计算机网络报文分析,《计算机网络》实验--网络报文抓取与分析.doc

网络报文抓取与分析

1．实验目的

(1)学习了解网络侦听。

(2)学习抓包工具wireshark的简单使用。

(3)对所侦听到的信息作初步分析。

(4)从侦听到的信息中分析TCP的握手过程，进行解释。

(5)分析了解TCP握手失败时的情况。

2．实验环境

2.1 Wireshark介绍

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络资料。网络分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。

网络分析软件非常昂贵Ethereal/wireshark 开源软件的出现改变了这。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前世界最广泛的网络分析软件之一。/download.html#release下载，或者可以在其他网站下载。

注意：下载后双击执行二进制安装包即可完成wireshark的安装。安装包里包含了WinPcap，并不需要单独安装WinPcap。

3.2 查看本机的网络适配器列表

操作：单击菜单Capture中的Interfaces选项

记录下你看到的信息，并回答问题：

(1)、你机器上的网络适配器有几个？

(2)、它们的编号分别是？

(1)：

一共有五个，其中有一个以太网，一个无线网络适配器，一个蓝牙，两个本地连接的网络适配器。

答：

以太网：

Wi-Fi：

本地连接*21：

本地连接*22：

Bluetooth网络连接：

3.3 在指定网络适配器上进行监听

操作：在步骤3.2中弹出的Interfaces选项中，选择指定的网络适配器并单击start按钮

记录并解释wireshare所监听的包内容(解释两个记录即可)

答：选取编号为7和8的两条记录

NO.7：发送时间：监听后第0

源IP：08目的IP：6 协议：UDP 长度92 后面是包的信息

NO.8：发送时间：监听后第0

源IP：0 目的IP：08 协议：UDP 长度490 后面是包的信息

3.4 记录一个TCP三次握手过程

操作：在步骤3.3的基础上，单击start按钮后，打开命令行窗口并输入：telnet ，然后停止继续侦听网络信息。

在wireshark的Filter中输入表达式：

(ip.src==00 or ip.dst==00) and (tcp.dstport==23 or tcp.srcport==23)

其中00是你所在机器的IP，telnet服务是tcp协议并且其默认端口是23。

在wireshark窗口中，记下所显示的内容(可事先通过重定向的方式记录)并回答问题。

根据得到的信息解释所键入的filter定制中的参数的含义？

我的电脑本机IP地址为08，所以源地址是ip.scr==9发出第一次请求，通过tcp协议从端口23以任意一种方式发出，然后等待。

请从得到的信息中找出一个TCP 的握手过程。并用截图形式记录下来。

结合得到的信息解释TCP 握手的过程。

第一条表示本机IP=08，目标地址是37，使用TCP协议，长度为66。Seq=0，win=8192 表示SYN(SEQ=1)

3.5 一个TCP握手不成功的例子

操作：在步骤3.3的基础上，单击start按钮后，打开命令行窗口并输入：telnet 01，然后停止继续侦听网络信息。

在wireshark的Filter中输入表达式：

ip.src==00 or ip.dst==00 and (tcp.dstport==23 or tcp.srcport==23)

其中00是你所在机器的IP，telnet服务是tcp协议并且其默认端口是23。

上面的IP 01 可改为任何没有打开telnet 服务的IP。比如：可以用身边同学的IP。(注：此IP 的机器上要求没有打开telnet 服务，但要求机器是开的，否则将无法主动拒绝一个TCP 请求)

试从得到的信息中找出一个TCP 的握手不成功的过程，并用截图记录下来

ip.src==08 or ip.dst==08 and (tcp.dstport==23 or tcp.srcport==23)

并结合所得到的信息解释这个握手不成功的例子。

答：eq和ack一直没变，而且sack为1，该选项使得接收端表达已经接受到段的序列范围。总共发了三次请求，但因为对方没有打开telnet服务，握手失败

3.6 侦听网络上的ARP包

关于 ARP 的说明：IP 数据包常通过以太网发送。但以太网设备并不识别32 位IP 地址:它们