实验12网络嗅探与协议分析

2020/5/1,1,实验12网络嗅探与协议分析,12.1实验目的,12.1.1通过网络嗅探了解网络数据类型，了解网络工作原理；12.1.2通过实验理解并掌握网络嗅探工具Wireshark的使用；12.1.3通过实验理解并掌握TCP/IP体系结构及其协议分析方法；12.1.4通过实验理解并掌握FTP协议的工作原理；12.1.5通过实验理解并掌握Telnet协议的工作原理；,2020/5/1,2,实验12网络嗅探与协议分析,12.1实验目的（续）,12.1.6通过实验理解并掌握HTTP协议的工作原理；12.1.7通过实验理解并掌握DNS协议的工作原理；12.1.8通过实验理解并掌握ARP协议的工作原理；12.1.9通过实验理解并掌握QQ协议的工作原理12.1.10通过实验理解并掌握迅雷下载协议的工作原理；12.1.11通过实验加深对协议格式、协议层次及协议交互过程的理解。,2020/5/1,3,实验12网络嗅探与协议分析,12.2实验要求,12.2.1预习实验原理；12.2.2熟悉实验设备；12.2.3熟悉实验环境；12.2.4,2020/5/1,4,实验12网络嗅探与协议分析,12.3实验原理,12.3.1网络嗅探基础概述网络嗅探：利用计算机的网络接口截获目的地为其它计算机的数据报文；网络嗅探器：一种监控网络数据的工具，又称Sniffer抓包，它工作在网络底层，通过对局域网上传输的各种关键信息进行窃听，从而获取重要信息；一个信息包嗅探器向我们展示出正在网络上进行的活动；,2020/5/1,5,实验12网络嗅探与协议分析,12.3实验原理（续）,嗅探借助于网络接口，在正常的情况下，一个网络接口应该只响应：目的MAC地址为本机硬件地址的数据帧、向所有设备发送的广播数据帧；网络接口使用网卡的接收模式广播方式：网卡能够接收网络中的广播信息；组播方式：网卡能够接收组播数据；直接方式：只有目的网卡才能接收该数据；混杂模式：网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。,2020/5/1,6,实验12网络嗅探与协议分析,12.3实验原理（续）,嗅探的基本原理：如果在编程时将网卡的工作模式设置为“混杂模式”，那么网卡将接受所有传递给它的数据包。,2020/5/1,7,实验12网络嗅探与协议分析,12.3实验原理（续）,12.3.2协议分析基础概述协议分析：通过程序分析网络数据包的协议头和尾，从而了解信息和相关的数据包在产生和传输过程中的行为；在典型的网络结构中，网络协议和通信采用的是分层式设计方案，在OSI网络结构参考模型中，同层协议之间能相互进行通信；协议分析器的主要功能：分析各层协议头部和尾部，通过多层协议头尾和其相关信息来识别网络通信过程中可能出现的问题的方法，称之为专家分析。,2020/5/1,8,实验12网络嗅探与协议分析,12.3实验原理（续）,网络体系结构,2020/5/1,9,实验12网络嗅探与协议分析,FTP,TCP,IP,Ethernet,Telnet,HTTP,UDP,X.25,PPP,TCP/IP协议族,TCP/IP模型,OSI参考模型,12.3实验原理（续）,TCP/IP的主要协议-协议簇,2020/5/1,10,实验12网络嗅探与协议分析,12.3实验原理（续）,数据封装一台计算机要发送数据到另一台计算机，数据首先必须打包，打包的过程称为封装；封装就是在数据前面加上特定的协议头部；,2020/5/1,11,实验12网络嗅探与协议分析,数据,12.3实验原理（续）,TCP/IP协议的封装,2020/5/1,12,实验12网络嗅探与协议分析,TCP头,应用层数据,应用层数据,TCP头,应用层数据,IP头,帧头,TCP头,应用层数据,IP头,帧尾,应用层,传输层,网际层,数链层,网卡地址,IP地址,应用地址（80）,12.3实验原理（续）,12.3.3常见协议原理IP协议TCP/IP协议栈中重要的网际层协议；向高层提供无连接的服务；网际层传输的数据单元是分组，一般称为IP数据报；主要功能：从源端经互连网到目的端尽最大努力传输数据报。,2020/5/1,13,实验12网络嗅探与协议分析,12.3实验原理（续）,2020/5/1,14,实验12网络嗅探与协议分析,固定部分,可变部分,0,4,8,16,19,24,31,版本,标志,生存时间,协议,标识,区分服务,总长度,片偏移,填充,首部检验和,源地址,目的地址,可选字段（长度可变）,位,首部长度,数据部分,数据部分,首部,IP数据报,IP数据报格式,12.3实验原理（续）,ICMP协议：InternetControlMessageProtocolIP协议本身提供无连接的服务，不包括流量控制与差错控制功能；检测网络状态（路由、拥塞、服务质量等问题）；提供多种形式的报文，每个ICMP消息报文都被封装于IP分组中；PING是一个典型的基于ICMP协议的实用程序。,2020/5/1,15,实验12网络嗅探与协议分析,12.3实验原理（续）,ICMP报文格式,2020/5/1,16,实验12网络嗅探与协议分析,12.3实验原理（续）,2020/5/1,17,实验12网络嗅探与协议分析,ICMP报文类型差错报告（网关主机信息传输）信宿（网络、主机、协议、端口）不可达报告超时报告（TTL=0）参数差错报告IP校验和错误重组失败控制报文（网关主机）源抑制报文重定向报文请求|应答报文(主机主机信息传输)ECHO请求|应答时间戳请求|应答地址掩码请求|应答,12.3实验原理（续）,ICMP回声请求|应答,2020/5/1,18,实验12网络嗅探与协议分析,A,B,B可以到达吗？,ICMP回声请求,可以，我在这里。,ICMP回声应答,用PING命令产生的回声及其应答示意图,12.3实验原理（续）,ARP协议地址解析协议；把IP地址转换成MAC地址。,2020/5/1,19,实验12网络嗅探与协议分析,12.3实验原理（续）,ARP工作过程每个主机都有一个ARP缓存，一旦收到ARP应答，主机就将获得的IP地址和物理地址存入缓存，发送报文时，首先到缓存中查找相应项，若找不到，再利用ARP进行地址解析；在ARP请求中填上自己的IP地址和硬件地址，以避免其它主机过后再发ARP请求；,2020/5/1,20,实验12网络嗅探与协议分析,12.3实验原理（续）,当广播ARP请求时，网上所有的计算机都能收到该报文，此时各站应更新A的IP地址到物理地址之间的映射；当网上出现一个新的计算机时，该新的计算机尽可能主动广播它的IP地址和物理地址，以避免其它站都运行ARP。,2020/5/1,21,实验12网络嗅探与协议分析,12.3实验原理（续）,2020/5/1,22,实验12网络嗅探与协议分析,ARP数据报格式,12.3实验原理（续）,TCP协议：传输控制协议面向连接；可靠；在源端将上层的数据流划分成段的形式，在目的端将段重新整合成数据流；重传机制；流控制。,2020/5/1,23,实验12网络嗅探与协议分析,12.3实验原理（续）,TCP首部,20字节的固定首部,目的端口,数据偏移,检验和,选项（长度可变）,源端口,序号,紧急指针,窗口,确认号,保留,FIN,32位,SYN,RST,PSH,ACK,URG,位08162431,填充,TCP数据部分,TCP首部,TCP报文段,IP首部,发送在前,IP数据部分,2020/5/1,24,实验12网络嗅探与协议分析,TCP数据报格式,12.3实验原理（续）,TCP选项域,2020/5/1,25,实验12网络嗅探与协议分析,endofoptions,NOPnooperation,MaximumSegmentSize,WindowScaleFactor,TimeStamp,12.3实验原理（续）,建立TCP连接：通过三次握手建立一个TCP连接，协商一些参数（双方的初始序列号、分段大小等）；,2020/5/1,26,实验12网络嗅探与协议分析,客户机（发起者）,服务器（提供者）,12.3实验原理（续）,释放TCP连接：通过四次握手释放一个TCP连接。,2020/5/1,27,实验12网络嗅探与协议分析,客户机（发起者）,服务器（提供者）,FIN,FIN-ACK,FIN,FIN-ACK,发送数据,Dataack,12.3实验原理（续）,UDP协议：用户数据报协议无连接；不可靠；以用户数据报形式传送信息，在目标端不需要重组数据；不提供确认与流量控制。,2020/5/1,28,实验12网络嗅探与协议分析,12.3实验原理（续）,UDP数据报格式,伪首部,源端口,目的端口,长度,检验和,数据,首部,UDP长度,源IP地址,目的IP地址,0,17,IP数据报,字节,4,4,1,1,2,12,2,2,2,2,字节,发送在前,数据,首部,UDP用户数据报,2020/5/1,29,实验12网络嗅探与协议分析,12.3实验原理（续）,DNS协议：域名解析协议，提供域名到主机IP地址的映射；域名服务的三大要素域（Domain）和域名（Domainname）：域指由地理位置或业务类型而联系在一起的一组计算机构成；主机：由域名来标识，域名是由字符和（或）数字组成的名称，用于替代主机的数字化地址（IP地址）；域名服务器：提供域名解析服务的主机，通常由其IP地址标识。,2020/5/1,30,实验12网络嗅探与协议分析,12.3实验原理（续）,域名解析过程,2020/5/1,31,实验12网络嗅探与协议分析,12.3实验原理（续）,DNS报文格式,2020/5/1,32,实验12网络嗅探与协议分析,报文首部标识：16bit#用于查询，应答报文使用同样的#标志查询或应答；希望递归；可以递归；授权应答。,12.3实验原理（续）,DNS消息格式头部（Header）：包含关于消息性质方面的信息；查询问题（Question）：包含目的服务器请求访问的信息；回答（Answer）：包含用于提供Question部分所要求的信息的资源记录；授权（Authority）：包含指向Question部分所要求信息的权威服务器资源记录；额外信息（Additional）：包含用于回答Question部分的其他信息。,2020/5/1,33,实验12网络嗅探与协议分析,12.3实验原理（续）,2020/5/1,34,实验12网络嗅探与协议分析,12.3实验原理（续）,说明：每个DNS消息都有一个Header部分，只有当DNS消息包含数据时，DNS消息才包含其他4个部分。,2020/5/1,35,实验12网络嗅探与协议分析,12.3实验原理（续）,2020/5/1,36,实验12网络嗅探与协议分析,DNS消息的Question部分包含首标的QDCOUNT字段中设定的项目的数量；大多数情况下，该部分中只有一个选项。,12.3实验原理（续）,2020/5/1,37,实验12网络嗅探与协议分析,12.3实验原理（续）,HTTP协议：基于客户|服务器模式；客户机的操作GET：检索URL(用得最多)；HEAD：只检索响应头；POST：向服务器发送数据；PUT：putspageonserver（在服务器上放页面）；DELETE：从服务器上删除页面。HTTP消息请求；响应。,2020/5/1,38,实验12网络嗅探与协议分析,12.3实验原理（续）,2020/5/1,39,实验12网络嗅探与协议分析,12.3实验原理（续）,HTTP操作客户机发送请求GET,2020/5/1,40,实验12网络嗅探与协议分析,12.3实验原理（续）,HTTP请求报文格式,2020/5/1,41,实验12网络嗅探与协议分析,消息报头,请求行,HTTP请求报文结构Crlf：cr表示回车，lf表示换行,12.3实验原理（续）,HTTP响应报文格式,2020/5/1,42,实验12网络嗅探与协议分析,消息报头,请求行,HTTP响应报文结构Crlf：cr表示回车，lf表示换行,12.3实验原理（续）,HTTP请求消息格式,2020/5/1,43,实验12网络嗅探与协议分析,Http请求报文：ASCII（可读格式）,GET/somedir/page.htmlHTTP/1.0User-agent:Mozilla/4.0Accept:text/html，image/gif，image/jpegAccept-language:fr（extracarriagereturn，linefeed）,12.3实验原理（续）,HTTP响应消息格式,2020/5/1,44,实验12网络嗅探与协议分析,HTTP/1.0200OKDate:Thu，06Aug199812:00:15GMTServer:Apache/1.3.0（Unix）Last-Modified:Mon，22Jun1998.Content-Length:6821Content-Type:text/htmldatadatadatadatadata.,12.3实验原理（续）,FTP协议：基于客户|服务器模式Internet文件传送的基础；FTP完成两台计算机之间的拷贝，从远程计算机拷贝文件至本地计算机上，称之为“下载（download）”文件，若将文件从本地计算机中拷贝至远程计算机上，则称之为“上载（upload）”文件；在TCP/IP协议中，FTP标准命令TCP端口号为21，Port方式数据端口为20。控制连接在整个会话期间一直保持连接状态。数据连接则是临时建立的，在文件传送结束后即被关闭。,2020/5/1,45,实验12网络嗅探与协议分析,12.3实验原理（续）,FTP结构图,2020/5/1,46,实验12网络嗅探与协议分析,12.3实验原理（续）,FTP支持的模式：区别在于数据连接是由谁发起；Standard模式（PORT方式，主动方式），FTP的客户端发送PORT命令到FTP服务器；Passive模式（PASV，被动方式），FTP的客户端发送PASV命令到FTP服务器；,2020/5/1,47,实验12网络嗅探与协议分析,12.3实验原理（续）,Port模式FTP客户端首先和FTP服务器的TCP21端口建立连接，通过这个通道发送命令；客户端需要接收数据的时候在这个通道上发送PORT命令，PORT命令包含了客户端用什么端口接收数据；在传送数据的时候，服务器端通过自己的TCP20端口连接至客户端的指定端口发送数据；FTP服务器必须和客户端建立一个新的连接用来传送数据；,2020/5/1,48,实验12网络嗅探与协议分析,12.3实验原理（续）,Passive模式在建立控制通道的时候和Standard模式类似，但建立连接后发送的不是Port命令，而是Pasv命令；FTP服务器收到Pasv命令后，随机打开一个高端端口（端口号大于1024。主要原因是1024以前的端口都已经预先被定义，由一些典型的服务使用或保留给以后会用到这些端口的资源服务）并且通知客户端在这个端口上传送数据的请求；客户端连接FTP服务器端口，然后FTP服务器将通过这个端口进行数据的传送，这个时候FTP服务器不再需要建立一个新的和客户端之间的连接。,2020/5/1,49,实验12网络嗅探与协议分析,12.3实验原理（续）,Windows有自带的FTP命令和IE浏览器来作为FTP的客户端。后者在IE的地址栏上输入ftp:/FTP服务器地址来访问，前者可以在命令窗口下通过ftp命令来使用；使用FTP命令登录成功远程FTP服务器后即进入FTP子环境，在这个子环境下，用户可以使用FTP的内部命令完成相应的文件传输操作；,2020/5/1,50,实验12网络嗅探与协议分析,12.3实验原理（续）,FTP的命令格式ftp-v-d-i-n-g-w:windowsize主机名/IP地址；参数-v：不显示远程服务器的所有响应信息；-n：限制ftp的自动登录；-i：在多个文件传输期间关闭交互提示；-d：允许调试、显示客户机和服务器之间传递的全部ftp命令；-g：不允许使用文件名通配符；-w：windowsize忽略默认的4096传输缓冲区。,2020/5/1,51,实验12网络嗅探与协议分析,12.3实验原理（续）,TELNET协议：基于客户|服务器模式Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议；应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。,2020/5/1,52,实验12网络嗅探与协议分析,12.3实验原理（续）,TELNET协议的基本服务Telnet定义一个网络虚拟终端为远端系统提供一个标准接口，客户机程序不必详细了解远端系统，只需构造使用标准接口的程序；Telnet包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项；Telnet对称处理连接的两端，即Telnet不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输出。,2020/5/1,53,实验12网络嗅探与协议分析,12.3实验原理（续）,TELNET协议的应用WindowsXP自带了Telnet客户机和服务器程序，分别是Telnet.exe（客户机程序）和tlntsvr.exe（服务器程序）；TELNET客户程序为用户提供命令接口。可通过：控制面板-管理工具-服务-启动TELNET服务器程序；一旦连接到TELNET服务器，用户即可使用任何远程计算机上基于字符的应用程序，查看TELNET服务器的信息，和TELNET服务器进行数据传输。,2020/5/1,54,实验12网络嗅探与协议分析,12.3实验原理（续）,常见TELNET的命令open：使用“open主机名/IP地址”可以建立到主机的Telnet连接；close：关闭现有的Telnet连接；display：查看Telnet客户的当前设置；quit：退出Telnet客户程序。,2020/5/1,55,实验12网络嗅探与协议分析,12.3实验原理（续）,QQ协议：基于客户|服务器模式QQ好友间消息传送原理基于UDP协议来实现的，UDP数据具有固定端口8000，这些数据都通过加密的形式在网络中转输；QQ选择UDP协议的主要原因：UDP的速度比TCP要快，由于TCP协议中植入了各种安全保障功能，在实际执行的过程中会占用大量的系统开销，无疑使速度受到影响，而UDP由于排除了信息可靠传递机制，将安全和排序等功能移交给上层应用来完成，降低了执行时间，使速度得到了保证；,2020/5/1,56,实验12网络嗅探与协议分析,12.3实验原理（续）,QQ的文件传输建立在TCP连接之上的，其格式是包头为0 x04包尾为0 x03。基于UDP可以用端口再根据协议特征方式识别；而基于TCP的HTTP方式可以根据数据包的特征识别QQ数据；QQ除了使用UDP通信，还与TCPF服务器通信，而且与TCPF服务器的通信量远远大于UDP通信量。,2020/5/1,57,实验12网络嗅探与协议分析,12.3实验原理（续）,TCPF文本聊天协议簇TCPF（TextChattingProtocolFamily）文本聊天协议族，主要支持与其它QQ端进行文字聊天；TCPF是建立在UDP协议上的协议簇；TCPF是以请求响应模式工作的，也就是说，客户端发出一个请求，服务器端会给出一个相应的响应；服务器向客户端发送信息，客户端也会给服务器相应的响应。请求和响应通过相同的序列号来进行配对（请求代码也应该相同）。而且每种请求的发起方都是相同的。,2020/5/1,58,实验12网络嗅探与协议分析,12.3实验原理（续）,TCPF格式：包头+数据+包尾包头：QQ协议有多种包头，分别代表一类用途的包，所有的TCPF包的前七个字节是包头，从包头可以识别包的内容；第0个字节：TCPF包标示：0 x02；第1-2个字节：发送者标识，如果是0 x010 x00，表明是由服务器发送，客户端的标识与所使用的QQ版本有关；第3-4个字节：命令编号；第5-6个字节：命令序列号；包尾：所有的TCPF包都以0 x03作为包尾；,2020/5/1,59,实验12网络嗅探与协议分析,12.3实验原理（续）,TCPF数据登录请求包LIP（LogInPacket）：由客户端向服务器发出登录请求的数据包；登录应答包LRP（LoginReplyPacket）：由服务器响应客户端登录请求的数据包；注销请求包LOP（LogOutPacket）：由客户端向服务器发出注销登录请求的数据包，服务器对此包不作应答；客户端其它包CSP（ClientSentPacket）：客户端向服务器发送的其它包；服务器其它包SSP（ServerSentPacket）：由服务器向客户端发送的其它包。,2020/5/1,60,实验12网络嗅探与协议分析,12.3实验原理（续）,迅雷下载协议：基于P2SP技术的下载软件S指的是SERVER，就是在P2P的基础上增加了对SERVER的资源下载，也就是说P2SP是一种能同时从多个服务器和多个节点进行下载的技术；迅雷的下载速度会比只从服务器下载（P2S）或只从节点下载（P2P）的软件速度要更快；P2SP下载是一种多资源多协议下载方式，全称是PeertoServerPeer，即用户对服务器和用户；,2020/5/1,61,实验12网络嗅探与协议分析,12.3实验原理（续）,P2SP有效地把原本孤立的服务器和其镜像资源以及P2P资源整合到了一起；P2P的下载概念，就是下载不再象传统方式那样只能依赖服务器，内容的传递可以在网络上的各个终端机器中进行；在传统的传输技术中用户一次只能连接一个服务器进行下载，而P2SP技术能搜索某一内容在其他服务器上镜像并将其存储于数据库中，用户能同时从多个服务器上下载内容；在P2SP中通过引入服务器作为资源数据来源的方法，避免了P2P中资源提供不稳定的问题。,2020/5/1,62,实验12网络嗅探与协议分析,12.3实验原理（续）,迅雷的核心技术：智能资源选择用户使用迅雷下载某个文件的同时，迅雷会自动收集用户的下载地址，并以MD5值判断是否为同一个文件，从而形成一个庞大的下载链接库，这样就在迅雷服务器端进行了资源的整合；当后面的用户下载同一个文件时，迅雷就会根据用户具体的网速而去一个速度最快的服务器上面下载同一个文件；由于选择通常是最优化的结果，因此用户感觉下载速度的确非常快。,2020/5/1,63,实验12网络嗅探与协议分析,12.4实验内容,12.4.1安装Winpcap和WireShark应用软件12.4.2运行WireShark，捕获网络上的数据包12.4.3分析ARP、ICMP、TCP、IP、DNS、TELNET、HTTP、FTP等协议工作过程12.4.4分析QQ协议、迅雷下载协议,2020/5/1,64,实验12网络嗅探与协议分析,12.5实验环境,12.5.1网络嗅探背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析以公司网关为嗅探对象；截获网络数据并分析。,2020/5/1,65,实验12网络嗅探与协议分析,12.5实验环境（续）,12.5.2TCP/IP协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析以公司网关为嗅探对象；截获网络IP、UDP和TCP数据包并分析相关协议。,2020/5/1,66,实验12网络嗅探与协议分析,12.5实验环境（续）,12.5.3HTTP协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析设置过滤条件：notbroadcastandnotmulticast，过滤无关信息；以为嗅探对象，截获网络HTTP数据包并分析HTTP协议。,2020/5/1,67,实验12网络嗅探与协议分析,12.5实验环境（续）,12.5.4FTP协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析设置过滤条件，过滤无关信息；在客户端命令行窗口登录FTP服务器，截获网络FTP数据包并分析FTP协议。,2020/5/1,68,实验12网络嗅探与协议分析,12.5实验环境（续）,12.5.5TELNET协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析设置过滤条件，过滤无关信息；在客户端命令行窗口登录TELNET服务器，截获网络TELNET数据包并分析TELNET协议。,2020/5/1,69,实验12网络嗅探与协议分析,12.5实验环境（续）,12.5.6DNS协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；在cmd窗口输入相关命令，利用WireShark截获网络DNS数据包并分析DNS协议。,2020/5/1,70,实验12网络嗅探与协议分析,12.5实验环境（续）,12.5.7ARP协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；在cmd窗口输入相关命令，利用WireShark截获网络ARP数据包并分析ARP协议。,2020/5/1,71,实验12网络嗅探与协议分析,12.5实验环境（续）,12.5.8QQ协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；利用WireShark截获网络QQ数据包并分析QQ协议。,2020/5/1,72,实验12网络嗅探与协议分析,12.5实验环境（续）,12.5.9迅雷下载协议分析背景描述：某公司LAN的主机连接交换机，并由路由器接入Internet，因业务扩展，公司决定进行网络嗅探，为此需要安装Winpcap和WireShark应用软件，嗅探网络类型；需求分析选择侦听网卡，开始抓包；利用WireShark截获网络迅雷下载数据包并分析迅雷下载协议。,2020/5/1,73,实验12网络嗅探与协议分析,12.6实验