网络抓包及网络命令分析方案

《网络抓包及网络命令分析方案》由会员分享，可在线阅读，更多相关《网络抓包及网络命令分析方案（17页珍藏版）》请在装配图网上搜索。

1、实验报告题目网络抓包及网络命令实验报告学院专业班级学号学生姓名成绩指导教师完成日期1/17网络工具应用实践实验报告1. 实验概要通过使用软件 Wireshark 抓取网络上的数据包，并作相应分析。2. 实验环境硬件：台式笔记本或Pc、网卡、网络环境。软件： Windowsxp sp3 及 Windows 7、8。3. 实验目的了解网络抓包的意义，学习并了解使用网络抓包Wiresh 。对互联网进行数据抓包；了解网络抓包的相关协议。4. 实验要求合理地使用电脑进行数据分析，提高自身对网络的安全意识。5. 实验环境搭建安装 Wireshark 软件， Wireshark 的安装非常简单，只需按照步骤

2、即可。并且要求电脑具有上网的环境。6. 实验内容及步骤1）安装 Wireshark ，简单描述安装步骤。2）打开 wireshark ，选择接口选项列表。或单击“Capture ”，配置“ option ”选项。3）设置完成后，点击“ start”开始抓包，显示结果。4）选择某一行抓包结果，双击查看此数据包具体结构。5）捕捉 TCP数据报。a. 写出 TCP数据报的格式。b. 捕捉 TCP数据报的格式图例。针对每一个域所代表的含义进行解释。7. 实验过程及结果分析安装 Wireshark 软件，安装过程如下 捕捉到的 TCP信息如图 1-7 ：4/17图 1-8 ：TPC信息截图由图可知这个

3、TCP信息如下：来自 Professorlee的新浪博客 User-Agent: Mozilla/5.0 (Windows NT 6.2 。 WOW64。 rv:23.0 Gecko/20180101 Firefox/23.0HTTP/1.1 200 OKDate: Thu, 12 Sep 2018 12:37:01 GMTContent-Type: application/x-javascriptLast-Modified: Thu, 12 Sep 2018 09:51:17 GMTTransfer-Encoding: chunkedConnection: keep-aliveVary: A

4、ccept-EncodingExpires: Thu, 12 Sep 2018 12:37:31 GMTCache-Control: max-age=30Content-Encoding: gzip5/178. 网络抓包相关网络协议TCP/IP 协议不是 TCP和 IP 这两个协议的合称，而是指因特网整个TCP/IP协议族。如图 1-9 ：图 1-9 ：TCP/IP 协议关系图(1 TCP/IP 协议模块关系从协议分层模型方面来讲，TCP/IP 由四个层次组成：网络接口层、网络层、传输层、应用层。TCP/IP 协议并不完全符合OSI 的七层参考模型， OSIOpen SystemInterco

5、nnect）是传统的开放式系统互连参考模型，是一种通信协议的7 层抽象的参考模型，其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7 层是：物理层、数据链路层网络接口层）、网络层 网络层）、传输层 传输层）、会话层、表示层和应用层应用层）。而TCP/IP 通讯协议采用了4 层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。由于ARPANET的设计者注重的是网络互联，允许通信子网 以太网的MAC帧格式以太网的MAC帧格式有两种标准，一种是DIX Ethernet V2标准，另一种是6/17IEEE 的 802.3 标准。 但两种帧格式可以在同一以太网

6、络共存。两种帧格式都具有 7 个域：前导码、帧首定界符、目的地址、源地址、长度、类型、数据、帧校验序列。如图1-10。图1-10：以太网MAC帧格式列表图两种格式的帧可以依据类型 / 长度 字段的值 进行区分。如果此 帧是 DIXEthernet V2标准格式帧，则类型 / 长度字段的值大于1536； 如果此帧是 IEEE802.3标准格式的帧，则类型 / 长度字段的值小于 1518。 对 DIX Ethernet V2帧来说，此字段的值代表了高层协议的类型；对 IEEE 802.3帧来说，它的高层协议一定是LLC，而此字段的值代表的是数据的长度。ARP协议简介Internet是由各种各样的物

7、理网络通过使用诸如路由器之类的设备连接在一起组成的。当主机发送一个数据包到另一台主机的过程中 可能要经过多种不同的物理网络。主机和路由器都是在网络层通过 IP 地址来识别的，这个地址是在全世界内唯一的。 然而，数据包是通过物理网络传递的。在物理网络中，主机和路由器通过其 MAC地址来识别的，其范围限于本地网络中。 MAC地址和 IP 地址是两种不同的标识符。这就意味着将一个分组传递到一个主机或路由器需要进行两级寻址： IP 和 MAC。需要能将一个IP地址映射到相应的MAC地址。ARP 协议是“ Address Resolution Protocol”( 地址解读协议的缩写。所谓“地址解读”就

8、是主机在发送帧前将目标网络层地址转换成目标物理地址的过程。在使用 TCP/IP 协议的以太网中，即完成将IP 地址映射到 MAC地址的过程使用 ARP协议通过目标设备的IP 地址，查询目标设备的MAC地址，以保证通信的顺利进行。(4ARP报文格式7/17ARP报文格式如图1-11：图 1-11 ： ARP 报文格式图 (5IPIP报文格式IP 数据报格式如下图所示，它是由IP 首部加数据组成的。普通的IP 首部长为20 个字节，除非含有选项字段，但其最大长度不会超过60 字节。如图 1-12 。图 1-12:IP 报文格式图 9实验总结本次 wireshark抓包实验，我分析了TCP抓包，捕捉

9、 TCP数据报。我一直不知道网络抓包的意义和目的何在，但通过学习它，使我意识到纯粹的为了求知而求知才是最快乐的，或许你不知道它的意义所在，但随着对它的深入了解，我们便有了自己的心得与意识，觉得其实网络抓包是非常有意思8/17的，而不是枯燥的，无聊的。网络给我们带来了方便，要记得那些网络协议制定者付出的辛勤劳动Wireshark 是一款基于 winpcap 的抓包软件，它的界面是友好的，功能是强大的，上手是容易的，掌握是困难的。通过短暂的学习研究，我发现Wireshark 之于我么学生的主要功能便是帮助我们更好地学习和理解协议。你要知道梨子的味道，你就得变革梨子，亲口吃一吃，所以在实践中才会有更

10、深的理解和认识。而且我用的这款软件为英文软件，就更加加深了我对英文的学习，真是一举两得。实验是理论联系实际的桥梁。邓小平说：“实践是检验真理的唯一标准”，所以只有在实验中我们能学得更多。自古以来，古人就教导我们要“知行合一”。只有通过实验，我们才能更好的理解知识，掌握知识，运用知识。所以这次 Wireshark 抓包实验让我受益匪浅。网络工具应用实践实验报告1. 实验概要2）了解命令相关的参数3）在 Dos命令提示符里具体实现2. 实验环境Windows7 操作系统9/173. 实验目的了解常用的网络命令，重点掌握ipconfig和 ping 命令4. 实验要求了解常用网络命令，并能初步了解各

11、种命令的原理，掌握使用网络命令的技巧，及对命令的执行结果进行分析，得出一些有用的结论。同时，对命令各个参数进行了解。5. 实验内容及步骤ipconfig命令1）功能IPConfig 实用程序和它的等价图形用户界面 Windows 95/98 中的 WinIPCfg 可用于显示当前的 TCP/IP 配置的设置值。这些信息一般用来检验人工配置的 TCP/IP 设置是否正确。2）单独使用 ipconfig命令ipconfig当使用 IPConfig时不带任何参数选项，那么它为每个已经配置了的接口显示IP 地址、子网掩码和缺省网关值。如图2-1 ：10/17图 2-1 ：使用 ipconfig命令截图

12、Ipconfig/all ：显示本机 TCP/IP 配置的详细信息；Ipconfig/release ：DHCP客户端手工释放 IP 地址；Ipconfig/renew ： DHCP客户端手工向服务器刷新请求；Ipconfig/flushdns ：清除本地 DNS缓存内容；Ipconfig/displaydns：显示本地 DNS内容；Ipconfig/registerdns： DNS客户端手工向服务器进行注册；Ipconfig/showclassid：显示网络适配器的 DHCP类别信息；Ipconfig/setclassid：设置网络适配器的 DHCP类别。ping 命令：a. 功能Ping

13、是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换 ，如图 2-4 ：12/17图 2-4 ：执行 ping命令正确截图d.ping命令参数的作用格式： ping+IP 地址 +- 参数-tPing指定的计算机直到中断。用 ctrl+c中断）-a将地址解读为计算机名。如图 2-5 ：图 2-5 ：ping 命令参数使用截图效果：表示所 ping IP 地址的计算机名为-ncount发送count指定的ECHO 数据包数。默认值为4。格式如图 2-6 ：图 2-6 ：ping 命令参数格式图结果如图 2-7 ：图 2-7 ：使用 ping 命令参数结果截图-llength发送包含

14、由length指定的数据量的ECHO 数据包。默认为32字节；最大值是65,527 。实验结果如图 2-8 ：图 2-8: 实验结果截图-f在数据包中发送 不要分段 标志。数据包就不会被路由上的网关分段。13/17-ittl将 生存时间 字段设置为ttl指定的值。-vtos将 服务类型 字段设置为tos指定的值。-rcount在 记录路由 字段中记录传出和返回数据包的路由。count可以指定最少1台，最多9台计算机。-scount指定count指定的跃点数的时间戳。-jcomputer-list利用computer-list指定的计算机列表路由数据包。连续计算机可以被中间网关分隔路由稀疏源）

15、IP允许的最大数量为 9。-kcomputer-list利用computer-list指定的计算机列表路由数据包。连续计算机不能被中间网关分隔路由严格源） IP允许的最大数量为 9。-wtimeout指定超时间隔，单位为毫秒。利用路由跟踪命令 tracert ，跟踪到达某个网站 如）的路由信息。跟踪信息图解如图2-9 ：图 2-9 ：跟踪信息截图6 . 使用 Ping 检查连通性有五个步骤：14/171）使用 ipconfig/all观察本地网络设置是否正确；2），回送地址 Ping 回送地址是为了检查本地的 TCP/IP 协议有没有设置好；3）Ping 本机 IP 地址，这样是为了检查本机的

16、IP 地址是否设置有误；4）Ping 本网网关或本网IP 地址，这样的是为了检查硬件设备是否有问题，也可以检查本机与本地网络连接是否正常；在非局域网中这一步骤可以忽略）5）Ping 远程 IP 地址，这主要是检查本网或本机与外部的连接是否正确。6） Ping 局域网内的 ip ，从结果的 requesrtimedout，可以看出，数据发送超时，证明本机与测试主机之间没连通或者测试主机用防火墙。7总结用命令行相比图形操作可能会比较不习惯，但命令行占用的系统资源更少，执行效率更高，得出的信息更直观，学习常用的命令行是十分必要的。.ipconfig 这个命令可以用来查看本地的 IP 地址、子网掩码和

17、缺省网关值。当加上参数 all 之后，可以得到更多的信息 物理地址， DHCP服务器信息， ip 租用的信息等）。参照帮助信息可以得出其他参数的作用。ping ，来利用它可以检查网络是否能够连通，用好它可以很好地帮助我们分析判定网络故障。 Ping 有必须带一个主机名或者ip 。可以加上参数，常用的参数有 -t，-l等。分别是让 ping 一直执行下去和指定ping 时使用数据包的大小。根据 ping 后返回的结果可以初步判断本机和被测主机的连通行，当出行repayfrom 的时候一般可以认为两台主机之间是连通的，出现requesttimedout 的时候，一般它们之间是无法连通的。在 pin

18、g 通后的结果中还可以得出另外一些有用的消息，比如根据数据包的丢失率和传输时间，可以大概了解网络状况，也可以根据 TTL 计算去数据包经过多少个路由进行转发。 TTL-TTL），计算出两个链路中经过的路由数。tracert可以进行路由跟踪，可以跟踪数据包经过的路由器，在不加参数-d 的时15/17候，在获得每个路由器的ip 的时候，尝试进行域名解读。Tracert命令可以用来判断网络故障出现在那些设备上，当遇到某些网络设备阻止了tracert发的数据包时 如防火墙）候，对应的ip 地址解读不出来，出现的是* 。在使用命令行时一定要注意拼写，因为不是图像操作，所以当出现拼写错误时，命令是执行不了的。Ping 命令中：参数问题 1）格式不会，常出现：“xx 不是内部命令也不是外部命令 , ”解决：改正格式，加空格，或去空格，或者根据提示加参数例如 图2-10 ）：图 2-10 ：ping 命令格式使用错误截图改正后的效果如图 2-11 ：图 2-11 ： ping 命令格式使用正确截图有些参数执行了却见不到效果，比如-f 。-ittl。-rcount 等。解决：请教老师。同学体会：初次认识常用的网络命令，由开始一点都不懂到现在了解了一些简单的作用，很开心，也算很有收获。16/17