实验一 wireshark抓包工具使用

Wireshark的抓包及过滤规则实验Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

Wireshark的优势：- 安装方便。

- 简单易用的界面。

- 提供丰富的功能。

Wireshark的原名是Ethereal，新名字是2006年起用的。

当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。

但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

实验一抓ARP包一：安装并运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。

二：几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据三：开始分析数据在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply”按钮截图（替换掉该图）现在只有ARP协议了，其他的协议数据包都被过滤掉了。

注意到中间部分的三行前面都有一个“+”，点击它，这一行就会被展开。

如下图所示：截图（替换掉该图）现在展开第一行。

看到的结果如下：截图（替换掉该图）在上图中我们看到这个帧的一些基本信息：帧的编号：帧的大小：帧被捕获的日期和时间：帧距离前一个帧的捕获时间差：帧距离第一个帧的捕获时间差：帧装载的协议：现在展开第二行：截图（替换掉该图）我们可以看到：目的地址（Destination）：源地址（Source）：帧中封装的协议类型：Trailer：是协议中填充的数据，为了保证帧最少有64字节。

wireshark抓包教程Wireshark是一款常用的网络分析工具，它可以用来抓取网络数据包，并对网络通信进行分析和故障排查。

本文将为大家介绍使用Wireshark进行抓包的基本步骤和注意事项。

第一步：安装Wireshark首先，你需要在Wireshark官网下载并安装最新版本的软件。

安装完成后，打开Wireshark。

第二步：配置网络接口在Wireshark界面的左上角选择合适的网络接口，比如网卡或者无线网卡接口。

一般来说，如果你的电脑只有一个网卡，这个选项将自动选择。

如果有多个网卡，可以通过点击菜单栏的"捕获"->"选项"，在弹出的对话框中选择合适的网卡接口。

第三步：开始抓包点击Wireshark界面的“开始”按钮，在弹出的对话框中选择保存抓包文件的路径和文件名。

你可以选择将数据包保存到本地文件，也可以直接在Wireshark界面中查看抓包数据。

第四步：过滤数据包Wireshark抓包时会记录所有经过网络接口的数据包，如果网络通信比较频繁，抓包文件可能会非常庞大。

为了便于分析，我们可以使用过滤器来筛选出特定的数据包。

在Wireshark界面的过滤栏中输入过滤器规则，比如可以输入"tcp"来只展示TCP数据包，或者输入IP地址来只展示与该地址相关的数据包。

第五步：停止抓包当你想要停止抓包时，可以点击Wireshark界面的“停止”按钮，或者按下快捷键Ctrl+E。

第六步：数据包分析在Wireshark界面中，你可以看到抓包数据的详细信息，包括源地址、目的地址、协议类型、数据包长度等等。

通过点击各个字段，你可以查看详细的协议解析信息。

比如，你可以查看TCP数据包的源端口、目的端口、TCP标志位等信息，或者查看HTTP数据包的请求头和响应头。

第七步：保存和导出数据包如果你需要保存抓包数据，可以点击Wireshark界面上方的“保存”按钮，将抓包数据保存为pcapng格式的文件。

Wireshark抓包实验报告西安郵電學院计算机⽹络技术及应⽤实验报告书系部名称：管理⼯程学院学⽣姓名：xxx专业名称：信息管理班级：10xx学号：xxxxxxx时间：2012 年x ⽉x ⽇实验题⽬Wireshark抓包分析实验⼀、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包2、了解IP数据包格式，能应⽤该软件分析数据包格式3、查看⼀个抓到的包的内容，并分析对应的IP数据包格式⼆、实验内容1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显⽰结果。

4、选择某⼀⾏抓包结果，双击查看此数据包具体结构。

5、捕捉IP数据报。

①写出IP数据报的格式。

②捕捉IP数据报的格式图例。

③针对每⼀个域所代表的含义进⾏解释。

三、实验内容（续，可选）1、捕捉特定内容捕捉内容：http步骤：①在wireshark软件上点开始捕捉。

②上⽹浏览⽹页。

③找到包含http格式的数据包，可⽤Filter进⾏设置，点击中的下拉式按钮，选择http。

④在该数据帧中找到Get 的内容。

实验体会Wireshark抓包分析实验报告⼀．实验⽬的1.了解并初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2.了解IP数据包格式，能应⽤该软件分析数据包格式。

3.查看⼀个抓到的包的内容，并分析对应的IP数据包格式。

⼆．主要仪器设备协议分析软件Wireshark，联⽹的PC机。

三．实验原理和实验内容1 安装WireShark。

这个不⽤说了，中间会提⽰安装WinPcap,⼀切都是默认的了搞定！！2打开wireshark ，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

3打开WireShark,选择"Capture>>Interfaces",选择⾃⼰的⽹卡，设置完成后，选择"Start"开始监控流量。

关于wireshark抓包工具的使用
说明：wireshark，分为windows版本、linux版本，适合在主站、站端使用，主站装在工作站上，测试抓取本机网卡的包，站端装在笔记本上，抓取本机网卡的包。

使用时配合通用103、61850工具或本公司录波联网主站软件、站端虚拟机测试软件。

本软件使用的目的是：快速排查问题的点位，快速区分责任主体。

请各位联网人员理解、掌握本项技能。

Wireshark抓包工具使用，抓包步骤：
1、笔记本网线连接录波器装置，保证可ping。

2、网络调试后即可双击启动wireshark
3、运行wireshark，如下
软件版本一：软件界面
点击capture-
选择options
接口选择local，后面紧跟着是本地网卡选项
然后点击start，开始记录。

然后出现数据传输现象，这时候你开启相应的软件开始测试。

测试完了之后按stop停止并保存所抓的包到本地电脑。

软件版本二：
点击捕获--选择本地网口---开始
完成后点击文件---保存。

Wireshark抓包实验⼀、实验名称利⽤Wireshark抓包并分析 TCP/IP 协议⼆、实验⽬的通过实验，了解和掌握报⽂捕获⼯具 Wireshark 的使⽤⽅法和基本特点，使⽤ Wireshark 捕获⽹络报⽂，并分析各种⽹络协议的报⽂格式和⼯作过程。

三、实验内容使⽤ Wireshark 捕获⽹络报⽂，分析以太⽹、ARP、IP、TCP、DNS 和 HTTP 等协议的报⽂格式和⼯作过程。

四、实验步骤DNS分析在 cmd 下运⾏：nslookup –type=Anslookup –type=NS nslookup –type=MX nslookup –type=A 然后⽤Wireshark捕获报⽂并分析DNS和UDP协议的报⽂格式和⼯作过程。

ICMP分析在cmd下运⾏pingtracert然后⽤Wireshark捕获报⽂并分析 ICMP 报⽂格式和⼯作过程。

TCP/IP分析a) 在浏览器输⼊ ⽹址后，然后⽤ Wireshark 捕获报⽂并分析HTTP，TCP，IP，ARP和以太⽹等协议的报⽂格式和⼯作过程。

b) 运⾏各⾃编写的 UDP 和 TCP 客户/服务器程序并进⾏抓包分析。

五、实验结果及分析（⼀）DNS分析通过ipconfig命令查看IP、⽹关地址IP地址192.168.43.217默认⽹关192.168.43.1DNS报⽂格式DNS分析⼤体相同，就选择其⼀进⾏分析1.在cmd下运⾏nslookup -type=A ⾮权威应答：110.53.188.133 113.247.230.248 202.197.9.133应答服务器地址为192.168.43.1，为默认⽹关地址利⽤wireshark进⾏抓包分析，筛选DNS报⽂，本次运⾏有4个DNS报⽂，可以看出对应请求包和响应包的源IP与⽬的IP刚好相反。

Query这是⼀个请求报⽂。

⾸先主机发送⼀个 DNS 报⽂。

DNS 采⽤ UDP 协议⽀持。

实验一Wireshark报文捕捉实验一、实验目的1.掌握Wireshark抓包软件的基本使用方法；2.使用Wireshark抓取Telnet的数据报，分析IP头结构；3.使用Wireshark抓取Telnet的数据报，分析TCP头的结构、分析TCP的“三次握手”和“四次挥手”的过程。

二、实验环境1.运行Windows的PC机；2.Wireshark软件；3.Winpcap软件。

三、实验原理1.IP头结构；IP包头长度（Header Length）：长度4比特.这个字段的作用是为了描述IP包头的长度,因为在IP包头中有变长的可选部分.该部分占4个bit位，单位为32bit（4个字节），即本区域值= IP头部长度（单位为bit）/（8*4)，因此，一个IP包头的长度最长为“1111"，即15*4＝60个字节。

IP包头最小长度为20字节。

2.TCP的“三次握手”和“四次挥手”的过程。

TCP三次握手所谓三次握手(Three—way Handshake），是指建立一个TCP连接时，需要客户端和服务器总共发送3个包。

三次握手的目的是连接服务器指定端口，建立TCP连接，并同步连接双方的序列号和确认号并交换TCP 窗口大小信息.在socket编程中，客户端执行connect（)时。

将触发三次握手。

•第一次握手:客户端发送一个TCP的SYN标志位置1的包指明客户打算连接的服务器的端口，以及初始序号X，保存在包头的序列号(Sequence Number）字段里。

•第二次握手：服务器发回确认包（ACK)应答.即SYN标志位和ACK标志位均为1同时，将确认序号(Acknowledgement Number)设置为客户的I S N加1以。

即X+1。

•第三次握手.客户端再次发送确认包(ACK）SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1，放在确定字段中发送给对方.并且在数据段放写ISN的+1TCP 四次挥手TCP的连接的拆除需要发送四个包,因此称为四次挥手（four—way handshake）。

抓取一次完整的网络通信过程的数据包实验一，实验目的：通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。

二，实验环境：操作系统为Windows 7,抓包工具为Wireshark.三，实验原理：ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

四，验步骤：1.确定目标地址：选择作为目标地址。

2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1图 1-13.启动抓包：点击【start】开始抓包，在命令提示符下键入ping 如图 1-2图 1-2停止抓包后，截取的数据如图 1-3图 1-34，分析数据包：选取一个数据包进行分析，如图1- 4图1-4每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。

DLC协议的目的和源地址是MAC地址，IP协议的目的和源地址是IP地址，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。

ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下：（1）诊断报文（类型：8，代码0；类型：0代码：0）；(2）目的不可达报文（类型：3，代码0-15）；（3）重定向报文（类型：5，代码：0--4）；（4）超时报文（类型：11，代码：0--1）；（5）信息报文（类型：12--18）。

，TCP协议的分析实验一，实验目的：通过本次实验，掌握使用Wireshark抓取TCP协议的数据包的技能，能够在深入分析“TCP的三次握手”，TCP的四次挥手协议在网络数据流的基础上，进一步提高理论联系实践的能力。

实验Wireshark抓包分析实验一、实验目的1、了解并会初步使用Wireshark，能在所用电脑上进行抓包2、了解IP数据包格式，能应用该软件分析数据包格式3、查看一个抓到的包的内容，并分析对应的IP数据包格式4、学会使用nslookup工具查询并分析Internet 域名信息或诊断DNS 服务器。

5、会用wireshark分析DNS协议。

对DNS协议有个全面的学习与了解。

二、实训器材1、接入Internet的计算机主机；2、抓包工具WireShark。

三、实验内容（一）IP包分析实验1、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

2、设置完成后，点击“start”开始抓包，显示结果。

3、选择某一行抓包结果，双击查看此数据包具体结构。

4、查看IP数据报。

[1]写出IP数据报的格式。

[2]捕捉IP数据报的格式图例。

[3]记录IP数据报包的所有域，针对每一个域所代表的含义进行解释。

（二）DNS协议分析实验1、启动WireShark，并开始抓包。

2、在命令行运行nslookup 发现成都大学或其他单位官方DNS服务器。

nslookup /3、停止抓包4、显示过滤DNS包，查看其请求包和响应包的运输层协议是UDP 还是TCP，DNS请求包的目的端口及DNS响应包的源端口号分别是多少，DNS 请求包是发往哪个地址的，用ipconfig查看你的本地DNS服务器的IP地址，判断它们是否相同。

5、查看接下来你的主机发出的一些TCP SYN 包，其中的目的IP地址是否有刚才DNS应答包中的IP地址?Wireshark抓包分析实验报告一．实验目的1.了解并初步使用Wireshark，能在所用电脑上进行抓包。

2.了解IP数据包格式，能应用该软件分析数据包格式。

3.查看一个抓到的包的内容，并分析对应的IP数据包格式。

4.学会使用nslookup工具查询并分析Internet 域名信息或诊断DNS 服务器。

wireshark实验报告Wireshark实验报告Wireshark是一个非常强大的网络协议分析工具，它可以帮助我们监控和分析网络上的数据包，从而深入了解网络通信的细节。

在本次实验中，我们使用Wireshark来分析一个简单的网络通信场景，并进行一些实验来了解它的功能和用途。

实验一：捕获数据包首先，我们打开Wireshark并选择要监控的网络接口，然后开始捕获数据包。

在捕获过程中，我们可以看到不断出现的数据包，它们包含了网络通信中的各种信息，如源地址、目标地址、协议类型等。

通过Wireshark的过滤功能，我们可以只显示特定协议的数据包，从而更方便地进行分析。

实验二：分析HTTP通信接下来，我们模拟了一个简单的HTTP通信场景，比如在浏览器中访问一个网页。

通过Wireshark捕获到的数据包，我们可以看到HTTP请求和响应的细节，包括请求头、响应头、数据内容等。

通过分析这些数据包，我们可以了解HTTP 通信的工作原理，以及了解网页加载过程中的各种细节。

实验三：检测网络异常最后，我们模拟了一个网络异常的场景，比如断开网络连接或者遭遇网络攻击。

通过Wireshark捕获到的数据包，我们可以看到异常情况下的网络通信情况，从而及时发现问题并进行处理。

Wireshark的强大过滤功能可以帮助我们快速定位异常数据包，以便更快地解决网络问题。

通过以上实验，我们对Wireshark的功能和用途有了更深入的了解。

它不仅可以帮助我们监控网络通信，还可以帮助我们分析网络问题、学习网络协议等。

在今后的网络工作中，Wireshark将成为我们不可或缺的利器，帮助我们更好地理解和管理网络通信。

以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一：运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。

启动界面：抓包界面的启动是按file下的按钮（或capture下的interfaces）之后会出现这个是网卡的显示，因为我有虚拟机所以会显示虚拟网卡，我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包。

（捕捉本地连接对应的网卡，可用ipconfig/all 查看）二：几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。

三：开始分析数据1.打开“命令提示符”窗口，使用“arp -a”命令查看本地计算机ARP高速缓存。

2.使用“arp -d”命令清除本地计算机ARP高速缓存，再使用“arp -a”命令查看。

此时，本地计算机ARP高速缓存为空。

3.在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply”按钮将计算机与数据设备相连（3928或路由器），参见静态路由配置。

3.此时，网络协议分析软件开始捕获数据，在“命令提示符”窗口中PING同一子网中的任意主机。

（计算机Aping计算机B）因为PING命令的参数为IP地址，因此使用PING命令前，需要使用ARP机制将IP地址转换为MAC地址，这个过程用户是无法感知的。

因为我们在使用PING命令前已经开始网络数据包捕获，因此，此时网络协议分析软件将捕获到ARP解析数据包。

实验一网络连接抓包实验实验目的及要求:1）熟悉抓包工具wireshark, 掌握该软件的使用；2）加强TCP/IP协议结构认识, 根据抓获包尝试分析网络连接步骤；实验内容:1）启动wireshark, 熟悉软件各部分的功能和使用；打开邮箱、qq或其他网络应用软件, 进行抓包, 并根据抓获的数据分析网络连接的原理。

格式要求:根据实验报告格式填写各部分内容。

其中, 总结是针对实验过程中存在的问题或解决方法或者经验给出总结。

附：实验报告格式:实验名称一、实验目的1）熟悉抓包工具wireshark, 掌握该软件的使用；2）加强TCP/IP协议结构认识, 根据抓获包尝试分析网络连接步骤；二、实验步骤1.使用wireshark, 进行抓包, 并在抓的数据中, 找到成功三次握手的数据:2.TCP是主机对主机层的传输控制协议, 提供可靠的连接服务, 采用三次握手确认建立一个连接:位码即tcp标志位,有6种标示:SYN(synchronous建立联机) ACK(acknowledgement 确认) PSH(push传送) FIN(finish结束) RST(reset重置) URG(urgent紧急)Sequence number(顺序号码) Acknowledge number(确认号码)3.第一次握手: 主机A发送位码为syn＝1数据包到服务器, 主机B由SYN=1知道, A要求建立联机；4.第二次握手: 主机B收到请求后要确认联机信息, 向A发送ack number=(主机A的seq+1),syn=1,ack=15.第三次握手: 主机A收到后检查ack number是否正确, 即第一次发送的seq number+1,以及位码ack 是否为1, 若正确, 主机A会再发送ack number=(主机B的seq+1),ack=1, 主机B收到后确认seq值与ack=1则连接建立成功。

6.完成三次握手, 主机A与主机B开始传送数据。

网络抓包实验报告网络抓包实验报告一、实验目的网络抓包是一种常见的网络分析技术，通过截获和分析网络通信数据包，可以深入了解网络通信过程中的细节和问题。

本实验旨在通过抓包实践，掌握网络抓包的基本原理和操作方法，并能够利用抓包工具进行网络数据分析。

二、实验环境本次实验使用了一台运行Windows 10操作系统的电脑，并安装了Wireshark作为网络抓包工具。

Wireshark是一款开源的网络协议分析软件，可以截获并分析网络数据包。

三、实验步骤1. 安装Wireshark：从官方网站下载Wireshark安装包，并按照提示完成安装过程。

2. 打开Wireshark：双击Wireshark桌面图标，启动软件。

3. 选择网络接口：在Wireshark界面的主菜单中，点击“捕获”选项，选择要进行抓包的网络接口。

4. 开始抓包：点击“开始”按钮，Wireshark开始截获网络数据包。

5. 进行网络通信：在另一台电脑上进行网络通信，例如访问一个网站或发送电子邮件。

6. 停止抓包：在Wireshark界面的主菜单中，点击“停止”按钮，停止截获网络数据包。

7. 分析数据包：在Wireshark界面的数据包列表中，可以看到截获的网络数据包，点击其中的一条数据包，可以查看其详细信息。

四、实验结果与分析通过实验，我们成功截获了多个网络数据包，并进行了分析。

在分析过程中，我们发现了一些有趣的现象。

首先，我们观察到了HTTP通信中的明文传输问题。

在抓包过程中，我们截获了一些HTTP请求和响应的数据包，其中包含了网页的内容。

通过查看数据包的详细信息，我们发现这些数据包中的内容并没有进行加密处理，因此存在信息泄漏的风险。

这提醒我们在进行网络通信时，应尽量使用HTTPS等加密协议来保护数据的安全性。

其次，我们还观察到了TCP连接的建立和断开过程。

在进行网络通信时，客户端和服务器之间需要建立TCP连接来传输数据。

通过分析数据包中的TCP协议头部信息，我们可以清晰地看到连接的建立过程，包括三次握手和连接的断开过程，包括四次挥手。

Wireshark抓包实例分析（一）.WireShark的使用： (1)启动WireShark。

(2)启动PC上的IE浏览器。

(3)开始分组捕获：选择“抓包”下拉菜单中的“抓包参数选择”命令，在“WireShark:抓包选项”窗口中可以设置分组捕获的选项。

(4)在这次实验中，使用窗口中显示的默认值。

选择“抓包”下拉菜单中的“网络接口”命令，显示计算机中所安装的网络接口（即网卡）。

我们需要选择电脑真实的网卡，点击后显示本机的IP地址。

(5)随后，点击“开始”则进行分组捕获，所有由选定网卡发送和接收的分组都将被捕获。

(6)待捕获一段时间，关闭浏览器，选择主窗口中有的“stop”按钮，可以停止分组的捕获。

(7)选择“文件”下拉菜单中的“另存为”，保存到我的文档中。

(二).结果分析：图1，Wireshark抓包窗口布局Wireshark的抓包结果整个窗口被分成三部分，最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下面是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

图2，Wireshark数据包列表上图的数据包列表中，第一列是编号（如第20个包），第二列是截取时间（3.21713400），第三列Source是源地址（10.245.85.63），第四列Destination 是目的地址（211.138.180.3），第五列Protocol是这个包使用的协议DNS，第六列是数据包帧的长度，第七列Info是一些其他的信息，包括源端口号和目的端口号。

Wireshark中某些协议字段会以特殊方式显示：1， Generated fields/衍生字段 Wireshark会将自己生成附加协议字段加上括号。

衍生字段是通过该包的相关的其他包结合生成的。

例如Wireshark 在对TCP流应答序列进行分析时。

将会在TCP协议中添加[SEQ/ACK analysis]字段 2，Links/链接如果Wireshark检测到当前包与其它包的关系将会产生一个到其它包的链接。

Wireshark抓包实验说明Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

Wireshark的优势：- 安装方便。

- 简单易用的界面。

- 提供丰富的功能。

一、安装并运行wireshark开始捕获数据包，从Capture选项下面选择Options。

然后在下图中选择你的网络适配器，并运行start开始捕获数据包。

二：wireshark查看软件说明在下图中，第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是所涉及的协议类型。

图中窗体共分为三部分，最上面的部分显示每个数据包的摘要信息，中间部分显示每个数据包的详细信息，最下面的部分显示数据包中的实际数据，以十六进制表示。

三：过滤器的使用在下图中，可以选择Expression菜单中的选项过滤，只保留需要查看的信息。

例如只查看以本机192.168.0.102作为主机接受和发送的数据包，就在Expression中选中IPv4里面的ip.host, 还可以同时选中某个Relation关系，并填入过滤值。

如果同学们熟悉了表达式的填写，也可以直接在Filter框中手动输入表达式：ip.host == 192.168.0.102 （本机的IP）然后点击Apply 按钮就可以查看本机的所有包了。

如果你想再缩小查看范围，还可以输入成：ip.host == 192.168.0.102 and ip.host == 192.168.0.101 这就是把两台主机同时限定。

其他表达式同学们可以自己尝试使用。

四：ICMP数据报在上述已经过滤好的情况下，可以再命令行中输入ping某台主机的命令，然后在下图中可以看到最新的活动数据，即ICMP数据包。

也可以直接在filter中输入icmp相关的过滤表达式，单击“start”按钮开始网络数据包捕获。

wireshark抓包⼯具详细说明及操作使⽤前⾔①wireshark是⾮常流⾏的⽹络封包分析软件，功能⼗分强⼤。

可以截取各种⽹络封包，显⽰⽹络封包的详细信息。

②使⽤wireshark的⼈必须了解⽹络协议，否则就看不懂wireshark。

③为了安全考虑，wireshark只能查看封包，⽽不能修改封包的内容，或者发送封包。

④wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP、HTTPS 还是⽤Fiddler抓包⼯具，其他协议⽐如TCP，UDP 就⽤wireshark抓包⼯具。

wireshark抓包⼯具的使⽤1、Wireshark 开始页⾯【注意】wireshark是捕获机器上的某⼀块⽹卡的⽹络包，当你的机器上有多块⽹卡的时候，你需要选择⼀个⽹卡。

点击 Caputre->Interfaces ，出现下⾯对话框，选择正确的⽹卡。

然后点击 Start 按钮, 开始抓包。

2、Wireshark 窗⼝介绍WireShark 主要分为这⼏个界⾯：①Display Filter(显⽰过滤器)：⽤于过滤。

②Packet List Pane(封包列表)：显⽰捕获到的封包，有源地址和⽬标地址，端⼝号。

颜⾊不同代表抓取封包的协议不同。

③Packet Details Pane(封包详细信息),：显⽰封包中的字段。

④Dissector Pane(16进制数据)⑤Miscellanous(地址栏，杂项)3、过滤①使⽤过滤是⾮常重要的，初学者使⽤wireshark时，将会得到⼤量的冗余信息，在⼏千甚⾄⼏万条记录中，以⾄于很难找到⾃⼰需要的部分。

搞得晕头转向。

【过滤器会帮助我们在⼤量的数据中迅速找到我们需要的信息。

】②Wireshark ⼯具的过滤器有两种：1. 显⽰过滤器：就是主界⾯上那个，⽤来在捕获的记录中找到所需要的记录。

大连理工大学本科实验报告课程名称：网络综合实验学院（系）：软件学院专业：软件工程年月日大连理工大学实验报告学院（系）：专业：班级：姓名：学号：组：___ 实验时间：实验室：实验台：指导教师签字：成绩：实验一：网络协议分析工具Wireshark的使用一、实验目的学习使用网络协议分析工具Wireshark的方法，并用它来分析一些协议。

二、实验原理和内容1、tcp/ip协议族中网络层传输层应用层相关重要协议原理2、网络协议分析工具Wireshark的工作原理和基本使用规则三、实验环境以及设备Pc机、双绞线四、实验步骤（操作方法及思考题）1.用Wireshark观察ARP协议以及ping命令的工作过程：（1）用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（2）用“arp”命令清空本机的缓存；（3）运行Wireshark，开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）;（4）执行命令：“ping 缺省路由器的IP地址”；写出（1），（2）中所执行的完整命令（包含命令行参数），（3）中需要设置的Wireshark的Capture Filter过滤规则，以及解释用Wireshark所观察到的执行（4）时网络上出现的现象。

(1)ipconfig –all(2)arp –d(3)ether host 00-11-5B-28-69-B0 and (arp or icmp)(4)因为实验开始时清空了本机ARP缓存，所以在ping默认网关的IP时，首先主机广播一个ARP查询报文，默认网关回复一个ARP响应报文；ping程序执行时，源向目的发送一个ICMP的Echo请求，目的方向源回复一个Echo响应，如此反复执行四次，所以捕获到8个ICMP报文。

2.用Wireshark观察tracert命令的工作过程：（1）运行Wireshark, 开始捕获tracert命令中用到的消息；（2）执行“tracert -d ”根据Wireshark所观察到的现象思考并解释tracert的工作原理。

wireshark软件使用和一次抓包实验一、实验题目wireshark软件的使用和一次抓包。

二、实验目的1.认识抓包工具wireshark；2.了解wireshark的特性。

3.掌握wireshark的初步应用——对一次邮箱登陆的抓包。

三、实验原理Wireshark简介a)什么是wireshark？Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。

b)Wireshark的特性？1.支持UNIX和Windows平台2.在接口实时捕捉包3.能详细显示包的详细协议信息4.可以打开/保存捕捉的包5.可以导入导出其他捕捉程序支持的包数据格式6.可以通过多种方式过滤包7.多种方式查找包8.通过过滤以多种色彩显示包9.创建多种统计分析POP3工作原理：1)客户端使用TCP协议连接邮件服务器的110端口；2)客户端使用USER命令将邮箱的账号传给POP3服务器；3)客户端使用PASS命令将邮箱的账号传给POP3服务器；4)完成用户认证后，客户端使用STAT命令请求服务器返回邮箱的统计资料；5)客户端使用LIST命令列出服务器里邮件数量；6)客户端使用RETR命令接收邮件，接收一封后便使用DELE命令将邮件服务器中的邮件置为删除状态；7)客户端发送QUIT命令，邮件服务器将将置为删除标志的邮件删除，连接结束。

四、实验环境1.学校网络工程机房2.Widows xp操作系统3.Wireshark v1.13 英文版五、实验内容通过运行wireshark 软件，熟悉软件的界面和各大功能。

然后使用wireshark实现一次对发送邮件过程的监测，并进行报文分析，进一步掌握一般抓包工具的简单应用。

六、实验步骤1 . 点击可执行程序WiresharkPortable.exe，安装软件。