（精选文档）网络协议分析工具使用

1、 实 验 报 告 项目名称： 小型局域网的设计 课程名称： 计算机网络 A 班级： 计111 计111 姓名： 陈欣维 李洋宇学号：110769 110773教师： 张晓明 信息工程学院计算机系 实验二 网络协议分析工具的使用 一、实验目的1. 了解协议分析仪Sniffer或Wireshark（原为Ethereal）的使用方法和基本特点，掌握使用协议分析仪分析协议的方法。2. 了解Ping命令的工作过程； 3. 了解FTP协议的工作过程。二、实验前的准备 熟悉Ping命令，FTP协议； 了解协议分析仪的功能和工作原理； 了解Wireshark或Sniffer分析仪的使用方法； 阅读本实验的阅读

2、文献； 三、实验内容要求 学习捕获选项的设置和使用。 使用Wireshark或Sniffer分析仪捕获一段Ping命令的数据流，并分析其工作过程。 登录，并下载三个大小不同的文件（小于1KB、1KB1MB、1MB以上），使用分析仪分析其工作过程。 设置显示过滤器，以显示所选部分的捕获数据。 完成网络监视功能测试； 实现数据报文解码分析。 保存捕获的数据，分别是TEXT文件和XML文件。四、现有条件 计算机实验室有5个专业实验室，全部具有局域网络特点，并能够上因特网。 具有网络协议分析工具Wireshark或Sniffer软件，并在计算机已经安装。五、 学

3、习与使用（Wireshark软件简介）1. 功能和特点Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成 电工技师使用电表来量测电流、电压、电阻 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。2. 使用目的网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识当然，有的人也会“居心叵测”的用它来寻找一些敏

4、感信息。Wireshark不是入侵侦测软件（Intrusion DetectionSoftware,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。六、实验步骤1. PING命令 a) 利用ipconfig命令获取本机ip由图可获得以下信息：本机在局域网中的ip：38本机在外网中的ip：2b) 使用ping命令，

5、向地址为46的主机发包在DOS下使用PING命令，发出四个包，收到四个包，丢失率为零。源ip地址：2 目的ip地址：46 ；TTL值为63。c) 利用Wireshark软件，対ping指令进行分析抓包情况分析：如图为在执行ping命令时利用Wireshark软件以ip.addr=46（即目的地址以及源地址均为46）为条件过滤出来的8个包（其中发出的申请访问的包4个，收到的主机回应的包4个），与doc下反映的报的数目相同。对第一个申请访问包的分析：源ip地址38目的i

6、p地址46IP协议版本4头部长度20TTL值64总长度60变时0x0518标志保留位:0. = Reserved bit: Not Set分片：.0. = Dont fragment: Not Set更多分片：.0 = More fragments: Not Set片偏移0头部校验和校验和：0x5264源地址：38 目的地址：46IMCP类型：8代码：0x00校验和：0x4d36标示符：0x0001序列号：37对第一个远程主机回应包的分析：源ip地址46目的ip地址38IP协议版本4头部长

7、度20TTL值64总长度60变时0x548d标志保留位:0. = Reserved bit: Not Set分片：.0. = Dont fragment: Not Set更多分片：.0 = More fragments: Not Set片偏移0头部校验和校验和：0x03ef源地址：46 目的地址：38IMCP类型：0代码：0x00校验和：0x5536标示符：0x0001序列号：372. tracert 46a) 用tracert命令跟踪46b) 向dns服务器请求一个地址为46的主机，主

8、机回复无此计算机。3. 访问FTPa) 登陆ftp：第一步：查询（使用协议：DNS协议）本机请求寻找主机地址为的主机，地址为的主机回应本机请找地址为的主机。第二步：用户名发送（使用协议：FTP协议）本机向地址为的主机发送用户名anonymous，等待回应。第三步：用户名通过（使用协议：FTP协议） 地址为的主机回应用户名通过，向本地主机索anonymous用户名下的登陆密码。第四步：密码发送（使用协议：FTP协议） 本机向地址为的主机发送密码flashfx

9、，等待回应。第五步：密码通过（使用协议：FTP协议） 地址为的主机回应密码通过，向本地主机回应登陆成功信息。b) 文件目录第一步：MLST同步表头信息（使用协议：FTP） ftp主机向本地主机发送表头信息，格式为文件名、大小、修改时间。效果如下图所示第二步：MLSD同步文件夹（使用协议：FTP） ftp主机向本地主机发送文件夹信息。效果如下图所示c) 下载三个大小不同的文件（小于1KB、1KB1MB、1MB以上）小于1KB文件传输：提取目标如上，大小为672字节本地主机向ftp主机申请提取文件FTP使用说明.txt数据分析：源ip地址2

10、目的ip地址38IP协议版本4头部长度20TTL值127总长度712变时0x548d头部校验和校验和：0x8f7e源地址： 目的地址：38TCP源端口：ncacn-ip-tcp（3062）目的端口：ftp(21)序列号：1下个相关序列号：673相关ACK号：1头部长度：201KB1MB文件提取：提取目标如上，大小为16KB请求提取数据分析：源ip地址38目的ip地址IP协议版本4头部长度20TTL值64总长度56变时0x0208头部校验和校验和：0x2000源地址：10.

11、10.28.138 目的地址：TCP源端口：50994目的端口：ftp(21)序列号：46下个相关序列号：62相关ACK号：184头部长度：20连接建立数据分析：源ip地址目的ip地址38IP协议版本4头部长度20TTL值127总长度65变时0x11e9头部校验和校验和：0xd115源地址： 目的地址：38TCP源端口： ftp(21)目的端口：50994序列号：184下个相关序列号：209相关ACK号：62头部长度：20窗口大小：653071MB以上文件提取：提取目标如上，大小为4.90

12、MB请求提取数据分析：源ip地址38目的ip地址IP协议版本4头部长度20TTL值64总长度57变时0x0f08头部校验和校验和：0x12ff源地址：38 目的地址：TCP源端口：51088目的端口：ftp(21)序列号：47下个相关序列号：64相关ACK号：254头部长度：20连接建立数据分析：源ip地址目的ip地址38IP协议版本4头部长度20TTL值127总长度65变时0x4adc头部校验和校验和：0x9822源地址： 目的地址：10.10.

13、28.138TCP源端口： ftp(21)目的端口：51088序列号：254下个相关序列号：279相关ACK号：64头部长度：20窗口大小：65317a) 退出ftp第一步：本地主机向ftp主机发出退出请求请求数据分析：源ip地址38目的ip地址IP协议版本4头部长度20TTL值64总长度46变时0x1bdc头部校验和校验和：0x0636源地址：38 目的地址：TCP源端口：51224目的端口：ftp(21)序列号：1下个相关序列号：7相关ACK号：1头部长度：20窗口大小：16292第二步：ftp主机回应本地

14、主机允许登出回应数据分析：源ip地址目的ip地址38IP协议版本4头部长度20TTL值127总长度53变时0x1676头部校验和校验和：0xcc94源地址： 目的地址：38TCP源端口： ftp(21)目的端口：51224序列号：1下个相关序列号：14相关ACK号：7头部长度：20窗口大小：654234. 学校邮箱登陆学校邮箱登陆输入界面数据分析：源ip地址38目的ip地址9TCP源端口：51538目的端口：http(80)序列号：1下个相关序列号：718相关ACK号：

15、1头部长度：20HTTP支持文件类型：text/html, application/xhtml+xml, */*引用网页:/index.htm支持语言：zh-CN支持编码类型：gzip, deflate主机地址：内容类型：application/x-www-form-urlencoded内容长度：142线上文本数据域名：用户名：lyy密码：*5. 保存捕获的数据，分别是TEXT文件和XML文件如图为wireshark保存的txt以及xml格式的文件txt格式文件的打开情况xml格式文件的打开情况七、实验心