一、實驗名稱 使用網絡協議分析儀Wireshark
二、實驗目的:
1. 掌握安裝和配置網絡協議分析儀Wireshark的方法;
2. 熟悉使用Wireshark工具分析網絡協議的基本方法,加深對協議格式、協議層次和協議交互過程的理解。
三、實驗內容和要求
1. 安裝和配置網絡協議分析儀Wireshark(http://www.wireshark.org);
2. 使用並熟悉Wireshark分析協議的界面環境(菜單、工具條和各種窗口等)。
3. 學會使用Wireshark捕捉協議包。
四、實驗環境
1.運行Windows 10專業版操作系統的PC機一台
2.PC具有以太網卡一塊,通過雙絞線與局域網相連
3.已安裝Wireshark與Cisco Packet Tracer程序
五、操作方法與實驗步驟
1.安裝網絡協議分析儀
安裝成功並運行,進入主界面如圖,(可以點擊圖片跳轉Wireshark官網下載)我這里安裝的版本是3.0.9,進入自動為中文界面,注意:如果你的Wireshark進入后界面如上圖沒有任何本地接口,說明你未安裝Winpacp,請安裝Winpacp后重啟Wireshark。
2.使用Wireshark分析協議
(1)啟動系統。點擊Wires hark圖標啟動。
如圖所示,其中俘獲(Capture)與分析(Analyze)是最重要的功能
(2)分組俘獲。
開始分組捕獲之前選擇要捕獲的接口,我所使用的網絡是網線接入電腦的有線網,所以選擇的捕獲接口是以太網。
(3)協議分析。
監聽以太網口得到的報文信息,(圖片打碼)
選擇幀序號為191的報文信息進行分析,從藍框可知該報文的發送源地址為223.166.151.88,目標地址為192.168.31.97,而目標地址192。168.31.97為我的專用網地址(路由器分配給筆記本的內網IP),源地址經查詢地址為上海市,是一個公網IP,很明顯該報文由外部網絡發送至我的內網。
該報文的協議為OICQ,起初並不知道這個協議,但在中間信息框中發現該報文信息中包含了我的QQ號,由此推斷OICQ為QQ通信協議,經過查詢,OICQ為QQ的通訊協議,OICQ用戶到OICQ服務器的通訊協議。
關於OICQ協議可以閱讀:https://blog.csdn.net/qq_15724883/article/details/40886871
進入191號報文信息具體頁(PC做的實驗,保護一下IP和端口,打碼不足麻煩提醒~),可看到報文具體信息和十六進制和ASCI碼形式的報文內容。
這一幀包包含一下四種信息:
Frame: 物理層的數據幀情況。
Ethernet II , Src: 數據鏈路層以太網幀頭部信息。
Internet Protocol Version 4, Src: 互聯網層IP包頭信息。
Internet Control Message Protocol: 互聯網控制信息協議。ping 小包所使用的協議。
前三層基本上都是一樣的,第四層開始就可以出現TCP, UDP 協議,第五層就可能有HTTP 應用層協議等等。
由該欄信息可知,該報文源地址服務器端口為8000,目標端口為xxxx,報文長度為127,總和校驗碼(Checksum)為0xe51f。
協議層信息,協議為OICQ(即時通訊軟件協議)包含目標、版本、數據等信息。
(4)保存分組捕獲信息
六、實驗數據記錄和結果分析
1 實驗數據與結果分析: 2 Frame 191: 161 bytes on wire (1288 bits), 161 bytes captured (1288 bits) on interface 0 3 //第191幀,由161個字節在線,共1288位,實際捕獲到161個字節在0接口 4 Interface id: 0 (\Device\NPF_{7E2C33C0-0623-46BB-9126-813FB633578B})//接口ID:0 5 Interface name: \Device\NPF_{7E2C33C0-0623-46BB-9126-813FB633578B} 6 Interface description: \344\273\245\345\244\252\347\275\221 7 Encapsulation type: Ethernet (1)//封裝類型 8 Arrival Time: Mar 13, 2020 15:22:45.526314000 中國標准時間//到達時間 9 [Time shift for this packet: 0.000000000 seconds]//包偏移時間 10 Epoch Time: 1584084165.526314000 seconds//世紀紀元時間 11 [Time delta from previous captured frame: 0.027360000 seconds]//兩幀之間的時間間隔 12 [Time delta from previous displayed frame: 0.027360000 seconds]//捕獲到顯示的間隔時間 13 [Time since reference or first frame: 3.969859000 seconds]//此包和第一幀的時間間隔 14 Frame Number: 191//幀號 15 Frame Length: 161 bytes (1288 bits)//幀長度 16 Capture Length: 161 bytes (1288 bits)//捕獲的幀長度 17 [Frame is marked: False]//幀顯著標志 18 [Frame is ignored: False]//幀忽略標志 19 [Protocols in frame: eth:ethertype:ip:udp:oicq]//幀內封裝的協議層次結構 20 [Coloring Rule Name: UDP]//着色標記的協議 21 [Coloring Rule String: udp]//着色規則顯示的字符串 22 Ethernet II, Src: (我的網關MAC地址), Dst: LcfcHefe_c2:10:c2 (e8:6a:64:c2:10:c2) 23 Destination: LcfcHefe_c2:10:c2 (e8:6a:64:c2:10:c2) 24 Address: LcfcHefe_c2:10:c2 (e8:6a:64:c2:10:c2) 25 .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) 26 .... ...0 .... .... .... .... = IG bit: Individual address (unicast) 27 Source: (我的網關MAC地址)28 Address: (我的網關MAC地址)29 .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) 30 .... ...0 .... .... .... .... = IG bit: Individual address (unicast) 31 Type: IPv4 (0x0800) 32 Internet Protocol Version 4, Src: 223.166.151.88, Dst: 192.168.31.97 33 0100 .... = Version: 4 34 .... 0101 = Header Length: 20 bytes (5) 35 Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) 36 0000 00.. = Differentiated Services Codepoint: Default (0) 37 .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0) 38 Total Length: 147 39 Identification: 0x8fa2 (36770) 40 Flags: 0x4000, Don't fragment 41 0... .... .... .... = Reserved bit: Not set 42 .1.. .... .... .... = Don't fragment: Set 43 ..0. .... .... .... = More fragments: Not set 44 ...0 0000 0000 0000 = Fragment offset: 0 45 Time to live: 52 46 Protocol: UDP (17) 47 Header checksum: 0x5faf [validation disabled] 48 [Header checksum status: Unverified] 49 Source: 223.166.151.88 50 Destination: 192.168.31.97 51 User Datagram Protocol, Src Port: 8000, Dst Port: (目標IP) 52 Source Port: 8000//源IP 53 Destination Port: (目標IP)//目標IP 54 Length: 127//長度 55 Checksum: 0xe51f [unverified]//和校驗 56 [Checksum Status: Unverified]//和校驗狀態 57 [Stream index: 0] 58 [Timestamps] 59 [Time since first frame: 3.969859000 seconds] 60 [Time since previous frame: 0.031141000 seconds] 61 OICQ - IM software, popular in China//因特網控制信息協議 62 Flag: Oicq packet (0x02) 63 Version: 0x3859//版本信息 64 Command: Heart Message (2) 65 Sequence: 17154 66 Data(OICQ Number,if sender is client): (QQ號) 67 Data: 68 [Expert Info (Warning/Undecoded): Trailing stray characters] 69 [Trailing stray characters] 70 [Severity level: Warning] 71 [Group: Undecoded]
七、實驗體會、質疑和建議
實驗感受:
初步步入網絡原理學習,需要多查多看,多看別人的實驗過程,我在剛使用Wireshark的時候大腦幾乎一片空白,學會有條有理有序的查看信息很總要,對於信息需要敏感,比如在遇到OICQ協議時,一開始我並不知道時即時通訊協議,但我在報文信息中發現了我的QQ賬號,由此推斷OICQ為QQ使用的即時通訊協議。
疑問:
Epoch Time有何用處?