实验12Wireshark工具的使用与TCP数据包分析

Wireshark工具的使用与TCP数据包分析(SEC-W07-007.1)Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是捕捉网络数据包，并尽可能显示出最为详细的数据包内容。在过去，网络数据包分析软件或者非常昂贵，或者专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障下，使用者可以免费取得软件及其源代码，并拥有对源代码修改的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。传输控制协议(TransmissionControlProtocol),简称TCP协议，是一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transportlayer)通信协议，由IETF的RFC793说明(specified)0在简化的计算机网络OSI模型中，它完成第3层传输层所指定的功能，基于TCP的常见应用如TELNET，SSH，HTTP，FTP等。实验目的 学习Wireshark工具的使用。 学习TCP协议及其TCP头部结构。 利用Wireshark分析TCP数据包内容。实验准备 获取Windows远程桌面客户端工具mstsc压缩包并解压。 获取服务器Windows操作系统Administrator管理员口令。 获取服务器IP地址。实验步骤学习Wireshark工具使用步骤说明：使用Wireshark工具，熟悉常见功能配置。准备一台win20003和winxp电脑。服务器(win2003)：1设置IP地址为192.168.25.772选择控制面板下的添加/删除程序-添加/删除windows组件对话框中的应用程序服务器-Internet信息服务-文件传输协议(FTP)服务。3.右击我的电脑，选择管理，选择本地用户和组-用户-administrator，设置其密码为1234564右击我的电脑，选择属性-远程选项卡，勾选远程桌面下的允许用户远程连接到这台计算机。(开启了3389端口，通过netstat-an可以查看)5.在该服务器上安装Wireshark软件。Winxp(设置其ip地址为192.168.25.78)1.运行远程桌面客户端程序mstsc.exe，输入服务器端IP地址，点击Connect连接，如图1：-.ComputeI:ConnectOptions图12. 以Administrator（管理员）身份登陆服务器桌面。注：服务器Administrator用户的登陆密码为123456。3. 在远程桌面中，单击桌面Wireshark程序快捷图标，弹出Wireshark程序如图2图24.在Wireshark程序点击查看本机网卡状态配置按钮：InterfaceList,弹出如图3对话框，图例中可以看出本机的网卡信息。图35.在Wireshark主程序界面中，点击配置详细条件按钮：CaptureOptions，弹出如图4对话框,配置捕捉的详细条件。图4注：这里我们选择了本地local的网卡，实验环境不同可能会使用不同的网卡。6.在图4的配置界面中，可以通过在CaptureFilter输入框中输入捕捉数据包的条件，样例中的host192.168.0.1的意思为：程序只捕捉IP地址为192.168.0.1的数据包。7.下面举例了几种常见过滤条件：tcp只捕捉tcp数据包port80捕捉tcp或udp协议且端口为80的数据包nottcpport3389不捕捉tcp端口为3389的数据包src192.168.0.1anddst192.168.0.2捕捉源地址为192.168.0.1且目的地址为192.168.0.2的数据包8.这里我们选择过滤条件为nottcpport3389，点击对话框下方的start按钮开始捕捉网络数据包，捕捉现象如图5所示：图5学习TCP协议及头部结构步骤说明：了解TCP/IP协议，学习TCP数据包头部结构。1.TCP/IP是一个协议集，它包含了IP、TCP、UDP系列协议，TCP协议意为TransmissionControlProtocol传输控制协议，它是一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transportlayer)通信协议，由IETF的RFC793说明(specified)。在简化的计算机网络OSI模型中，它完成第3层传输层所指定的功能，如图6所示：IPlinkIapplicationtransportnetworkTCPIGMPRARPUserProcessARPHardwarenterfaceUDPUserProcessUseriFcessUserProcessICMP图62.TCP协议头最少20个字节，包括若干个区域头部，结构如图7所示:3116bit源端口151616bit目的端口32bit序列号32bit应答号4bit头长度uAFftSRC8SYGKHTNFEbit保留1Ebit窗口大小16bit校骑码16bit优先指针options(Hany)TCP数据图73.由于TCP是基于IP协议的，在利用Wireshark工具分析中，通常可以看到的TCP头和IP头结构组成，如图8所示：IP数据TCF数据IP头部TCP头部TCP数据T20Bytes20Bytes图8使用Wireshark分析TCP数据包步骤说明：配置Wireshark捕捉TCP数据包，分析数据包内容。1. 在winxp电脑上，开始-运行中输入mstsc.exe，输入服务器端IP地址192.168.25.77，点击Connect连接登陆到远程服务器桌面中，运行其上的Wireshark,选择capture菜单下-options,在出现的如图4的对话框的CaptureFilter中输入过滤条件：host该服务器的IPandtcpport21这里我们需要捕捉访问远程服务器的TCP端口21的所有TCP数据包。2. 点击对话框下方的start按钮后，Wireshark会处于捕捉状态。在ftp服务器进行如下设置：1. 创建一个wupeifei帐户，密码为123。2. 在C:Inetpub下找到ftproot文件夹，右击该文件夹，选择属性，然后选择安全选项卡，添加wupeifei帐户对该文件夹有完全权限。.回到winxp客户端系统中，进行如下设置：1. 把该机器的那个远程服务器桌面窗口最小化，不要关闭。2、在该winxp电脑的点击“开始”-“运行”，输入命令：ftp服务器的IP利用该命令登陆远程服务器的FTPServer。注：远程服务器已经开放了FTP端口21，用户名为wupeifei，密码为123。4.如图9输入正确的用户名wupeifie和密码123，成功登陆后，输入quit命令退出FTP服务器。图95.最后把该机器的那个远程服务器桌面窗口最大化，再次回到其上的wireshark界面wireshark已经捕捉到了ftp的会话数据包，如图10：图106.在图10中,选中捕获的含有密码明文的TCP数据包，在“数据包详细信息栏”中TransmissionControlProtocol部分TCP头部的各个信息被详细解释出来。通过分析20字节的IP头部信息和20字节的TCP头部信息,以及基于TCP的FTP协议数据包,我们就可以分析出地址、端口、明文密码等信