计算机网络课程设计二(网络抓包与分析)

课程设计课程名称：计算机网络课程设计二网络抓包与分析 1.1 抓包工具Wireshark简介 Wireshark是网络包分析工具。主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。但是功能远比这个强大。 Wireshark 是开源软件项目，用GPL 协议发行。您可以免费在任意数量的机器上使用它，不用担心授权和付费问题，所有的源代码在GPL 框架下都可以免费使用。因为以上原因，人们可以很容易在Wireshark 上添加新的协议，或者将其作为插件整合到您的程序里，这种应用十分广泛。 对于Wireshark工具应注意以下两点：1）Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark 不会警告您。但是如果发生了奇怪的事情Wireshark 可能对察看发生了什么会有所帮助。2）Wireshark 不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark 不会发送网络包或做其它交互性的事情（名称解析除外，但您也可以禁止解析）。1.2 Wireshark的用途 方便网络管理员解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议除了上面提到的，Wireshark 还可以用在其它许多场合。1.3 Wireshark的特性 支持UNIX 和Windows 平台在UNIX和WINDWOS下都可以安装使用，实现的功能不变； 在接口实时捕捉包Wireshark 可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。 能详细显示包的详细协议信息对于捕获到的包，详细分析经过的每一层的IP地址(或MAC地址)、协议，报文长度等； 可以打开/保存捕捉的包Wieshark可以将捕捉文件输出为多种其他捕捉软件支持的格式 可以导入导出其他捕捉程序支持的包数据格式通过菜单栏的File下的导入/导出可以得到他捕捉程序支持的包数据格式； 可以通过多种方式过滤包Wieshark提供了常用的两种过滤数据包的方式，即捕捉过滤和显示过滤； 多种方式查找包可以通过接口(Interface)、IP地址、所使用的协议等进行包的捕获； 通过过滤以多种色彩显示包可以改变封包显示信息中每一条信息的颜色，方便分析； 创建多种统计分析在菜单栏的Statistics下提供了多种统计分析，如Summary统计收到的总的数据包、收包所用时间、捕获成功率等。1.4 访问网易163（1.4.1.MENU菜单选项：程序上方的8个菜单项用于对Wireshark进行配置：- File（文件）- Edit （编辑）- View（查看）- Go （转到）- Capture（捕获）- Analyze（分析）- Statistics （统计）- Help （帮助）打开或保存捕获的信息。查找或标记封包。进行全局设置。设置Wireshark的视图。跳转到捕获的数据。设置捕捉过滤器并开始捕捉。设置分析选项。查看Wireshark的统计信息。查看本地或者在线支持。1.4.2.快捷方式栏：在菜单下面，是一些常用的快捷按钮。可以将鼠标指针移动到某个图标上以获得其功能说明。1.4.3. Display Filters显示过滤器栏：其中的Filter string处的表达式格式如下：语法：ProtocolDirectionHost(s)ValueLogical OperationsOther expression例子：tcpdst192.168.1.11080andtcp dst 118.12312.251 31281.4.4 捕获接口栏1.4.5 对捕获到得数据包统计分析(summary栏)1.4.5.封包列表：封包列表中显示所有已经捕获的封包。在这里您可以看到发送或接收方的MAC/IP地址，TCP/UDP端口号，协议或者封包的内容。如果捕获的是一个OSI layer 2(数据链路层)的封包，您在Source（来源）和Destination（目的地）列中看到的将是MAC地址，当然，此时Port（端口）列将会为空。如果捕获的是一个OSI layer 3（网络层）或者更高层的封包，您在Source（来源）和Destination（目的地）列中看到的将是IP地址。Port（端口）列仅会在这个封包属于第4或者更高层时才会显示。1.4.5 封包的详细信息列表如下：上面的蓝色背景处是“解析器”。在Wireshark中也被叫做“16进制数据查看面板”。这里显示的内容与“封包详细信息”中相同，只是改为以16进制的格式表述而已。1.4.6 仔细分析数据封包信息如下：(1)截图中黑色背景处为所选中的进行分析的数据包，捕获该包的时间为0.313534s，源地址为192.168.1.110(本局域网内的主机)，目的地址为118.123.1.251(是一B类地址)，数据包使用的协议类型为TCP(可以看出邮件访问的是一可靠连接，需要差错校验等)，数据包的长度为54字节。(2)Frame 1(帧的结构)：l 截图中明确显示了该数据包的到达时间(Arrival Time)为2011年7月8日晚上22:57:51.724439000s；l 帧的序号(Frame Number)为13；l 帧长(Frame Length)为54B;l 捕获长度也为54B，说明完全捕获了该包；该帧并为标记；l 帧中数据部分使用的协议有TCP+IP。 (3)OSI 的第二层(数据链路层)的MAC帧分析如下：l 发出该帧的源主机的MAC地址(Source)为：00:e0:b1:12:e6:19,发送的是单播(unicast),地址目录使用的是默认；l 该帧的目的地址是路由器(TP-LinkT_b0:a8:2e),说明该请求需要穿过路由器才能到达，路由器的MAC地址为：00:21：27：b0:a8:2e;l 该帧封装的上层使用的IP数据报，即从网络层传下来的. (4)OSI 的第三层(网络层)分析如下：l 网络层中的地址使用的是IP地址，所以该层显示的其实就是IP数据报的详细信息。IP地址的版本(Version 4)是4(即IP V4)；l IP 首部只用了固定部分(Header length)20B；l 区分服务字段(Differentiated Services Field)实际上未使用；l 总长度(Total Length)为40B；l 标识字段(Identification)为十进制13640，用来使分片后的各数据报片最后能正确地重装为原来的数据报；l 标志(Flag)位占三位，为010，第一位无实际意义，未设置，第二位为1，表示不能分片，第三位为0，未设置，表示该数据报未进行分片，已是若干数据报片中的最后一个；l 片偏移字段(Fragment offset)为0，因为未进行分片；l 生存时间(Time to live)为64跳(seconds)；l 协议字段(Protocol)指出了该数据包携带的数据使用的是TCP协议，TCP协议字段值为6；l 首部检验和(Header checksum)为correct，只检验数据报的首部，不检验数据部分；l 该IP数据报由(Source)192.168.1.110主机发出，即将送往目的主机(Destination)118.123.1.251.5、OSI的第四层(传输层)TCP报文分析如下：为了在传输层实现复用和分用的功能，就必须在协议中引入端口一概念。以便将不同的服务交付给不同的进程。l 该TCP报文段的源端口为1551，说明这是一登记端口号，并不是因特网上的熟知应用程序；目的端口号为80，说明将要交付给上层的HTTP进程实现；l 序号为1，TCP是面向字节流的，在一个TCP连接中传送的字节流中的每一个字节都要按序号编号，该字段指明本报文段所发送的数据的第一个字节的序号；l 确认号字段值为4321，表示前面的4320个字节的所有数据均已正确收到；首部长度为20B(实际上就是TCP报文段中的数据偏移字段)；l 标志字段值为000010000，常用的是后面的六个字段，其中Urgent 表示数据报中是否有紧急数据需要立即发送，本报文中未设置，即没有这样的紧急数据；l 确认位ACK值为set,即说明之前的确认号字段是有效的；l 推送Push位未设置，表明本次通信并不是交互式的；l 复位RST并为设置，表明当TCP连接中出现严重差错时必须释放链接然后再重新建立运输连接；l 同步位Syn未设置，当该位为1时表示这是一个连接请求或连接接收报文；l 终止FIN未设置，表明本次连接还未完成，暂不释放连接；l 窗口值为63888，表示对方有能力接受63888个字节的数据；l 检验和字段Checksum用来检验首部和数据部分，本报文段检验出错；l 最后是对确认字段的分析，最终得出该报文段已经丢失，应给出警告信息。1.5 小结 本次课程设计中，通过使用网络抓包工具Wireshark对本主机访问网易163（ 通过网络抓包工具Wireshark对数据包进行分析后，更加理解了OSI各层中所要完成的功能以及这些功能是如何实现的机制，还利用了Wireshark实现了对不同条件(如接口、地址、协议等)进行过滤，以消除冗余，得到我们所关心的数据。 总之，受益匪浅。学到了很多东西，也巩固了所学过的知识。