文档介绍:,熟悉其基本设置,尤其是CaptureFilter和DisplayFilter的使用。通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络协议的理解,如:TCP、UDP、IP、SMTP、POP、FTP、TLS等。进一步培养理论联系实际,知行合一的学术精神。实验原理用Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。查找资料,了解相关网络协议的提出背景,帧格式,主要功能等。根据所获数据包的内容分析相关协议,从而加深对常用网络协议理解。实验环境系统环境:Windows7Build7100浏览器:IE8Wireshark::(原Ethereal)是一个网络封包分析软件。其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。其使用目的包括:网络管理员检测网络问题,网络安全工程师检查资讯安全相关问题,开发者为新的通讯协定除错,普通使用者学****网络协议的相关知识……当然,有的人也会用它来寻找一些敏感信息。值得注意的是,Wireshark并不是入侵检测软件(IntrusionDetectionSoftware,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。实例实例1:计算机是如何连接到网络的?一台计算机是如何连接到网络的?其间采用了哪些协议?Wireshark将用事实告诉我们真相。如图所示:图一:网络连接时的部分数据包如图,首先我们看到的是DHCP协议和ARP协议。DHCP协议是动态主机分配协议(DynamicHostConfigurationProtocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境,但必须事先获得客户端的硬件地址,而且,与其对应的IP地址是静态的。DHCP是BOOTP的增强版本,包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的IP环境数据。ARP协议是地址解析协议(AddressResolutionProtocol)。该协议将IP地址变换成物理地址。以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。让我们来看一下数据包的传送过程::当DHCP客户端(本地PC)第一次登录网络的时候,它会网络发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网络,,,然后再附上DHCPdiscover的信息,向网络进行广播。:当DHCP服务器(本地路由器)监听到客户端发出的DHCPdiscover广播后,它会从那些还没有租出的地址范围内,选择最前面的空置IP,连同其它TCP/IP设定,响应给客户端一个DHCPOFFER封包。:客户端向网络发送一个ARP封包,查询服务器物理地址。:服务器端返回一个ARP封包,告诉客户端它的物理地址。:由于Windows7支持IPV6,所以DHCPV6协议也开始工作。……:通过ARP协议,服务器端最终也获得了客户端的网络地址。到此为止,我认为客户端(本地PC)的已完成网络注册。现将客户端(本地PC)和服务器端(本地路由器)相关参数展示如下:图二:客户端(本地PC)相关参数图三:服务器端(本地路由器)相关参数实例2:你的密码安全吗?的普及,越来越多的人开始拥有越来越多的密码。小到QQ,MSN,E-mail等,大到支付宝,信息管理系统等,可是一个核心问题是:你的密码安全吗?让我们来看看下面几个例子。Test1:FTP工具软件这里,。登陆时抓包如下:图四:FlashFXP登陆时的部分数据包首先,我们来看一下常用到的三个协议:SSDP、DNS和FTP。 SSDP协议是简单服务发现协议(SimpleServiceDiscoveryProtocol),该协议定义了如何在网络上发现网络服务的方法。SSDP信息的传送是依靠HTTPU和HTTPMU进