1、网络安全实验七Wireshark网络监听实验计算机与信息科学学院实 验 报 告(20122013学年第一学期 )课程名称: 网络安全实验 班 级: 学 号: 姓 名: 任课教师: 计算机与信息科学学院实 验 报 告实验名称Wireshark网络监听实验指导教师实验类型实验学时2实验时间12.13一、实验目的与要求1、初步掌握Wieshark的使用方法,熟悉其基本配置。2、通过对Wieshark抓包实例进行分析,进一步加深对各类常用网络协议的理解。3、学习和掌握如何利用Wireark进行网络安全监测与分析。二、实验仪器和器材虚拟主机为windows xp,物理主机为win7 Wieshark软件
2、 。三、实验原理及步骤(一)、实验原理:Wireshark是一个网络封包分析软件。其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。其使用目的包括:网络管理员检测网络问题,网络完全工程师检查资讯安全相关问题,开发者为新的通讯协定出错,普通使用者学习网络协议的相关知识。值得注意的是,Wireshark并不是入侵检测软件。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映目前流通的封包资讯。Wireshark本身也不会送出封
3、包至网络上。(二)、实验步骤:1、安装Wireshark (1)双击文件夹中的可执行文件,如图1所示。 图1 Wireshark的可执行文件 (2)该对话框时一个安装提示,如果之前没有安装过该文件,则点击下一步,如图2所示。 图2 确认对话框 (3)图3所示是一个关于该软件的许可证说明,可以忽略,点击下一步。 图3 Wireshark的许可说明 (4)在图4中罗列出来的是一些可选安装组件,可根据实际需要选择安装 图4 选择安装组件 (5)以下是关于该软件的图标创建位置和支持的文件拓展,图标部分可根据实际情况选择,然后点击下一步,如图5所示。 图5 快捷方式 (6)程序的安装位置,这里选择默认,
4、点击下一步。 图6 程序安装位置 (7)安装WinPcap插件,在这一步必须勾选安装,不然无法进行以下的实验。 图7 勾选WinPcap插件 (8)下面开始进入WinPcaP插件的安装过程,点击下一步,如图8所示。 图8 安装WinPcaP (9)这一步是对WincaP插件的介绍,可以不用理会,继续下一步。 图9 WinPcaP介绍 (10)WinPcaP的许可协议,点击“I Agren”,如图10所示。 图10 许可协议 (10)在系统引导时自动启动该插件,默认选择,点击“Install”,如图11所示。 图11 WinPcaP的自动启动 (11)经过了那么多步,终于到尽头了。直接点“Fin
5、ish”,结束WinPcaP的安装。 图12 WinPcaP安装结束 (12)插件安装完了,点击下一步,如图13所示。 图13 Wireshark安装结束 (13)Wireshark安装的最后一步,勾选“Run Wireshark”,点击“Finish” 图14 Wireshark成功安装2、Wireshark的基本操作(1)在ip为192.168.0.4的虚拟主机上双击安装好的Wireshark可执行文件“Wireshake.exe”,弹出Wireshark操作界面。(2)在菜单栏点击“抓包”,在选项中单击“抓包参数选择”。如图15所示。 图15 选择抓包参数选择(3)在这里可以看到,有两块
6、活动网卡,因为后面要利用选择的网卡来作为发送和接收分组的网络接口。所以桥接类型连接的网卡便是我们最佳选择。 图16 监听网卡选择我们在物理主机的命令提示符窗口中“ping 192。168.0.4”,当ping结束后,点击工具栏中的第四个按钮,结束正在运行的抓包,如图17所示。 图17 针对icmp的抓包(4)先来测试一下软件是否能正常运行,在抓包过滤条件中输入icmp,点击右下角的“开始”,如下图所示。 图16 输入过滤条件我们在物理主机的命令提示符窗口中“ping 192。168.0.4”,当ping结束后,点击工具栏中的第四个按钮,结束正在运行的抓包,如图17所示。图17 针对icmp的抓
7、包从图中可以看到,当ping命令结束时,一共抓到8个数据包,单数都是物理主机发送向虚拟机主机的的ICMP Echo Request包,双数是由虚拟主机发向物理主机的ICMP Echo Reply包,是对前者的数据包的响应。(5)更改过滤条件,输入如图所示的的条件进行点击“开始”进行抓包, 图18 抓获网络浏览的报文打开浏览器,访问,软件就开始抓包,下图就是一段时间后抓的包。 图18 浏览WEB抓到的包从数据包列表中可以看到,从虚拟机主机访问的目标地址不止一个,而在不同的时间使用的协议也不相同。虚拟主机要和XX上的服务器连接,虚拟主机就要先发送一个SYN标记的包,告诉服务器建立连接(如数据包7)
8、。服务器端收到SYN标记的数据包后,就会发一个对SYN包的确认包ACK给客户机(即虚拟主机)表示对第一个SYN包的确认,并继续握手操作(如数据包8)。虚机主机收到ACK标记的确认包,又发送一个ACK标记的确认包给服务器,通知A连接已建立(如数据包10),通过三次握手,一个TCP连接完成。 而绿色部分下面的窗口表示的是选定的某个数据包的层次结构和协议分析。最下面窗口是数据包的16进制数据的具体内容,也即是数据包在物理层上传递的数据。 3、在数据包中单词代表的意思No.列标识出Ethereal捕获的数据包序号Time表示在什么时间捕获到该数据包Source和Destination标识出数据包的源地
9、址和目的地址Protol表明该数据包使用的协议Info是在列表中大概列出该数据包的信息Frame代表数据帧 4、常用的过滤条件a. ether host 00:e5:g9:00:00:03 捕获MAC地址为00:e5:g9:00:00:03网络设备通信的所有报文b. host 192.168.11.22 捕获IP地址为192.168.11.22网络设备通信的所有报文c. tcp port 80 捕获网络web浏览的所有报文d. host 192.168.0.8 and not tcp port 80 捕获192.168.0.8除了http外的所有通信数据报文e. tcp 捕获所有TCP协议的数
10、据包f. tcp port 23 捕获TCP端口号是23的数据包,不管是源端口还是目的端口四、实验小结和思考(包括感想、体会与启示)通过本实验,掌握了Wieshark的基本配置和使用方法,同时也对数据传输的过程和协议有了更深的了解。比如建立连接要通过三次握手,软件和网站使用的协议也各不相同。Wieshark是我们学习和了解网络的有用的软件之一,特别是用用来分析数据包。在本次试验过程有遇到过问题也有收获经验:使用wireshark时,通过精确定位过滤来捕获自己想要的包,这样捕获的包比较直观有用且数据包较小。为了大量数据包对笔记本网卡冲太大导致死机可以在抓包时注意及时的点击关闭正在进行的抓包。五、指导教师评语成 绩日 期批阅人