Wireshark實驗——入門

目錄

• 實驗目的
• 實驗流程
  • 啟動瀏覽器
  • 啟動 Wireshark
  • 准備抓包
  • 開始抓包
  • 訪問指定頁面
  • 停止抓包
  • 過濾器
  • 信息提取
  • 退出程序
• 習題回答
• 流匯聚
• 參考資料

實驗目的

1. WireShark 的安裝以及界面熟悉
2. 簡單 HTTP 的抓取和過濾，結果進行分析和導出

實驗流程

啟動瀏覽器

啟動您喜歡的網頁瀏覽器，顯示您選擇的主頁。

啟動 Wireshark

啟動 Wireshark 軟件。您最初將看到類似於圖2所示的窗口.Wireshark尚未開始捕獲分組。

准備抓包

要開始分組捕獲，請選擇“捕獲”下拉菜單，然后選擇“選項”。 這將顯示“ Wireshark：Capture Interfaces ”窗口。

開始抓包

一旦開始分組捕獲，將出現窗口顯示正在捕獲的分組。通過選擇捕獲下拉菜單並選擇停止，您可以停止分組捕獲。但是現在不要停止分組捕獲。我們首先捕獲一些有趣的分組。為此，我們需要產生一些網絡流量。讓我們使用 Web 瀏覽器，這將使用 HTTP 協議來從網站下載內容。

訪問指定頁面

當 Wireshark 正在運行時，輸入 URL：http://gaia.cs.umass.edu/wireshark-labs/INTRO-wireshark-file1.html ，並在瀏覽器中顯示該頁面。為了顯示此頁面，您的瀏覽器將通過 gaia.cs.umass.edu 與 HTTP 服務器鏈接，並與服務器交換 HTTP 消息，以便下載此頁面。包含這些 HTTP 消息（以及通過以太網的所有其他幀）的以太網幀將被 Wireshark 捕獲。

停止抓包

在瀏覽器顯示 INTRO-wireshark-file1.html 頁面后（這是一行簡單的祝賀消息），在 Wireshark 捕獲窗口中點擊停止按鈕來停止 Wireshark 分組捕獲。您現在有了計算機和其他網絡實體之間交換的所有協議的實時分組數據！與 gaia.cs.umass.edu 的 Web 服務器交換的 HTTP 消息應該出現在捕獲分組的列表中。但是，這里還會顯示許多其他類型的分組（例如，許多不同的協議類型）。即使你唯一的動作僅僅是下載了一個網頁，但顯然還有許多其他協議在您的計算機上運行，這些是用戶所看不見的。通過書中內容，我們將更多地了解這些協議！現在，你會親眼看到許多事情即將發生！

過濾器

在主 Wireshark 窗口頂部的分組顯示過濾器窗口中，鍵入 “http”（不含引號，且小寫 - Wireshark中的所有協議名稱均為小寫）。然后選擇應用（在您輸入 “http” 位置的右側）。這樣就可以只讓 HTTP 消息顯示在分組列表窗口中。

信息提取

找到從您的計算機發送到 gaia.cs.umass.edu HTTP 服務器的 HTTP GET 消息。（在 Wireshark 分組列表窗口中查找 HTTP GET 消息，其后的 gaia.cs.umass.edu URL 中顯示 “GET”）。

當您選擇該 HTTP GET 消息，那么它的以太網幀，IP 數據報，TCP 段和 HTTP 消息首部將顯示在分組首部窗口中，通過點擊左側的 “+” 和 “ - ” 或向右和向下箭頭的分組詳細信息窗口，將幀，以太網，IP 協議和 TCP 協議的信息最小化，同時將 HTTP 協議的信息最大化。（注意，特別是除了 HTTP 之外的所有協議的協議信息的最小量以及在分組報頭窗口中用於HTTP的協議信息的最大量）。

退出程序

退出 Wireshark。

恭喜！你現在已經完成了第一個實驗。

習題回答

第一個實驗的目的主要是向你介紹Wireshark。以下問題將證明您已經能夠使Wireshark啟動並運行，並且已經探索了其中一些功能。根據您的Wireshark實驗回答以下問題：
1.列出上述步驟 7 中出現在未過濾的分組列表窗口的協議列中的 3 種不同的協議。

分別是:OICQ、HTTP、TCP

• 做實驗時有其他干擾，排除后應該只有以上 3 種。

2. 從 HTTP GET 消息發送到 HTTP OK 回復需要多長時間？ (默認情況下，分組列表窗口中的時間列的值是自 Wireshark 開始捕獲以來的時間(以秒為單位)。要想以日期格式顯示時間，請選擇 Wireshark 的“視圖”下拉菜單，然后選擇“時間顯示格式”，然后選擇“日期和時間”。)
   
3. gaia.cs.umass.edu(也稱為 wwwnet.cs.umass.edu)的Internet地址是什么？您的計算機的Internet地址是什么？
   
   gaia.cs.umass.edu IP: 128.119.245.12
   我的 IP: 192.168.0.103

流匯聚

有時候做抓包實驗時，可能遇到后台有多個進程都在進行網絡通信，從而導致抓到的流量中有混雜了很多不想要的包。例如我想要抓和 www.baidu.com(36.152.44.95) 建立 TCP 連接的包，但是某次實驗可能會得到如下結果。

這個時候的包是和其他流量混雜在一起的，雖然可以使用過濾器將符合條件的流量篩選出來，但是有可能存在大量干擾。例如由於網絡波動導致了重傳收到了多個包，或者是不同的進程向同一個服務器發起了 TCP 連接。這個時候除了進一步過濾以外，還可以使用流匯聚的方式進行分析。所謂流匯聚，就是把屬於同一個網絡流的流量的包刪選出來，這時再去分析就非常清楚了。常見的流匯聚有追蹤 HTTP 流、追蹤 TCP 流等方式。
例如上面的例子，首先先找到一個疑似是 TCP 三次握手的包，此處我先使用如下過濾規則進行過濾，找出和 36.152.44.95 通信的流量。

ip.src == 36.152.44.95

接着找到 NO.164 的包，因為這個報文段是 SYN/ACK 報文段，因此是三次握手的流量。

接着鼠標右鍵點擊這個報文段，選擇追蹤流，由於要找 TCP 三次握手的流量，接着選擇追蹤 TCP 流(也只有這個能選哈)。

這個選項可以把 NO.164 報文段所屬於的網絡流量篩選出來，並且展示在界面上，顯然 TCP 三次握手的包就在這個流的前 3 個包了。

同時我們也可以得知，此次抓包實驗中的第 13 個流量是有 TCP 三次握手的包的，而且可以用 wireshark 對這個流量做進一步分析。

參考資料

《計算機網絡 自頂向下方法》—— [美] James F.Kurose [美] Keith W.Ross 著，陳鳴 譯
wireshark抓包新手使用教程