wireshark抓ping包分析

内网中利用Wireshark分析ping命令执行过程目录1. Ping的过程 (1)2. 如图：测试环境 (1)3. 执行一下ping 18.250.0.31看看结果 (2)4. Ping同网段ip，消息发出后，无法获得目的ip的mac地址的情况 (4)5. 没有路由的情况模拟 (5)6. 恢复集成网卡的网线的情况 (6)6.1. Ping其他网段的情况 (7)6.2. Ping异网段的ip，没有得到reply的情况 (8)6.2.1. 这个ip不存在时 (8)6.2.2. 当对方ip存在，但打开防火墙时会出现time out的现象 (9)6.2.3. 没有回程路由，ping过去是time out (11)7. 结论： (12)8. 知识点： (12)Ping命令是我们常用的用来探查网络导通性的工具，ping命令执行结果往往能反应出网络的一些问题，下面我们用wireshark来分析一下内网中ping命令执行过程及几种常见结果和其原因？1.Ping的过程：ping属于icmp协议的探查消息，属于ip层协议，利用发出request消息携带一段字符串到目的ip，当收到目的ip返回的reply消息，携带同一段字符串返回时，认为网络层是导通的。

当cmd下输入ping命令后，操作系统首先查询路由表，看是否是符合直连路由，符合的话，要查询arp缓存里是否有对应目的ip的arp地址，没有的话，要发起arp广播request 消息，来获取目的ip的mac地址，获取成功后，ip层组成ping消息，二层进行mac层封装，发出二层单播消息出去到目的ip地址。

当发现不符合直连路由，就查缺省路由，这时要查询缺省网关的mac地址，当arp缓存里有缺省网关的ip的mac地址时，直接发包，没有的话，要发起二层广播arp请求消息，去请求网关的mac地址，获得到网关mac后，二层组包发出ping的request消息。

目的ip网段的网关收到ping的request消息后，检查对应arp缓存表，有的话，直接转发arp请求消息，没有的话，发起在本网段的arp查询请求二层广播消息，获得应答后，根据mac地址组包，对方目的ip收到ping的request消息后，查询自身的路由表，有回程路由的话组成ping的reply消息，携带request里携带探查字符串发回到源目的ip侧。

安徽农业大学计算机网络原理课程设计报告题目wireshark抓包分析了解相关协议工作原理姓名学号院系信息与计算机学院专业计算机科学与技术中国·合肥二零一一年12月Wireshark抓包分析了解相关协议工作原理学生：康谦班级：09计算机2班学号：09168168 指导教师：饶元（安徽农业大学信息与计算机学院合肥）摘要：本文首先ping同一网段和ping不同网段间的IP地址，通过分析用wireshark抓到的包，了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。

然后考虑访问抓到的包与访问抓到的包之间的区别，分析了访问二者网络之间的不同。

关键字：ping 同一网段不同网段 wireshark 协议域名服务器正文：一、ping隔壁计算机与ping 抓到的包有何不同，为什么？（1）、ping隔壁计算机ARP包：ping包：（2）ing ARP包：Ping包：（3）考虑如何过滤两种ping过程所交互的arp包、ping包；分析抓到的包有何不同。

答：ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题，如果要找的主机和源主机不在同一个局域网上，就会解析出网关的硬件地址。

二、访问，抓取收发到的数据包，分析整个访问过程。

（1）、访问ARP（网络层）：ARP用于解析IP地址与硬件地址的映射，本例中请求的是默认网关的硬件地址。

源主机进程在本局域网上广播发送一个ARP请求分组，询问IP地址为192.168.0.10的硬件地址，IP地址为192.168.0.100所在的主机见到自己的IP 地址，于是发送写有自己硬件地址的ARP响应分组。

并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。

DNS（应用层）：DNS用于将域名解析为IP地址，首先源主机发送请求报文询问 的IP地址，DNS服务器210.45.176.18给出的IP地址为210.45.176.3TCP（运输层）：TCP协议是面向连接的协议，运输连接用来传送TCP报文，运输连接有三个阶段，即连接建立、数据传送和连接释放。

wireshark抓包原理解析Wireshark是一款功能强大的网络协议分析软件，可以帮助用户查看和分析网络数据包。

它能够从网络接口上捕获数据包，还可以根据不同的协议对数据包进行解析和分析。

那么，Wireshark是如何实现抓包的呢？下面，我们就从网络以及软件两个方面来解析Wireshark的抓包原理。

一、网络方面那么，数据包是如何到达我们的计算机的呢？它是通过网络线路、路由器等物理设备传输到各个计算机的网络接口上的。

当计算机收到数据包时，它会通过网络接口把数据包交给操作系统进行处理。

这个时候，Wireshark就可以通过在操作系统的网络接口处进行数据包捕获，从而实现对网络数据包的抓包。

当数据包进入网络接口时，它首先会被操作系统进行缓存。

这时，Wireshark就可以通过网络接口的混杂模式来抓取数据包。

混杂模式是指，网络接口会将所有经过它的数据包都传递给操作系统的缓存区，不管这些数据包是否是针对这台机器的。

这就使得Wireshark可以捕获所有经过这个网络接口的数据包。

二、软件方面Wireshark实现抓包主要是通过软件技术来实现的。

它使用了一种叫做「WinPcap」的软件包来实现对网络接口的监控和数据包的捕获。

WinPcap是一种针对Windows平台的网络接口抓包工具，它可以实现对网络接口的数据包进行捕获和过滤。

而Wireshark则是通过对WinPcap进行二次开发，来实现了更加丰富和强大的抓包功能。

当Wireshark收到从WinPcap传递来的数据包时，它首先会对数据包进行解析和过滤。

这个过程实际上就是Wireshark进行抓包和分析的核心部分。

它会根据数据包的协议类型和格式来进行解析，还可以根据用户的需求进行数据包的过滤，从而确保只抓取到用户所关心的数据包。

经过这些处理之后，Wireshark就可以在界面上展示出这些数据包的详细信息。

总结：Wireshark的抓包原理是通过在网络接口处捕获数据包，使用软件进行解析和过滤，并将结果呈现在界面上的方式实现的。

wireshark抓包实验报告总结一、实验目的本次实验的主要目的是学习Wireshark抓包工具的使用方法，掌握网络通信过程中数据包的组成和解析方式，以及了解常见网络协议的运行机制。

二、实验环境本次实验使用的操作系统为Windows 10，使用Wireshark版本为3.4.6。

三、实验步骤1. 安装Wireshark软件并打开。

2. 选择需要抓包的网络接口，并开始抓包。

3. 进行相应的网络操作，例如访问网站、发送邮件等。

4. 停止抓包，并对捕获到的数据包进行分析和解析。

四、实验结果1. 抓取HTTP请求和响应数据包通过Wireshark抓取HTTP请求和响应数据包，可以轻松地了解HTTP协议在通信过程中所传输的信息。

例如，在访问一个网站时，可以看到浏览器向服务器发送GET请求，并获取到服务器返回的HTML 页面等信息。

同时还可以看到HTTP头部中所携带的信息，例如User-Agent、Cookie等。

2. 抓取TCP连接数据包通过Wireshark抓取TCP连接数据包，可以了解TCP协议在建立连接、传输数据和关闭连接时所涉及到的所有步骤。

例如，在进行FTP 文件传输时，可以看到TCP三次握手建立连接，以及文件传输过程中TCP的流量控制和拥塞控制等。

3. 抓取UDP数据包通过Wireshark抓取UDP数据包，可以了解UDP协议在通信过程中所涉及到的所有信息。

例如，在进行DNS域名解析时，可以看到DNS服务器返回的IP地址等信息。

五、实验总结通过本次实验，我学会了使用Wireshark抓包工具进行网络数据包分析的方法，并了解了常见网络协议的运行机制。

同时也发现，在网络通信过程中，数据包所携带的信息非常丰富，能够提供很多有用的参考和指导。

因此，在实际工作中，我们应该灵活运用Wireshark等工具进行网络数据包分析，并结合具体业务场景进行深入研究和分析。

Wireshark抓包实验报告第一次实验：利用Wireshark软件进行数据包抓取抓取一次完整的网络通信过程的数据包实验一，实验目的：通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。

二，实验环境：操作系统为Windows 7,抓包工具为Wireshark.三，实验原理：ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

四，验步骤：2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1图 1-1图 1-2停止抓包后，截取的数据如图 1-3图 1-34，分析数据包：选取一个数据包进行分析，如图1- 4图1-4每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。

DLC协议的目的和源是MAC，IP协议的目的和源是IP，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。

ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下：（1）诊断报文（类型：8，代码0；类型：0代码：0）；(2）目的不可达报文（类型：3，代码0-15）；（3）重定向报文（类型：5，代码：0--4）；（4）超时报文（类型：11，代码：0--1）；（5）信息报文（类型：12--18）。

一，实验目的：通过本次实验，掌握使用Wireshark抓取TCP协议的数据包的技能，能够在深入分析“TCP的三次握手”，TCP的四次挥手协议在网络数据流的基础上，进一步提高理论联系实践的能力。

1.Wireshark 数据包分析(1)1.用Wireshark查看并分析服务器场景PYsystem20191桌面下的capture1.1.pcap数据包文件，通过分析数据包capture1.1.pcap找出主机MAC地址最后两位为“ad”的经纬度信息，并将经纬度信息作为Flag值（之间以英文逗号分隔，例如39.906000,116.645000）提交；过滤规则:经纬度信息:2.继续分析数据包capture1.1.pcap，找出目标服务器操作系统的版本信息，并将服务器操作系统的版本号作为Flag值提交；步骤1：步骤2：找到对应的数据包追踪TCP流3.继续分析数据包capture1.1.pcap，找出黑客登录的用户名，并将用户名作为Flag值提交；（现在判断可能是SMB登录）步骤1：类似这种排序的数据包为登录成功的数据包4.继续分析数据包capture1.1.pcap，找出黑客登录使用的密码，并将密码作为Flag值提交；步骤1：拼接登录凭证`user::domain:NTLM Server Challenge:NTProofStr:NTLMv2 Response 中去除NTProofStr步骤2：拼接hash步骤3：hashcat破解登录凭证，可能是字典破解和暴力破解5.使用Wireshark查看并分析服务器场景PYsystem20191桌面下的capture1.2.pcap数据包文件，设置过滤规则，仅显示TCP协议且源端口为23的数据包，并将该过滤规则作为Flag值（提交的答案中不包含空格，例如：ip.dst == 172.16.1.1则Flag为ip.dst==172.16.1.1）提交；步骤1：tcp.srcport==236.继续分析数据包capture1.2.pcap，找出黑客暴力破解Telnet的数据包，将破解成功的用户名和密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交；步骤1：步骤2：登录成功特征，Telnet Server和C:搜索这两个关键词7.继续分析数据包capture1.2.pcap，找出黑客Telnet成功后输入的命令，并将命令作为Flag值提交；步骤1：追踪登录成功的TCP流步骤2：ping 192.168.56.129 –n 198.继续分析数据包capture1.2.pcap，找出黑客控制了目标靶机后通过靶机向攻击机发送了多少次ICMP请求，并将请求的次数作为Flag值提交。

Wireshark抓包实验⼀、实验名称利⽤Wireshark抓包并分析 TCP/IP 协议⼆、实验⽬的通过实验，了解和掌握报⽂捕获⼯具 Wireshark 的使⽤⽅法和基本特点，使⽤ Wireshark 捕获⽹络报⽂，并分析各种⽹络协议的报⽂格式和⼯作过程。

三、实验内容使⽤ Wireshark 捕获⽹络报⽂，分析以太⽹、ARP、IP、TCP、DNS 和 HTTP 等协议的报⽂格式和⼯作过程。

四、实验步骤DNS分析在 cmd 下运⾏：nslookup –type=Anslookup –type=NS nslookup –type=MX nslookup –type=A 然后⽤Wireshark捕获报⽂并分析DNS和UDP协议的报⽂格式和⼯作过程。

ICMP分析在cmd下运⾏pingtracert然后⽤Wireshark捕获报⽂并分析 ICMP 报⽂格式和⼯作过程。

TCP/IP分析a) 在浏览器输⼊ ⽹址后，然后⽤ Wireshark 捕获报⽂并分析HTTP，TCP，IP，ARP和以太⽹等协议的报⽂格式和⼯作过程。

b) 运⾏各⾃编写的 UDP 和 TCP 客户/服务器程序并进⾏抓包分析。

五、实验结果及分析（⼀）DNS分析通过ipconfig命令查看IP、⽹关地址IP地址192.168.43.217默认⽹关192.168.43.1DNS报⽂格式DNS分析⼤体相同，就选择其⼀进⾏分析1.在cmd下运⾏nslookup -type=A ⾮权威应答：110.53.188.133 113.247.230.248 202.197.9.133应答服务器地址为192.168.43.1，为默认⽹关地址利⽤wireshark进⾏抓包分析，筛选DNS报⽂，本次运⾏有4个DNS报⽂，可以看出对应请求包和响应包的源IP与⽬的IP刚好相反。

Query这是⼀个请求报⽂。

⾸先主机发送⼀个 DNS 报⽂。

DNS 采⽤ UDP 协议⽀持。

Wireshark抓包实例分析通信工程学院 010611班赖宇超 01061093一(实验目的1.初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter 和Display Filter的使用。

2.通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如:TCP、IP、SMTP、POP、FTP、TLS等。

UDP、3.进一步培养理论联系实际，知行合一的学术精神。

二(实验原理1.用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。

2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。

3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。

三(实验环境1.系统环境:Windows 7 Build 71002.浏览器:IE83.Wireshark:V 1.1.24.Winpcap:V 4.0.2四(实验步骤1.Wireshark简介Wireshark(原Ethereal)是一个网络封包分析软件。

其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

其使用目的包括:网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的第1页，共12页相关知识……当然，有的人也会用它来寻找一些敏感信息。

值得注意的是，Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)。

对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。

然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。

Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。

Wireshark本身也不会送出封包至网络上。

2.实例实例1:计算机是如何连接到网络的,一台计算机是如何连接到网络的,其间采用了哪些协议,Wireshark将用事实告诉我们真相。

学习用wireshark进行抓包分析姓名：罗小嘉学号：2801305018 首先，运行wireshark，打开capture interface选择有数据的网卡，点击start便开始进行抓包。

我们可以在options里面对包进行过滤。

首先，在确保我个人电脑没有arp攻击的情况下。

关闭所有可能会请求网络的文件。

在点击start后在IE浏览器里面访问后抓到如下数据包。

现在我们开始对抓到的包进行分析。

为所选取的包的结构。

结构的显示是完全按照OSI的七层模型来显示的。

从上至下分别是物理层，以太网层，IP层，第3层对应的内容，应用层。

为包结构的2进制表示。

现在，我们对抓到的包进行具体分析。

起始的3个DNS包即对进行翻译。

把它译为域名所对应的IP。

这里，我电脑由于连接了路由器。

地址为192.168.1.103。

由这个地址向DNS服务器发送请求以返回的地址66.249.89.99。

然后在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。

第一次握手：建立连接时，客户端A发送SYN包(SYN=j)到服务器B，并进入SYN_SEND 状态，等待服务器B确认。

第二次握手：服务器B收到SYN包，必须确认客户A的SYN(ACK=j+1)，同时自己也发送一个SYN包(SYN=k)，即SYN+ACK包，此时服务器B进入SYN_RECV状态。

第三次握手：客户端A收到服务器B的SYN＋ACK包，向服务器B发送确认包ACK(ACK=k+1)，此包发送完毕，客户端A和服务器B进入ESTABLISHED状态，完成三次握手。

完成三次握手，客户端与服务器开始传送数据。

由我向服务器发送请求，服务器分析请求后，返回确认收到，我确认服务器的返回信息后，服务器开始发送我请求的数据。

如下图这些包都是服务器在向我传送数据，包括PNG,TEXT等文件。

其中的[TCP segment of a reassembled PDU]的意义是：主机响应一个查询或者命令时如果要回应很多数据（信息）而这些数据超出了TCP的最大MSS时，主机会通过发送多个数据包来传送这些数据（注意：这些包并未被分片）。

网络分析和优化：使用Wireshark和网络性能工具网络分析和优化是保持网络稳定和高效运行的关键。

通过分析网络流量、检测潜在问题并优化网络配置，我们可以提升网络性能和用户体验。

本文将介绍使用Wireshark和其他网络性能工具进行网络分析和优化的步骤和方法。

一、准备工作1. 确保您的计算机上安装了Wireshark和其他必要的网络性能工具，如Ping和Traceroute等。

2. 了解网络结构和设备，包括路由器、交换机、防火墙等。

3. 熟悉网络协议和通信原理，如TCP/IP、HTTP、DNS等。

二、使用Wireshark进行网络流量分析1. 打开Wireshark并选择要监控的网络接口。

2. 设置过滤器以捕获特定类型的网络流量，如HTTP、DNS等。

3. 开始捕获流量并观察捕获到的数据包。

4. 分析捕获到的数据包，包括源和目的IP地址、端口号、协议类型等。

5. 检测潜在问题，如异常的网络流量、延迟、丢包等。

三、使用Ping和Traceroute进行网络性能测试1. 使用Ping命令测试与特定主机之间的延迟。

- 打开命令提示符窗口，输入"ping 目标主机IP地址"。

- 分析Ping结果，观察平均往返时间（RTT）和丢包率。

2. 使用Traceroute命令跟踪数据包在网络中的路径。

- 打开命令提示符窗口，输入"tracert 目标主机IP地址"。

- 分析Traceroute结果，观察数据包经过的路由器和往返时间。

四、优化网络配置1. 通过分析网络流量和性能测试结果，识别网络瓶颈和问题。

2. 针对识别出的问题，采取相应的优化措施。

- 如果网络延迟高，可能是由于网络拥塞或带宽不足。

可以尝试增加带宽、调整QoS设置或限制网络使用。

- 如果存在丢包现象，可能是由于网络故障或设备故障。

可以检查设备状态、更换网络设备或修复故障。

- 如果网络安全性存在问题，可以增加防火墙规则、更新防病毒软件或加强身份验证等措施。

一、实验目的：1、通过wireshark进行TCP报文抓包，分析TCP连接的三次握手以及关闭TCP2、利用wireshark分析ICMP报文3、利用ping测试网络联通性：1）ping 本机回环地址2）ping本机ip地址3）ping 网关ip4）ping 远程ip通过这几项可以检查网络是不是通的，以及如果不通，网络的问题出在哪熟悉ping的参数的使用；4、traceroute测试，同理（3）二、实验原理1、TCP握手协议在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。

第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV 状态；第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

还要再发送一次确认是为了，防止已失效的连接请求报文段突然又传到了B，因而产生错误。

已失效的报文段：正常情况下：A发出连接请求，但因为丢失了，故而不能收到B的确认。

于是A重新发出请求，然后收到确认，建立连接，数据传输完毕后，释放连接，A发了2个，一个丢掉，一个到达，没有“已失效的报文段”但是，某种情况下，A的第一个在某个节点滞留了，延误到达，本来这是一个早已失效的报文段，但是在A发送第二个，并且得到B的回应，建立了连接以后，这个报文段竟然到达了，于是B就认为，A又发送了一个新的请求，于是发送确认报文段，同意建立连接，假若没有三次的握手，那么这个连接就建立起来了（有一个请求和一个回应），此时，A收到B的确认，但A知道自己并没有发送建立连接的请求，因为不会理睬B的这个确认，于是呢，A也不会发送任何数据，而B呢却以为新的连接建立了起来，一直等待A发送数据给自己，此时B 的资源就被白白浪费了。

Wireshark⽹络抓包（三）——⽹络协议⼀、ARP协议ARP（Address Resolution Protocol）地址解析协议，将IP地址解析成MAC地址。

IP地址在OSI模型第三层，MAC地址在OSI第⼆层，彼此不直接通信；在通过以太⽹发⽣IP数据包时，先封装第三层（32位IP地址）和第⼆层（48位MAC地址）的报头；但由于发送数据包时只知道⽬标IP地址，不知道其Mac地址，且不能跨越第⼆、三层，所以需要使⽤地址解析协议。

ARP⼯作流程分请求和响应：在dos窗⼝内“ping”某个域名抓取到的包：⼆、IP协议IP（Internet Protocol）互联⽹协议，主要⽬的是使得⽹络间能够互相通信，位于OSI第三层，负责跨⽹络通信的地址。

当以⼴播⽅式发送数据包的时候，是以MAC地址定位，并且需要电脑在同⼀⼦⽹络。

当不在同⼀⼦⽹络就需要路由发送，这时候就需要IP地址来定位。

同样在dos窗⼝内“ping”某个域名抓取到的包：三、TCP协议TCP（Transmission Control Protocol）传输控制协议，⼀种⾯向连接、可靠、基于IP的传输层协议，主要⽬的是为数据提供可靠的端到端传输。

在OSI模型的第四层⼯作，能够处理数据的顺序和错误恢复，最终保证数据能够到达其应到达的地⽅。

1）标志位SYN：同步，在建⽴连接时⽤来同步序号。

SYN=1， ACK=0表⽰⼀个连接请求报⽂段。

SYN=1，ACK=1表⽰同意建⽴连接。

FIN：终⽌，FIN=1时，表明此报⽂段的发送端的数据已经发送完毕，并要求释放传输连接。

ACK：确认，ACK = 1时代表这是⼀个确认的TCP包，取值0则不是确认包。

DUP ACK：重复，重复确认报⽂，有重复报⽂，⼀般是是丢包或延迟引起的，从这个报⽂看应该是丢包了。

URG：紧急，当URG=1时，表⽰报⽂段中有紧急数据，应尽快传送PSH：推送，当发送端PSH=1时，接收端尽快的交付给应⽤进程RST：复位，当RST=1时，表明TCP连接中出现严重差错，必须释放连接，再重新建⽴连接2）端⼝客户端与不同服务器建⽴连接时，源端⼝和⽬标端⼝可不同。

Wireshark抓包分析实验实验Wireshark抓包分析实验⼀、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包2、了解IP数据包格式，能应⽤该软件分析数据包格式3、查看⼀个抓到的包的内容，并分析对应的IP数据包格式4、学会使⽤nslookup⼯具查询并分析Internet 域名信息或诊断DNS 服务器。

5、会⽤wireshark分析DNS协议。

对DNS协议有个全⾯的学习与了解。

⼆、实训器材1、接⼊Internet的计算机主机；2、抓包⼯具WireShark。

三、实验内容（⼀）IP包分析实验1、打开wireshark，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

2、设置完成后，点击“start”开始抓包，显⽰结果。

3、选择某⼀⾏抓包结果，双击查看此数据包具体结构。

4、查看IP数据报。

[1]写出IP数据报的格式。

[2]捕捉IP数据报的格式图例。

[3]记录IP数据报包的所有域，针对每⼀个域所代表的含义进⾏解释。

（⼆）DNS协议分析实验1、启动WireShark，并开始抓包。

2、在命令⾏运⾏nslookup 发现成都⼤学或其他单位官⽅DNS服务器。

nslookup /doc/cd9178b4f46527d3250ce03a.html /3、停⽌抓包4、显⽰过滤DNS包，查看其请求包和响应包的运输层协议是UDP 还是TCP，DNS请求包的⽬的端⼝及DNS响应包的源端⼝号分别是多少，DNS 请求包是发往哪个地址的，⽤ipconfig查看你的本地DNS服务器的IP地址，判断它们是否相同。

5、查看接下来你的主机发出的⼀些TCP SYN 包，其中的⽬的IP地址是否有刚才DNS应答包中的IP地址?Wireshark抓包分析实验报告⼀．实验⽬的1.了解并初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2.了解IP数据包格式，能应⽤该软件分析数据包格式。

3.查看⼀个抓到的包的内容，并分析对应的IP数据包格式。

w i r e s h a r k怎么抓包w i r e s h a r k抓包详细图文教程This model paper was revised by the Standardization Office on December 10, 2020wireshark怎么抓包、wireshark抓包详细图文教程wireshark是非常流行的网络封包分析软件，功能十分强大。

可以截取各种网络封包，显示网络封包的详细信息。

使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。

为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler,其他协议比如TCP,UDP 就用wireshark.wireshark 开始抓包开始界面wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。

然后点击"Start"按钮, 开始抓包Wireshark 窗口介绍WireShark 主要分为这几个界面1. Display Filter(显示过滤器)，用于过滤2. Packet List Pane(封包列表)，显示捕获到的封包，有源地址和目标地址，端口号。

颜色不同，代表3. Packet Details Pane(封包详细信息), 显示封包中的字段4. Dissector Pane(16进制数据)5. Miscellanous(地址栏，杂项)使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。

wireshark数据包分析实战Wireshark数据包分析实战一、引言在网络通信中，数据包是信息传输的基本单位。

Wireshark是一款广泛应用于网络分析和故障排查的开源软件，能够捕获和分析网络数据包。

通过对数据包的深入分析，我们可以了解网络流量的组成、应用的运行状况以及网络安全问题。

本文将介绍Wireshark的使用以及数据包分析的实战案例。

二、Wireshark的安装和基本配置1. 下载和安装WiresharkWireshark可从其官方网站（https:///）下载。

选择与操作系统相对应的版本，然后按照安装程序的指示进行安装。

2. 配置网络接口在打开Wireshark之前，我们需要选择要捕获数据包的网络接口。

打开Wireshark后，点击菜单栏上的“捕获选项”按钮，选择合适的网络接口并点击“开始”按钮。

即可开始捕获数据包。

3. 设置Wireshark显示过滤器Wireshark支持使用显示过滤器将数据包进行过滤，使我们能够专注于感兴趣的数据包。

在Wireshark的过滤器输入框中键入过滤条件后，点击“应用”按钮即可应用过滤器。

三、Wireshark数据包分析实战案例以下是一些常见的Wireshark数据包分析实战案例，通过对实际数据包的分析，我们可以更好地了解网络通信的细节和问题的根源。

1. 分析网络流量分布通过Wireshark捕获一段时间内的数据包，我们可以使用统计功能来分析网络流量的分布情况。

在Wireshark的主界面上，点击“统计”菜单，可以选择多种统计图表和表格来展示数据包的分布情况，如流量占比、协议分布等。

通过分析流量分布，我们可以了解哪些应用使用了最多的带宽和网络资源。

2. 检测网络协议问题Wireshark可以帮助我们检测网络中的协议问题。

通过捕获数据包并使用过滤器来显示特定协议的数据包，我们可以检查是否有协议报文格式错误、协议版本不匹配等问题。

通过分析发现的问题，我们可以及时修复网络协议的错误配置。

Wireshark抓包实验说明Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

Wireshark的优势：- 安装方便。

- 简单易用的界面。

- 提供丰富的功能。

一、安装并运行wireshark开始捕获数据包，从Capture选项下面选择Options。

然后在下图中选择你的网络适配器，并运行start开始捕获数据包。

二：wireshark查看软件说明在下图中，第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是所涉及的协议类型。

图中窗体共分为三部分，最上面的部分显示每个数据包的摘要信息，中间部分显示每个数据包的详细信息，最下面的部分显示数据包中的实际数据，以十六进制表示。

三：过滤器的使用在下图中，可以选择Expression菜单中的选项过滤，只保留需要查看的信息。

例如只查看以本机192.168.0.102作为主机接受和发送的数据包，就在Expression中选中IPv4里面的ip.host, 还可以同时选中某个Relation关系，并填入过滤值。

如果同学们熟悉了表达式的填写，也可以直接在Filter框中手动输入表达式：ip.host == 192.168.0.102 （本机的IP）然后点击Apply 按钮就可以查看本机的所有包了。

如果你想再缩小查看范围，还可以输入成：ip.host == 192.168.0.102 and ip.host == 192.168.0.101 这就是把两台主机同时限定。

其他表达式同学们可以自己尝试使用。

四：ICMP数据报在上述已经过滤好的情况下，可以再命令行中输入ping某台主机的命令，然后在下图中可以看到最新的活动数据，即ICMP数据包。

也可以直接在filter中输入icmp相关的过滤表达式，单击“start”按钮开始网络数据包捕获。