实验1_ Wireshark使用

实验一：网络协议分析工具Wireshark的使用一、实验目的学习使用网络协议分析工具Wireshark的方法，并用它来分析一些协议。

二、实验原理和内容1、tcp/ip协议族中网络层传输层应用层相关重要协议原理2、网络协议分析工具Wireshark的工作原理和基本使用规则三、实验环境以及设备Pc机、双绞线四、实验步骤（操作方法及思考题）1.用Wireshark观察ARP协议以及ping命令的工作过程：（20分）（1）用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（2）用“arp”命令清空本机的缓存；（3）运行Wireshark，开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）;（4）执行命令：“ping 缺省路由器的IP地址”；写出（1），（2）中所执行的完整命令（包含命令行参数），（3）中需要设置的Wireshark的Capture Filter过滤规则，以及解释用Wireshark所观察到的执行（4）时网络上出现的现象。

（1）ipconfig/all（2）arp –d arp –a（3）ether host F0:4D:A2:24:84:D6 and(icmp or arp)（4）ping 192.168.32.254如上图，为所截得的包，包里1、2、11、12都是arp报文，先用arp –d命令清空ARP 缓存。

通过广播来找到目的主机的mac地址。

3~10个icmp包是ping命令下的4个request 和reply报文。

2.用Wireshark观察tracert命令的工作过程：（20分）（1）运行Wireshark, 开始捕获tracert命令中用到的消息；（2）执行“tracert -d ”根据Wireshark所观察到的现象思考并解释tracert的工作原理。

Tracert先发送TTL为1的回应数据包，并在随后的每次发送过程将TTL递增1，直到目标响应或TTL 达到最大值，从而确定路由。

wireshark抓包实验报告Wireshark抓包实验报告1. 实验简介本次实验旨在通过使用Wireshark软件进行网络抓包，深入了解网络通信过程中的数据传输和协议交互。

通过分析抓包数据，我们可以了解网络流量的组成、协议的运作方式以及网络安全的相关问题。

2. 实验准备在进行实验之前，我们需要准备一台运行Wireshark软件的计算机，并连接到一个网络环境中。

Wireshark是一款开源的网络协议分析工具，可以在各种操作系统上运行。

安装并配置好Wireshark后，我们就可以开始进行抓包实验了。

3. 实验步骤3.1 启动Wireshark打开Wireshark软件，选择需要抓包的网络接口。

Wireshark会监听该接口上的所有网络流量，并将其显示在界面上。

3.2 开始抓包点击“开始”按钮，Wireshark开始抓取网络数据包。

此时，我们可以看到界面上实时显示的数据包信息，包括源地址、目标地址、协议类型等。

3.3 过滤抓包数据由于网络流量非常庞大，我们可以使用过滤器来筛选出我们感兴趣的数据包。

Wireshark提供了丰富的过滤器选项，可以根据协议、源地址、目标地址等条件进行过滤。

3.4 分析抓包数据选中某个数据包后，Wireshark会显示其详细信息，包括协议分层、数据字段等。

通过分析这些信息，我们可以了解数据包的结构和内容，进一步了解网络通信的细节。

4. 实验结果与讨论在实验过程中，我们抓取了一段时间内的网络流量，并进行了分析。

通过对抓包数据的观察和解读，我们得出了以下几点结果和讨论：4.1 协议分层在抓包数据中，我们可以清晰地看到各种协议的分层结构。

从物理层到应用层，每个协议都承担着不同的功能和责任。

通过分析协议分层，我们可以了解协议之间的关系，以及它们在网络通信中的作用。

4.2 数据传输过程通过分析抓包数据，我们可以追踪数据在网络中的传输过程。

我们可以看到数据包从源地址发送到目标地址的路径，了解中间经过的路由器和交换机等设备。

实验二利用Wireshark分析协议HTTP一、实验目的分析HTTP协议二、实验环境与因特网连接的计算机，操作系统为Windows,安装有Wireshark、IE等软件。

三、实验步骤1、利用Wireshark俘获HTTP分组(1)在进行跟踪之前,我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。

打开浏览器,找到Internet选项，点击后出现如图1所示的界面.以IE浏览器为例，步骤为：点击浏览器右上角的“工具”-“Internet 选项”。

图1 Internet选项之后，还要在客户端清空DNS高速缓存，以确保Web服务器域名到IP地址的映射是从网络中请求的.在Windows系列的机器上，可在命令提示行输入ipconfig/flushdns 完成操作(如图2所示)；具体步骤及Linux、MAC等系统的清空方法请参见：http：//uu4u.iteye。

com/blog/1674716.图2 命令提示行输入ipconfig/flushdns完成操作(2）启动Wireshark 分组俘获器.（3）在Web 浏览器中输入：http：//www。

cqu。

/（重庆大学网站）。

(4）停止分组俘获。

图3利用Wireshark俘获的HTTP分组在URL http：//www。

中，www.cqu。

edu。

cn是一个具体的web 服务器的主机名。

最前面有两个DNS分组.第一个分组是将主机名www。

cqu。

edu。

cn转换成为对应的IP 地址的请求，第二个分组包含了转换的结果.这个转换是必要的，因为网络层协议-—IP协议,是通过点分十进制来表示因特网主机的，而不是通过www。

cqu。

edu。

cn这样的主机名。

当输入URL http：//www。

cqu。

edu。

cn时，将要求Web服务器从主机www.cqu。

上请求数据，但首先Web浏览器必须确定这个主机的IP地址。

小提示—-域名和主机关系举例：域名下，有主机server1和server2，其主机全名就是server1。

实验一Wireshark的安装与使用一、实验目的1、熟悉并掌握Wireshark的基本使用；2、了解网络协议实体间进行交互以及报文交换的情况。

二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、预备知识要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。

这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。

观察正在运行的协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer），又称分组捕获器。

顾名思义，分组嗅探器捕获（嗅探）你的计算机发送和接收的报文。

图显示了一个分组嗅探器的结构。

图分组嗅探器的结构图右边是计算机上正常运行的协议和应用程序（如：Web浏览器和FTP客户端）。

分组嗅探器（虚线框中的部分）主要有两部分组成：第一是分组捕获器，其功能是捕获计算机发送和接收的每一个链路层帧的拷贝；第二个组成部分是分组分析器，其作用是分析并显示协议报文所有字段的内容（它能识别目前使用的各种网络协议）。

Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从下载。

运行Wireshark程序时，其图形用户界面如图所示。

最初，各窗口中并无数据显示。

Wireshark的界面主要有五个组成部分：命令和菜单协议筛选框捕获分组列表选定分组首部明细分组内容左：十六进制右：ASCII码图 Wireshark主界面命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。

协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。

捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。

wireshark抓包实验报告Wireshark抓包实验报告引言：网络是现代社会中不可或缺的一部分，人们在日常生活中几乎无时无刻不在使用网络。

然而，网络的复杂性使得网络问题的排查变得困难。

Wireshark作为一款强大的网络抓包工具，可以帮助我们深入分析网络数据包，从而更好地理解和解决网络问题。

本文将介绍Wireshark的基本原理和使用方法，并通过实际抓包实验来验证其功能和效果。

一、Wireshark的基本原理Wireshark是一款开源的网络协议分析工具，可以运行在多个操作系统上。

它通过捕获网络接口上的数据包，并将其解析成可读的形式，以便我们进行深入分析。

Wireshark支持多种协议，包括以太网、无线网络、TCP/IP等，使得我们能够全面了解网络通信的细节。

二、Wireshark的使用方法1. 下载和安装Wireshark可以从其官方网站上免费下载，根据自己的操作系统选择合适的版本进行安装。

安装完成后，打开Wireshark并选择要抓包的网络接口。

2. 抓包设置在开始抓包之前，我们需要进行一些设置以确保我们能够捕获到想要分析的数据包。

首先，我们可以设置抓包过滤器来过滤出特定的数据包，以减少不必要的干扰。

其次，我们可以选择是否启用深度分析，以获取更详细的协议信息。

3. 开始抓包一旦设置完成，我们可以点击“开始”按钮开始抓包。

Wireshark将开始捕获网络接口上的数据包，并将其显示在主界面上。

我们可以看到每个数据包的详细信息，包括源IP地址、目标IP地址、协议类型等。

4. 数据包分析Wireshark提供了丰富的功能和工具，使得我们可以对抓包的数据包进行深入分析。

我们可以通过点击每个数据包来查看其详细信息，并根据需要进行过滤、排序和搜索。

此外，Wireshark还提供了统计功能，帮助我们了解网络流量的情况。

三、实验验证为了验证Wireshark的功能和效果，我们进行了一次抓包实验。

实验中，我们使用Wireshark抓取了一段时间内的网络数据包，并进行了分析。

使用wireshark进行协议分析实验报告一、实验目的本次实验旨在掌握使用Wireshark进行网络协议分析的方法与技巧，了解网络通信特点和协议机制。

二、实验内容及步骤1.实验准备b.配置网络环境：保证实验环境中存在数据通信的网络设备和网络流量。

2.实验步骤a. 打开Wireshark软件：启动Wireshark软件并选择需要进行抓包的网络接口。

b. 开始抓包：点击“Start”按钮开始抓包，Wireshark将开始捕获网络流量。

c.进行通信：进行网络通信操作，触发网络流量的产生。

d. 停止抓包：点击“Stop”按钮停止抓包，Wireshark将停止捕获网络流量。

e. 分析流量：使用Wireshark提供的分析工具和功能对抓包所得的网络流量进行分析。

三、实验结果通过Wireshark软件捕获的网络流量，可以得到如下分析结果：1. 抓包结果统计：Wireshark会自动统计捕获到的数据包数量、每个协议的数量、数据包的总大小等信息，并显示在界面上。

2. 协议分析：Wireshark能够通过解析网络流量中的各种协议，展示协议的各个字段和值，并提供过滤、等功能。

3. 源和目的地IP地址：Wireshark能够提取并显示各个IP数据包中的源IP地址和目的地IP地址，帮助我们分析网络通信的端点。

四、实验分析通过对Wireshark捕获到的网络流量进行分析，我们可以得到以下几个重要的分析结果和结论：1.流量分布：根据抓包结果统计，我们可以分析不同协议的数据包数量和比例，了解网络中各个协议的使用情况。

2. 协议字段分析：Wireshark能够对数据包进行深度解析，我们可以查看各个协议字段的值，分析协议的工作机制和通信过程。

3.网络性能评估：通过分析网络流量中的延迟、丢包等指标，我们可以评估网络的性能，并找出网络故障和瓶颈问题。

4. 安全分析：Wireshark能够分析HTTP、FTP、SMTP等协议的请求和响应内容，帮助我们发现潜在的网络安全问题。

一、实验目的及要求：1、分析IP协议，熟知IP协议数据包各个字段的含义与作用；2、分析IP数据报分片，熟悉IP数据包的传递方式。

二、实验设备：与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE浏览器等软件。

三、实验原理：1、DHCP（动态主机配置协议）报文说明：(1)DHCP-DISCOVER：DHCP客户端广播发送的，用来查找网络中可用的DHCP服务器。

(2)DHCP-OFFER：DHCP服务器用来响应客户端的DHCP-DISCOVER请求，并为客户端指定相应配置参数。

(3)DHCP-REQUEST：DHCP客户端广播发送DHCP服务器，用来请求配置参数或者续借租用。

(4)DHCP-ACK：DHCP服务器通知客户端可以使用分配的IP地址和配置参数。

(5)DHCP-NAK：DHCP服务器通知客户端地址请求不正确或者租期已过期，续租失败。

(6)DHCP-RELEASE：DHCP客户端主动向DHCP服务器发送，告知服务器该客户端不再需要分配的IP地址。

(7)DHCP-DECLINE：DHCP客户端发现地址冲突或者由于其它原因导致地址不能使用，则发送DHCP-DECLINE报文，通知服务器所分配的IP地址不可用。

(8)DHCP-INFORM：DHCP客户端已有IP地址，用它来向服务器请求其它配置参数2、pingPING（Packet Internet Groper），因特网包探索器，用于测试网络连接量的程序。

Ping是工作在TCP/IP网络体系结构中应用层的一个服务命令，主要是向特定的目的主机发送ICMP （Internet Control Message Protocol因特网报文控制协议）Echo请求报文，测试目的站是否可达及了解其有关状态。

四、实验内容和步骤：1、用300字左右，描述你对IP协议的认识；IP协议，即互联网协议（Internet Protocol），是互联网技术的核心组成部分，它定义了数据如何在互联网中传输。

wireshark实验报告Wireshark实验报告Wireshark是一个非常强大的网络协议分析工具，它可以帮助我们监控和分析网络上的数据包，从而深入了解网络通信的细节。

在本次实验中，我们使用Wireshark来分析一个简单的网络通信场景，并进行一些实验来了解它的功能和用途。

实验一：捕获数据包首先，我们打开Wireshark并选择要监控的网络接口，然后开始捕获数据包。

在捕获过程中，我们可以看到不断出现的数据包，它们包含了网络通信中的各种信息，如源地址、目标地址、协议类型等。

通过Wireshark的过滤功能，我们可以只显示特定协议的数据包，从而更方便地进行分析。

实验二：分析HTTP通信接下来，我们模拟了一个简单的HTTP通信场景，比如在浏览器中访问一个网页。

通过Wireshark捕获到的数据包，我们可以看到HTTP请求和响应的细节，包括请求头、响应头、数据内容等。

通过分析这些数据包，我们可以了解HTTP 通信的工作原理，以及了解网页加载过程中的各种细节。

实验三：检测网络异常最后，我们模拟了一个网络异常的场景，比如断开网络连接或者遭遇网络攻击。

通过Wireshark捕获到的数据包，我们可以看到异常情况下的网络通信情况，从而及时发现问题并进行处理。

Wireshark的强大过滤功能可以帮助我们快速定位异常数据包，以便更快地解决网络问题。

通过以上实验，我们对Wireshark的功能和用途有了更深入的了解。

它不仅可以帮助我们监控网络通信，还可以帮助我们分析网络问题、学习网络协议等。

在今后的网络工作中，Wireshark将成为我们不可或缺的利器，帮助我们更好地理解和管理网络通信。

第一次实验：利用Wireshark软件进行数据包抓取1.3.2 抓取一次完整的网络通信过程的数据包实验一，实验目的：通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。

二，实验环境：操作系统为Windows 7,抓包工具为Wireshark.三，实验原理：ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

四，验步骤：1.确定目标地址：选择作为目标地址。

2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1图 1-13.启动抓包：点击【start】开始抓包，在命令提示符下键入ping , 如图 1-2图 1-2停止抓包后，截取的数据如图 1-3图 1-34，分析数据包：选取一个数据包进行分析，如图1- 4图1-4每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。

DLC协议的目的和源地址是MAC地址，IP协议的目的和源地址是IP地址，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。

ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下：（1）诊断报文（类型：8，代码0；类型：0代码：0）；(2）目的不可达报文（类型：3，代码0-15）；（3）重定向报文（类型：5，代码：0--4）；（4）超时报文（类型：11，代码：0--1）；（5）信息报文（类型：12--18）。

1.4.1，TCP协议的分析实验一，实验目的：通过本次实验，掌握使用Wireshark抓取TCP协议的数据包的技能，能够在深入分析“TCP的三次握手”，TCP的四次挥手协议在网络数据流的基础上，进一步提高理论联系实践的能力。

声明：每个实验都有与之对应的数据包，表格的数据都是分析数据包填上的，由于姜腊林老师只是批阅没有给我们批改，所以会有很多错的地方没改和不懂的地方没有写。

这真的仅仅是参考而已。

实验1.1 Wireshart的使用实验一、实验目的：掌握协议分析软件Wireshark的使用。

二、实验设备：电脑、Wireshart抓包工具三、实验内容：运行Wireshark程序，启动界面点击start按钮，进入Wireshark主窗口。

主窗口包含了捕获和分析包相关的操作。

四、实验步骤：（1）启动Wireshark。

（2）开始分组捕获。

（3）保存抓包文件。

（4）分析抓包文件。

五、实验结果分析（1）、Wireshark主窗口包含那几个窗口？说明这些窗口的作用。

菜单栏：菜单栏通常用来启动Wireshark有关操作，例如File.工具栏：工具栏提供菜单中常用项目的快速访问。

过滤器栏：过滤器栏提供一个路径，来直接控制当前所用的显示过滤器。

包列表窗口：包列表窗口显示当前捕获的全部包的摘要。

包列表的每一行对应一个包，不同包有不同的颜色。

如果选择了某行，则更详细的信息显示在保协议窗口和包字节数据窗口中，在包列表窗口中的每一行代表捕获的一个包，每个包的摘要信息包括：a、No：包文件中包的编号。

b、T ime：包的时间擢，即捕获该包的时间，该时间戳的实际格式可以改变。

c、Source：包的源地址。

d、D estination：包的目标地址。

e、Length：该数据包的长度。

f、Info：包内容的附加信息。

包协议窗口：包协议窗口以更详细的格式显示从包列表窗口选中的协议和协议字段。

包的协议和字段用树型格式显示，可以扩展和收缩。

这是一种可用的上下文菜单，单机每行前的“+”就可以展开为以“—”开头的若干行，单击“—”又可以收缩。

包字节（十六进制数据窗口）：包字节窗口以十六进制形式显示出从包列表窗格中选定的当前包的数据，并以高亮度显示在包协议窗口中选择字段。

二．实验工具wireshark软件三．实验主要过程与结果本次实验使用了wireshark抓包软件对QQ的协议数据进行了分析。

1、首先打开wireshark,登录QQ2、然后点击开始抓包，给好友发送消息3、最后停止抓包，分析协议数据结果：停止抓包后，可以看到wireshark的页面如下，分为了三个区域：从上到下依次为数据包列表，数据包细节和数据包字节。

源地址为120.204.17.118，目的地址为172.17.62.0即为本机的地址）。

从数据包细节窗口可以看出总共有五层，从下到上依次为应用层，运输层，网络层，数据链路层，物理层。

分别对其不同层进行分析。

四、分析讨论1、应用层应用层是五层协议体系结构中的最高层，其任务是通过应用进程间的交互来完成特定网络应用。

本实验使用的应用进程为QQ,从下图中可以看出QQ所使用的协议为OICQ协议，其中里面包含了交互数据，即为报文。

在数据包细节中OICQ协议中的第五行，可以看到自己的QQ号（302702230）。

选中最后一行的DaTa可以看到传输的数据，即为报文。

2、运输层运输层的任务就是负责向两台主机中进程之间的通信提供通用的数据传输服务，应用进程利用该服务传送应用层报文。

从下图可以看到运输层所使用的协议为UDP协议，UDP协议提供无连接的、尽最大努力的数据传输服务（不保证数据传输的可靠性），其数据的单位是用户数据报。

图中所选中的数据部分是运输层给数据加的报头。

其源端口号为8000，目的端口号为4009，数据包字节长度为87。

UDP协议的第四行表示检验和显示为验证禁用，不能验证，如下图。

3、网络层网络层负责为分组交换网上的不同主机提供通信服务。

在发送数据时，网络层把运输层产生的报文段或用户数据报封装成分组或包进行传送。

从图中可以看出可以看到IP的版本号为4；IP头的长度是20字节，所以从图中可以看出第一个数45，即代表版本号和IP头的长度；首部和载荷的总长度是107字节（0x006b），00在前，6b在后，说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址，低字节数据在高地址，从图中可以看出是00 6b；TTL（存活时间）域的值是54；协议为UDP。

山东建筑大学计算机学院实验报告班级：______ 姓名：______ 学号：实验成绩：__________课程：______________________________ 同组者：__________ 实验日期：__________ 实验一利用WireShark分析HTTP和DNS一、实验目的及任务1、熟悉并掌握Wireshark的基本操作，了解网络协议实体间的交互以及报文交换。

2、分析HTTP协议3、分析DNS协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为Windows2000或Windows XP；Wireshark等软件。

三、实验预习1、Internet协议栈分为哪几层？每一层的功能、典型协议各是什么？并给出典型协议的英文全称。

应用层运输层网络层链路层物理层应用层：网络应用程序及他们的应用层协议保存的地方HTTP SMTP FTP 运输层：在应用程序端点之间传送应用层报文TCP UDP网络层：负责将数据包的网络层分组从一台主机移动到另一台主机IP协议链路层：主要为网络层提供传输服务物理层：将帧中的一个一个比特从一个节点移动到下一个节点2、HTTP请求报文的基本格式是什么？列举四种常见的首部字段名，并解释其后“值”字段的含义。

Accept：用于高速服务器，客户机支持的数据类型Accept-Charset：用于告诉服务器，客户机采用的编码格式Accept-Encoding：用于告诉服务器，客户机支持的数据压缩格式Accept-Language：客户机的语言环境3、HTTP响应报文的基本格式是什么？列举五种常见的首部字段名，并解释其后“值”字段的含义。

4、应用“条件Get”方法的基本目的是什么？该方法所用到的典型的首部字段名是什么？当客户端要从服务器中读取文档时，使用GET方法。

GET方法要求服务器将URL定位的资源放在响应报文的数据部分，回送给客户端。

5、DNS有哪两层基本含义？DNS层次结构中包含哪三类DNS服务器？分布式数据库层次数据库根DNS服务器顶级域名服务器权威DNS服务器6、DNS报文的基本格式是什么？7、列举三种常见的DNS记录，并解释记录中每个字段的含义。

实验1网络嗅探实验报告一、实验目的通过本次实验，我们的目标是理解网络嗅探的概念并掌握相关技术，探索在网络中获取数据流量的方法，并分析并解读这些数据包，以实现网络安全的目的。

二、实验环境本次实验我们使用了以下工具和环境：1. Wireshark：Wireshark是一个开放源代码的网络嗅探工具，可用于捕获和分析网络数据包。

2. VMware：VMware是一款虚拟机软件，我们使用它来搭建实验环境。

3. Kali Linux：我们选择了Kali Linux作为实验的操作系统。

三、实验过程1. 安装Wireshark和配置虚拟机网络：我们首先在Kali Linux中安装了Wireshark，并配置了虚拟机的网络环境。

我们将虚拟机的网络适配器设置为桥接模式，以便能够在虚拟机中嗅探到真实网络中的数据包。

2. 启动Wireshark并捕获数据包：3.分析数据包：一旦捕获到数据包，我们可以通过Wireshark提供的多种功能来分析这些数据包。

首先，我们可以使用Wireshark的统计功能来查看数据包的数量、协议分布、流量大小等信息。

这些统计数据可以帮助我们了解网络流量的整体情况。

其次，我们可以使用Wireshark的过滤功能来筛选出特定的数据包，如指定源IP地址、目标端口等条件进行过滤。

这样可以帮助我们针对特定的网络问题或事件进行深入分析。

最后，我们可以使用Wireshark提供的协议解析功能来解读数据包的内容。

Wireshark支持多种协议的解析，包括TCP、UDP、HTTP、DNS等。

通过查看协议解析结果，我们可以了解数据包中具体的信息和数据。

四、实验结果我们在实验过程中捕获了多个数据包，并进行了详细的分析。

首先，通过统计功能，我们发现捕获的数据包中，协议分布以HTTP 和TCP为主，占据了绝大多数。

这说明HTTP和TCP协议在我们嗅探的网络中占据了主导地位。

最后，我们还发现了一些异常数据包，如源IP地址不明、目标端口异常等。

《信息系统安全》实验实验 - 在 Wireshark 中检查 Telnet 和 SSH目标第 1 部分：通过 Wireshark 检查 Telnet 会话第 2 部分：通过 Wireshark 检查 SSH 会话背景/场景在本实验中，同学们将使用 Wireshark 捕获和查看 Telnet 和 SSH 会话。

本练习将演示 SSH 中加密的重要性。

所需资源•CyberOps Workstation VM第 1 部分：通过 Wireshark 检查 Telnet 会话同学们将使用 Wireshark 来捕获和查看 Telnet 会话传输的数据。

第 1 步：捕获数据a. 启动 CyberOps Workstation 虚拟机，并使用用户名analyst和密码cyberops登录。

b. 打开一个终端窗口并启动 Wireshark。

阅读警告消息后，按确定继续。

[analyst@secOps analyst]$ sudo wireshark-gtk[sudo] password for analyst: cyberops** (wireshark-gtk:950): WARNING **: Couldn't connect to accessibility bus: Failed to connect to socket /tmp/dbus-REDRWOHelr: Connection refusedGtk-Message: GtkDialog mapped without a transient parent.This is discouraged.c. 在Loopback: lo接口上开始 Wireshark 捕获。

d. 打开另一个终端窗口。

发起到本地主机的 Telnet 会话。

系统提示时，输入用户名analyst和密码cyberops。

[analyst@secOps ~]$ telnet localhostTrying ::1...Connected to localhost.Escape character is '^]'.Linux 4.10.10-1-ARCH () (pts/12)secOps login: analystPassword:Last login: Fri Apr 28 10:50:52 from localhost.localdomain[analyst@secOps ~]$e. 在同学们提供用户凭证后停止 Wireshark 捕获。

wireshark实验步骤
Wireshark可好玩啦，下面就来讲讲实验步骤哦。

咱得先把Wireshark软件安装好。

这个安装过程就像搭积木一样，按照提示一步一步来就行啦。

安装好之后打开它，就像打开一个装满宝藏的盒子。

接着呢，要选择你想要抓包的网络接口。

这就好比在一群小伙伴里挑出你要一起玩耍的小伙伴一样。

一般电脑上可能有好几个网络接口，你得选对那个正在使用的，不然就抓不到正确的包啦。

选好接口后就可以开始抓包咯。

这时候Wireshark就像一个小侦探，开始在网络的世界里搜集各种信息。

它会把经过这个接口的网络数据包都给“抓住”。

在抓包的时候，你可以去做一些网络相关的操作，比如打开网页、发送邮件之类的。

这样Wireshark就能抓到更多不同类型的包啦。

等你觉得抓得差不多了，就可以停止抓包啦。

这就像小侦探完成了一次情报搜集任务。

然后就是分析抓到的包啦。

这里面的信息可多啦。

你可以看看每个包的源地址和目的地址，就像知道信件是从哪里来要到哪里去一样。

还能看包的协议类型，是TCP 呢还是UDP之类的。

要是看到一些奇怪的包，就像发现了小怪物一样，这时候就可以好好研究研究为啥会出现这样的包啦。

比如说，如果你发现有大量去往同一个地址的包，你就可以琢磨琢磨是不是有什么程序在偷偷和这个地址通信呢。

Wireshark这个小工具就像一个网络的放大镜，能让我们看到网络背后的好多秘密哦。

做这个实验就像是一场小小的网络探险，充满了惊喜和乐趣呢。

Wireshark抓包分析实验实验Wireshark抓包分析实验⼀、实验⽬的1、了解并会初步使⽤Wireshark，能在所⽤电脑上进⾏抓包2、了解IP数据包格式，能应⽤该软件分析数据包格式3、查看⼀个抓到的包的内容，并分析对应的IP数据包格式4、学会使⽤nslookup⼯具查询并分析Internet 域名信息或诊断DNS 服务器。

5、会⽤wireshark分析DNS协议。

对DNS协议有个全⾯的学习与了解。

⼆、实训器材1、接⼊Internet的计算机主机；2、抓包⼯具WireShark。

三、实验内容（⼀）IP包分析实验1、打开wireshark，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

2、设置完成后，点击“start”开始抓包，显⽰结果。

3、选择某⼀⾏抓包结果，双击查看此数据包具体结构。

4、查看IP数据报。

[1]写出IP数据报的格式。

[2]捕捉IP数据报的格式图例。

[3]记录IP数据报包的所有域，针对每⼀个域所代表的含义进⾏解释。

（⼆）DNS协议分析实验1、启动WireShark，并开始抓包。

2、在命令⾏运⾏nslookup 发现成都⼤学或其他单位官⽅DNS服务器。

nslookup /doc/cd9178b4f46527d3250ce03a.html /3、停⽌抓包4、显⽰过滤DNS包，查看其请求包和响应包的运输层协议是UDP 还是TCP，DNS请求包的⽬的端⼝及DNS响应包的源端⼝号分别是多少，DNS 请求包是发往哪个地址的，⽤ipconfig查看你的本地DNS服务器的IP地址，判断它们是否相同。

5、查看接下来你的主机发出的⼀些TCP SYN 包，其中的⽬的IP地址是否有刚才DNS应答包中的IP地址?Wireshark抓包分析实验报告⼀．实验⽬的1.了解并初步使⽤Wireshark，能在所⽤电脑上进⾏抓包。

2.了解IP数据包格式，能应⽤该软件分析数据包格式。

3.查看⼀个抓到的包的内容，并分析对应的IP数据包格式。

实训⼀+⽤WireShark抓包并分析ARP与DNS协议计算机学院⽹络⼯程2012（1）班学号：姓名：实训⼀⽹络分层及ARP、DNS协议分析⼀、实验⽬的1．学习WireShark协议分析软件的使⽤⽅法，学会利⽤WireShark进⾏抓包分析。

2．学习过滤数据包，并对数据包的构成进⾏分析，直观感受协议分层及各层协议数据单元的格式及相应关系。

3．通过分析ARP与DNS数据包，了解⽹络各层地址构成。

⼆、实训内容1. 阅读协议分析⼯具WireShark的⽤户⼿册，重点学习⽤户界⾯操作，了解WireShark的基本使⽤⽅法；2. 利⽤Wireshark进⾏数据包的抓取、过滤；3. 对抓取到的数据包进⾏协议分析，包括数据帧⼆进制数据组成、协议分层、各数据包包头信息、数据包之间的关系（ARP 解析、DNS解析）等。

三、实验⼯具PC机，Windows，WireShark软件四、实验步骤与分析（⼀）学习使⽤WireShark软件进⾏⽹络数据分析1．本机arp –a，查看ARP缓存。

2．本机 arp –d，删除ARP缓存。

本机arp –a，查看ARP缓存。

3．本机ipconfig /displaydns，查看DNS缓存。

4．本机 ipconfig /flushdns，删除DNS缓存5．运⾏WireShark软件，启动抓包6．打开浏览器，访问⼀个⽹站7．点击⽹站内容8．停⽌抓包9．本机ipconfig /displaydns，查看DNS缓存。

10．填写下列表格：要求：透彻理解协议分层及各层的地址的内容和意义；理解数据包的数据及其组成。

（⼆） DNS实验1. 对所抓包设置过滤条件为：“dns”2．找到有你访问⽹站URL的DNS请求包和应答包3．分析DNS请求包要求：理解该请求包的功能；理解该数据包如何从源端传输到⽬的端。

4．分析DNS应答包5．选中上述DNS应答包，清除过滤，检查接下来的数据包有没有从上述应答包所告知的IP地址的访问，是什么类型的访问，请截图并分析。

xxxx计算机工程系
《计算机网络原理》·实验报告
实验名称实验一、使用Wireshark 查看网络流量实验时间学生姓名班级学号指导教师批阅教师成绩
实验目的：
1.安装 Wireshark
2.使用 Wireshark 捕获 ICMP 数据包 IP 地址和以太网帧 MAC 地址
实验设备：
1.1台 PC（采用 Windows 7、Vista 或 XP 且可访问 Internet）
2.局域网 (LAN) 上的附加 PC 将用于响应 ping 请求。

实验内容：
1.（可选）下载并安装 Wireshark
2.在 Wireshark 中捕获和分析本地 ICMP 数据
3.开始和停止 ping 流量到本地主机的数据捕获。

4.在捕获到的 PDU 中查找 IP 和 MAC 地址信息。

5.在 Wireshark 中捕获和分析远程 ICMP 数据
6.开始和停止 ping 流量到远程主机的数据捕获。

7.在捕获到的 PDU 中查找 IP 和 MAC 地址信息。

8.解释远程主机的 MAC 地址为什么与本地主机的 MAC 地址不同。

实验步骤及实验结果记录：
1..安装并且wireshark
2.在Wireshark 中捕获并分析本地ICMP 数据
3.启动Wireshark
4开始捕获数据。

5.在Wireshark 中捕获并分析远程ICMP 数据
6.检查并分析来自远程主机的数据。

实验总结：学会团队交流，与同学合作，共同完成。

【实验一Wireshark的使用】1-1．（1）设置获取数据包的filter为两台机之间。

（2）捕获两台机之间的IP数据报的报文。

（3）在报文的十六进制代码中找出源IP、目标IP、首部长度以及协议字段的值。

1-2．（1）设置获取数据包的filter为两台机之间。

（2）捕获两台机之间的ICMP报文。

（3）分析echo和echo reply两种类型的ICMP报文的。

1-3．（1）设置获取数据的filter为FTP客户和FTP服务器之间。

（2）捕获两台主机之间的FTP数据。

（3）分析登录FTP服务器的账号和密码。

1-4．（1）对Filter的hardware address进行设置。

（2）捕获ARP的reply报文。

（3）给出该报文中的Sender’s hardware address和Target hardware address的值。

1-5．（1）设置获取数据的filter为两台机之间。

（2）捕获两台主机之间的TCP数据段。

（3）分析TCP的三次握手的过程，包括每次握手的SYN、ACK以及序列号和确认序列号字段的值的变化。

1-6．（1）对Filter的hardware address进行设置。

（2）捕获ARP的request报文。

（3）给出该报文中的Sender’s hardware address和Target hardware address的值。

【实验二网络命令】2-1．（1）用命ipconfig查看本机的TCP/IP属性设置，显示如下内容：IP Address：Subnet Mask：Default Gateway：Physical Address：（2）用ping命令ping本机、网关和外网主机查看物理连通性。

（3）用arp命令查看本机的arp缓存表。

（4）用arp命令将本机的arp缓存表清空。

2-2．（1）用ping命令判断本地的TCP/IP协议栈是否已经安装好。

（2）判断能否到达指定IP地址的远程主机210.37.0.30。