文档介绍：实验二 TCP/IP 协议数据包分析一、实验目的基于网络协议分析工具 Wireshark (原为 Ethereal ) ,通过多种网络应用的实际操作,学****和掌握不同网络协议数据包的分析方法,提高 TCP/IP 协议的分析能力和应用技能。二、实验前的准备?二人一组,分组实验; ?熟悉 Ping 、 Tracert 等命令,学****FTP 、 HTTP 、 SMTP 和 POP3 协议; ?安装软件工具 Wireshark ,并了解其功能、工作原理和使用方法; ?安装任一种端口扫描工具; ?阅读本实验的阅读文献; 三、实验内容、要求和步骤 学****Wireshark 工具的基本操作学****捕获选项的设置和使用,如考虑源主机和目的主机,正确设置 Capture Filter ;捕获后设置 Display Filter 。 Wireshark (前称 Ethereal )是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包, 并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成" 电工技师使用电表来量测电流、电压、电阻" 的工作- 只是将场景移植到网络上,并将电线替换成网络线。在过去, 网络封包分析软件是非常昂贵, 或是专门属于营利用的软件。 Ethereal 的出现改变了这一切。在 GNUGPL 通用许可证的保障范围底下, 使用者可以以免费的代价取得软件与其源代码, 并拥有针对其源代码修改及客制化的权利。 Ethereal 是目前全世界最广泛的网络封包分析软件之一。软件简介 Wireshark 使用目的: 网络管理员使用 Wireshark 来检测网络问题, 网络安全工程师使用 Wireshark 来检查资讯安全相关问题, 开发者使用 Wireshark 来为新的通讯协定除错, 普通使用者使用 Wireshark 来学****网络协定的相关知识当然, 有的人也会“居心叵测”的用它来寻找一些敏感信息…… Wireshark 不是入侵侦测软件( Intrusion DetectionSoftware,IDS )。对于网络上的异常流量行为, Wireshark 不会产生警示或是任何提示。然而, 仔细分析 Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。 Wireshark 不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。 Wireshark 本身也不会送出封包至网络上。 PING 命令的网络包捕获分析 PIN G 命令是基于 ICM P 协议而工作的,发送4 个包, 正常返回4 个包。以主机 1 为例,主要实验步骤为: (1 )设置“捕获过滤”:在 Capture Filter 中填写 host ; (2 )开始抓包; (3 )在 DOS 下执行 PING 命令; (4 )停止抓包。(5 )设置“显示过滤”: = (6) 选择某数据包, 重点分析其协议部分, 特别是协议首部内容, 点开所有带+ 号的内容。(7) 针对重要内容截屏,并解析协议字段中的内容,一并写入 WORD 文档中。源 ip 地址: 目的 ip 地址: ; TTL 值为 64 ,可判断目的主机操作系统为 windows 。分析: 源 ip 地址: 目的 ip 地址: IP 协议版本: 4 头部长度: 20 字节 TTL 值为 64 ,可判断目的主机操作系统为 windows 版本: 4 总长度: 60 Fragment offset :0 一片偏移协议: ICMP 协议头部校验和:源 IMCP : 类型: 8 代码: 0 校验和 0x4d0f 标识符 0x0400 TRACERT 命令数据捕获观察路由跳步过程。分别自行选择校内外 2 个目标主机。比如, (1) 校内: tracert . 8 (2) 校外: tracert cert 工作原理通过向目标发送不同 IP 生存时间(TTL) 值的“ 控制消息协议(ICMP) ”回应数据包, Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1。数据包上的 TTL 减为 0时, 路由器应该将“ ICMP 已超时”的消息发回源系统。 Tracert 先发送 TTL 为1 的回应数据包,并在随后的每次发送过程将 TTL 递增 1 ,直到目标响应或 TTL 达到最大值,从而确定路由。通过检查中间路由器发回的“ ICMP