10 网络工程2 班 王玉 10205050232 Wireshark 抓包实例分析 (一).WireShark 的使用: (1)启动WireShark。(2)启动PC 上的IE 浏览器。 (3)开始分组捕获:选择“抓包”下拉菜单中的“抓包参数选择”命令,在 “WireShark:抓包选项”窗口中可以设置分组捕获的选项。 (4)在这次实验中,使用窗口中显示的默认值。选择“抓包”下拉菜单中的 “网络接口”命令,显示计算机中所安装的网络接口(即网卡)。我 们 需 要 选择电脑真实的网卡,点击后显示本机的IP 地址。 (5)随后,点击“开始”则进行分组捕获,所有由选定网卡发送和接收的分 组都将被捕获。 (6)待 捕获一段 时 间 , 关 闭 浏览器, 选择主窗 口 中 有 的“ stop” 按 钮 , 可 以 停止分组的捕获。 (7)选择“文件”下拉菜单中的“另存为”,保存到我的文档中。 (二).结果分析: 图 1 ,Wireshark 抓包窗口布局 Wireshark 的抓包结果整个窗口被分成三部分,最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下面是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。 图 2 ,Wireshark 数据包列表 10 网络工程2 班 王玉 10205050232 上图的数据包列表中,第一列是编号(如第20 个包),第二列是截取时间(3.21713400),第三列Sou rce 是源地址(10.245.85.63),第四列Destination是目的地址(211.138.180.3 ),第五列Protocol 是这个包使用的协议DNS,第六列是数据包帧的长度,第七列Info 是一些其他的信息,包括源端口号和目的端口号。 Wireshark 中某些协议字段会以特殊方式显示: 1, Generated fields/衍生字段 Wireshark 会将自己生成附加协议字段加上括号。衍生字段是通过该包的相关的其他包结合生成的。例如Wireshark 在对 TCP 流应答序列进行分析时。将会在 TCP 协议中添加[SEQ/ACK analysis]字段 2,Links/链接 如果 Wireshark 检测到当前包与其它包的关系将会产生一个到其它包的链接。链接字段显示为蓝色字体并加有下划线。双击它会跳转到对应的包 图3,应用层信息 到达时间:2013 年 5 月 28 日 09:16:35.867083000 新纪元时间:1369703795.867083000 秒 捕获该帧与前一帧的时间间隔是0.066550000 秒 显示陈列出该帧与前一帧的时间间隔是0.066550000 秒 从捕获第一帧到捕获该帧...
