没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
实验报告
实验名称
实验四 基于Wireshark的网络协议分析
实验教室
实验日期
年 月 日
学 号
姓 名
专业班级
指导教师
东北林业大学
信息与计算机科学技术实验中心
一、实验目的
1、掌握协议分析工具 Wireshark 的基本使用方法。
2、掌握 Wireshark 过滤规则的使用。
3、掌握利用 Wireshark 进行以太网数据帧的抓取、对抓取到的帧
进行分析、体会数据链路层帧的发送过程。
4、理解 IP 协议报文类型和格式,掌握 IPV4 地址的编址方法。
5、掌握 ARP 协议结构。
6、掌握 TCP 协议结构。
二、实验环境
计算机、Wireshark
三、实验原理、内容及结果
1.Wireshark
Wireshark 是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,
并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark 也
使用 pcap network library 来进行封包捕捉。Wireshark 的优势:安装方便、简单易用的界
面、提供丰富的功能。
Wireshark 的原名是 Ethereal,新名字是 2006 年起用的。当时 Ethereal 的主要开发者
决定离开他原来供职的公司,并继续开发这个软件。但由于 Ethereal 这个名称的使用权
已经被原来那个公司注册,Wireshark 这个新名字也就应运而生了。
wireshark 有两种过滤器:
捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。
显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找。
捕捉过滤器在抓包前进行设置,决定抓取怎样的数据;
显示过滤器用于过滤抓包数据,方便 stream 的追踪和排查。捕捉过滤器仅支持协议
过滤,显示过滤器既支持协议过滤也支持内容过滤。两种过滤器它们支持的过滤语法并
不一样。
注意:Capture Filter 语法
2.捕捉过滤器语法:
Protocol Direction Host(s) Value Logical Operations Other expression
例子:tcp dst 222.27.1.1 80 and tcp src 10.200.2.2 6678
捕获 从 10.200.2.2 6678 端口访问 222.27.1.1 80 端口的 TCP 数据。
示例:(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net
10.0.0.0/8
捕捉 IP 为 10.4.1.12 或者源 IP 位于网络 10.6.0.0/16,目的 IP 的 TCP 端口号在 200 至
10000 之间,并且目的 IP 位于网络 10.0.0.0/8 内的所有封包。
3. 字段详解:
1) Protocol(协议):
可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没指明
协议类型,则默认为捕捉所有支持的协议。
注:在 wireshark 的 HELP-Manual Pages-Wireshark Filter 中查到其支持的协议。
2)Direction(方向):
可能值: src, dst, src and dst, src or dst 如果没指明方向,则默认使用 “src or dst” 作为
关键字。
Host(s):
可能值: net, port, host, portrange.
默认使用”host”关键字,”src 10.1.1.1″与”src host 10.1.1.1″等价。
2) Logical Operations(逻辑运算):
可能值:not, and, or.
否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级,运算时从左至
右进行。
“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″等价。
“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不等价。
3.Display Filter 语法
协议过滤语法: Protocol.String Comparison operator Value Logical Operations
Other expression
通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更
加细致的查找。它的功能比捕捉过滤器更为强大,而且在您想修改过滤器条件时,并不
需要重新捕捉一次。可以使用 6 种比较运算符和 Logical expressions(逻辑运算符):
英文写法:
C 语言写法:
含义:
eq
==
等于
ne
!=
不等于
gt
>
大于
lt
<
小于
ge
>=
大于等于
le
<=
小于等于
例如:ip.src != 10.1.2.3 and ip.dst != 10.4.5.6。显示来源不为 10.1.2.3 并且目的 IP 不
英文写法:
C 语言写法:
含义:
and
&&
逻辑与
or
||
逻辑或
xor
^
逻辑异或
not
!
逻辑非
为 10.4.5.6 的封包。
显示过滤语句与抓获过滤语句的表达式是不同的,如下表所示:
4.特定偏移处值的过滤
tcp[20:3] == 47:45:54
16 进制形式,tcp 头部一般是 20 字节,所以这个是对 payload 的前三个字节进行过滤
http.host[0:4] == "trac"
过滤中函数的使用(upper、lower)
upper(string-field) - converts a string field to uppercase
lower(string-field) - converts a string field to lowercase
示例
upper(http.request.uri) contains "ONLINE"
wireshark 过滤支持比较运算符、逻辑运算符,内容过滤时还能使用位运算。
如果过滤器的语法是正确的,表达式的背景呈绿色。如果呈红色,说明表达式有误。
实验内容
前期配置:
1.以太网帧捕获
(1)查看本机的 MAC 地址
点击左下角图标,输入 cmd,然后回车,在 DOS 窗口中输入 ipconfig /all 查看本机
的 mac 地址。
在 DOS 中 ping 网关的地址,然后利用 arp –a 查看网关的地址。
剩余31页未读,继续阅读
资源评论
烟雨平生9527
- 粉丝: 1982
- 资源: 5
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功