用wireshaker抓包ftp协议和http协议

合集下载

wireshark功能及使用技巧(FTP案例额)

Wireshark功能及使用技巧一、下载安装wireshark从/ 下载安装Windows平台的wireshark，双击安装文件安装即可，在安装过程中注意选择安装winpcap。

二、wireshark的使用启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。

主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。

在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。

在win7或Vista下找到C: \system\system32下的cmd.exe 以管理员身份运行，然后输入 net start npf，启动NPf服务。

重新启动wireshark就可以抓包了。

抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。

Limit each packet：限制每个包的大小，缺省情况不限制。

Capture packets in promiscuous mode：是否打开混杂模式。

如果打开，抓取所有的数据包。

一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。

Filter：过滤器。

只抓取满足过滤规则的包。

File：可输入文件名称将抓到的包写到指定的文件中。

Use ring buffer：是否使用循环缓冲。

缺省情况下不使用，即一直抓包。

循环缓冲只有在写文件的时候才有效。

如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。

Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。

单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ 视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。

wireshark抓包分析2篇

wireshark抓包分析2篇第一篇：Wireshark抓包分析HTTP协议Wireshark是一款网络分析工具，可用于抓取网络传输过程中的数据包，方便分析瓶颈和故障。

本文将以抓取HTTP协议为例，演示Wireshark的使用方法，并分析数据包内容。

1. 抓取HTTP协议数据包启动Wireshark，选择网络接口和捕获过滤器。

为了抓取HTTP协议的数据包，可以输入"tcp port 80"作为过滤器，表示只抓取端口为80的TCP数据包，即HTTP协议的数据包。

2. 分析HTTP协议数据包抓取到的HTTP协议数据包可通过Wireshark的命令行界面或图形界面进行分析，下面分别介绍。

(1) 命令行界面在Wireshark的命令行界面中，可以查看每个数据包的详细信息，并按需提取关键信息。

例如，输入"frame.number"命令可显示数据包编号，输入"ip.src"命令可显示源IP地址，输入"http.request.full_uri"命令可显示请求的URL地址等。

(2) 图形界面在Wireshark的图形界面中，可以以树形结构或表格形式查看每个数据包的详细信息。

在HTTP协议的数据包中，关键信息如下：- HTTP Request：包括请求方法（GET/POST等）、请求头、请求正文等。

- HTTP Response：包括状态码、响应头、响应正文等。

- 源IP地址和目的IP地址：代表客户端和服务器的IP 地址。

- 源端口号和目的端口号：代表客户端和服务器的TCP 端口号。

通过分析HTTP协议数据包，可以查看请求和响应信息，了解应用程序和服务器的交互过程。

也可以检查请求/响应是否存在异常，例如请求头或响应正文长度异常、响应状态码为4xx或5xx等。

本文仅介绍了抓取和分析HTTP协议数据包的基本方法，Wireshark还可以用于分析其他协议的数据包，例如TCP、DHCP、DNS等。

Wireshark——FTP数据传输抓包

一、实验目的1)了解并熟悉Wireshark软件的使用，能够对FTP数据传输进行抓包。

2)能够分析所抓的FTP数据包，进而对应用层FTP协议有一定的了解。

二、实验内容●实验步骤：1)下载Wireshark软件，并安装。

2)下载使用FTP协议的FTP文件传输工具软件flashfxp，并安装。

3)用flashfxp向FTP服务器传文件，运行Wireshark进行抓取FTP包。

●实验过程1、下图为安装好的wireshark软件界面2、这是安装好的flashfxp软件界面3、在wireshark中选择合适的interface，设置参数。

4、在连接FTP服务器之前，本地简单的抓包尝试，Capture -> Interfaces -> star抓包显示如图：5、在flashFXP中设置站点，进行登录链接FTP服务器，文件传输，传输了一个网页文件和一个名为lzfspoht的图片。

截图如下：6、开始抓包，得到结果三、总结与展望通过本次实验，了解了wireshark软件的使用，对ftp协议有了更深的了解。

使用了flash FXP软件，登录实验室的FTP服务器，实现文件传输。

然后用wireshark进行抓包行动。

实验过程中遇到了一些问题，比如一开始因为对FTP了解的不够，导致在进行FTP服务器连接是屡战屡败。

后来了解到同时在一台电脑上设置FTP服务器并抓包是不会成功的，最后，在学长的帮助下才了解了FTP服务器连接的有关知识和操作，最终成功用wireshark 抓取FTP包。

总之，整个实验过程学习到了很多知识，提高了解决问题的能力。

实验9_使用Wireshark分析FTP协议 V1

实验九使用Wireshark分析FTP协议一、实验目的分析FTP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤HTTP和FTP都可以用来通过网络传输对象和文件，但它们的工作方式截然不同。

HTTP侧重于传送立即浏览的文件或供暂时高速缓存于客户端的文件。

HTTP还侧重于表达那些包含了用于规定文件格式的首部信息，以便让浏览器能正确解释内容。

而FTP却更侧重于专门进行数据传输，让用户自己去决定文件在本机上的存储时间和如何处理数据。

FTP是一种有状态的协议。

FTP客户端与服务器建立一个持续的会话，并通过这个会话发送多个请求。

启动会话要输入用户名和密码，然而许多FTP服务器允许公开访问，即客户端可以使用匿名登录（anonymous）及随意设置的密码连接。

一旦建立连接，对FTP会话的操作类似命令行下的操作，用户在提示符下操作，并能浏览一些文件和目录。

用户在浏览目录时，FTP服务器保持对用户目录位置的跟踪。

用户还可以请求从服务器获取文件或向服务器存储文件，对这些请求的解释与当前工作的目录有关。

FTP总是为正在进行的控制通道维持一个TCP连接，然后建立一个独立的用于数据传输的TCP连接。

控制通道通常建立在从客户端到FTP服务器端口21的连接，它用于描述每一个使用中的数据通道的属性，包括客户端或服务器是否启动传输，以及用什么IP地址和端口连接。

用RFC-Editor搜索功能找到定义FTP协议的RFC文档。

搜索结果表明该RFC文档在URL ftp:///in-notes/rfc 959.txt找到。

如果你在浏览器窗口中输入以ftp://开头的URL，那么它将作为FTP客户端来获取想要的文件。

1、俘获FTP分组（1）启动Wireshark嗅探器。

（2）浏览器地址栏中输入如下网址：ftp://（3）在停止分组俘获。

如图1所示：图1：俘获的FTP分组2、查看FTP控制通道（1）本地客户端首先为控制通道初始化了一个到服务器上FTP端口（端口21）的TCP连接。

实验1-Wireshark协议分析-HTTP协议

实验二利用Wireshark分析协议HTTP一、实验目的分析HTTP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤1、利用Wireshark俘获HTTP分组（1）在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。

打开浏览器，找到Internet选项，点击后出现如图1所示的界面。

以IE浏览器为例，步骤为：点击浏览器右上角的“工具”-“Internet选项”。

图1 Internet选项之后，还要在客户端清空DNS高速缓存，以确保Web服务器域名到IP地址的映射是从网络中请求的。

在Windows系列的机器上，可在命令提示行输入ipconfig/flushdns 完成操作（如图2所示）；具体步骤及Linux、MAC等系统的清空方法请参见：。

图2 命令提示行输入ipconfig/flushdns完成操作（2）启动Wireshark 分组俘获器。

（3）在Web 浏览器中输入： (重庆大学网站)。

（4）停止分组俘获。

图3 利用Wireshark俘获的HTTP分组在URL 中，是一个具体的web 服务器的主机名。

最前面有两个DNS分组。

第一个分组是将主机名转换成为对应的IP 地址的请求，第二个分组包含了转换的结果。

这个转换是必要的，因为网络层协议——IP协议，是通过点分十进制来表示因特网主机的，而不是通过这样的主机名。

当输入URL 时，将要求Web服务器从主机上请求数据，但首先Web浏览器必须确定这个主机的IP地址。

小提示--域名和主机关系举例：域名下,有主机server1和server2,其主机全名就是和。

随着转换的完成，Web浏览器与Web服务器建立一个TCP连接。

最后，Web 浏览器使用已建立好的TCP连接来发送请求“GET/HTTP/1.1”。

这个分组描述了要求的行为（“GET”）及文件（只写“/”是因为我们没有指定额外的文件名），还有所用到的协议的版本（“HTTP/1.1”）。

用Wireshark进行HTTP协议分析

TCP/IP 实验报告实验1 用Wireshark进行HTTP协议分析学院计算机学院专业网络工程班级1班姓名刘小芳学号410090401272012．51.1 实验性质本实验为操作分析性实验。

1.2 实验目的1. 掌握Wireshark软件的基本使用方法。

2. 掌握基本的网络协议分析方法。

3. 使用Wireshark抓包工具，分析HTTP数据报的格式。

4. 加深理解HTTP协议的原理及其工作过程。

1.3 实验环境1. 硬件环境：PC机1台。

2. 网络环境：PC机接入LAN或Internet。

物理地址：00-E0-4C-00-16-78Ip地址：192.168.0.1313. 软件环境：Windows操作系统和Wireshark软件。

1.4 实验学时2学时（90分钟）。

1.5 实验内容与要求1.5.1 启动Wireshark协议分析工具1.5.2 抓取HTTP数据包1.5.3分析HTTP报文1. The Basic HTTP GET/response interaction1. Is your browser running HTTP version 1.0 or 1.1? What version of HTTP is the server running?HTTP 1.12. What languages (if any) does your browser indicate that it can accept to the server?Accept-Language: zh-cn\r\n3.What is the IP address of your computer? Of the server? 192.168.0.131 128.238.38.1604.What is the status code returned from the server to your browser?200 ok5.When was the HTML file that you are retrieving last modified at the server20 May 2013 09:42:43 GMT\r\n6.How many bytes of content are being returned to your browser?4297. By inspecting the raw data in the packet content window, do you see any headerswithin the data that are not displayed in the packet-listing window? If so, nameOne.有2. The HTTP CONDITIONAL GET/response interactionAnswer the following questions:8. Inspect the contents of the first HTTP GET request from your browser to the server. Do you s ee an “IF-MODIFIED-SINCE” line in the HTTP GET?有9. Inspect the contents of the server response. Did the server explicitly return the contents of the file? How can you tell?有HTTP/1.1 200 OK\r\n10. Now inspect the contents of the second HTTP GET request from your browser to the server. Do you see an “IF-MODIFIED-SINCE:” line in the HTTP GET? Ifso, what information follows the “IF-MODIFIED-SINCE:” header?没有11. What is the HTTP status code and phrase returned from the server in response tothis second HTTP GET? Did the server explicitly return the contents of the file?200 没有3. Retrieving Long DocumentsAnswer the following questions:12.How many HTTP GET request messages were sent by your browser?113. How many data-containing TCP segments were needed to carry the single HTTP response?414. What is the status code and phrase associated with the response to the HTTP GET request?Code 200 phrase ok15. Are there any HTTP status lines in the transmitted data associated with a TCPinduced“Continuation”?no1.6 实验总结http协议工作原理HTTP协议的主要特点可概括如下：1.支持客户/服务器模式。

利用wireshark分析HTTP协议实验报告

利用wireshark分析HTTP协议实验报告实验目的：通过利用Wireshark分析HTTP协议，实验理解HTTP协议的工作原理和常见的HTTP请求和响应消息的格式，并学会利用Wireshark工具进行网络流量分析和调试。

实验步骤：1.实验环境准备：b. 打开Wireshark工具，并选择适当的网络接口开始抓包。

2.抓取HTTP协议数据包：a. 在Wireshark工具中点击“开始”按钮，开始抓包。

c. 在Wireshark工具中停止抓包。

3.分析HTTP消息：a. 在Wireshark工具中选择一个HTTP数据包，并展开协议分析窗口。

b.分析HTTP请求消息的格式，包括请求方法、URL、HTTP版本、请求头和请求体等。

c.分析HTTP响应消息的格式，包括状态码、状态描述、响应头和响应体等。

4.进行HTTP会话分析：a. 在Wireshark工具中选择一个HTTP请求数据包，并右击菜单选择“Follow TCP Stream”选项。

b.分析TCP流的数据包，包括请求和响应的传输数据等。

5.进行HTTP分片分析：a. 在Wireshark工具中选择一个HTTP数据包，并展开协议分析窗口。

b.分析数据包的分片情况，包括分片的数量和分片的大小等。

6.进行HTTP身份认证分析：a. 在Wireshark工具中选择一个HTTPS数据包，并展开协议分析窗口。

b.分析HTTPS数据包的SSL/TLS握手过程和加密信息等。

实验结果：通过对Wireshark抓包和分析，我们可以得到一个完整的HTTP会话过程。

通过分析HTTP请求和响应消息的格式，可以了解到HTTP协议的工作原理和常见的消息头信息。

通过分析TCP流的数据包，可以了解到HTTP数据的传输情况和时序关系。

通过分析HTTP的分片情况，可以了解到HTTP数据在传输过程中可能发生的分片现象。

通过分析HTTPS数据包，可以了解到HTTPS协议的加密过程和身份认证机制。

利用wireshark分析HTTP协议

利用wireshark分析HTTP协议HTTP协议是一种为了Web浏览器和Web服务器之间进行通信而设计的协议。

它定义了客户端和服务器之间传输数据的规则、格式和约定。

本文将利用Wireshark来分析HTTP协议的工作原理和数据传输过程。

Wireshark是一款流行的网络协议分析工具，它可以捕获网络数据包并进行详细的分析。

为了分析HTTP协议，我们需要在Wireshark中设置过滤器来捕获HTTP数据包。

当我们在浏览器中输入网址并按下回车键时，浏览器将发送一系列HTTP请求到服务器。

通过Wireshark捕获的数据包，我们可以看到每个请求的详细信息。

HTTP请求由几个部分组成，包括请求行、请求头和请求体。

请求行包括请求方法（GET、POST等）、请求的URL和使用的协议版本。

请求头包括一些额外的信息如Host、User-Agent、Accept等。

请求体根据请求的类型可能包含数据。

在Wireshark的捕获结果中，我们可以看到每个HTTP请求的详细信息，包括请求方法、URL、协议版本和请求头字段。

通过查看这些信息，我们可以了解每个请求的具体内容和目的。

对于HTTP响应，它包含了服务器返回给客户端的数据。

响应也由几个部分组成，包括响应状态行、响应头和响应体。

响应状态行包括协议版本、状态码和状态描述。

响应头包括一些额外的信息如Server、Content-Type、Content-Length等。

响应体包含实际的数据。

通过Wireshark，我们可以查看每个HTTP响应的详细信息，包括协议版本、状态码、状态描述和响应头字段。

我们还可以通过查看响应体来获取服务器返回的实际数据。

在Wireshark的捕获结果中，我们可以看到HTTP请求和响应之间的往返，也就是请求和响应的交互过程。

通过查看每个数据包的时间戳，我们可以估计出数据传输的延迟和效率。

此外，通过Wireshark还可以分析HTTP协议的性能和安全性。

利用wireshark详解HTTP、DNS、FTP

1.清除DNS域名解析缓存2.2.HTTP请求报文格式首部名首部值含义accept */* 接受referer Accept-Language zh-cn 接受语言Accept-Encoding Gzip,deflate 接受编码User-Agent Mozilla/4.0 (compatible; MSIE 6.0;请求的WEB浏览器及客户机器Windows NT 5.1; ...................)host Url域名是connection Keep-alive 表明发送请求之后TCP连接继续保持3.HTTP应答报文格式首部名首部值含义HTTP/1.1 200 ok 显示服务器使用的HTTP版本Cache-Control private 表明是否可以将返回的数据副本存储或高速缓存。

Date Fri,13 May 2012 01:41:12 GMT 消息返回的时间Content-Length 18596 数据的长度Content-Type Txt/css 返回对象的类型Last-Modified Fri,13 May 2012 01:41:12 GMT 返回对象的最后修改日期Server Microsoft 6.0 IIS WEB服务器问题回答:（1）你的浏览器运行的是HTTP1.0，还是HTTP1.1？你所访问的服务器所运行的HTTP版本号是多少？答：我的浏览器上运行HTTP version 1.1（2）你的浏览器向服务器指出它能接收何种语言版本的对象？答：浏览器语言为：简体中文accept language : zh -cn\r\n（3）你的计算机的IP地址是多少？服务器的IP地址是多少？本机IP:10.0.163.199服务器IP地址：128.119.245.12（5）你从服务器上所获取的HTML文件的最后修改时间是多少？Fri,13 May 2012 01:41:12（6）返回到你的浏览器的内容以供多少字节？18596（7）分析你的浏览器向服务器发出的第一个HTTP GET请求的内容，在该请求报文中，是否有一行是：IF-MODIFIED-SINCE？没有。

完整利用wireshark分析HTTP协议

完整利用wireshark分析HTTP协议HTTP协议是超文本传输协议的缩写。

它是一种应用层协议，用于在Web浏览器和Web服务器之间传输数据。

Wireshark是一个用于网络分析和协议开发的免费开源程序，它可以用来捕获和分析网络数据包。

在使用Wireshark分析HTTP协议时，我们可以通过以下步骤来进行：1. 启动Wireshark并选择要捕获的网卡。

在Wireshark的主界面上，可以选择“Capture”选项卡来选择网卡。

点击“Start”按钮来开始捕获数据包。

3. 分析捕获的HTTP数据包。

Wireshark将以表格的形式显示捕获的数据包，其中列出了源IP地址、目的IP地址、协议类型等信息。

我们可以查看数据包的详细信息，包括源端口、目的端口、传输层协议等。

4.分析HTTP请求。

选择一个HTTP请求的数据包，点击“+]”按钮来展开其详细信息。

在详细信息中，可以查看请求的方法（GET、POST等）、请求的URL、请求的头部信息等。

5.分析HTTP响应。

选择一个HTTP响应的数据包，点击“+]”按钮来展开其详细信息。

在详细信息中，可以查看响应的状态码、响应的头部信息以及响应的正文内容。

6. 进一步分析HTTP请求和响应的头部信息。

HTTP请求和响应的头部信息包含了很多有用的信息。

例如，可以通过查看“Content-Type”来确定返回的数据类型是HTML、CSS、JavaScript还是其他类型的文件。

可以查看“Cookie”来查看是否存在会话信息。

还可以查看其他头部信息，如“User-Agent”来确定浏览器和操作系统的类型。

7. 查看HTTP的传输过程。

Wireshark可以以图形化的方式显示HTTP请求和响应的传输过程。

在摘要视图中，选择一个HTTP请求或响应，右键单击并选择“Follow”>“HTTP Stream”，可以查看完整的HTTP报文的传输过程。

8. 分析HTTP压缩。

Wireshark网络抓包（三）——网络协议

Wireshark⽹络抓包（三）——⽹络协议⼀、ARP协议ARP（Address Resolution Protocol）地址解析协议，将IP地址解析成MAC地址。

IP地址在OSI模型第三层，MAC地址在OSI第⼆层，彼此不直接通信；在通过以太⽹发⽣IP数据包时，先封装第三层（32位IP地址）和第⼆层（48位MAC地址）的报头；但由于发送数据包时只知道⽬标IP地址，不知道其Mac地址，且不能跨越第⼆、三层，所以需要使⽤地址解析协议。

ARP⼯作流程分请求和响应：在dos窗⼝内“ping”某个域名抓取到的包：⼆、IP协议IP（Internet Protocol）互联⽹协议，主要⽬的是使得⽹络间能够互相通信，位于OSI第三层，负责跨⽹络通信的地址。

当以⼴播⽅式发送数据包的时候，是以MAC地址定位，并且需要电脑在同⼀⼦⽹络。

当不在同⼀⼦⽹络就需要路由发送，这时候就需要IP地址来定位。

同样在dos窗⼝内“ping”某个域名抓取到的包：三、TCP协议TCP（Transmission Control Protocol）传输控制协议，⼀种⾯向连接、可靠、基于IP的传输层协议，主要⽬的是为数据提供可靠的端到端传输。

在OSI模型的第四层⼯作，能够处理数据的顺序和错误恢复，最终保证数据能够到达其应到达的地⽅。

1）标志位SYN：同步，在建⽴连接时⽤来同步序号。

SYN=1， ACK=0表⽰⼀个连接请求报⽂段。

SYN=1，ACK=1表⽰同意建⽴连接。

FIN：终⽌，FIN=1时，表明此报⽂段的发送端的数据已经发送完毕，并要求释放传输连接。

ACK：确认，ACK = 1时代表这是⼀个确认的TCP包，取值0则不是确认包。

DUP ACK：重复，重复确认报⽂，有重复报⽂，⼀般是是丢包或延迟引起的，从这个报⽂看应该是丢包了。

URG：紧急，当URG=1时，表⽰报⽂段中有紧急数据，应尽快传送PSH：推送，当发送端PSH=1时，接收端尽快的交付给应⽤进程RST：复位，当RST=1时，表明TCP连接中出现严重差错，必须释放连接，再重新建⽴连接2）端⼝客户端与不同服务器建⽴连接时，源端⼝和⽬标端⼝可不同。

实验六利用Wireshark分析协议HTTP

实验六利用Wireshark分析协议HTTP 实验六：利用Wireshark分析HTTP协议一、实验目的1. 掌握使用Wireshark分析HTTP协议的基本方法；2.理解HTTP协议的工作原理；3.掌握HTTP请求和响应的结构和字段。

二、实验原理HTTP（HyperText Transfer Protocol）是一种应用层协议，用于传输超文本信息，是Web的基础协议。

HTTP协议工作原理：1.客户端向服务器发送一个HTTP请求；2.服务器接收到请求后，处理并返回一个HTTP响应；3.客户端接收到HTTP响应，解析并展示相应的内容。

HTTP请求的结构：1.请求行：包括请求方法、请求URL和协议版本；2. 请求头：包含关于客户端请求的附加信息，如User-Agent、Content-Type等；3.请求体：包含HTTP请求的主体内容，通常用于POST请求。

HTTP响应的结构：1.状态行：包括协议版本、状态码和状态描述；2. 响应头：包含关于服务器响应的附加信息，如Content-Type、Content-Length等；3.响应体：包含HTTP响应的主体内容，通常为HTML、图片、音视频等数据。

三、实验步骤2. 打开Wireshark，并选择网络接口进行网络抓包；3.进行HTTP通信，如打开一个网页、发送一个表单等；4. 在Wireshark中查找并分析抓取的HTTP数据包。

四、实验实施1. 打开Wireshark，选择一个可用的网络接口（通常为以太网）进行抓包；2.启动抓包，点击“开始”按钮；3.进行HTTP通信，如在浏览器中打开一个网页（如百度首页）；4. 在Wireshark中查看抓取到的HTTP数据包。

分析HTTP请求：6. 选中一个HTTP请求数据包，展开“Hypertext Transfer Protocol”部分；7.查看请求行信息，包括请求方法、请求URL和协议版本；8. 展开“Hypertext Transfer Protocol”部分中的“Headers”部分，查看请求头信息；9. 如果有请求体，可以展开“Hypertext Transfer Protocol”部分中的“Entity body”部分，查看请求体内容。

实训三利用WireShark分析FTP包

实训三利用Wir‎eShar‎k分析FT‎P包一、实训目的1.用Wires‎h ark 捕获和分析‎ F TP 通信数据。

2.了解主动模‎式与被动模‎式F TP的‎工作过程。

二、实训设备1.接入Int‎ernet‎的计算机主‎机；2.FTP serve‎r；3.抓包工具W‎ireSh‎a rk。

三、实训内容1. 关于FTP‎协议FTP 的主要功能‎如下：∙提供文件的‎共享（计算机程序‎/数据）；∙支持间接使‎用远程计算‎机；∙使用户不因‎各类主机文‎件存储器系‎统的差异而‎受影响；∙可靠且有效‎的传输数据‎。

FTP服务‎器可以直接‎被终端用户‎使用，也可以使用‎F T P客户‎端程序访问‎。

大多数 FTP 控制帧是简‎单的 ASCII‎文本，可以分为 FTP 命令或 FTP 消息。

FTP命令‎可在FTP‎命令模式下‎用“？”或“help”进行学习，FTP消息‎是对FTP 命令的响应‎，它由带有解‎释文本的应‎答代码构成‎。

2.安装FTP‎服务器及T‎e lnet‎服务器与客‎户端开始→控制面板→程序或功能‎：“打开或关闭‎W i ndo‎w s功能”→打开“Inter‎n et信息‎服务”-选中“FTP服务‎器”→选中“Telne‎t客户端”“Telne‎t服务器”步骤1：打开记事本‎，新建文件，内容任意，保存文件在‎“c:\inetp‎u b\ftpro‎o t\本人学号”目录下，命名为“abc.txt”步骤2：验证FTP‎服务器。

启动Web‎浏览器或资‎源管理器，地址栏输入‎ftp://合作同学的‎IP，以验证FT‎P服务器是‎否正常运行‎。

3. 使用FTP‎传输文件并‎捕获与分析‎数据包步骤1：打开Wir‎e shar‎k，开始捕获。

步骤2：采用命令行‎连接合作同‎学的FTP‎服务器，启动本主机‎命令行FTP 客户端。

1. 单击开始> 运行，然后键入“cmd”并单击确定‎。

2. 使用Windo‎ws FTP 客户端实用‎程序启动主‎机计算机与‎ F TP 服务器的FTP 会话，命令如下：ftp 合作同学的‎IP。

Wireshark的数据包截获与协议分析

Wireshark的数据包截获与协议分析Wireshark的数据包截获与协议分析1 引言在数据包的截获方面，Winpcap 是一个可在Windows 环境下运行的包俘获结构,它由三部分组成:一个数据包截获驱动程序、一个底层动态链接库(Packet.dll)和一个高层静态链接库(wpcap.lib)。

它的核心部分是数据包俘获驱动程序,在Windows NT/2000 系统中,它实现为一个内核驱动程序(packet.sys),在Windows 95/98 系统中是一个虚拟设备驱动程序(packet.vxd), 包俘获驱动程序通过NDIS(Network Driver Interface Specification)同网络适配器的驱动程序进行通信,NDIS 是网络代码的一部分,它负责管理各种网络适配器以及在适配器和网络协议软件之间的通信。

在库的高层是一个动态链接库(packet.dll)和一个静态链接库(wpcap.lib)，这两个库的作用是将俘获应用程序同包俘获驱动程序相隔离，屏蔽低层的实现细节，避免在程序中直接使用系统调用或IOCTL 命令，为应用程序提供系统独立的高层接口（API 函数），从而在Windows9x、Windows2000/XP 系统下,对驱动程序的系统调用都是相同的。

使用Winpcap，我们可以编写出用于网络协议实验分析、故障诊断、网络安全和监视等各种应用程序，这方面的一个典型例子就是可在Windows 系统下运行的Wireshark，Wireshark 和Winpcap 都可从网上下载，通过Wireshark 我们可以从网上拦截数据包并对数据包进行网络协议分析，下面介绍一个分析实例。

2 数据包的截获与链路层协议分析Wireshark 安装完成后，单击它的Capture→Start 菜单，打开俘获选项对话框，在这些选项中比较重要的是设置混杂模式（Promiscuous mode）选项，选中这个选项使得网卡并不检验数据帧的目的地址，从而它可以截获网上的任何帧，其他选项可用默认设置，再单击OK 按钮即可进行数据包截获，截获的数据帧分别在Wireshark 的包列表(Packet List)、包细节(Packet Details)和包字节(Packet Bytes) 三个窗口中显示。

wireshark分析ftp协议

wireshark 分析 ftp 协议
预备知识
Wireshark（前称 Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。 Wireshark 使用 WinPCAP 作为接口，直接与网卡进行数据报文交换。网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal 的出现改变了这一切。在 GNUGPL 通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal 是目前全世界最广泛的网络封包分析软件之一。
5、解压提示密码，题目已经给出四位数的提示。
6、找到实验工具-工具文件夹内的 rar 爆破工具：ARCHPR.exe。
7、打开 1.rar 设置爆破规则，即四位数字。点击开始
8、破解密码 5790
9、实验完毕，关闭虚拟机和所有窗口。
2、有五个 ftp 包,发现第三个包是 flag.rar 文件，猜测里面是 flag,输入 ftp-data 获取 ftp 的数据。
3、以 hex 进制的形式拷贝出 ftp 数据。
4、然后打开实验工具-工具-010Editor.exe 文件
编辑-粘贴自-从 Hex 文本粘贴。
CTRL+S 保存为 1.rar
实验目的
学会 Wireshark 的使用和分析流量放在 ftp 服务器中的 KEY 被偷了，还好我做了四位数的机密ark
实验环境
web 服务器（Windows Server 2003）

通过wireshark抓包来学习TCP HTTP网络协议

通过wireshark抓包来学习TCP HTTP网络协议很多招聘需求上都会要求熟悉TCP/IP协议、socket编程之类的，可见这一块是对于web编程是非常重要的。

作为一个野生程序员对这块没什么概念，于是便找来一些书籍想来补补。

很多关于协议的大部头书都是非常枯燥的，我特意挑了比较友好的《图解TCP/IP》和《图解HTTP》，但看了一遍仍是云里雾里，找不到掌握了知识后的那种自信。

所以得换一种思路来学习————通过敲代码来学习，通过抓包工具来分析网络，抓包神器首推wireshark。

本文是自己学习TCP过程的记录和总结。

1、使用TCP socket实现服务端和客户端，模拟http请求写一个简单的server和client，模拟最简单的http请求，即client发送get请求，server返回hello。

这里是用golang写的，最近在学习golang。

完成之后可以使用postman充当client测试你的server能不能正常返回响应，或者使用完备的http模块测试你的client。

client向指定端口发送连接请求，连接后发送一个request并收到response断开连接并退出。

server可以和不同的客户端建立多个TCP连接，每来了一个新连接就开一个goruntine去处理。

TCP是全双工的，所谓全双工就是读写有两个通道，互不影响，我当时还纳闷在conn上又读又写不会出毛病吗-_-TCP是流式传输，所以要在for中不断的去读取数据，直到断开。

注意没有断开连接的时候是读不到EOF的，代码使用了bufio包中的scanner这个API来逐行读取数据，以\n为结束标志。

但数据并不都是以\n结尾的，如果读不到结尾，read就会一直阻塞，所以我们需要通过header中的length判断数据的大小。

我这里偷懒了，只读了header，读到header下面的空行就返回了。

加了个超时，客panic(err)}fmt.Println("listen to 8888")for {conn, err := l.Accept()if err != nil {fmt.Println("conn err:", err)}go handleConn(conn)}}func handleConn(conn net.Conn) {defer conn.Close()defer fmt.Println("关闭")fmt.Println("新连接：", conn.RemoteAddr()) t := time.Now().Unix()// 超时go func(t *int64) {for {if time.Now().Unix() - *t >= 5 {fmt.Println("超时")conn.Close()return}time.Sleep(100 * lisecond)}}(&t)for {data, err := readTcp(conn)if err != nil {if err == io.EOF {continue} else {fmt.Println("read err:", err)break}}writeTcp(conn)t = time.Now().Unix()} else {break}}}func readTcp(conn net.Conn) (int, error) {var buf bytes.Buffervar err errorrd := bufio.NewScanner(conn)total := 0for rd.Scan() {var n intn, err = buf.Write(rd.Bytes())if err != nil {panic(err)}buf.Write([]byte(rn))total += nfmt.Println("读到字节：", n)if n == 0 {break}}err = rd.Err()fmt.Println("总字节数：", total)fmt.Println("内容：", rn, buf.String())return total, err}func writeTcp(conn net.Conn) {wt := bufio.NewWriter(conn)wt.WriteString("HTTP/1.1 200 OK" + rn)wt.WriteString("Date: " + time.Now().String() + rn) wt.WriteString("Content-Length: 5" + rn)wt.WriteString("Content-Type: text/plain" + rn) wt.WriteString(rn)wt.WriteString("hello")err := wt.Flush()if err != nil {fmt.Println("Flush err: ", err)}fmt.Println("写入完毕", conn.RemoteAddr()) }client:package mainimport ("bufio""bytes""fmt""net""time")const rn = "\r\n"func main() {conn, err := net.Dial("tcp", ":8888")defer conn.Close()defer fmt.Println("断开")if err != nil {panic(err)}sendReq(conn)for {total, err := readResp(conn)if err != nil {panic(err)}if total > 0 {break}}}func sendReq(conn net.Conn) {wt := bufio.NewWriter(conn)wt.WriteString("GET / HTTP/1.1" + rn)wt.WriteString("Date: " + time.Now().String() + rn) wt.WriteString(rn)err := wt.Flush()if err != nil {fmt.Println("Flush err: ", err)}fmt.Println("写入完毕", conn.RemoteAddr())}func readResp(conn net.Conn) (int, error) {var buf bytes.Buffervar err errorrd := bufio.NewScanner(conn)total := 0for rd.Scan() {var n intn, err = buf.Write(rd.Bytes())if err != nil {panic(err)}buf.Write([]byte(rn))if err != nil {panic(err)}total += nfmt.Println("读到字节：", n)if n == 0 {break}}if err = rd.Err(); err != nil {fmt.Println("read err：", err)}if (total > 0) {fmt.Println("resp:", rn, buf.String())}return total, err}2、通过wireshark监听对应端口抓包分析server和client做出来了，下面来使用wireshark抓包来看看TCP链接的真容。