参考实验1网络协议分析工具Wireshark使用

1、大连理工大学本科实验报告课程名称： 网络综合实验 学院（系）： 软件学院 专 业： 网络工程 班 级： 0908 学 号： 200992471 学生姓名： 王小龙 2011年 6 月 22 日 大连理工大学实验报告学院（系）： 软件学院 专业： 网络工程 班级：0908 姓 名： 王小龙 学号： 200992471 组： 12 _ 实验时间： 2011-6-22 实验室： c-310 实验台： 指导教师签字： 成绩： 实验一：网络协议分析工具wireshark的使用一、实验目的学习使用网络协议分析工具wireshark的方法，并用它来分析一些协议。二、实验原理和内容1、tcp/ip协议族中网络

2、层传输层应用层相关重要协议原理2、网络协议分析工具wireshark的工作原理和基本使用规则三、实验环境以及设备pc机、双绞线四、实验步骤（操作方法及思考题）1. 用wireshark观察arp协议以及ping命令的工作过程：（20分） （1）打开windows命令行，键入“ipconfig -all”命令获得本机的mac地址和缺省路由器的ip地址；如图所示：（2）用“arp -d”命令清空本机的缓存；如图（3）开始捕获所有属于arp协议或icmp协议的，并且源或目的mac地址是本机的包。具体方法为：运行wireshark，点击capture选项，选中下拉菜单中的options选项。在弹出的框

3、中的capture filter中输入“(arp or icmp) and ether host 00-25-64-3b-53-5d”并消除“hide capture info dialog”前的勾，如图所示：（4）执行命令：“ping 192.168.32.254”如图所示：此时wireshark所观察到的现象如图所示：其原因为：”ping 192.168.32.254”是对本地网关的查询，从上图知host向destination共发送了4个pakets，即有4跳，故有4个回射请求和4个回射应答。2. 用wireshark观察tracert命令的工作过程：（20分）（1） 运行wiresha

4、rk, 由于tracert命令中用到的消息为icmp，所以开始捕获icmp消息；其过滤规则为：icmp and ether host 00:25:64:3b:53:5d（2） 在windows命令行中执行“tracert -d ” wireshark中观察到如图所示：tracert的工作原理:tracert先发送ttl为1的回射数据包，并在随后每次发送过程将ttl加1，依次发送ttl为1、2、3、4、5的icmp报文，从源地址到目的地址共经过了5跳路由，第六跳到达目的地址。各个路由在转发数据包ttl之前将其减1，当数据包上的ttl为0时，路由器将icmp已超时的消息发送至源系统。为了保证网路的

5、稳定性，源端每次发送3组icmp数据包，直到到达相应目标，或ttl到达最大值。tracert命令可以用来追踪数据包所经过的所有路由器，从而一般用来检测网络异常的故障所在。3. 用wireshark观察tcp连接的建立过程和终止过程：（30分）（1）启动wireshark, 配置过滤规则为捕获所有源或目的是本机的telnet协议中的包其中，tcp端口号位为23，过滤规则为：tcp port 23 and ether host 00:25:64:3b:53:5d, 如图所示：（2）在windows命令行窗口中执行命令 “telnet ”，登录碧海青天bbs，此时wireshark所观察到的现象如图

6、：此图为tcp三路连接过程：（1）建立连接时，客户端发syn=j到服务器（图中序列号为0），等待服务器确认；（2）服务器收到syn包，必须确认客户的syn,ack=j+1，（图中ack=1）同时自己也发送一个syn包（syn=k），即syn+ack包，此时服务器进入syn_recv状态； （3）客户端收到服务器的synack包，向服务器发送确认包ack=k+1，（图中此时序列号为1）此包发送完毕，客户端和服务器进入established状态，完成三次握手。然后正常退出bbs，此时wireshark所观察到的现象如图：此图为tcp断开连接的四路握手过程：（1） tcp 服务器发送一个fin，用来

7、关闭客户到客户端的数据传送。（2客户端收到这个fin，它发回一个ack，确认序号为收到的序号加1。和syn一样，一个fin将占用一个序号。（3）客户端关闭服务器的连接，发送一个fin给服务器。（4）服务器发回ack报文确认，并将确认序号设置为收到序号加1。由图容易知，本实验是服务器先发起的关闭连接4. 用wireshark观察使用dns来进行域名解析的过程：（30分）（1）在windows命令窗口中执行命令“nslookup”，进入该命令的交互模式；（2）启动wireshark, 配置过滤规则为捕获所有源或目的是本机的dns协议中的包，dns使用的传输层协议是udp，它使用udp端口号53，过

8、滤规则为：udp port 53 and ether host 00:25:64:3b:53:5d, 如图：（3）在提示符“>”下直接键入域名，解析它所对应的ip地址； 由主机名解析ip的过程：由wireshark所观察现象知本机先向第一跳路由器发送一个a记录查询，.oureda-server-nat,判断其是否有对应于此的ip地址，收到返回信息告知无此域名，该路由广播该信息查找此主机名对应的ip地址，当再次发送目的地址，得到对应ip地址。（4）在提示符“>”下键入命令“set type=mx”，设置查询类型为mx记录;（5）在提示符“>”下键入域名“”,解析它所对应的mx记

9、录；由wireshark所观察到的解析域名“”所对应mx记录的过程。其过程为：主机先向其第一跳路由发送一个mx记录查询，.oureda-server-nat，判断其是否有此域名对应的ip地址，收到返回消息告知无此类域名；该路由发送广播信息查询此域名，当再次发送查询请求时，得到邮件服务器主机名，然后主机再向路由器发送一个a记录查询.oureda-server-nat，收到消息无此域名，最后路由器广播查询此域名，得到对应的ip地址。（6）在提示符“>”下键入命令“set type=a”，恢复查询类型为a记录; （7）在提示符“>”下键入mx记录的查询结果，从而查出“”邮件服务器的ip地址； “”域有几个邮件服务器？它们的ip地址分别是什么？有2个邮件server:第一个第二个name: ;name：address: 202.118.66.6address: 202.108.