实验四、使用wireshark网络分析器分析数据包

实验四、使用Wireshark网络分析器分析数据包

一、实验目的

1、掌握Wireshark工具的安装和使用方法

2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构

3、掌握ICMP协议的类型和代码

二、实验内容

1、安装Wireshark

2、捕捉数据包

3、分析捕捉的数据包

三、实验工具

1、计算机n台(建议学生自带笔记本)

2、无线路由器n台

四、相关预备知识

1、熟悉win7操作系统

2、Sniff Pro软件的安装与使用(见Sniff Pro使用文档)

五、实验步骤

1、安装Wireshark

Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

Wireshark的主要应用如下：

（1）网络管理员用来解决网络问题

（2）网络安全工程师用来检测安全隐患

（3）开发人员用来测试协议执行情况

（4）用来学习网络协议

（5）除了上面提到的，Wireshark还可以用在其它许多场合。

Wireshark的主要特性

（1）支持UNIX和Windows平台

（2）在接口实时捕捉包

（3）能详细显示包的详细协议信息

（4）可以打开/保存捕捉的包

（5）可以导入导出其他捕捉程序支持的包数据格式

（6）可以通过多种方式过滤包

（7）多种方式查找包

（8）通过过滤以多种色彩显示包

（9）创建多种统计分析

五、实验内容

1．了解数据包分析软件Wireshark的基本情况；

2．安装数据包分析软件Wireshark；

3．配置分析软件Wireshark；

4．对本机网卡抓数据包；

5．分析各种数据包。

六、实验方法及步骤

1．Wireshark的安装及界面

（1）Wireshark的安装

（2）Wireshark的界面

启动Wireshark之后，主界面如图：

主菜单项：

主菜单包括以下几个项目:

File

包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项.

Edit

包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。（剪切，拷贝，粘贴不能立即执行。）

View

控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离

的窗口，展开或收缩详情面版的地树状节点

GO

包含到指定包的功能

Capture

允许您开始或停止捕捉、编辑过滤器。

Analyze

包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能。见

Statistics

包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。见

Help

包含一些辅助用户的参考内容。如访问一些基本的帮助文件，支持的协议列表，用户手册。在线访问一些网站，“关于”等等。2．Wireshark的设置和使用

1）启动Wireshark以后，选择菜单Capature->Interfaces,选择捕获的网卡，单击Capture开始捕获

2）当停止抓包时，按一下stop，抓的包就会显示在面板中，并且已经分析好了。下面是一个截图如图2-2所示。

图2-2 Wireshark数据包分析

Wireshark和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包

的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

2）设置capture选项

选择菜单capture→Interface，如图2-3所示，在指定的网卡上点“Prepare”按钮，设置capture参数。

图2-3 capture选择设置

Interface：指定在哪个接口（网卡）上抓包。一般情况下都是单网卡，所以使用缺省的就可以。

Limit each packet：限制每个包的大小，缺省情况不限制。

Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发

出的包，因此应该关闭这个选项。

Filter：过滤器。只抓取满足过滤规则的包（可暂时略过）。

File：如果需要将抓到的包写到文件中，在这里输入文件名称。

use ring buffer：是否使用循环缓冲。缺省情况下不使用，即一直抓包。注意，循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。其他的项选择缺省的就可以了。

2．显示过滤器的使用方法

在抓包完成以后用显示过滤器，可以在设定的条件下（协议名称、是否存在某个域、域值等）来查找你要找的数据包。如果只想查看使用TCP协议的包，在Wireshark 窗口的左下角的Filter 中输入TCP，然后回车，Wireshark 就会只显示TCP协议的包。如图2-4所示。

图2-4 设置过滤条件为TCP报文