哈工大计算机网络实验三——利用 Wireshark 进行协议分析

实验内容

1. 学习Wireshark的使用
2. 利用Wireshark分析HTTP协议
3. 利用Wireshark分析TCP协议
4. 利用Wireshark分析IP协议
5. 利用Wireshark分析Ethernet数据帧
6. 利用Wireshark分析DNS协议
7. 利用Wireshark分析UDP协议
8. 利用Wireshark分析ARP协议

一、Wireshark的使用

启动Web浏览器和Wireshark，选择“capture”下拉菜单中的“Capture Options”命令，设置分组俘获的选项后，开始分组捕获。

开始分组捕获，出现分组捕获窗口：

浏览器打开http://www.hit.edu.cn，捕获并提取显示HTTP报文如下：

 二、利用Wireshark分析HTTP协议

1. HTTP GET/response 交互

1. 启动Web browser，然后启动Wireshark分组嗅探器；
2. 在窗口的显示过滤说明处输入“http”，开始Wireshark分组俘获；
3. Web browser窗口中输入地址http://hitgs.hit.edu.cn/zhxw/list.htm并跳转；
4. 停止分组俘获，得到捕获结果如下：

  

 2. HTTP 条件 GET/response 交互

1. 启动浏览器，清空浏览器的缓存。
2. 启动Wireshark分组俘获器，开始Wireshark分组俘获。
3. 在浏览器的地址栏中输入URL：http://hitgs.hit.edu.cn/zhxw/list.htm跳转并刷新。
4. 停止Wireshark分组俘获，结果如下。

  

 三、利用Wireshark分析TCP协议

1. 俘获大量的由本地主机到远程服务器的TCP分组

1. 启动浏览器，打开http://gaia.cs.umass.edu/wireshark-labs/alice.txt网页，保存ALICE'S ADVENTURES IN WONDERLAND文本到本地。
2. 打开https://gaia.cs.umass.edu/wireshark-labs/TCP-wireshark-file1.html网页，输入保存的本地文件。
3. 启动Wireshark，开始分组俘获。
4. 单击“Upload alice.txt file”按钮，将文件上传到gaia.cs.umass.edu服务器。
5. 停止俘获。

  

  2. 浏览追踪信息 

在显示筛选规则中输入“tcp”,可以看到在本地主机和服务器之间传输的一系列tcp和http报文，你应该能看到包含SYN报文的三次握手。也可以看到有主机向服务器发送的一个HTTP POST报文和一系列的“http continuation”报文。

 四、利用Wireshark分析IP协议 

 1. 通过执行traceroute 执行捕获数据包 

1. 启动Wireshark并开始数据包捕获；
2. 启动pingplotter并“Address to Trace Window”域中输入目的地址。

  

 2. 对捕获的数据包进行分析 

1. 第一个主机发出的ICMP Echo Request消息，在packet details窗口展开数据包的Internet Protocol部分。
2. 单击Source按钮对捕获的数据包按源IP地址排序。选择第一个主机发出的ICMP Echo Request消息， 在packet details窗口展开数据包的Internet Protocol部分。
3. 找到由最近的路由器（第一跳）返回主机的ICMP Time-to-live exceeded消息。
4. 单击Time列按钮对捕获的数据包按时间排序。找到在将包大小改为2000字节后主机发送的第一个ICMP Echo Request消息。
5. 找到在将包大小改为3500字节后你的主机发送的第一个ICMP Echo Request消息。

五、利用Wireshark分析ARP协议

• 利用MS-DOS命令：arp或c:\windows\system32\arp查看主机上ARP缓存的内容

• 在命令行模式下输入：ping 192.168.1.82（或其他 IP 地址）

• 启动Wireshark，开始分组俘获。

六、利用Wireshark分析UDP协议

1. 启动Wireshark，开始分组捕获；
2. 发送QQ消息给你的好友；
3. 停止Wireshark组捕获；
4. 在显示筛选规则中输入“udp”并展开数据包的细节。

七、利用Wireshark分析DNS协议

1. 打开浏览器键入：www.baidu.com；
2. 打开Wireshark，启动抓包；
3. 在控制台回车执行完毕后停止抓包，查看wireshark捕获的 DNS 报文如下。