实验二--WireShark(Ethereal)抓包实验

11实验二WireShark（Ethereal）抓包实验22目录Contents实验目的一实验设备与条件二实验要求与说明三实验内容与步骤四思考题五实验报告六33一实验目的44实验目的实验目的熟悉WireShark软件的操作。目的一掌握使用Wireshark捕获、嗅探FTP密码的操作。目的三目的二掌握使用Wireshark执行基本PDU捕获的操作。55实验设备与条件二66实验设备与条件123局域网计算机若干，计算机能接入FTP服务器和Internet。安装了Windows操作系统的计算机。WireShark抓包软件（本实验使用的版本为Version1.12）。77三实验要求与说明88实验要求与说明首先在计算机上安装抓包软件WireShark，然后执行捕获数据包的一般操作，接着捕获ping数据包并分析，最后捕获、嗅探FTP密码并分析。99四实验内容与步骤•WireShark简介和安装•捕获数据包的一般操作•通过Wireshark捕获、嗅探FTP密码•pingPDU数据的捕获和分析1010（一）WireShark简介和安装WireShark的安装很简单，安装过程中会提示安装WinPcap，一切都按默认设置即可。WireShark（前称Ethereal）是运行在Windows，Unix，Linux等操作系统上的分组嗅探器——网络监听软件，是世界上最为流行的网络分析工具。它可以捕捉网络中的数据封包（分组），并尽可能显示最为详细的封包资料。与其他网络工具一样，WireShark也是使用WinPcap来进行底层封包的捕捉。1111（二）捕获数据包的一般操作步骤01启动Wireshark，显示图2-1所示的主界面。图2-1启动Wireshark1212（二）捕获数据包的一般操作步骤02首先设置捕获参数。选择“Capture”（捕获）菜单中的“Options”（选项）命令，打开“CaptureOption”（捕获选项）对话框。“CaptureOption”对话框显示了多项设置和过滤器，用于确定捕获的数据通信类型及数量等，如图2-2所示。图2-2“CaptureOption”对话框重点关注的标出来的几个选项，其他可保持默认设置。1313（二）捕获数据包的一般操作步骤03必须确保将Wireshark设置为监控正确的接口，即从“Capture”（抓包相关设定）设置区的列表框中选择使用中的网络适配器。步骤04将Wireshark设置为在混杂模式下捕获数据包，即从“Capture”设置区选中“Usepromiscuousmodeonallinterfaces”复选框。如果未选中此复选框，将只捕获发往本计算机的数据包；如果选中此复选框，将捕获发往本计算机的所有数据包和该计算机网卡在同一网段上检测到的所有数据包（即“途经”该网卡但不发往该计算机的数据包）。选中该列表框下方的“WiresharkCaptueronallinterfaces”复选框表示捕获所有接口，等同于在列表框中选中所有网络适配器。1414（二）捕获数据包的一般操作步骤05“Capture”设置区的“CaptureFilter”栏用来设置是抓包过虑，除非需要过虑特定的数据包，否则一般情况下可以保持默认设置，即留空。步骤06单击“Start”（开始）按钮即可开始数据包捕获。图2-3所示为开启捕获后的Wireshark的主显示窗口，主要有五个组成部分。菜单和工具命令协议筛选数据包列表数据包首部明细数据包内容图2-3开启捕获后的主显示窗口1515（二）捕获数据包的一般操作步骤06单击“Start”（开始）按钮即可开始数据包捕获。图2-3所示为开启捕获后的Wireshark的主显示窗口，主要有五个组成部分。“协议筛选”框在该处填写某种协议的名称，Wireshark据此对“数据包列表”窗格中的数据包进行过虑，只显示需要的数据包。“数据包列表”窗格按行显示了捕获的每个数据包，包括：包序号、捕获时间、源地址、目的地址、协议类型、协议信息说明。在该窗格中单击选中某个数据包，可在“数据包首部明细”和“数据包内容”窗格将显示该数据包的具体信息。此外，单击某一列的列名，可以使数据包按该列排序。“数据包首部明细”窗格显示“数据包列表”窗格中被选中数据包的首部详细信息，包括该数据包的各个层次的首部信息。需要查看哪层信息，双击该层或单击该层最左侧的“+”即可。“数据包内容”窗格显示“数据包列表”窗格中所选数据包的实际数据（分别以十六进制形式和ASCII码表示实际的二进制），并突出显示了在“数据包首部明细”窗格中所选的字段。本实验不会详细研究此窗格中的信息。但是，在需要进行更加深入的分析时，此处显示的信息有助于分析PDU的二进制值和内容。1616（二）捕获数据包的一般操作步骤07单击Wireshark主窗口中的按钮可停止数据包的捕获。步骤08用户可以将捕获的数据包信息保存在文件中。这样，将来就可以随时在Wireshark中打开此文件进行分析而无需再次捕获同样的数据通信量（打开捕获文件时显示的信息与原始捕获的信息相同）。为此，可选择“File”菜单中的“Save”命令。图2-4关闭数据捕获重新开始捕获或退出Wireshark时，系统会提示保存已捕获的数据包，如图2-4所示，单击“Save”按钮，即可保存捕获的数据包信息。1717（三）pingPDU数据的捕获和分析图2-5Wireshark的数据包列表在计算机的命令行中ping其他计算机的IP地址。例如，ping192.168.1.7。当在命令行窗口中收到该ping命令的成功应答后，停止数据包捕获。检查“数据包列表”窗格，观察列出的数据包，尤其重点关注IP地址为上步所ping的数据包，如图2-5所示。确定实验拓扑和相关配置正确后，在实验室的计算机上启动Wireshark。按照前面的说明设置CaptureOptions（捕获选项）并开始捕获数据。1818（三）pingPDU数据的捕获和分析在“数据包列表”窗格选择一个数据包，然后在“数据包首部明细”窗格观察所选数据包的详细信息。数据包的详细信息随所选数据包使用的协议的不同而不同，图2-6所示为选中使用ICMP协议的数据包显示的信息分类，从上到下依次为物理层数据帧概况、数据链路层以太网帧头部信息、网络层IP数据报头部信息和ICMP协议信息。图2-6所选数据包的详细信息1919（三）pingPDU数据的捕获和分析展开物理层数据帧信息，如图2-7所示。对其中重要信息的分析如下。图2-7物理层数据帧概况6号帧：在线路（网卡interface0接口）上传输了74字节，实际捕获74字节与参考帧或第1帧的时间间隔接口编号为0。后面括号内为网卡的具体参数捕获日期和时间信息出现时间封装类型为以太网帧此包与前一包间隔时间与上一次被捕获帧的时间间隔与上一次显示帧的时间间隔帧号为6帧长为74字节捕获长度为74字节帧没有被标记帧不会被忽略帧内封装的协议层次结构被着色规则名称为ICMP被着色字符串为icmp，icmpv62020（三）pingPDU数据的捕获和分析展开数据链路层以太网帧信息，如图2-8所示。其中，EthernetII表示以太网协议版本；Src（Source）显示了源网卡的厂名_序号和物理地址（位于括号内）；DST（Destination）显示了目标网卡的；Type:IP(0x0800)表示帧内封装的上层协议类型为IP，并在括号内显示了IP的十六进制码。图2-8数据链路层以太网帧信息2121（三）pingPDU数据的捕获和分析展开网络层IP数据报头部信息，如图2-9所示。对其中重要信息的分析如下。IP协议版本，源IP地址，目标IP地址图2-9网络层IP数据报头部信息IP报头长度IP协议版本区别服务域标示字段标记字段数据报有效存活时间首部检验和0xb755，确认不可用IP数据报总长度分段偏移量此数据报封装的上层协议为ICMP源IP地址目标IP地址2222（三）pingPDU数据的捕获和分析展开网络层IP数据报头部信息，如图2-9所示。对其中重要信息的分析如下。图2-9网络层IP数据报头部信息Identification（标识字段）：通常与Flags（标记字段）和Fragmentoffset（分段偏移）一起用于IP数据报的分段，长度为16位。Flags（标记字段）：用于IP数据包分段标记使用，一共3位。第1位不使用；第2位是DF位，当DF为1时，表示路由器不允许分段处理，为0时，表示允许分段；第3位是MF位，当MF为1时，表示不是最后一个分段，为0时，表示是最后一个分段。读者可参考以上分析结果中“Flags”中包含的信息进行理解。Fragmentoffset（分段偏移）：用于指明分段起始点相对于报头起始点的偏移量。2323（三）pingPDU数据的捕获和分析下面重新开启Wireshark捕获功能，并浏览网页，然后停止捕获，分析TCP协议数据包传输层TCP数据段头部信息，如图2-10所示。图2-10传输层TCP数据报头部信息传输控制协议，源端口为80，目标端口为53039流端口号为10封包序号为1（相对序号）确认号为270首部长度为20字节窗口字段，用来控制对方发送的数据量TCP标记字段，其下显示了各选项的设置情况TCP校验和为0x3a55，确认不可用紧急指针。告知紧急数据所在的位置2424（四）通过Wireshark捕获、嗅探FTP密码启动Wireshark，选择“Capture”（捕获）菜单中的“Options”（选项）命令，出现图2-11所示的捕获选项对话框，单击“CaptureFilter：”按钮。图2-11CaptureOptions对话框2525（四）通过Wireshark捕获、嗅探FTP密码出现图2-12所示的对话框，单击“New”按钮新建捕获过滤文件，然后在“Filtername”编辑框中输入文件名“ipaddress192.168.32.1”，在“FilterString”编辑框中输入“host192.168.32.1”（表示只捕获该IP地址的数据，具体数值根据实验室FTP服务器的IP地址确定），完成后单击“OK”按钮，如图2-12所示。图2-12CaptureFilter对话框2626（四）通过Wireshark捕获、嗅探FTP密码返回CaptureOptions对话框后，单击“Start”按钮，开始捕获主机192.168.32.1的信息，如果没有计算机访问192.168.32.1，我们是捕获不到任何信息的。用IE浏览器登录@192.168.32.1，并访问其中的资源。Wireshark的“数据包列表”窗格显示的内容如图2-13所示。从捕获的信息可以看出，计算机192.168.32.5是用guoya用户登录，密码是12345678。图2-13主窗口显示的内容2727（四）通过Wireshark捕获、嗅探FTP密码至此，最简单的Wireshark捕获、FTP密码嗅探就基本完成了，同学们可以继续按需要捕获并分析其他数据。2828五思考题2929思考题思考2思考33030六实验报告3131实验报告按照实验报告的格式要求书写实验报告，认真分析捕获的各种数据。北京金企鹅文化发展中心谢谢观看！