实验项目名称:使用wireshark进行抓包分析实验成绩:教师签名:实验项目报告内容:一.实验背景1、实验目的:1、初步了解抓包过程以及抓包数据的分析过程2、理解网络体系结构分层通信过程2、实验原理:分层通信过程发送方和接收方必须使用相同的计算机网络体系结构。发送方数据发送的真实过程是:从上到下,主机封装;而接收方的接收过程是:从下往上,逐级解封。wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS还是用Fiddler,其他协议比如TCP,UDP就用wireshark.3、实验要求:1、对QQ或者HTTP或者SMTP等协议数据进行分析2、分析数据包的层次结构3、分析封装过程4、截图进行分析5、独立完成,禁止Copy二.实验工具wireshark软件三.实验主要过程与结果本次实验使用了wireshark抓包软件对QQ的协议数据进行了分析。1、首先打开wireshark,登录QQ2、然后点击开始抓包,给好友发送消息3、最后停止抓包,分析协议数据结果:停止抓包后,可以看到wireshark的页面如下,分为了三个区域:从上到下依次为数据包列表,数据包细节和数据包字节。源地址为120.204.17.118,目的地址为172.17.62.0即为本机的地址)。从数据包细节窗口可以看出总共有五层,从下到上依次为应用层,运输层,网络层,数据链路层,物理层。分别对其不同层进行分析。四、分析讨论1、应用层应用层是五层协议体系结构中的最高层,其任务是通过应用进程间的交互来完成特定网络应用。本实验使用的应用进程为QQ,从下图中可以看出QQ所使用的协议为OICQ协议,其中里面包含了交互数据,即为报文。在数据包细节中OICQ协议中的第五行,可以看到自己的QQ号(302702230)。选中最后一行的DaTa可以看到传输的数据,即为报文。2、运输层运输层的任务就是负责向两台主机中进程之间的通信提供通用的数据传输服务,应用进程利用该服务传送应用层报文。从下图可以看到运输层所使用的协议为UDP协议,UDP协议提供无连接的、尽最大努力的数据传输服务(不保证数据传输的可靠性),其数据的单位是用户数据报。图中所选中的数据部分是运输层给数据加的报头。其源端口号为8000,目的端口号为4009,数据包字节长度为87。UDP协议的第四行表示检验和显示为验证禁用,不能验证,如下图。3、网络层网络层负责为分组交换网上的不同主机提供通信服务。在发送数据时,网络层把运输层产生的报文段或用户数据报封装成分组或包进行传送。从图中可以看出可以看到IP的版本号为4;IP头的长度是20字节,所以从图中可以看出第一个数45,即代表版本号和IP头的长度;首部和载荷的总长度是107字节(0x006b),00在前,6b在后,说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址,低字节数据在高地址,从图中可以看出是006b;TTL(存活时间)域的值是54;协议为UDP。4、数据链路层数据链路层将网络层交下来的IP数据报组装成帧,在两个相邻结点间的链路上传送帧,每一帧包括数据必要的控制信息。选择数据链路层,可以看出对应数据字节包选中的数据并不是全部选中,这是由于数据在传送到数据链路层时,数据链路层会给数据加上首部,图中所选中的数据即为首部。该数据包的目标地址是38:d5:47:91:ec:10,源地址00:00:5e:00:01:1f。5、物理层物理层传输比特流,从图中可以看见,当选择物理层时,下面的数据包字节全部选中,说明物理层是将数据全部发送。五、实验心得通过此次wireshark软件的使用和对QQ进行抓包分析,我直观地了解和认识到五层协议的体系结构和每层协议的封装结构,用16个字概括:“从上到下,逐级封装;从下到上,逐级解封”的一个过程。对今后的学习有更深刻的的帮助。六、教师评阅
