实验1：网络协议分析工具Wireshark的使用

大连理工大学本科实验报告课程名称：网络工程实验学院（系）：软件学院专业：软件工程班级：0905学号：200992学生姓名：2011年6月22日

大连理工大学实验报告学院（系）：软件学院专业：软件工程班级：0905（英）姓名：学号：200992组：___实验时间：2011-06-20实验室：C_310实验台：12指导教师签字：成绩：实验一：网络协议分析工具Wireshark的使用一、实验目的学习使用网络协议分析工具Wireshark的方法，并用它来分析一些协议。二、实验原理和内容1、tcp/ip协议族中网络层传输层应用层相关重要协议原理2、网络协议分析工具Wireshark的工作原理和基本使用规则三、实验环境以及设备Pc机、双绞线四、实验步骤（操作方法及思考题）用Wireshark观察ARP协议以及ping命令的工作过程：（20分）（1）用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（2）用“arp”命令清空本机的缓存；（3）运行Wireshark，开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）;（4）执行命令：“ping缺省路由器的IP地址”；写出（1），（2）中所执行的完整命令（包含命令行参数），（3）中需要设置的Wireshark的CaptureFilter过滤规则，以及解释用Wireshark所观察到的执行（4）时网络上出现的现象。答：(1)命令为：ipconfig/all命令为：arp-d在（3）中进行capture的option设置，其中表示，捕获所有源或目的MAC地址是“08:00:1B:D3:D3:61”（自己的机器）的arp或者icmp协议包。上图为捕获内容。其中两条ARP协议一次为自己主机发出广播寻找IP为54的方位，然后有信息返回其MAC地址。ICMP协议为3--10，源端向目的端连续发送4个ICMP请求，分别为第3、5、7、9条，而且得到了目的端回答，分别为4、6、8、10条。用Wireshark观察tracert命令的工作过程：（20分）运行Wireshark,开始捕获tracert命令中用到的消息；执行“tracert-d”根据Wireshark所观察到的现象思考并解释tracert的工作原理。其中wireshark的配置与上次相同，得到的捕获结果为：源端向目的端发送一个IP生存时间(TTL)值的Internet控制消息协议（ICMP）回应数据包，初次设置为TTL=1，要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1。数据包上的TTL减为0时，路由器应该将ICMP已超时的消息发回源系统。此过程体现在捕获包1——6上。其后，源端每次发送过程将TTL递增1，直到目标响应或TTL达到最大值，从而确定路由。依次为TTL=2：捕获包7——12；TTL=3：包13——18；TTL=4:包19——24；TTL=5：包25——30。当TTL=6时，可见，到达了目的端。此时tracert过程结束，访问路由确定，顺序依次从上往下。用Wireshark观察TCP连接的建立过程和终止过程：（30分）（1）启动Wireshark,配置过滤规则为捕获所有源或目的是本机的Telnet协议中的包（提示：Telnet使用的传输层协议是TCP，它使用TCP端口号23）；（2）在Windows命令行窗口中执行命令“telnet”，登录后再退出。请在实验报告中：写出步骤（1）中需要设置的Wireshark的CaptureFilter过滤规则；根据Wireshark所观察到的现象解释TCP三次握手的连接建立过程；根据Wireshark所观察到的现象解释TCP的连接终止过程；根据Wireshark所观察到的现象说出是哪一方首先发起连接关闭；答：a：B：上图为三次“握手”过程。捕获包1表示源端向目的端发送一个包含SYN信息的请求包；包2为目的端返回包，包含接受信息ACK=1等，并将为此次连接建立缓存的物理条件；包3为源端接受信息，及发往目的端的序列号seq。连接建立成功。c：d：上图为连接终止过程。其中捕获包76显示服务器向本机发送一个FIN信号，即请求关闭连接；随后本机接受发送ack信号，Seq=66，而且发送FIN信号，79包显示服务器接受本机信号返回ack=67，连接关闭。用Wireshark观察使用DNS来进行域名解析的过程：（30分）（1）在Windows命令窗口中执行命令“nslookup↙”，进入该命令的交互模式；（2）启动Wireshark,配置过滤规则为捕获所有源或目的是本机的DNS协议中的包（提示：DNS使用的传输层协议是UDP，它使用UDP端口号53）；（3）在提示符“>”下直接键入域名，解析它所对应的IP地址；（4）在提示符“>”下键入命令“settype=mx”，设置查询类型为MX记录;（5）在提示符“>”下键入域名“”,解析它所对应的MX记录；（6）在提示符“>”下键入命令“settype=a”，恢复查询类型为A记录;（7）在提示符“>”下键入MX记录的查询结果，从而查出“”邮件服务器的IP地址；（8）在提示符“>”下键入“exit”，退出nslookup的交互模式。请在实验报告中回答：写出步骤（2）中需要设置的Wireshark的CaptureFilter过滤规则；根据Wireshark所观察到的现象解释解析域名“”所对应IP地址的过程。根据Wireshark所观察到的现象解释解析域名“”所对应MX记录的过程。“”域有几个邮件服务器？它们的IP地址分别是什么？ A.B.上图显示当前的DNS服务器：前两条捕获包表示该域名的注册主DNS非提交查询的DNS服务器。后两条显示上层DNS服务器解析后返回给本机要解析域名的IP为：6C.(MX)同上文，此次解析后两条有效，第10条本机得到返回信息：的邮件服务器为（A）将上文得到的邮件服务器输入后，a