使用Wireshark分析-以太网帧与ARP协议-IP协议-ICMP

                    		 图2 

文章目录

实验一 Wireshark的使用

一、实验目的

1、熟悉并掌握Wireshark的基本使用；

2、了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境

与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、 实验步骤

1.启动Web浏览器（如IE）；

2. 启动Wireshark；

3. 开始分组捕获：单击工具栏开始按钮

4. 在运行分组捕获的同时，在浏览器地址栏中输入某个网页的URL，如：

5. 当完整的页面下载完成后，单击捕获对话框中的“stop”按钮，停止分组捕获。此时， Wireshark主窗口显示已捕获的你本次通信的所有协议报文；

6. 在协议筛选框中输入“http”，单击“apply”按钮，分组列表窗口将只显示HTTP协议报文。

7. 择分组列表窗口中的第一条http报文，它是你的计算机发向服务器（）的HTTP GET报文。当你选择该报文后，以太网帧、IP数据报、TCP报文段、以及HTTP报文首部信息都将显示在分组首部子窗口中，其结果如图2。

                   	图1　HTTP GET信息和响应信息

四、 问题与思考

在实验基础上，回答以下问题：

(1) 列出在第5步中分组列表子窗口所显示的所有协议类型；

网络协议：

传输协议：

(2) 从发出HTTP GET报文到接收到对应的HTTP OK响应报文共需要多长时间？（分组列表窗口中Time列的值是从Wireshark开始追踪到分组被捕获的总的时间数，以秒为单位）

需要0.068527秒

(3) 你主机的IP地址是什么？你访问的服务器的IP地址是什么？

主机IP：

服务器IP：

实验二 使用Wireshark分析以太网帧与ARP协议

一、实验目的

分析以太网帧，MAC地址和ARP协议

二、实验环境

与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。

三、实验步骤：

1、俘获和分析以太网帧

（1）选择 工具->Internet 选项->删除文件

（2）启动Wireshark 分组嗅探器

（3）在浏览器地址栏中输入如下网址：

百度一下

（4）停止分组俘获。在俘获分组列表中（listing of captured packets）中找到HTTP GET 信息和响应信息，如图1所示。

                    		图1 命令窗口

HTTP GET信息被封装在TCP分组中，TCP分组又被封装在IP数据报中，IP数据报又被封装在以太网帧中）。在分组明细窗口中展开Ethernet II信息（packet details window）。

2、分析地址ARP协议

(1)ARP Caching

ARP协议用于将目的IP转换为对应的MAC地址。Arp命令用来观察和操作缓存中的内容。虽然arp 命令和ARP有一样的名字，很容易混淆，但它们的作用是不同的。在命令提示符下输入arp可以看到在你所在电脑中ARP缓存中的内容。为了观察到你所在电脑发送和接收ARP信息，我们需要清除ARP缓存，否则你所在主机很容易找到已知IP和匹配的MAC地址。

步骤如下:

(2) 清除ARP cache 具体做法:在MSDOS环境下，输入命令arp-d.

(3)启动Wireshark 分组嗅探器

(4)停止分组俘获.输入筛选条件arp，获得arp报文，如图所示

目的MAC地址：28:39:26:02:23:d3

源MAC地址：04:d3:b5:2a:f7:c3

帧类型：ARP(0x0806)

硬件类型：1

协议类型：IPV4(0x0800)

硬件地址长度：6字节

协议地址长度：4字节

Opcode:表示ARP报文的种类；取值为1，表示请求报文；取值为2，表示ARP应答报文

发送端MAC地址：04:d3:b5:2a:f7:c3(信息体的发起端）

发送端IP地址： 192.168.8.1

目的端 MAC地址：00:00:00_00:00:00:00

目的端IP地址：192.168.8.104

四、问题与思考

1、你所在的主机48-bit Ethernet 地址是多少？

2、Ethernet 帧中目的地址是多少？这个目的地址是的Ethernet 地址吗？

目的地址是的Ethernet 地址

实验三 利用Wireshark分析ICMP

一、实验目的

分析ICMP

二、实验环境

与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤

Ping命令依赖于ICMP。ICMP可以看作是IP协议的伴随协议。ICMP报文被封装在IP 数据报发送。一些ICMP报文会请求信息。例如：在ping中，一个ICMP回应请求报文被发送给远程主机。如果对方主机存在，期望它们返回一个ICMP回应应答报文。一些ICMP报文在网络层发生错误时发送。例如，有一种ICMP报文类型表示目的不可达。造成不可达的原因很多，ICMP报文试图确定这一问题。例如，可能是主机关及或整个网络连接断开。有时候，主机本身可能没有问题，但不能发送数据报。例如IP首部有个协议字段，它指明了什么协议应该处理IP数据报中的数据部分。IANA公布了代表协议的数字的列表。例如，如果该字段是6，代表TCP报文段,IP层就会把数据传给TCP层进行处理；如果该字段是1，则代表ICMP报文，IP层会将该数据传给ICMP处理。如果操作系统不支持到达数据报中协议字段的协议号，它将返回一个指明“协议不可达”的ICMP报文。IANA同样公布了ICMP报文类型的清单。

1、ping 和 ICMP

利用Ping程序产生ICMP分组。Ping向因特网中的某个特定主机发送特殊的探测报文并等待表明主机在线的回复。具体做法：

（1）打开Windows命令提示符窗口（Windows Command Prompt）。

（2）启动Wireshark 分组嗅探器，在过滤显示窗口（filter display window）中输入icmp,开始Wireshark 分组俘获。

（3）输入“ping –n 10 ” 。其中“-n 10”指明应返回10条ping信息。

（4）当ping程序终止时，停止Wireshark 分组俘获。

实验结束后会出现如图所示的命令窗口：

                   图2 停止分组俘获后Wireshark的界面

                    	图3 ICMP协议详细信息 

停止分组俘获后，会出现如图2所示的界面：

图3是在分组内容窗口中显示了ICMP协议的详细信息。观察这个ICMP分组，可以看出，此ICMP分组的Type 8 and Code 0 即所谓的ICMP “echo request” 分组。

网络协议：IPV4

IP帧部首长度：20byt

服务类型：0x00

IP帧总长度：60字节

协议类型：ICMP(1)

检验和：0x500c

源地址IP：192.168.1.17

目标地址IP：182.61.200.7

四、问题与思考

在实验的基础上，回答以下问题：

（1）你所在主机的IP地址是多少？目的主机的IP地址是多少？

所在主机IP：

目的主机IP：

（2）查看ping请求分组，ICMP的type 和code是多少？

（3）查看相应得ICMP响应信息，ICMP的type 和code又是多少？

（4）连接层的IP地址是多少？

（5）ICMP的type 和code是多少?

TYPECODEDescriptionQueryError
Echo Reply——回显应答（Ping应答）
Network Unreachable——网络不可达
Host Unreachable——主机不可达
Protocol Unreachable——协议不可达
Port Unreachable——端口不可达
Fragmentation needed but no frag. bit set——需要进行分片但设置不分片比特
Source routing failed——源站选路失败
Destination network unknown——目的网络未知
Destination host unknown——目的主机未知
Source host isolated (obsolete)——源主机被隔离（作废不用）
Destination network administratively prohibited——目的网络被强制禁止
10Destination host administratively prohibited——目的主机被强制禁止
11Network unreachable for TOS——由于服务类型TOS，网络不可达
12Host unreachable for TOS——由于服务类型TOS，主机不可达
13Communication administratively prohibited by filtering——由于过滤，通信被强制禁止
14Host precedence violation——主机越权
15Precedence cutoff in effect——优先中止生效
Source quench——源端被关闭（基本流控制）
Redirect for network——对网络重定向
Redirect for host——对主机重定向
Redirect for TOS and network——对服务类型和网络重定向
Redirect for TOS and host——对服务类型和主机重定向
Echo request——回显请求（Ping请求）
Router advertisement——路由器通告
10Route solicitation——路由器请求
11TTL equals 0 during transit——传输期间生存时间为0
11TTL equals 0 during reassembly——在数据报组装期间生存时间为0
12IP header bad (catchall error)——坏的IP首部（包括各种差错）
12Required options missing——缺少必需的选项
13Timestamp request (obsolete)——时间戳请求（作废不用）
14Timestamp reply (obsolete)——时间戳应答（作废不用）
15Information request (obsolete)——信息请求（作废不用）
16Information reply (obsolete)——信息应答（作废不用）
17Address mask request——地址掩码请求
18Address mask reply——地址掩码应答

实验四 使用Wireshark分析UDP协议

一、实验目的

分析UDP协议

二、实验环境

与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤

UDP是User Datagram Protocol（用户数据协议）的简称，是一种无连接的协议，该协议工作在OSI模型中的第四层（传输层），处于IP协议的上一层。传输层的功能就是建立“端口到端口”的通信，UDP提供面向事务的简单的不可靠信息传送服务。

UDP协议是一种无连接的协议，该协议用来支撑那些需要在计算机之间传输数据的网络应用，包括网络视频会议系统在内的众多客户/服务器模式的网络应用。

UDP协议的主要工作就是将网络数据流量压缩成数据包的形式。一个经典的数据包就是一个二进制数据的传输单位。每一个数据包的前8字节用来包含包头信息，剩余字节则用来包含具体的传输数据。

1、俘获和分析UDP协议

（1）启动Wireshark 分组嗅探器

（2）启动QQ进行聊天

（3）停止分组俘获，输入过滤条件udp and ip.addr==14.29.40.234，获得UDP三次握手的报文，如下图所示

源端口号：49363

目的端口号：80

Sequence Number：发送序列号

Acknowledgment Number：确认序列号

Flags: SYN-同步序列号

Window size value：窗口大小

Checksum：检验和

Urgent potiner：紧急指针

（4）分析三次握手

实验七 利用Wireshark分析协议HTTP

一、实验目的