1 实验 4:利用 Wireshark 进行协议分析1、实验目的熟悉并掌握 Wireshark的基本操作,了解网络协议实体间进行交互以及报文交换的情况。2、实验环境? Windows 9x/NT/2000/XP/2003? 与因特网连接的计算机网络系统? 分组分析器Wireshark :要深入理解网络协议,需要仔细观察协议实体之间交换的报文序列。为探究协议操作细节,可使协议实体执行某些动作,观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器(packet sniffer)。顾名思义,一个分组嗅探器俘获(嗅探)计算机发送和接收的报文。一般情况下,分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。图4-1 为一个分组嗅探器的结构。图 4-1 右边是计算机上正常运行的协议(在这里是因特网协议)和应用程序(如:web 浏览器和ftp 客户端)。分组嗅探器(虚线框中的部分)是附加计算机普通软件上的,主要有两部分组成。分组俘获库(packetcapture library )接收计算机发送和接收的每一个链路层帧的拷贝。高层协议(如:HTTP、FTP、TCP、 UDP、DNS、IP 等)交换的报文都被封装在链路层帧中,并沿着物理媒体(如以太网的电缆)传输。图1 假设所使用的物理媒体是以太网,上层协议的报文最终封装在以太网帧中。分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。为此,分析器必须能够理解协议所交换的所有报文的结构。例如:我们要显示图4-1 中 HTTP 协议所交换的报文的各个字段。分组分析器理解以太网帧格式,能够识别包含在帧中的IP 数据报。分组分析器也要理解IP 数据报的格式,并能从IP 数据报中提取出TCP 报文段。然后,它需要理解TCP 报文段,并能够从中提取出HTTP 消息。最后,它需要理解HTTP 消息。图 4-1 分组嗅探器的结构2 Wireshark 是一种可以运行在Windows, UNIX, Linux 等操作系统上的分 组 分 析 器 。运行 Wireshark 程序时,其图形用户界面如图4-2 所示。最初,各窗口中并无数据显示。在用户选择接口, 点击开始抓包按钮之后,Wireshark 的用户界面会变成如图4-3 所示。此时 Wireshark 的用户界面主要有5 部分组成,如图4-3 所示。? 命令菜单( command menus):命令菜单位于窗口的最顶部,是标准的下拉式菜单。最常用菜单命令有两个:File、Capture。File 菜单允许你保存俘获的分...
