实验1：网络协议分析工具Wireshark的使用完成版.doc

实验一：网络协议分析工具Wireshark的使用一、实验目的学习使用网络协议分析工具Wireshark的方法，并用它来分析一些协议。二、实验原理和内容1、tcp/ip协议族中网络层传输层应用层相关重要协议原理2、网络协议分析工具Wireshark的工作原理和基本使用规则三、实验环境以及设备 Pc机、双绞线四、实验步骤（操作方法及思考题）1. 用Wireshark观察ARP协议以及ping命令的工作过程：（20分） （1）用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（2）用“arp”命令清空本机的缓存；（3）运行Wireshark，开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）;（4）执行命令：“ping 缺省路由器的IP地址” ；写出（1），（2）中所执行的完整命令（包含命令行参数），（3）中需要设置的Wireshark的Capture Filter过滤规则，以及解释用Wireshark所观察到的执行（4）时网络上出现的现象。（1） ipconfig/all （2） arp d arp a（3） ether host F0:4D:A2:24:84:D6 and(icmp or arp)（4） ping 54如上图，为所截得的包，包里1、2、11、12都是arp报文，先用arp d命令清空ARP缓存。通过广播来找到目的主机的mac地址。310个icmp包是ping命令下的4个request和reply报文。2. 用Wireshark观察tracert命令的工作过程：（20分）（1） 运行Wireshark, 开始捕获tracert命令中用到的消息；（2） 执行“tracert -d ” 根据Wireshark所观察到的现象思考并解释tracert的工作原理。Tracert先发送TTL为1的回应数据包，并在随后的每次发送过程将 TTL递增1，直到目标响应或 TTL 达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。3. 用Wireshark观察TCP连接的建立过程和终止过程：（30分）（1）启动Wireshark, 配置过滤规则为捕获所有源或目的是本机的Telnet协议中的包（提示：Telnet使用的传输层协议是TCP，它使用TCP端口号23）；（2）在Windows命令行窗口中执行命令 “telnet ”，登录后再退出。请在实验报告中：a. 写出步骤（1）中需要设置的Wireshark的Capture Filter过滤规则； b. 根据Wireshark所观察到的现象解释TCP三次握手的连接建立过程； c. 根据Wireshark所观察到的现象解释TCP的连接终止过程； d. 根据Wireshark所观察到的现象说出是哪一方首先发起连接关闭；1:tcp port 232:1)客户端向服务端提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段。2)以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个TCP分段。3)在第三步中，客户端确认收到服务端的ISN(ACK标志置位)。（1）：实验主机向目的主机发送一个FIN段置1，序列号为44793。（2）：目的主机向实验主机发送标志位ACK（1）的TCP段。应答号位44794。（3）：目的主机没有再实验主机传输的数据了，则向实验主机发送一个FIN段，序列号为174（4）：实验主机向目的主机发送一个标志位ACK（1）的TCP段，应答号位175。4、IP地址为的网站首先发起连接关闭。4. 用Wireshark观察使用DNS来进行域名解析的过程：（30分）（1）在Windows命令窗口中执行命令“nslookup”，进入该命令的交互模式； （2）启动Wireshark, 配置过滤规则为捕获所有源或目的是本机的DNS协议中的包（提示：DNS使用的传输层协议是UDP，它使用UDP端口号53）； （3）在提示符“”下直接键入域名，解析它所对应的IP地址； （4）在提示符“”下键入命令“set type=mx”，设置查询类型为MX记录; （5）在提示符“”下键入域名“”,解析它所对应的MX记录； （6）在提示符“”下键入命令“set type=a”，恢复查询类型为A记录; （7）在提示符“”下键入MX记录的查询结果，从而查出“”邮件服务器的IP地址； （8）在提示符“”下键入“exit”，退出nslookup的交互模式。请在实验报告中回答：a. 写出步骤（2）中需要设置的Wireshark的Capture Filter过滤规则；答：Udp dst port 53 b. 根据Wireshark所观察到的现象解释解析域名“”所对应IP地址的过程。答：输入nslookup 命令后，出现了默认服务器的IP地址。然后输入，实验主机向默认服务器发送DNS报文，请求的IP地址。然后默认服务器将含有目的域名对应的IP地址等信息，发送给实验主机。得到了主机的回复。c. 根据Wireshark所观察到的现象解释解析域名“