初步了解Ethereal/Wireshark 软件

时间:2024-04-12 08:17:23


1.应用需求问题背景

参照电子版教材《计算机网络实验教程-基于协议分析和安全特色》P4—P6的“四、协议分析基础”内容。完成P5中的实验步骤,并认真回答其中的问题。

2.实训目的

安装包嗅探器Wireskark,熟悉使用。

3 .实训元器件物料及软件环境

Windows版本:Windows 10企业版

处理器:Intel®Core™ i5-5200uCPU @ 2.20GHz 2.19GHz

安装内存: 8.00GB

系统类型:64位操作系统

Wireskark2.4.1

4.实训操作步骤和结果观察

4.1 Wireskark简介

         Ethereal/Wireskark这是一个包嗅探器,可用于协议分析。它在电脑发送消息或者接收消息时进行协议数据的捕获,同时有选择的显示这些协议数据的内容。

         包嗅探器本身是被动的,电脑所收发的数据包不写明是给包嗅探器的,而是由应用程序发送和接收时产生的,在包嗅探器收到包的同时应用程序数据收发仍然是正常进行的。

初步了解Ethereal/Wireshark 软件

        图中所示为一个包嗅探器的结构,在图的右侧是协议和运行的应用程序,包嗅探器显示在用虚线围起来的框中,它侦听并接收每一个链路层帧的副本,当物理媒体是以太网时上层协议最终都将生成以太帧,捕获所有的链路层帧就能收集所有在电脑上的应用程序和协议所收发的消息。

        包嗅探器的另一组成部分是包分析器,它显示一个协议消息中所有字段的内容,为了完成这些任务包分析器必须了解所有通过协议交换的消息的结构。

         为了运行 Ethereal/Wireshark,你还需要支持 Ethereal/Wireshark 和 libpcap 包的 捕 获 库 , 可 以 在安 装 Ethereal/Wireshark 时 的 选 项 中 钩 选WinPcap 来 安 装 。

4.2 启动Wireshark软件

         打开Ethereal/Wireshark 软件;最初的时候窗口中都没有数据,因为 Ethereal/Wireshark 还没有开始捕获包;

初步了解Ethereal/Wireshark 软件

 初步了解Ethereal/Wireshark 软件

4.3开始包的捕获

         选中 Capture 下拉菜单,选择 Start ;将会出现“Capture Options”窗口,网络接口(比如物理连接)要确认一下,如果拥有多个网络接口,选择正在接入网络的一个接口用来发送和接收包。

         选择网络接口(或者使用 Ethereal/Wireshark 的默认接口)。

         包捕获现在将开始——你的电脑发送和接收的所有包都会被 Ethereal/Wireshark 捕获;当你开始包捕获,会出现一个包捕获摘要窗口,如图所示。这个窗口概述了被捕获的各种类型包的量,Stop 按钮允许你停止包的捕获(现在还不要停止包的捕获);

 初步了解Ethereal/Wireshark 软件

         不需要在电脑上作任何操作,等大约 30-60 秒后在 Ethereal/Wireshark 捕获窗口中按下 stop 按钮来停止 Ethereal/Wireshark 的包捕获,这时 Ethereal/Wireshark 的主窗口将会显示所捕获的包。现在你拥有了刚才在你的电脑通过网络进行交换的协议消息,你已经完成了一次成功的协议数据捕获。

 

WireShark主要分为这几个界面

1.Display Filter(显示过滤器),  用于过滤

2.Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

3.Packet Details Pane(封包详细信息), 显示封包中的字段

4.Dissector Pane(16进制数据)

5.Miscellanous(地址栏,杂项)

 

5.问题

Q1.你没有手动进行网络访问操作,但还是抓到了一些数据,请列出你抓到的各种包的协议名称,并上网查询下这些包分别是起什么作用的?各是由谁发出的?

 初步了解Ethereal/Wireshark 软件

(此图来于网上,连接在后面)

Frame:   物理层的数据帧概况

EthernetII: 数据链路层以太网帧头部信息

InternetProtocol Version 4: 互联网层IP包头部信息

TransmissionControl Protocol:  传输层T的数据段头部信息,此处是TCP

HypertextTransfer Protocol:  应用层的信息,此处是HTTP协议

初步了解Ethereal/Wireshark 软件

协议名称:TCP,OICQ,UDP,NBNS,LLMNR,DHCPV6,HTTP,ARP

192.168.43.153     本地局域网

各个应用进程进行网络通信如QQ

 

Q2.从你抓到的第一个包到最后一个包持续的时间是多久?(默认 time 列显示的是开始捕获后的以秒为单位的持续时间,如果要在 time 列以 time-of-day 格式显示,请选择 Ethereal/Wireshark 的 View 下拉菜单,然后选择时间显示格式为 Time-of-day)。

 33秒

初步了解Ethereal/Wireshark 软件

Q3.导出这些数据你可以在Ethereal/Wireshark 的 File 命令菜单中选择 save 菜单,这个数据可以作为附件上传。

见附件

 

6.关键词知识点

Wireshark基本介绍和学习TCP三次握手

http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html




 

相关文章