Wireshark网络抓包实验

首先通过ipconfig命令查得
本机IP：192.168.43.214

Wireshark对Ping命令抓包分析

实验步骤：

第一步，确定目标地址，选择www.baidu.com作为目标地址。
第二歩，配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp。
第三步，启动抓包：点击【start】开始抓包，在命令提示符下键入ping www.baidu.com。
第四步，停止抓包后，截取数据。
第五步，分析数据包，选取一个数据包进行分析。

抓包截图：

实验分析：

报文由IP首部和ICMP报文组成。
蓝色部分为IP首部，共有20字节。

如上图所示，可以看到 IP 数据包的信息：
Version: 4，表示 IPv4。
Header Length: 5, 表示 5 个以 32 bit 为单位的 word，即 20 bytes。
Time to live： 128，生存时间。
Protocol: 1，表示 ICMP。
Source: 192.168.43.214，源 IP 地址。
Destination: 36.156.69.79，目的 IP 地址。

Type: 该字段有 1 个字节，表示特定类型的 ICMP 报文。
一台主机向一个节点发送一个类型字段值为8的ICMP报文，如果途中没有异常（如果没有被路由丢弃，目标不回应ICMP或者传输失败），则目标返回类型字段值为0的ICMP报文，说明这台主机存在。
Code: 该字段有 1 个字节，进一步细分 ICMP 的类型。如上图所示，Type 的值为 8，Code 的值为 0，表示回显请求。
Checksum: 该字段有 2 个字节，表示校验和。
Identifier: 该字段有 2 个字节，用于匹配 Request/Reply 的标识符。
Seq Num: 该字段有 2 个字节，用于匹配 Request/Reply 的序列号。
Data: 数据载荷。

Wireshark对tracert命令抓包分析

实验步骤：

第一步，确定目标地址，选择www.baidu.com作为目标地址。
第二歩，配置过滤器：针对协议进行过滤设置，tracert使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp。
第三步，启动抓包：点击【start】开始抓包，在cmd下键入tracert baidu.com
第四步，停止抓包后，截取数据。
第五步，分析数据包，选取一个数据包进行分析。

抓包截图：

实验分析：

报文由IP首部和ICMP报文组成。
蓝色部分为IP首部，共有20字节。
如上图所示，可以看到 IP 数据包的信息：
Version: 4，表示 IPv4。
Header Length: 5, 表示 5 个以 32 bit 为单位的 word，即 20 bytes。
Time to live： 128，生存时间。
Protocol: 1，表示 ICMP。
Source: 192.168.43.214，源 IP 地址。
Destination: 192.168.43.1，目的 IP 地址。

Wireshark对DNS协议抓包分析

实验步骤：

打开CMD.exe键入:ping baidu.com
将自动进行域名解析,默认发送4个ICMP报文.
启动Wireshark,选择一个有效网卡,启动抓包.
在控制台回车执行完毕后停止监控.

抓包截图：

实验分析：

总得来看有两个DNS包(一次域名解析),和8个ICMP包(四次ping)
可以发现DNS为应用层协议,下层传输层采用UDP,再下层网络层是IP协议,然后是数据链路层的以太网帧.
需要关注的是应用层的实现也即DNS协议本身.
在此之前,可以从下层获得一些必要信息:
UDP(User Datagram Protocol)报文中:DNS的目的端口(Dst Port)是53
IPv6(Internet Protocol Version 6)报文中目的IP是：
2409:893c:550:89f4:bc46:850a:5fb3:beab
由于IP报文在网络层进行路由选择,他会依次送给路由器而不是直接送给DNS服务器,这一点也十分容易理解,
第一个包是请求包,不可能直接包含DNS服务器地址.

第一个是Transaction ID为标识字段,2字节,用于辨别DNS应答报文是哪个请求报文的响应.
第二个是Flags标志字段,2字节,每一位的含义不同

QR: 查询/响应,1为响应,0为查询
Opcode: 查询或响应类型,这里0表示标准,1表示反向,2表示服务器状态请求
AA: 授权回答,在响应报文中有效,待会儿再看
TC: 截断,1表示超过512字节并已被截断,0表示没有发生截断
RD: 是否希望得到递归回答
RA: 响应报文中为1表示得到递归响应
zero: 全0保留字段
rcode: 返回码

可以看到和第一个请求包相比,响应包多出了一个Answers字段,同时Flags字段每一位都有定义.
关注一下Flags中Answer RRs 为2 说明对应的Answers字段中将会出现2项解析结果.
Answers字段可以看成一个List,集合中每项为一个资源记录,除了上面提到过的Name,Type,Class之外,还有Time to Live,Data length,Address.
Time to Live(生存时间TTL):表示该资源记录的生命周期,从取出记录到抹掉记录缓存的时间,以秒为单位.这里是567合计9min27s.
Data length(资源数据长度):以字节为单位,这里的4表示IP地址的长度为4字节.也就是下面Addr字段的长度.
Address(资源数据): 返回的IP地址,就是我们想要的结果.

Wireshark对FTP协议抓包分析

实验步骤：

FTP 服务器的登录。捕获 USER 和 PWD 的内容，分析 FTP、TCP、IP 协议的首部信息。FTP 服务器的端口号为 21，用于控制连接。
FTP 文件的下载过程。
FTP 服务的退出过程。

抓包截图：

实验分析：

在这里使用的是登录FTP 服务器：ftp.scene.org，通过对登陆过程的捕获可以看到，登陆的账号为anonymous，密码为chrome@example.com(默认)
用Wireshark查看FTP、TCP、IP协议的首部信息，如下图。

下载文件的请求命令为”RETR ”，文件字节大小也不一样。
从发送时间也可以看出来一些差别。介于1MB—10MB的文件可能由于其格式或其他原因，没有正常显示出包的大小和传输时间。不过，通过对比不同的大小的文件，可以得出文件越大TCP切片长度越小，传输的字节越多，所用的传输时间越长。
FTP的退出过程在Wireshark的抓包过程中没有捕获到。

Wireshark对HTTP协议抓包分析

实验步骤：

打开网站： www.qlu.edu.cn
（1）客户端通过TCP三次握手与服务器建立连接。
（2） TCP建立连接成功后，向服务器发送http请求
（3）服务器收到客户端的http请求后，将返回应答，并向客户端发送数据。
（4）客户端通过TCP四次握手，与服务器断开TCP连接。

抓包截图：

实验分析：

1）物理层的数据帧详细概要

7号帧，线路571字节，实际捕获571字节
Inter face：接口ID
Encapsulation type：封装类型，与wireshark版本有关
Arrival Time捕获时间和日期
Frame number：帧序号
Frame length：帧长度
Capture length：捕获长度
2）数据链路层以太网帧的头部信息

Destination:目标MAC地址
Source：源MAC地址
3）网络层IP头部包信息

互联网IPV6
IP包通信类别：（DSCP:CS0,ECN:Not-ECT）差分服务字段
有效长度：517
下一个包头：TCP(6)
跳限制：65
源IP地址
目的IP地址
4）传输层数据包头部信息

源端口号：60655
目标端口号：80
序列号：1 下一个序列号：498 确认序列号：1
Header length：20字节
TCP标记字段：0x018
流量控制窗口大小：64660
TCP数据段校验和：0x9afb
5）应用层分析（HTTP协议分析）

Get为请求方式，后面跟请求内容
Host：请求主机名www.qlu.edu.cn
Connection：客户端与服务端指定的请求，相应有关选项（保持连接）
User-agent：发送请求的操作系统及浏览器信息
Accept：客户端可以识别的内容类型列表
Accept-Encoding：客户端可识别的数据编码
Accept-Language：浏览器所支持的语言类型