WireShark软件抓包实验与分析.doc

WireShark软件抓包实验与分析09电科二班 朱柏林 090702238一、实验说明Wireshark是世界上最流行的网络分析工具，它可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。本次实验是在window7系统下，根据宽带拨号上网的情况，主要针对点对点协议PPP特点和PPP协议的工作状态进行分析的。二、实验过程与分析（一）Wireshark使用与ARP协议帧分析1.安装并运行Wireshark开始捕获数据包，如图所示点击start开始捕获数据包。2.几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。选中一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。纵向第一窗口分析第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。ARP协议分析断开宽带连接，运行Wireshark，得到ARP协议的数据包。如下图所示： 现在展开第一行。看到的结果如下： 现在展开第一行:在上图中我们看到这个帧的一些基本信息： 帧的编号：13（捕获时的编号）帧的大小：42字节。再加上四个字节的CRC计算在里面，就刚好满足最小64字节的要求。帧被捕获的日期和时间：Oct 12，2011帧距离前一个帧的捕获时间差：0.014303000秒帧距离第一个帧的捕获时间差：1.014875000秒帧装载的协议：ARP展开第二行：我们可以看到：目的地址（Destination）：ff:ff:ff:ff:ff:ff 这是个MAC地址，这个MAC地址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧。源地址（Source）：BiostarM_3d:87:cc（00:30:67:3d:87:cc）帧中封装的协议类型：0x0806，这个是ARP协议的类型编号。展开第三行：上图的信息是：地址解析协议硬件类型：以太网协议类型：IP（0x8000）硬件大小：6协议大小：4发送方MAC地址发送方IP地址目的MAC地址目的IP地址（二）宽带拨号联网PPP协议工作状态分析 我们进行宽带拨号联网，同时运行Wireshark软件进行捕捉数据包，此时我们能够得到软件界面显示如下图所示：由上图我们得知，这是PC机进入一个“链路建立”状态，其目的是建立链路层的LCP连接。此过程分析：（1） 首先，PC发送LCP的配置请求帧（Configure-Request），即PPP帧。（2） 接着，链路另一端发送配置确认帧（Configure-Ack）和配置否认帧（Configure-Nak）（LCP配置协商）(3)然后，PC机再次发送 LCP的配置请求帧（Configure-Request），直到协商结束后建立LCP链路成功，进入“鉴别”（Authenticate）状态，拨号使用口令鉴别协议PAP，双方分别是请求帧（Request）和确认帧(Ack)。（3） 接着，进入“网络层协议”状态，进行NCP配置协商，此处进行的是IP协议。（4） 最后，当网络层配置完毕后，链路就进入可进行数据通信的“链路打开”（Link Open）状态，网络连接上。（5） 当链路请求关闭时，由链路的一端发出终止请求LCP分组（Terminate-Request）终止链路连接，在收到对方发来的终止确认LCP分组（Terminate-Ack）后，转到“链路终止”状态，最后回到“链路静止”状态。三、实验体验通过这次实验之后，我开始并慢慢熟悉wireshark的使用。虽然还是有很多地方不是很懂。不过请教过同