实验12 Wireshark 工具的使用与TCP数据包分析

Wireshark 工具的使用与TCP数据包分析(SEC-W07-007.1)

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是捕捉网络数据包，并尽可能显示出最为详细的数据包内容。在过去，网络数据包分析软件或者非常昂贵，或者专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障下，使用者可以免费取得软件及其源代码，并拥有对源代码修改的权利。Wireshark 是目前全世界最广泛的网络封包分析软件之一。

传输控制协议（Transmission Control Protocol），简称TCP协议，是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer）通信协议，由IETF的RFC 793说明（specified）。在简化的计算机网络OSI模型中，它完成第3层传输层所指定的功能，基于TCP的常见应用如TELNET，SSH，HTTP，FTP等。

实验目的

●学习Wireshark工具的使用。

●学习TCP协议及其TCP头部结构。

●利用Wireshark分析TCP数据包内容。

实验准备

●获取Windows 远程桌面客户端工具mstsc压缩包并解压。

●获取服务器Windows操作系统Administrator管理员口令。

●获取服务器IP地址。

实验步骤

学习Wireshark工具使用

步骤说明：

使用Wireshark工具，熟悉常见功能配置。

准备一台win20003和win xp电脑。

服务器（win2003）：

1．设置IP地址为192.168.25.77

2．选择控制面板下的添加/删除程序---添加/删除windows组件对话框中的应用程序服务器---Internet 信息服务---文件传输协议(FTP)服务。

3．右击我的电脑，选择管理，选择本地用户和组---用户---administrator,设置其密码为123456 4．右击我的电脑，选择属性---远程选项卡，勾选远程桌面下的允许用户远程连接到这台计算机。（开启了3389端口，通过netstat –an 可以查看）

5．在该服务器上安装Wireshark软件。

Win xp(设置其ip地址为192.168.25.78)

1.运行远程桌面客户端程序mstsc.exe，输入服务器端IP地址，点击Connect连接，如图1：

图1

2.以Administrator（管理员）身份登陆服务器桌面。

注：

服务器Administrator用户的登陆密码为123456。

3.在远程桌面中，单击桌面Wireshark程序快捷图标，弹出Wireshark程序如图2：

图2

4.在Wireshark程序点击查看本机网卡状态配置按钮：Interface List，弹出如图3对话框，图例中可以看出本机的网卡信息。

图3

5.在Wireshark主程序界面中，点击配置详细条件按钮：Capture Options，弹出如图4对话框，配置捕捉的详细条件。

图4

注：

这里我们选择了本地local的网卡，实验环境不同可能会使用不同的网卡。

6.在图4的配置界面中，可以通过在Capture Filter输入框中输入捕捉数据包的条件，样例中

的host 192.168.0.1的意思为：程序只捕捉IP地址为192.168.0.1的数据包。

7.下面举例了几种常见过滤条件：

tcp

只捕捉tcp数据包

port 80

捕捉tcp或udp协议且端口为80的数据包

not tcp port 3389

不捕捉tcp端口为3389的数据包

src 192.168.0.1 and dst 192.168.0.2

捕捉源地址为192.168.0.1且目的地址为192.168.0.2的数据包

8.这里我们选择过滤条件为not tcp port 3389，点击对话框下方的start按钮开始捕捉网络数据包，捕捉现象如图5所示：

图5

学习TCP协议及头部结构

步骤说明：

了解TCP/IP协议，学习TCP数据包头部结构。

1.TCP/IP是一个协议集，它包含了IP、TCP、UDP一系列协议，TCP协议意为Transmission Control Protocol传输控制协议，

它是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transport layer）通信协议，由IETF的RFC 793说明

（specified）。在简化的计算机网络OSI模型中，它完成第3层传输层所指定的功能，如图6所示：

图6

2.TCP协议头最少20个字节，包括若干个区域头部，结构如图7所示：

图7

3.由于TCP是基于IP协议的，在利用Wireshark工具分析中，通常可以看到的TCP头和IP 头结构组成，如图8所示：

图8

使用Wireshark分析TCP数据包

步骤说明：

配置Wireshark捕捉TCP数据包，分析数据包内容。

1.在winxp电脑上，开始--运行中输入mstsc.exe，输入服务器端IP地址19

2.168.25.77，点击Connect连接登陆到远程服务器桌面中，运行其上的Wireshark，选择capture菜单下-options，在出现的如图4的对话框的Capture Filter中输入过滤条件：

host 该服务器的IP and tcp port 21

这里我们需要捕捉访问远程服务器的TCP端口21的所有TCP数据包。

2.点击对话框下方的start按钮后，Wireshark会处于捕捉状态。

在ftp服务器进行如下设置：

1.创建一个wupeifei帐户，密码为123。

2.在C:\Inetpub下找到ftproot文件夹，右击该文件夹，选择属性，然后选择安全选项卡，添加wupeifei帐户对该文件夹有完全权限。

.回到winxp客户端系统中，进行如下设置：

1. 把该机器的那个远程服务器桌面窗口最小化，不要关闭。

2、在该winxp电脑的点击“开始”->“运行”，输入命令：

ftp 服务器的IP

利用该命令登陆远程服务器的FTP Server。

注：

远程服务器已经开放了FTP端口21，用户名为wupeifei，密码为123。

4.如图9输入正确的用户名wupeifie和密码123，成功登陆后，输入quit命令退出FTP服务器。