第3个报文段源IP地址172.18.69.165目的IP地址60.191.187.15源端口号50845目的端口号80序号1确认号SYN字段1ACK字段1窗口值642404.捕获HTTP报文段基于“3.捕捉TCP数据报”的结果，将输入过滤条件为只捕获http协议的数据报。观察捕捉到的HTTP报文段，并给出截屏信息；选取一个报文段对其进行分析，并将数据填写至下

7、表：源端口号53687目的端口号80源IP地址172.18.69.165目的IP地址202.196.16.2源硬件地址00：25：11：88：0a：7f目的硬件地址00：04：96：10：5c：605.捕获ARP数据报完成了上述高层的协议，再关注下第二层的ARP协议。（1）运行Wireshark程序，单击CAPTURE菜单下的start命令，开始捕获数据报；（2）同时，在DOS命令行中输入以下ARP相关命令；（3）直到ARP缓存表出现记录后，停止运行Wireshark。输入过滤条件为只捕获ARP协议的数据报，观察并截屏记录捕捉的结果如下图的形式：将一组ARP请求报文和ARP响应报文中的硬件地址

8、记录如下：ARP请求报文源硬件地址00:25：18：88:0a：7f目的硬件地址ff：ff：ff：ff：ff：ffARP响应报文源硬件地址00:04:96:10：5c:60目的硬件地址00:25：11:88:0a:7f四、实验步骤：（根据上面的具体要求，完成整个实验；将需要的数据和截屏记录如下，并整理实验步骤。）五、 实验总结： 第一次接触这个软件,有些不太会用,有时候完成操作后,找不到软件过滤得结果,浪费了很多的时间,慢慢使用,逐渐掌握了一些技巧.最终完成了整个实验要求. 六、 扩展部分：（本部分内容属于选做部分）1. 捕获ftp数据包2. 捕获ICMP数据包3. 捕获telnet数据包4.

9、 捕获DNS数据包实验报告撰写要求认真总结实验，规范撰写实验报告。实验报告内容应包括实验目的、实验要求、实验过程、实验总结，其中实验过程应附必要的截图，给出详细说明，对本实验中自行完成的较复杂网络拓扑的配置实现，应用表格给出各设备的主要参数配置（见下表），最后，对实验中遇到的问题和解决进行描述和剖析，总结收获。并完成思考题。设备参数配置一览表：设备名称/编号端口名称/编号IP地址子网掩码网关其他配置说明SAF0/1202.102.46.8255.255.255.0202.102.46.254RJ45 100M以太网连接实验报告撰写格式见课程网站样例，要求字体、行间距等严格按要求排版（参考实验任

10、务书），文件命名规范“专业班级+学号+姓名”，例如“电信1001班8董飞飞.doc”。实验报告应于本次实验课后一周内上交。附件一：了解网络协议分析仪Wireshark我们怎样做，才能更深入得了解协议？一个人对网络协议的理解通过以下方法，通常能够得到极大的深化：观察两个协议实体之间交换的报文序列，研究协议运行的细节，使协议执行某些动作、并观察这些动作及其后果。借助网络分析仪软件软件Wireshark，利用上述方法，我们可以在真实网络环境中，通过实际动手来观察和学习协议。一、实验目的：1.学会正确安装和配置网络协议分析仪软件Wireshark。2.掌握使用Wireshark分析各种网络协议的技能，

11、加深对协议格式、协议层次和协议交互过程的理解。二、实验环境：1.运行Windows 2000/2003 Server/XP操作系统的PC一台。2.每台PC具有一块以太网卡，通过双绞线与局域网相连。2.Wireshark安装程序（可以从http:/www.wi reshark.org/下载）。三、实验步骤：1.安装网络协议分析仪（1）安装WinPcap。WinPcap可以从www.winpcap.org/install/default.htm下载。注意， Wireshark的运行需要软件WinPcap（wpcap.dll）的支持，应当在执行Wireshark前先安装WinPcap。不过，如果你所

12、用机器的操作系统上没有安装libpcap软件，当你安装Wireshark的时候，也会将其捎带安装。（2）安装Wireshark。在http:/www.wireshark.org/download.html中下载和安装Wireshark；下载Wireshark的用户指导。Wireshark的FAQ中有很多有帮助的提示和有趣的花絮，特别是当你在安装或运行Wireshark过程中遇到麻烦时。 2.使用Wireshark分析协议（1）启动系统，界面如下图所示。最初，并无数据显示在各个窗口中。当Wireshark捕捉到相应分组后，它的图形用户界面如下图所示。Wireshark界面中的几个主要组件包括：

13、（2）使用Wireshark测试运行。第一步：打开你常用的浏览器软件。第二步：打开Wireshark软件。你将看到类似于图2中的窗口，不过因为尚未开始捕捉数据，分组侦听窗口、分组首部窗口，和分组内容窗口中都没有分组数据显示。第三步：准备开始捕捉分组。选择下拉菜单“Capture”中的“Options”，这将打开“Wireshark：Capture Options”窗口，如下图所示。第四步：这个窗口中的大部分默认值可以保持不变，但是需要取消勾选Display Option中的“Hide Capture info dialog”。你的计算机连接网络的网络接口将会显示在窗口“Capture”中。如果

14、你的机器有不止一个网络连接方式（网络适配器），你需要选择一个正在用来发送和接收分组的网络接口。在选择了网络接口之后，点击“Start”按钮。分组捕捉将从现在开始所有从你的计算机发出、或由你的计算机接收的分组都将被Wireshark捕捉到。第五步：当前，Wireshark正在运行中，在浏览器中输入URL：，并使其网页完全显示在浏览器中。为了显示这个网页，你的浏览器将会连接的HTTP服务器，并和服务器交换HTTP报文以便下载这个网页。包含这些HTTP报文的以太网帧将会被Wireshark捕捉。第六步：当你的浏览器显示了这个网页之后，选择Wireshark“Capture”窗口中的“Stop”按钮，

15、停止Wireshark分组捕捉。这会引起Wireshark “Capture”窗口消失，Wireshark主窗口显示从开始捕捉分组以来的所有数据。Wireshark主窗口这时看起来类似于图2。你现在可以看到鲜活的分组数据，包含了你的计算机和其他所有网络实体间的协议信息交换。与之间交换的HTTP报文一定会出现在被捕捉分组列表中，但同时，列表中也显示了许多其他类型的分组。即使，你所进行的操作只有一条，就是去下载一个网页，但同时，你的计算机上会运行许多对于用户不可见的协议。第七步：在显示过滤窗口中输入“http”（不需要引号，并保持小写在Wireshark中，所有协议名字都是小写形式），然后点击“A

16、pply”按钮。这将使的分组侦听窗口中只显示HTTP报文。如下图所示。 第八步：选中分组侦听窗口中显示的第一条http报文，这应该是由你的计算机发向 HTTP服务器的HTTP GET报文。当你选中HTTP GET报文后，分组首部窗口中将会显示以太网分组、IP数据报、TCP报文段和HTTP报文的首部信息。点击分组细节窗口左边的折叠按钮，最小化显示以太网、IP协议、TCP协议的信息，并将HTTP协议的显示信息最大化。现在，你的Wireshark显示内容大致与下图一样。第九步：退出Wireshark！实验完成。四、注意事项：1.使用前应正确安装WinPcap网络监测驱动程序和网络协议分析软件Wireshark。2.捕获分组前应注意选择正确的网络接口。3.协议分组的捕获结果可保存在制定的文件中。4.Wireshark中具有丰富的其他功能，进一步学习可参阅软件附带的“Wireshark Documentation”。