实验三：使用wireshark查看协议数据单元.doc

使用 Wireshark 查看协议数据单元学习目标 能够说明协议分析器 (Wireshark) 的用途。 能够使用 Wireshark 执行基本的 PDU 捕获。 能够对简单的网络数据通信量执行基本的 PDU 分析。 实验 Wireshark 的功能和选项，如 PDU 捕获和显示过滤。背景Wireshark 是一种协议分析器软件，即“数据包嗅探器”应用程序，适用于网络故障排除、分析、软件和协议开发以及教学。2006 年 6 月前，Wireshark 的原名是 Ethereal。数据包嗅探器（亦称网络分析器或协议分析器）是可以截取并记录通过数据网络传送的数据通信量的计算机软件。当数据流通过网络来回传输时，嗅探器可以“捕获”每个协议数据单元 (PDU)，并根据适当的 RFC 或其它规范对其内容进行解码和分析。Wireshark 的编程使其能够识别不同网络协议的结构。因此，它可以显示 PDU 的封装和每个字段并可解释其含义。对于从事网络工作的任何人来说，它都是一款实用工具，可以用于数据分析和故障排除。要了解相关信息并下载该程序，请转到 http:/www.W 场景要捕获 PDU，安装了 Wireshark 的计算机必须有效地连接到网络且必须在运行 Wireshark 才能捕获数据。启动 Wireshark 后将显示如下屏幕。要开始数据捕获，首先需要选择 Capture（捕获）菜单中的 Options（选项）。Options（选项）对话框显示了多项设置和过滤器，用于确定捕获的数据通信类型及其数量。首先，必须确保将 Wireshark 设置为监控正确的接口。从 Interface（接口）下拉列表中选择使用中的网络适配器。通常，在计算机上是连接的以太网适配器。然后可以设置其它选项。在 Capture Options（捕获选项）对话框的可用选项中，需要检查下图突出显示的两个选项。将 Wireshark 设置为在混杂模式下捕获数据包如果未选中此功能，将只捕获发往本计算机的 PDU。如果选中此功能，则会捕获发往本计算机的所有 PDU 和该计算机网卡在同一网段上检测到的所有 PDU（即“途经”该网卡但不发往该计算机的 PDU）。注意：捕获其它的 PDU 要依靠此网络中连接终端设备计算机的中间设备。由于这些课程的各部分使用了不同的中间设备（集线器、交换机、路由器），因此您会看到不同的 Wireshark 结果。设置 Wireshark 进行网络名称解析此选项可用于控制 Wireshark 是否将 PDU 中出现的网络地址转换为名称。尽管此功能很有用，但名称解析过程可能会将多余的 PDU 添加到捕获的数据中，从而造成分析失真。此外，它还具有其它一些捕获过滤和过程设置功能。单击 Start（开始）按钮开始数据捕获过程，此时将出现一个消息框显示此过程的进度。捕获数据 PDU 时，消息框中将显示其类型和数量。 以上示例显示了捕获 ping 过程然后捕获网页访问的进度。单击 Stop（停止）按钮时，捕获过程会终止并显示主屏幕。以下是 Wireshark 的主显示窗口，有三个窗格。Packet Details Pane图示顶部的 PDU（或数据包）列表窗格显示了捕获的每个数据包的摘要信息。单击此窗格中的数据包可控制另外两个窗格中显示的信息。图示中间的 PDU（或数据包）详细信息窗格更加详细地显示了“数据包列表”窗格中所选的数据包。图示底部的 PDU（或数据包）字节窗格显示了“数据包列表”窗格中所选数据包的实际数据（以十六进制形式表示实际的二进制），并突出显示了在“数据包详细信息”窗格中所选的字段。“数据包列表”中的每行对应捕获数据的一个 PDU 或数据包。如果选择此窗格中的一行，其相关详细信息将显示在“数据包详细信息”和“数据包字节”窗格中。上例所示为使用 ping 实用程序和访问 http:/www.W 时捕获的 PDU。此窗格中选择了编号为 1 的数据包。数据包详细信息窗格以更加详细的形式显示了当前数据包（即“数据包列表”窗格中所选的数据包）。此窗格显示了所选数据包的协议和协议字段。该数据包的协议和字段以树结构显示，可以展开和折叠。数据包字节窗格以称为“十六进制转储”的样式显示当前数据包（即“数据包列表”窗格中所选的数据包）的数据。本实验不会详细研究此窗格。但是，在需要进行更加深入的分析时，此处显示的信息有助于分析 PDU 的二进制值和内容。捕获的数据 PDU 信息可以保存在文件中。这样，将来就可以随时在 Wireshark 中打开此文件进行分析而无需再次捕获同样的数据通信量。打开捕获文件时显示的信息与原始捕获的信息相同。关闭数据捕获屏幕或退出 Wireshark 时，系统会提示您保存捕获的 PDU。单击 Continue without Saving（继续但不保存）关闭该文件或退出 Wireshark 而不保存显示的捕获数据。任务 1：Ping PDU 捕获步骤 1：确定标准实验拓扑和配置正确后，在实验室的计算机上启动 Wireshark。按照上文概述中的说明设置 Capture Options（捕获选项）并开始捕获过程。在计算机的命令行中 ping 连接的其它网络的 IP 地址。在本例中，使用命令 ping 54（根据具体的实验环境自己选择IP地址）。命令行窗口中收到该 ping 命令的成功应答后，停止数据包捕获。步骤 2：检查数据包列表窗格。此时，Wireshark 的数据包列表窗格应该显示如下信息：观察上面列出的数据包；我们关注的是编号为 6、7、8、9、11、12、14 和 15 的数据包。在您的计算机上找到数据包列表中的相应数据包。如果您执行了上文所述的步骤 1A，请将发出 ping 命令时命令行窗口中显示的消息与 Wireshark 捕获的六个数据包相匹配。根据 Wireshark 数据包列表回答下列问题：ping 使用的协议是什么？_协议的全称是什么？_两个 ping 消息的名称是什么？_列出的源 IP 地址和目的 IP 地址是否与您的预期相同？是/否原因是什么？_步骤 3：用鼠标选择（突出显示）列表中的第一个回应请求数据包。数据包详细信息窗格此时将显示如下信息：逐个单击四个 + 号展开信息。此时，数据包详细信息窗格将如同下图所示：您可以看到，每个部分的详细信息和协议还可以进一步展开。请花一些时间浏览这些信息。在课程的当前阶段，您可能还无法完全理解显示的信息，但是请记录下您能够认知的信息。找出两种不同类型的“源地址”和“目的地址”。为什么会有两种类型？_以太网帧中的协议是什么？_当您在数据包详细信息窗格中选择某行时，数据包字节窗格中的全部或部分信息也会突出显示。例如，当详细信息窗格中突出显示第二行 (+ Ethernet II) 时，字节窗格就会突出显示相应的值。此值显示了代表 PDU 中信息的特定二进制值。在课程的当前阶段不需要详细了解这方面信息。步骤 4：选择 File（文件）菜单中的 Close（关闭）。出现下面的消息框时单击 Continue without Saving（继续但不保存）。任务 2：FTP PDU 捕获步骤 1：开始数据包捕获。假设从前面的步骤继续运行 Wireshark，在 Wireshark 中单击 Capture（捕获）菜单的 Start（开始）选项开始数据包捕获。在运行 Wireshark 的计算机的命令行中输入 ftp 54 （根据具体的实验环境自己选择，在实验室可以使用ftp 8）建立连接后，输入 anonymous 作为用户，不需要口令。Userid: anonymousPassword: 成功登录后，输入 get /pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe 并按 Enter 键 。这样将开始从 ftp 服务器下载该文件。输出结果将如下所示：C:Documents and Settings ftp 8Connected to .220 Welcome to the eagle-server FTP service.User (:(none): anonymous331 Please specify the password.Password:230 Login successful.ftp get /pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe200 PORT command successful. Consider using PASV.150 Opening BINARY mode data connection for pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe (6967072 bytes).226 File send OK.ftp: 6967072 bytes received in 0.59Seconds 11729.08Kbytes/sec.文件下载完成时输入 quitftp quit221 Goodbye.C:Documents and Settings 成功下载文件后，在 Wireshark 中停止 PDU 捕获。步骤 2：扩大 Wireshark 数据包列表窗格的大小并浏览列出的 PDU。找到并记录与文件下载相关联的 PDU。这些 PDU 将是源自第 4 层协议 TCP 和第 7 层协议 FTP 的 PDU。找到与文件传输相关联的三组 PDU。如果您执行了上述步骤，请将这些数据包与 FTP 命令行窗口中的消息和提示相匹配。第一组与“连接”阶段和登录服务器相关。请列出几个此阶段交换消息的例子。_查找在第二阶段交换的消息（内容为实际下载请求和数据传输），并列出几个例子。_第三组 PDU 与注销和“断开连接”相关。请列出几个此过程中交换消息的例子。_找到整个 FTP 过程中重复发生的 TCP 交换。这说明了 TCP 的什么功能？_步骤 3：检查数据包详细信息。在列表中选择（突出显示）与 FTP 过程第一阶段相关的数据包。在详细信息窗格中查看数据包详细信息。该帧中封装的协议是什么？_突出显示包含用户名和口令的数据包。检查数据包字节窗格中突出显示的部分。这表示此 FTP 登录过程的安全性如何？_突出显示与第二阶段相关的数据包。从任何窗格中查找包含该文件名的数据包。文件名是：_突出显示包含实际文件内容的一个数据包，注意字节窗格中显示的纯文本。在详细信息和字节窗格中突出显示并检查在第三阶段（文件下载）交换的一些数据包。什么功能负责区分这些数据包的内容？_完成后，关闭 Wireshark 文件，继续但不保存任务 3：HTTP PDU 捕获步骤 1：开始数据包捕获。假设从前面的步骤继续运行 Wireshark，在 Wireshark 中单击 Capture（捕获）菜单的 Start（开始）选项开始数据包捕获。注意：如果从本实验前面的步骤继续，则不必设置 Capture Options（捕获选项）。在运行 Wireshark 的计算机上启动 Web 浏览器。输入URL 或输入 IP 地址95。完全下载网页后，停止 Wireshark 数据包捕获。步骤 2：扩大 Wireshark 数据包列表窗格的大小并浏览列出的 PDU。查找并确定与网页下载相关联的 TCP 和 HTTP 数据包。注意此消息交换与 FTP 交换之间的相似之处。步骤 3：在数据包列表窗格中，突出显示 Info（信息）列中带有注解 (text/html)