(完整)计算机网络-实验4-利用wireshark进行协议分析

实验4：利用Wireshark进行协议分析

1、实验目的

熟悉并掌握Wireshark的基本操作，了解网络协议实体间进行交互以及报文交换的情况。

2、实验环境

➢Windows9x/NT/2000/XP/2003

➢与因特网连接的计算机网络系统

➢分组分析器Wireshark：

要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。顾名思义，一个分组嗅探器俘获（嗅探）计算机发送和接收的报文。一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。图4-1 为一个分组嗅探器的结构。

图4-1 右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：w eb 浏览器和ftp 客户端）。分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。分组俘获库（packetcapture library）接收计算机发送和接收

图4-1分组嗅探器的结构

的每一个链路层帧的拷贝。高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP 等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。图1 假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。

分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。

为此，分析器必须能够理解协议所交换的所有报文的结构。例如：我们要显示图4-1 中HTTP 协议所交换的报文的各个字段。分组分析器理解以太网帧格式，能够识别包含在帧中的IP 数据报。分组分析器也要理解IP 数据报的格式，并能从IP 数据报中提取出TCP 报文段。然后，它需要理解TCP 报文段，并能够从中提取出HTTP 消息。

最后，它需要理解HTTP 消息。

Wireshark是一种可以运行在Windows,UNIX,Linux等操作系统上的分组分析器。运行Wireshark程序时，其图形用户界面如图4-2所示。

图4-2Wireshark初始用户界面

图4-3Wireshark的用户界面

最初，各窗口中并无数据显示。在用户选择接口，点击开始抓包按钮之后，Wireshark的用户界面会变成如图4-3所示。

此时Wireshark的用户界面主要有5部分组成，如图4-3所示。

➢命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。最常用菜单命令有两个：File、Capture。File菜单允许你保存俘获的分组数据或打开一个已被保存的俘获分组数据文件或退出Wireshark程序。Capture菜单允许你开始俘获分组。

➢俘获分组列表（listing of captured packets）：按行显示已被俘获的分组内容，其中包

括：Wireshark赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名，可以使分组按指定列进行排序。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。

➢分组头部明细（details of selected packet header）：显示俘获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关的信息。单击以太网帧或IP数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。另外，如果利用TCP或UDP承载分组，Wireshark也会显示TCP或UD P协议头部信息。最后，分组最高层协议的头部字段也会显示在此窗口中。

➢分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被俘获帧的完整内容。

➢显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。

3、实验过程

1)学习Wireshark的使用

➢启动主机上的web浏览器。

➢启动Wireshark。你会看到如图4-2所示的窗口，只是窗口中没有任何分组列表。

➢开始分组俘获：选择“capture”下拉菜单中的“Capture Options”命令，会出现如图4 -3所示的“Wireshark:Capture Options”窗口，可以设置分组俘获的选项。

➢在实验中，可以使用窗口中显示的默认值。在“Wireshark:CaptureOptions”窗口（如

图4-4Wireshark的Capture Option

图4-4所示）的最上面有一个“Interface List”下拉菜单，其中显示计算机所具有的网络接口（即网卡）。当计算机具有多个活动网卡时，需要选择其中一个用来发送或

接收分组的网络接口（如某个有线接口）。随后，单击“Start”开始进行分组俘获，所有由选定网卡发送和接收的分组都将被俘获。

➢开始分组俘获后，会出现如图4-5所示的窗口。该窗口统计显示各类已俘获数据包。在该窗口的工具栏中有一个“stop”按钮，可以停止分组的俘获。但此时你最好

不要停止俘获分组。

➢在运行分组俘获的同时，在浏览器地址栏中输入某网页的URL，如：http://www. https://www.docsj.com/doc/fa19254207.html,。为显示该网页，浏览器需要连接https://www.docsj.com/doc/fa19254207.html,的服务器，并与之交换HTTP消息，以下载该网页。包含这些HTTP报文的以太网帧将被Wireshark俘获。

➢当完整的页面下载完成后，单击Wireshark菜单栏中的stop按钮，停止分组俘获。Wireshark主窗口显示已俘获的你的计算机与其他网络实体交换的所有协议报文，其中一部分就是与https://www.docsj.com/doc/fa19254207.html,服务器交换的HTTP报文。此时主窗口与图4-3相似。➢在显示筛选规则中输入“http”，单击“回车”，分组列表窗口将只显示HTTP协议报文。➢选择分组列表窗口中的第一条http报文。它应该是你的计算机发向https://www.docsj.com/doc/fa19254207.html,. cn服务器的HTTP GET报文。当你选择该报文后，以太网帧、IP数据报、TCP报文段、以及HTTP报文首部信息都将显示在分组首部子窗口中。单击分组首部详细信息子

窗口中向右和向下箭头，可以最小化帧、以太网、IP、TCP信息显示量，可以最大

化HTTP协议相关信息的显示量。

图4-5Wireshark的抓包界面

2)利用Wireshark分析HTTP协议

（1）HTTP GET/response交互

✧启动Web browser，然后启动Wireshark分组嗅探器。在窗口的显示过滤说明处输入“http”，分组列表子窗口中将只显示所俘获到的HTTP报文。

✧开始Wireshark分组俘获。

✧在打开的浏览器窗口中输入以下地址：https://www.docsj.com/doc/fa19254207.html,/news

✧停止分组俘获。

根据俘获窗口内容，思考以下问题：

✧你的浏览器运行的是HTTP1.0，还是HTTP1.1？你所访问的服务

器所运行HTTP协议的版本号是多少？

✧你的浏览器向服务器指出它能接收何种语言版本的对象？

✧你的计算机的IP地址是多少？服务器https://www.docsj.com/doc/fa19254207.html,/news

的IP地址是多少？

✧从服务器向你的浏览器返回的状态代码是多少？

（2）HTTP条件GET/response交互

✧启动浏览器，清空浏览器的缓存（在浏览器中，选择“工具”菜单

中的“Internet选项”命令，在出现的对话框中，选择“删除文件”）。

✧启动Wireshark分组俘获器。开始Wireshark分组俘获。

✧在浏览器的地址栏中输入以下URL:https://www.docsj.com/doc/fa19254207.html,/news,在

你的浏览器中重新输入相同的URL或单击浏览器中的“刷新”按

钮。

✧停止Wireshark分组俘获，在显示过滤筛选说明处输入“http”,分组

列表子窗口中将只显示所俘获到的HTTP报文。

根据俘获窗口内容，思考以下问题：

✧分析你的浏览器向服务器发出的第一个HTTP GET请求的内容，

在该请求报文中，是否有一行是：IF-MODIFIED-SINCE？

✧分析服务器响应报文的内容，服务器是否明确返回了文件的内

容？如何获知？

✧分析你的浏览器向服务器发出的较晚的“HTTP GET”请求，在该请

求报文中是否有一行是：IF-MODIFIED-SINCE？如果有，在该首

部行后面跟着的信息是什么？

✧服务器对较晚的HTTP GET请求的响应中的HTTP状态代码是多

少？服务器是否明确返回了文件的内容？请解释。

3)利用Wireshark分析TCP协议

注：访问以下网址需要设置代理服务器。如无法访问可与实验TA联系，下载tcp-Wireshark-trace文件，利用该文件进行TCP协议分析。

（1）俘获大量的由本地主机到远程服务器的TCP分组

A.启动浏览器，打开https://www.docsj.com/doc/fa19254207.html,/Wireshark-labs/alice.txt网页，得到A

LICE'S ADVENTURES IN WONDERLAND文本，将该文件保存到你的主机上。

B.打开https://www.docsj.com/doc/fa19254207.html,/Wireshark-labs/TCP-Wireshark-file1.html，如图4-6

所示，窗口如下图所示。在Browse按钮旁的文本框中输入保存在你的主机上的文件ALICE'S ADVENTURES INWONDERLAND的全名（含路径），此时不要按“U pload alice.txt file”按钮。

图4-6Wireshark-labs网页截图

C.启动Wireshark，开始分组俘获。

D.在浏览器中，单击“Upload alice.txt file”按钮，将文件上传到gaia.cs.uma

https://www.docsj.com/doc/fa19254207.html,服务器，一旦文件上传完毕，一个简短的贺词信息将显示在你的浏览器窗口中。

E.停止俘获。

（2）浏览追踪信息

在显示筛选规则中输入“tcp”,可以看到在本地主机和服务器之间传输的一系列tcp和http报文，你应该能看到包含SYN报文的三次握手。也可以看到有主机向服务器发送的一个HTTP POST报文和一系列的“http continuation”

报文。

根据操作思考以下问题：

➢向https://www.docsj.com/doc/fa19254207.html,服务器传送文件的客户端主机的IP地址和TCP端口号是多少？

➢https://www.docsj.com/doc/fa19254207.html,服务器的IP地址是多少？对这一连接，它用来发送和接收TCP报文的端口号是多少？

（3）TCP 基础

根据操作思考以下问题：

➢客户服务器之间用于初始化TCP连接的TCP SYN报文段的序号（sequen ce number）是多少？在该报文段中，是用什么来标示该报文段是SYN报文段的？

➢服务器向客户端发送的SYNACK报文段序号是多少？该报文段中，Ack nowledgement字段的值是多少？https://www.docsj.com/doc/fa19254207.html,服务器是如何决定此值的？

在该报文段中，是用什么来标示该报文段是SYNACK报文段的？

➢你能从捕获的数据包中分析出tcp三次握手过程吗？

➢包含HTTP POST命令的TCP报文段的序号是多少？

➢如果将包含HTTP POST命令的TCP报文段看作是TCP连接上的第一个

报文段，那么该TCP连接上的第六个报文段的序号是多少？是何时发送的？

该报文段所对应的ACK是何时接收的？

➢前六个TCP报文段的长度各是多少？

➢在整个跟踪过程中，接收端公示的最小的可用缓存空间是多少？限制发送端的传输以后，接收端的缓存是否仍然不够用？

➢在跟踪文件中是否有重传的报文段？进行判断的依据是什么？

➢TCP连接的throughput(bytes transferred per unit time)是多少？请写出你的计算过程。

4)利用Wireshark分析IP协议

通过分析执行traceroute程序发送和接收到的IP数据包，我们将研究IP数

据包的各个字段，并详细研究IP分片。

（1）通过执行traceroute 执行捕获数据包

为了产生一系列IP数据报，我们利用traceroute程序发送具有不同大小的

数据包给目的主机X。回顾之前ICMP实验中使用的traceroute程序，源主

机发送的第一个数据包的TTL设位1，第二个为2，第三个为3，等等。每当

路由器收到一个包，都会将其TTL值减1。这样，当第n个数据包到达了

第n个路由器时，第n个路由器发现该数据包的TTL已经过期了。根据IP协

议的规则，路由器将该数据包丢弃并将一个ICMP警告消息送回源主机。

在Windows自带的tracert命令不允许用户改变由tracert命令发送的ICM

P echo请求消息（ping消息）的大小。一个更优秀的traceroute程序是ping

plotter，下载并安装pingplotter。ICMP echo请求消息的大小可以通过下面方法在pingplotter中进行设置。Edit->Options->Packet，然后填写Packet Si ze(in bytes，default=56)域。实验步骤：

A. 启动Wireshark并开始数据包捕获

B. 启动pingplotter并“Address to Trace Window”域中输入目的地址。

在“#of times to Trace”域中输入“3”，这样就不过采集过多的数据。Edit->O ptions->Packet，将Packet Size(in bytes,default=56)域设为56，这样将发送一系列大小为56字节的包。然后按下“Trace”按钮。得到的pingplotter窗口如图4-7所示。

图4-7pingplotter窗口

A.Edit->Options->Packet，然后将Packet Size(in bytes,default=56)域改

为2000，这样将发送一系列大小为2000字节的包。然后按下“Resume”

按钮。

B. 最后，将Packet Size(in bytes,default=56)域改为3500，发送一系列大小

为3500字节的包。然后按下“Resume”按钮。

C. 停止Wireshark的分组捕获。

（2）对捕获的数据包进行分析

A.在你的捕获窗口中，应该能看到由你的主机发出的一系列ICMP Echo Request包和中间路由器返回的一系列ICMP TTL-exceeded消息。选择第一个你的主机发出的

图4-8Wrieshark窗口

ICMP Echo Request消息，在packet details窗口展开数据包的Internet Protocol部分，如图4-8所示。

思考下列问题：

➢你主机的IP地址是什么？

➢在IP数据包头中，上层协议（upper layer）字段的值是什么？

➢IP头有多少字节？该IP数据包的净载为多少字节？并解释你是怎样确定

➢该IP数据包的净载大小的？

➢该IP数据包分片了吗？解释你是如何确定该P数据包是否进行了分片

B.单击Source列按钮，这样将对捕获的数据包按源IP地址排序。选择第一个你的主机发出的ICMP Echo Request消息，在packet details窗口展开数据包的Internet Protocol 部分。在“listing of captured packets”窗口，你会看到许多后续的ICMP消息（或许还有你主机上运行的其他协议的数据包）

思考下列问题：

➢你主机发出的一系列ICMP消息中IP数据报中哪些字段总是发生改变？

➢哪些字段必须保持常量？哪些字段必须改变？为什么？

➢描述你看到的IP数据包Identification字段值的形式。

C.找到由最近的路由器（第一跳）返回给你主机的ICMP

Time-to-live exceeded消息。

思考下列问题：

➢Identification字段和TTL字段的值是什么？

➢最近的路由器（第一跳）返回给你主机的ICMP Time-to-liveexceeded 消息中这些值是否保持不变？为什么？

D.单击Time列按钮，这样将对捕获的数据包按时间排序。找到在将包大小改为2000字节后你的主机发送的第一个ICMP Echo Request消息。

思考下列问题：

➢该消息是否被分解成不止一个IP数据报？

➢观察第一个IP分片，IP头部的哪些信息表明数据包被进行了分片？IP头部的哪些信息表明数据包是第一个而不是最后一个分片？该分片的长度是多少

C.找到在将包大小改为3500字节后你的主机发送的第一个ICMP

Echo Request消息。

思考下列问题：

➢原始数据包被分成了多少片？

➢这些分片中IP数据报头部哪些字段发生了变化？

4、实验过程

1)学习Wireshark的使用

2)利用Wireshark分析HTTP协议

1.HTTP GET/response 交互：

IP为172.17.150.171，服务器IP为219.217.227.106

TCP头部：

HTTP报文：HTTP1.1，zh-CN表明接受中文

而服务器的报文中，源IP与目的IP与客户端恰好相反：

服务器的协议版本为HTTP1.1,，返回状态代码为200 OK

2.HTTP 条件GET/response 交互

第一个HTTP-GET请求的内容中，并没有IF-MODIFIED-SINCE

第一次回复报文，服务器返回文件内容：

第二次发请求时，出现了IF-MODIFIED-SINCE

第二次回复报文时，服务器告知浏览器可在缓存中查找文件：

3)利用Wireshark分析TCP协议

三次握手，可知，客户端主机的IP地址为128.119.245.12，TCP端口号为60；服务器的IP 地址是172.17.150.171，⽤用来发送和接受TCP报文的TCP端口号为1514：

Seq=0，通过设置TCP头部的flags字段的SYN标志位来标示：

SYN ACK报文段序号是0，Acknowledgment字段的值是1（服务器收到客户端发来的SYN 报文，此报文消耗1个序列号，因此服务器回复下⼀一个期望得到的序列号为1）。通过标记TCP头的flags字段的SYN标志位来标示的：

三次握手过程：

含POST 的TCP报文段的序号：

接受端公示的最小可用缓存空间大小为：

由于窗口大小一直增加，所以缓存够用。

TCP链接的throughput为：

可知头部为54B，共106个包，故106*54B=5724B

由上图可知，总传送数据为：152935B+5724B=158659B 初始时间与结束时间间隔约为1.673847s

故：158659B/1.673847s=94787B/s≈94.8KBps

4)利用Wireshark分析IP协议

主机的IP地址为：172.17.150.171

上层协议的字段值为：01

wireshark分析tcp协议

WireShark分析TCP协议 韩承昊3172700 摘要： 利用wireshark分析TCP协议的报文，和其基本行为，包括三 次握手，中间信息的交互，和最后的断开连接。其中通过中间信息的交互，可以看出TCP的累积式确认。 一：基本TCP报文分析 我们来看一个简单的TCP报文，现在蓝字选中的是源端口号，

我们可以看到在这个报文中是14065，下面对应的是相应的二进制代码，我们可以看到的确是16bit。紧随其后的16bit就是目的端口号。 下面是序号，Sequence number: 1169。接下来的32bit是确认号，Acknowledgement number: 19353。再后面是首部长度，Header length: 20 bytes，和未用的3bit数据。 0= Urgent:Not set，1=Acknowledgement: set，0= Push:Not set，0= Reset:Not set，0= Syn:Not set，0= Fin:Not set，这些表示的是一些标识位，是URG紧急标识，ACK确认标识，PSH推送标识，RST、SYN、FIN用于建立和结束连接。window size value：65535 表示接收窗口。 二：三次握手分析 三次握手的第一步，客户机端会向服务器端发送一个特殊的TCP报文段，这个报文段的SYN被置为1，并会发送一个起始序号seq。

我们看到SYN为1，且Sequence number=0，这样，面对这样的请求报文段，服务器听该返回一个SYN=1，返回自己的初始seq，并且要求主机发送下一个报文段的序号，ack=1。下面是服务端实际返回的报文。 正如我们所期待的那样，服务器返回了自己的seq=0，并且要求主机端发送下一个报文段，并且SYN=1。这样主机端就应该返回seq=1，ack=1，要求服务端发送下一个报文，并且SYN=0，结束建立连接阶段，结束三次握手。

电脑网络协议分析Wireshark的使用和网络故障排查

电脑网络协议分析Wireshark的使用和网络 故障排查 在当今数字化的时代，计算机和互联网已经成为我们生活中不可或缺的一部分。而网络协议作为计算机之间通信的基础，是确保数据安全和高效传输的重要手段之一。本文将介绍一个方便实用的网络协议分析工具——Wireshark，并探讨如何使用它进行网络故障排查。 一、Wireshark简介 Wireshark是一个开源的网络协议分析工具，它能够截获网络数据包并将其详细解码显示。作为专业的协议分析工具，Wireshark被广泛用于网络管理、网络安全和网络故障排查等领域。 二、Wireshark的安装 要使用Wireshark，首先需要从其官方网站下载并安装软件。Wireshark支持多种操作系统，如Windows、Linux和Mac OS。安装完毕后，打开Wireshark，你将看到一个直观且用户友好的图形界面。 三、Wireshark的基本功能 1. 数据包截获：Wireshark可以通过选择特定的网络接口来截获数据包。用户只需点击“开始捕获”按钮，Wireshark将开始监听并显示所有经过网络接口的数据包。

2. 数据包过滤：Wireshark提供了灵活强大的过滤功能，可以根据协议、源IP地址、目的IP地址、端口号等条件进行数据包筛选。这样可以帮助用户快速定位感兴趣的数据包。 3. 数据包分析：Wireshark可以对截获的数据包进行深入的分析。通过解码数据包中的各个字段，Wireshark能够显示数据包的源地址、目的地址、使用的协议、传输的数据等详细信息。 四、Wireshark的使用场景 1. 网络故障排查：当网络出现延迟、丢包或连接问题时，Wireshark 可以帮助我们分析网络流量并找出潜在的故障原因。通过观察数据包的发送和接收情况，我们可以判断是否存在网络拥塞、路由异常等问题。 2. 网络安全分析：Wireshark可以截获网络流量中的数据包，并对其进行详细解码显示。这为网络安全分析师提供了一个有力的工具，可以帮助他们检测和分析网络攻击、恶意软件传播等问题。 3. 网络性能优化：通过使用Wireshark，我们可以监控网络流量并分析其性能。Wireshark能够快速识别网络中的瓶颈，帮助我们找出导致网络拥堵或延迟的原因，并采取相应的优化措施。 五、Wireshark的局限性 尽管Wireshark是一款功能强大的网络协议分析工具，但它也有一些局限性。首先，Wireshark依赖于截获的数据包，如果没有足够的数

实验：利用Wireshark分析ICMP协议

实验利用Wireshark分析ICMP协议 一、实验目的 分析ICMP协议 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、协议简介 ICMP全称Internet Control Message Protocol，中文名为因特网控制报文协议。它工作在OSI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。 网络本身是不可靠的，在网络传输过程中，可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议，它不会处理网络层传输中的故障，而位于网络层的ICMP协议却恰好弥补了IP的缺限，它使用IP协议进行信息传递，向数据包中的源端节点提供发生在网络层的错误信息反馈。 ICMP的报头长8字节，结构如图1所示。 比特0 7 8 15 16 比特31 （图1 ICMP报头结构） ●类型：标识生成的错误报文，它是ICMP报文中的第一个字段； ●代码：进一步地限定生成ICMP报文。该字段用来查找产生错误的原因； ●校验和：存储了ICMP所使用的校验和值。 ●未使用：保留字段，供将来使用，起值设为0 ●数据：包含了所有接受到的数据报的IP报头。还包含IP数据报中前8个字节的数据； ICMP协议提供的诊断报文类型如表1所示。

（表1 ICMP诊断报文类型） ICMP提供多种类型的消息为源端节点提供网络层的故障信息反馈，它的报文类型可以归纳为以下5个大类： ●诊断报文（类型8，代码0；类型0，代码0）； ●目的不可达报文（类型3，代码0-15）； ●重定向报文（类型5，代码0-4）； ●超时报文（类型11，代码0-1）； ●信息报文（类型12-18）。 Ping 命令只有在安装了TCP/IP 协议之后才可以使用，其命令格式如下： ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]] [-w timeout] target_name 这里对实验中可能用到的参数解释如下： -t ：用户所在主机不断向目标主机发送回送请求报文，直到用户中断； -n count：指定要Ping 多少次，具体次数由后面的count 来指定，缺省值为4； -l size：指定发送到目标主机的数据包的大小，默认为32 字节，最大值是65,527； -w timeout：指定超时间隔，单位为毫秒； target_name：指定要ping 的远程计算机。 Ping和traceroute命令都依赖于ICMP。ICMP可以看作是IP协议的伴随协议。ICMP报文被封装在IP 数据报发送。 一些ICMP报文会请求信息。例如：在ping中，一个ICMP回应请求报文被发送给远程主机。如果对方主机存在，期望它们返回一个ICMP回应应答报文。 一些ICMP报文在网络层发生错误时发送。例如，有一种ICMP报文类型表示目的不可达。造成不可达的原因很多，ICMP报文试图确定这一问题。例如，可能是主机关及或整个网络连接断开。 有时候，主机本身可能没有问题，但不能发送数据报。例如IP首部有个协议字段，它指明了什么协议应该处理IP数据报中的数据部分。IANA公布了代表协议的数字的列表。

计算机网络实验

计算机网络实验 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

试验一 利用wireshark抓包工具抓包 一、实验名称 使用网络协议分析仪 Wireshark 二、实验目的 1. 掌握安装和配置网络协议分析仪Wireshark的方法； 2. 熟悉使用Wireshark工具分析网络协议的基本方法，加深对协议格式、协议层次和协议交互过程的理解。 三、实验内容和要求 1. 安装和配置Wireshark的网络协议分析仪，下载地址。 2. 使用并熟悉Wireshark分析协议的部分功能。 四、实验环境 1．Windows7 操作系统PC机器。 机器具有以太网卡一块，通过双绞线与局域网连接。 软件。 五、操作方法与实验步骤 1：安装网络协议分析仪，从官网下载exe软件双击安装。 2：启用Wireshark进行试验。

：启动初始如下显示： ：分组捕获数据，并将捕获的数据保存为文件抓包实验数据.pcapng，当再次需要捕获时，可以打开文件在进行实验抓包。 ：对数据进行协议分析。 在上部“俘获分组的列表”窗口中，有编号(No)、时间(Time)、源地址(Source)、目的地址(Destination)、协议(Protocol)、长度(Length)和信息(Info)等列(栏目)，各列下方依次排列着俘获的分组。中部“所选分组首部的细节信息”窗口给出选中帧的首部详细内容。下部“分组内容”窗口中是对应所选分组以十六进制数和 ASCII 形式的内容。 无线网连接抓包实验数据如下图1 本地连接网页抓包实验数据如下图2 图 1 图 2 六、实验数据记录和结果分析 1：网络抓包实验获取的数据如下图3 图 3 2：使用过滤器过滤数据比如以下图4中的Time=4 作为过滤条件，可以将图2过滤为图三，如果你需要符合某些条件的数据，这种方案可以分

wireshark抓包实验机协议分析[1].doc

Wireshark抓包及分析实验 学生姓名： 学号：___________________ 任务分配日期：______________ 课程名称：计算机组网技术 WireShark实验报告: 用Wireshark完成计算机网络协议分析 报告开始时间: __________ 报告截至日期: ______________

一．实验的目的 本次实验的目的就是要学会wireshark抓包软件的基本使用方法，wireshark抓包的基本过程，以及对所抓到的数据包进行详细的分析并能很好的李杰一些基本的数据的含义。能达到对网络数据的基本的监控和查询的能力。 实验一802.3协议分析和以太网 （一）实验目的 1、分析802.3协议 2、熟悉以太网帧的格式、了解ARP、ICMP、IP数据包格式 实验步骤： 1、捕获并分析以太帧 （1）清空浏览器缓存（在IE窗口中，选择“工具/Internet选项/删除文件”命令）。如下图 （2）启动WireShark，开始分组捕获。 （3）在浏览器的地址栏中输入： https://www.docsj.com/doc/fa19254207.html,/ 浏览器将显示华科大主页。如下图所示：

（4）停止分组捕获。首先，找到你的主机向服务器https://www.docsj.com/doc/fa19254207.html,发送的HTTP GET消息的Segment序号，以及服务器发送到你主机上的HTTP 响应消息的序号。 http的segement段序号是47 45 54如下图： 由下图可以得到服务器发送到我主机上的http响应消息的序号是： 由上图可知为44 ：

1、你的主机的48位以太网地址(MAC地址)是多少？ 我的主机的mac地址是： 2、目标MAC地址是https://www.docsj.com/doc/fa19254207.html,服务器的MAC地址吗？如果不是，该地址是什么设备的MAC地址？ 不是https://www.docsj.com/doc/fa19254207.html,服务器的MAC地址；该地址是网关的地址。 3、给出Frame头部Type字段(2字节)的十六进制值。 十六进制的值是08 00如图所示： 4、在包含“HTTP GET”的以太网帧中，字符“G”的位置(是第几个字节，假设Frame头部第一个字节的顺序为1)？ 如果frame得头部为顺序1，则“G”的位置为67。如下图所示： 5、以太Frame的源MAC地址是多少？该地址是你主机的MAC地址吗？是https://www.docsj.com/doc/fa19254207.html,服务器的MAC地址吗？如果不是，该地址是什么设备的MAC 地址？ 由上图可以得到：源mac地址为：00:1a:a9:1c:07:19该mac地址既不是我主机的mac地址也不是web服务器的mac地址，他是网关地址。 Frame的源地址是 6、以太网帧的目的MAC地址是多少？该地址是你主机的地址吗？

计算机网络原理与技术实验教程-参考答案-实验报告

声明：每个实验都有与之对应的数据包，表格的数据都是分析数据包填上的，由于姜腊林老师只是批阅没有给我们批改，所以会有很多错的地方没改和不懂的地方没有写。这真的仅 仅是参考而已。 实验1.1 Wireshart的使用实验 一、实验目的：掌握协议分析软件Wireshark的使用。 二、实验设备：电脑、Wireshart抓包工具 三、实验内容：运行Wireshark程序，启动界面点击start按钮，进入Wireshark 主窗口。主窗口包含了捕获和分析包相关的操作。 四、实验步骤：（1）启动Wireshark。 （2）开始分组捕获。 （3）保存抓包文件。 （4）分析抓包文件。 五、实验结果分析 （1）、Wireshark主窗口包含那几个窗口？说明这些窗口的作用。 菜单栏：菜单栏通常用来启动Wireshark有关操作，例如File. 工具栏：工具栏提供菜单中常用项目的快速访问。 过滤器栏：过滤器栏提供一个路径，来直接控制当前所用的显示过 滤器。 包列表窗口：包列表窗口显示当前捕获的全部包的摘要。包列表的 每一行对应一个包，不同包有不同的颜色。如果选择了 某行，则更详细的信息显示在保协议窗口和包字节数据 窗口中，在包列表窗口中的每一行代表捕获的一个包， 每个包的摘要信息包括： a、No：包文件中包的编号。 b、T ime：包的时间擢，即捕获该包的时间，该时间戳 的实际格式可以改变。 c、Source：包的源地址。

d、D estination：包的目标地址。 e、Length：该数据包的长度。 f、Info：包内容的附加信息。 包协议窗口：包协议窗口以更详细的格式显示从包列表窗口选中的 协议和协议字段。包的协议和字段用树型格式显示， 可以扩展和收缩。这是一种可用的上下文菜单，单机 每行前的“+”就可以展开为以“—”开头的若干行， 单击“—”又可以收缩。 包字节（十六进制数据窗口）：包字节窗口以十六进制形式显示出 从包列表窗格中选定的当前包的数据，并以高亮度 显示在包协议窗口中选择字段。在常用的十六进制 区内，左边的十六进制数据表示偏移量，中部为相 应的十六进制包数据，右边对应的ASCII字符。 状态栏：状态栏显示当前程序状态和捕获数据的信息。通常其左边 显示相关信息的状态，右边显示捕获包的数目及百 分比和丢弃包的数目及百分比。 （2）区别：显示过滤器用来在捕获的记录中找到所需要的记录。包捕获过滤器用来过滤捕获的封包以免捕获太多的记录。 （3）包列表窗口选择一个TCP包（第4行），展开包协议窗口，将包协议窗口对应内容填入下表：

Wireshark抓包工具计算机网络实验详解

Wireshark抓包工具计算机网络实验详解 在计算机网络实验中，Wireshark是一款重要的工具，它可以通过抓包获取网 络数据流，并通过解析包来进行网络分析。本文将详细介绍Wireshark的使用、 抓包过程中需要注意的事项以及Wireshark的应用。 Wireshark的基本使用 Wireshark是一款开源的网络协议分析软件，适用于Windows、Linux和OS X 等操作系统。使用Wireshark可以捕获和分析网络数据流，以便进行故障排查、 安全审计、协议开发等工作。 使用Wireshark进行网络数据流的捕获和分析，首先需要进行软件的安装。安 装过程比较简单，只需按照界面提示一步一步进行即可。 安装完成后，启动Wireshark软件，在主界面中可以看到所有网络接口的列表。选择要捕获的网络接口，并点击“Start”按钮开始抓包。此时Wireshark就会开始接收该网络接口上的所有数据包，将其以列表的形式显示出来。 对于列表中的每个数据包，Wireshark都会对其进行分析，并按照协议类型、 源地址、目标地址等属性进行分类和显示。用户可以通过点击每个数据包来查看其详细信息。 除了捕获和分析数据包外，Wireshark还支持各种过滤、搜索和统计功能，以 帮助用户更快速地定位目标数据。 抓包过程中需要注意的事项 在进行网络数据流的捕获和分析时，需要注意以下几点事项： 选择正确的网络接口 在Wireshark中选择要进行抓包的网络接口时，需要选择正确的接口。如果选 择错误的接口，可能会无法捕获目标数据流。 设置正确的捕获过滤器 在Wireshark中设置捕获过滤器可以减少不必要的数据捕获，从而提高网络数 据分析效率。设置过滤器时需要注意过滤表达式的正确性和完整性。 避免过多的数据包捕获 在进行网络数据流的捕获时，应避免捕获过多的数据包，否则可能会导致Wireshark无法处理，或者分析结果不准确。

(完整)计算机网络-实验4-利用wireshark进行协议分析

实验4：利用Wireshark进行协议分析 1、实验目的 熟悉并掌握Wireshark的基本操作，了解网络协议实体间进行交互以及报文交换的情况。 2、实验环境 ➢Windows9x/NT/2000/XP/2003 ➢与因特网连接的计算机网络系统 ➢分组分析器Wireshark： 要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。顾名思义，一个分组嗅探器俘获（嗅探）计算机发送和接收的报文。一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。图4-1 为一个分组嗅探器的结构。 图4-1 右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：w eb 浏览器和ftp 客户端）。分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。分组俘获库（packetcapture library）接收计算机发送和接收 图4-1分组嗅探器的结构 的每一个链路层帧的拷贝。高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP 等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。图1 假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。 分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。 为此，分析器必须能够理解协议所交换的所有报文的结构。例如：我们要显示图4-1 中HTTP 协议所交换的报文的各个字段。分组分析器理解以太网帧格式，能够识别包含在帧中的IP 数据报。分组分析器也要理解IP 数据报的格式，并能从IP 数据报中提取出TCP 报文段。然后，它需要理解TCP 报文段，并能够从中提取出HTTP 消息。 最后，它需要理解HTTP 消息。

实验使用Wireshark分析UDP

实验使用W i r e s h a r k 分析U D P IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

实验六使用W i r e s h a r k分析U D P 一、实验目的 比较TCP和UDP协议的不同 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 1、打开两次TCP流的有关跟踪记录，保存在中，并打开两次UDP流中的有关跟踪文件。如图所示： 图1：TCP 流跟踪记录 图2：UDP流跟踪记录 2、分析此数据包： （1）TCP传输的正常数据： 文件的分组1到13中显示了TCP连接。这个流中的大部分信息与前面的实验相同。我们在分组1到分组3中看到了打开连接的三次握手。分组10到分组13显示的则是连接的终止。我们看到分组10既是一个带有FIN标志的请求终止连接的分组，又是一个最后1080个字节的（序号是3921—5000）的重传。 TCP将应用程序写入合并到一个字节流中。它并不会尝试维持原有应用程序写人的边界值。我们注意到TCP并不会在单个分组中传送1000字节的应用程序写入。前1000个字节会在分组4种被发送，而分组5则包含了1460个字节的数据-----一些来自第二个缓冲区，而另一些来自第三个缓冲区。分组7中含有1460个字节而分组8中 则包含剩余的1080个字节。（5000-0=1080）

我们注意到实际报告上的秒是从初始化连接的分组1开始到关闭连接的分组10结束。分组11—13未必要计入接收端应用程序的时间内，因为一旦接收到第一个FIN，TCP层便马上发送一个关闭连接的信号。分组11—13只可能由每台计算机操作系统得TCP层后台传输。 如果我们注意到第一个包含数据的分组4和最后一个分组8之间的时间，我们就大约计算出和由UDP接收端所报告的秒相同的时间。这样的话，增加TCP传输时间的主要原因就是分组10中的重传。公平的说，UDP是幸运的，因为它所有的分组都在第一时间被接受了。 在这个跟踪文件中，另一个值得注意的是没有包含数据的分组的数量。所有来自接收端的分组和几个来自发送端的分组只包含了TCP报文段的首部。总的来说（包括重传）一共发送了6822个字节来支持5000个字节的数据传输。这个开销正好36﹪。 (2)UDP正常数据传输 现在我们来观察UDP流，在udp 文件的分组1到分组11中显示。虽然像TCP流那样传输了相同的数据，但是在这个跟踪文件中还是很多的不同。 和TCP不同，UDP是一个无连接的传输协议。TCP用SYN分组和SYN ACK分组来显示地打开一个连接，而UDP却直接开始发送包含数据的分组。同样，TCP用FIN分组和FIN ACK分组来显示地关闭一个连接，而UDP却只简单地停止包含数据的分组的传输。 为了解决这个问题，在文件俘获的分组中，采取的办法是ttcp发送端发送一个只包含4个字节的特殊UDP 数据报来模拟连接建立和连接终止。在发送任何数据之前，发送端总是发送一个只包含4个字节的特殊数据报（分组1），而在发送完所有的数据之后，发送端又发送额外的5个分组（分组7-11）。

计算机网络实验利用wireshark分析ARP协议

信 息 网 络 技 术 实 验 报 告 实验名称利用wireshark 分

析ARP协议

实验编号 姓名 学号 成绩 常见网络协议分析实验 实验室名称： 电子政务可视化再现实验室 二、实验项目名称： 利用wireshark 分析ARP协议 三、实验原理： Wireshark:Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试获

取网络包，并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。 当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48bit 的以太网地址来确定目的接口的. 设备驱动程序从不检查IP 数据报中的目的IP 地址。地址解析为这两种不同的地址形式提供映射：32bit 的IP 地址和数据链路层使用的任何类型的地址。 ARP根据IP 地址获取物理地址的一个TCP/IP 协议。ARP为IP 地址到对应的硬件地址之间提供动态映射。主机发送信息时将包含目标IP 地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP 地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP 缓存。 四、实验目的： 目的是通过实验加深对数据包的认识，网络信息传输过程的理解，加深对协议的理解，并了解协议的结构与区别。 利用wireshark 捕获发生在ping 过程中的ARP报文，加强对ARP协议的理解，掌握ARP报文格式，掌握ARP请求报文和应答报文的区别。 五、实验内容： 利用wireshark 分析ARP协议 六、实验器材（设备、元器件） 运行Windows 的计算机，带有并正确安装网卡；wireshark 软件；具备路由器、交换机等网络设备的网络连接。 七、实验步骤： 1 、查看本机WLAN接口IP ，得到。 2 、利用arp –a 命令在本地的ARP 缓存中查看IP-MAC对应表。 3、找到与接口，有过连接的IP ，本实验选择。

wireshark实验报告

wireshark实验报告 Wireshark实验报告 Wireshark是一个非常强大的网络协议分析工具，它可以帮助我们监控和分析网络上的数据包，从而深入了解网络通信的细节。在本次实验中，我们使用Wireshark来分析一个简单的网络通信场景，并进行一些实验来了解它的功能和用途。 实验一：捕获数据包 首先，我们打开Wireshark并选择要监控的网络接口，然后开始捕获数据包。 在捕获过程中，我们可以看到不断出现的数据包，它们包含了网络通信中的各 种信息，如源地址、目标地址、协议类型等。通过Wireshark的过滤功能，我 们可以只显示特定协议的数据包，从而更方便地进行分析。 实验二：分析HTTP通信 接下来，我们模拟了一个简单的HTTP通信场景，比如在浏览器中访问一个网页。通过Wireshark捕获到的数据包，我们可以看到HTTP请求和响应的细节，包括请求头、响应头、数据内容等。通过分析这些数据包，我们可以了解HTTP 通信的工作原理，以及了解网页加载过程中的各种细节。 实验三：检测网络异常 最后，我们模拟了一个网络异常的场景，比如断开网络连接或者遭遇网络攻击。通过Wireshark捕获到的数据包，我们可以看到异常情况下的网络通信情况， 从而及时发现问题并进行处理。Wireshark的强大过滤功能可以帮助我们快速定位异常数据包，以便更快地解决网络问题。 通过以上实验，我们对Wireshark的功能和用途有了更深入的了解。它不仅可

以帮助我们监控网络通信，还可以帮助我们分析网络问题、学习网络协议等。在今后的网络工作中，Wireshark将成为我们不可或缺的利器，帮助我们更好地理解和管理网络通信。

用Wireshark进行UDP协议分析

TCP/IP 实验报告实验2 用Wireshark进行UDP协议分析 学院计算机学院 专业网络工程 班级1班 姓名刘小芳 学号41009040127 2012． 5

2.1实验性质 本实验为操作分析性实验。 2.2 实验目的 1. 掌握Wireshark软件的基本使用方法。 2. 掌握基本的网络协议分析方法。 3. 使用Wireshark抓包工具，分析UDP数据报的格式。 4. 加深理解UDP协议的原理及其工作过程。 1.3 实验环境 1. 硬件环境：PC机1台。 2. 网络环境：PC机接入LAN或Internet。 物理地址：00-E0-4C-00-16-78 Ip地址：192.168.0.131 3. 软件环境：Windows操作系统和Wireshark软件。1.4 实验学时 2学时（90分钟）。 1.5 实验内容与要求 1.5.1 启动Wireshark协议分析工具 1.5.2 抓取UDP数据包

1.5.3分析UDP报文 answer the question. 1. Select one packet. From this packet, determine how many fields there are in the UDP header. (Do not look in the textbook! Answer these questions directly from what you observe in the packet trace.) Name these fields. 2. From the packet content field, determine the length (in bytes) of each of the UDP header fields. 3. The value in the Length field is the length of what? Verify your claim with your captured UDP packet. 4. What is the maximum number of bytes that can be included in a UDP payload? 5. What is the largest possible source port number? 6. What is the protocol number for UDP? Give your answer in both hexadecimal and decimal notation. (To answer this question, you’ll need to look into the IP header.) 7. Search “UDP” in Google and determine the fields over which the UDP checksum is calculated. 8. Examine a pair of UDP packets in which the first packet is sent by your host and the second packet is a reply to the first packet. Describe the relationship between the port numbers in the two packets. Extra Credit 1. Capture a small UDP packet. Manually verify the checksum in this packet. Show all work and explain all steps 1 1.6 实验总结 [ 通过对IP报文的分析，总结IP协议的工作原理。]

利用Wireshark分析DNS协议

实验七利用Wireshark分析DNS协议 一、实验目的 分析DNS协议 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 nslookup工具允许运行该工具的主机向指定的DNS服务器查询某个DNS记录。如果没有指明DNS服务器，nslookup将把查询请求发向默认的DNS服务器。其命令的一般格式是：(请在实验中将该例中的https://www.docsj.com/doc/fa19254207.html,改为https://www.docsj.com/doc/fa19254207.html,,https://www.docsj.com/doc/fa19254207.html, 改为https://www.docsj.com/doc/fa19254207.html,并写到实验报告中！) nslookup –option1 –option2 host-to-find dns-server 1、打开命令提示符（Command Prompt），输入nslookup命令。

图中显示三条命令，第一条命令：nslookup www.tu https://www.docsj.com/doc/fa19254207.html, “提出一个问题” 即：“将主机https://www.docsj.com/doc/fa19254207.html,的IP地址告诉我”。屏幕上出现了两条信息：（1）“回答这一问题”DNS服务器的名字和IP地址；（2）https://www.docsj.com/doc/fa19254207.html,主机名字和IP地址。 第二条命令：nslookup –type=NS https://www.docsj.com/doc/fa19254207.html, 在这个例子中，我们提供了选项“-type=NS”，域为https://www.docsj.com/doc/fa19254207.html,。执行这条命令后，屏幕上显示了DNS服务器的名字和地址。接着下面是三个TUST DNS服务器，每一个服务器是TUST校园里缺省的DNS服务器。 第三条命令：nslookup https://www.docsj.com/doc/fa19254207.html, https://www.docsj.com/doc/fa19254207.html, 在这个例子中，我们请求返回https://www.docsj.com/doc/fa19254207.html, DNS server 而不是默认的DNS服

计算机网络实验-使用Wireshark分析以太网帧与ARP协议

实验 4 使用分析以太网帧与协议 一、实验目的 分析以太网帧，地址和协议 二、实验环境 与因特网连接的计算机网络系统；主机操作系统为；使用、等软件。 三、实验步骤： 地址用于标识因特网上每台主机，而端口号则用于区别在同一台主机上运行 的不同网络应用程序。在链路层，有介质访问控制（）地址。在局域网中，每个网络设备必须有唯一的地址。设备监听共享通信介质以获取目标地址与自己相匹配的分组。 能把地址的组织标识转化为代表生产商的字符串，例如， 00:06:53:4d:1a 也能以3:4d:1a 显示，因为组织唯一标识符00:06:5b 属于。地址是一个特殊的地址，意味着数据应该广播到局域网的所有设备。 在因特网上，地址用于主机间通信，无论它们是否属于同一局域网。同一局域网间主机间数据传输前，发送方首先要把目的地址转换成对应的地址。这通过地址解析协议实现。每台主机以高速缓存形式维护一张已知分组就放在链路层帧的数据部分，而帧的目的地址将被设置为高速缓存中找到的地址。如果没有发现地址的转换项，那么本机将广播一个报文，要求具有此地址的主机用它的地址作出响应。具有该地址的主机直接应答请求方，并且把新的映射项填入高速缓存。 发送分组到本地网外的主机，需要跨越一组独立的本地网，这些本地网通过称为网关或路由器的中间机器连接。网关有多个网络接口卡，用它们同时连接多个本地网。最初的发送者或源主机直接通过本地网发送数据到本地网关，网关转发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。 1、俘获和分析以太网帧 （1）选择工具->选项->删除文件 （2）启动分组嗅探器 （3）在浏览器地址栏中输入如下网址： 会出现实验室主页。

利用wireshark分析HTTP协议

利用wireshark分析HTTP协议 HTTP协议是一种为了Web浏览器和Web服务器之间进行通信而设计的协议。它定义了客户端和服务器之间传输数据的规则、格式和约定。本文将利用Wireshark来分析HTTP协议的工作原理和数据传输过程。 Wireshark是一款流行的网络协议分析工具，它可以捕获网络数据包并进行详细的分析。为了分析HTTP协议，我们需要在Wireshark中设置过滤器来捕获HTTP数据包。 当我们在浏览器中输入网址并按下回车键时，浏览器将发送一系列HTTP请求到服务器。通过Wireshark捕获的数据包，我们可以看到每个请求的详细信息。 HTTP请求由几个部分组成，包括请求行、请求头和请求体。请求行包括请求方法（GET、POST等）、请求的URL和使用的协议版本。请求头包括一些额外的信息如Host、User-Agent、Accept等。请求体根据请求的类型可能包含数据。 在Wireshark的捕获结果中，我们可以看到每个HTTP请求的详细信息，包括请求方法、URL、协议版本和请求头字段。通过查看这些信息，我们可以了解每个请求的具体内容和目的。 对于HTTP响应，它包含了服务器返回给客户端的数据。响应也由几个部分组成，包括响应状态行、响应头和响应体。响应状态行包括协议版本、状态码和状态描述。响应头包括一些额外的信息如Server、Content-Type、Content-Length等。响应体包含实际的数据。

通过Wireshark，我们可以查看每个HTTP响应的详细信息，包括协 议版本、状态码、状态描述和响应头字段。我们还可以通过查看响应体来 获取服务器返回的实际数据。 在Wireshark的捕获结果中，我们可以看到HTTP请求和响应之间的 往返，也就是请求和响应的交互过程。通过查看每个数据包的时间戳，我 们可以估计出数据传输的延迟和效率。 此外，通过Wireshark还可以分析HTTP协议的性能和安全性。例如，我们可以查看HTTP请求和响应的大小、延迟和性能指标。我们还可以查 看是否有不安全的HTTP连接，如明文传输的用户凭证或敏感数据。 总结来说，利用Wireshark分析HTTP协议可以让我们更好地了解数 据传输过程和性能，帮助我们识别和解决网络问题。在分析过程中，我们 可以查看每个HTTP请求和响应的详细信息，包括请求行、请求头、请求体、响应状态行、响应头和响应体。通过分析这些信息，我们可以深入了 解HTTP协议的工作原理和数据传输过程。

Wireshark抓包分析TCP协议

Wireshark抓包分析TCP协议 之前一直听别人说Wireshark这个抓包软件，Leelom也跟我提过说面试的时候会问这些东西。今天呢，参考别人的博文，结合抓包，将TCP/IP协议进行一些浅显的分析。 1. HTTP协议 基本特征 更加具体的说明需要重新写一篇博客来看。参考 基础认知 TCP（Transmission Control Protocol，传输控制协议）是面向连接的、可靠的、基于字节流的在传输层上的通信协议。这里想一下UDP，是无连接的、不可靠的（所以就像之前提到的一样，无连接的快节省时间，不用连接建立的时间）。 TCP/IP の 4层模型 数据包封装情况 TCP/IP分层结构 跟OSI(Open System Interconnection)分7层不同。如上面的图中，TCP/IP 协议下分为4层：应用层、传输层、网络层、数据链路层。 •应用层：向用户提供常用的应用程序。比如电子邮件、文件传输、远程登录等。TELNET 会话提供了基于字符的虚拟终端，FTP使用 FTP协议来提供 网络内机器间的文件拷贝功能。 •传输层：传输层提供两台主机之间端到端的通信。所谓的TCP/UDP协议就是跑在这一层。 •网络层：处理分组在网络中的活动。可以理解为IP路由这些。 •链路层：链路层负责处理下层物理层的物理接口细节。主要目的有： \ 1. 为上层IP模块接收和发送IP数据报 \ 2. 为ARP模块发送请求和完成接收 \ 3. 为RARP模块。。 层级功能图 封装 封装这个事情就好像寄快递一样。之前上计网课那个张洪涛就是这么举例子的。 报文封装

注意上图中的 appl 首部是说 application 层首部的意思。按照上图一层层封装，直到经过以太网封装之后，就要通过网线或者其他的传输介质将此封装好的报文发送到另一端去。另一端收到之后再一层层的把封装头剥离，最终拿到用户数据。这里我们要明白一点就是上层对下层不负责，下层对上层隐身。 TCP/IP 这里可以做这样的一个理解，就是TCP/IP协议是说二者协同一起工作。其中TCP 负责应用软件（浏览器）和网络软件之间的通信，IP负责计算机之间的通信（路由）。 TCP负责将数据分隔并装入IP包，并接收时组合，IP负责把包发给接受者。 TCP报文格式 TCP报文格式图 首先启动wireshark，然后选择要抓取的网络端口进行抓取。选定TCP包（绿色的）。如下图 从上到下，分别对应4层：物理层、数据链路层、IP层、传输层。 A. 第一行，Frame 595 是要发送的数据块，抓到的帧的序号是 595，捕获的字节数等于传送的 字节数 1486B B. 第二行，以太网，有线局域网技术，属于数据链路层。这里可以 看到源Mac地址是 00:74:9c:7d:fd:ab，目的Mac是 74:46:a0:b4:fa:c5 C. 第三行，IPV4协议，是网络层，也称为网际协议，这里可以看到源IP和目的IP D. 第四行，TCP协议，是传输层。源端口，目的端口，序列号，ACK是TCP报包头的确认标志，这里应该是返回ack number。下面看一下每一行内容的详细信息。 •物理层： Frame protocols in frame: eth:ethertype:ip:tcp 帧内封装的协议层次结构 Coloring Rule Na me: ICMP 着色标记的协议 •数据链路层： Ethernet Type: IPV4(0x0800) 类型是IP数据包 •IP层 IP •TCP 层 TCP 这里TCP通信标明的端口号就是用来通信的，是进程间通信。 A. Acknowledgement Number : 这是接收端所期望接收到的下一个顺序号（只 有在ACK标志位，Flags中，是1时候才有效，代表接收确认）。所以来 说 TCP 连接是需要一个全双工的通信。

wireshark使用教程及协议分析报告

wireshark使用教程及协议分析报告 Wireshark是一个强大的网络协议分析工具，它能够捕获和分析网络 数据包，并提供详细的协议分析报告。以下是一份简要的Wireshark使用 教程以及协议分析报告。 第一部分：Wireshark使用教程 2. 打开Wireshark：打开Wireshark后，你将看到一个主界面，其 中包含一个网卡列表、捕获包的显示窗口和一个过滤器。 3.设置捕获接口：在网卡列表中选择你要捕获数据包的接口，并点击“开始”按钮开始捕获数据包。 4. 捕获数据包：一旦你开始捕获数据包，Wireshark将开始记录通 过所选接口的所有数据包。 5. 分析捕获数据包：Wireshark会以表格形式显示捕获到的数据包，并提供有关每个数据包的详细信息。你可以点击一些数据包来查看更详细 的信息。 6. 过滤数据包：Wireshark还提供了一个过滤器，可以帮助你筛选 出你感兴趣的数据包。你可以使用过滤器的语法来定义你要显示的数据包 的特定条件。 在Wireshark中，你可以使用协议分析功能来分析捕获的数据包，并 生成相应的协议分析报告。这个报告可以帮助你理解网络通信中不同协议 的工作原理和特点。 协议分析报告通常包括以下几个方面：

1. 协议识别：通过Wireshark提供的协议识别功能，你可以查看捕 获数据包中使用的不同网络协议，如HTTP、TCP、UDP等。 2. 协议分析：Wireshark提供了强大的协议分析功能，可以帮助你 深入了解每个协议的工作原理和特点。你可以查看每个数据包的详细信息，并观察不同协议之间的交互。 3. 流分析：Wireshark可以对捕获数据包中的流进行分析。流是一 组相关的数据包，通常在网络通信中用于传输特定类型的数据。通过流分析，你可以确定每种类型的流的特征和规律。 4. 性能分析：Wireshark可以提供有关网络性能的分析报告，包括 吞吐量、延迟和丢包率等。这些分析报告可以帮助你评估网络的性能和优 化网络配置。 5. 问题排查：Wireshark还可以用于网络问题的排查。通过捕获数 据包并分析其中的错误信息，你可以找出网络通信中的问题，并采取相应 的措施解决这些问题。 总结： Wireshark是一个功能强大的网络协议分析工具，它不仅可以捕获和 分析网络数据包，还可以生成详细的协议分析报告。在使用Wireshark时，你需要了解一些基本操作，如捕获数据包、分析数据包和设置过滤器。同时，协议分析报告可以帮助你更好地理解不同协议的工作原理和特点，并 进行性能分析和问题排查。使用Wireshark可以帮助你更好地理解网络通 信并解决网络问题。