实验报告

项目名称：网络协议分析工具的使用课程名称：计算机网络B

班级：

姓名：

学号：

教师：

信息工程学院测控系

一、实验目的

基于网络协议分析工具Wireshark（原为Ethereal），通过多种网络应用的实际操作，学习和掌握不同网络协议数据包的分析方法，提高TCP/IP协议的分析能力和应用技能。

二、实验前的准备

● 二人一组，分组实验；

● 熟悉Ping、Tracert等命令，学习FTP、HTTP、SMTP和POP3协议；

● 安装软件工具Wireshark，并了解其功能、工作原理和使用方法；

● 安装任一种端口扫描工具；

● 阅读本实验的阅读文献；

三、实验内容、要求和步骤

3.1 学习Wireshark工具的基本操作

学习捕获选项的设置和使用，如考虑源主机和目的主机，正确设置Capture Filter；捕获后设置Display Filter。

3.2 PING命令的网络包捕获分析

PING命令是基于ICMP协议而工作的，发送4个包，正常返回4个包。以主机210.31.40.41为例，主要实验步骤为：

（1）设置“捕获过滤”：在Capture Filter中填写host 210.31.38.94；

（2）开始抓包；

（3）在DOS下执行PING命令；

（4）停止抓包。

（5）设置“显示过滤”: IP.Addr=210.31.38.94

（6）选择某数据包，重点分析其协议部分，特别是协议首部内容，点开所有带+号的内容。（7）针对重要内容截屏，并解析协议字段中的内容，一并写入WORD文档中。

分析：从这个数据包的分析结果来看我们可以得知：

数据包的到达时间为2013年11月28日14：43：15

帧的序号为20411

帧的长度为74bytes（592bits），同时抓取的长度也是74bytes，说明没有丢失数据

目的MAC地址为00：25：11:：4b：7a：6e

源MAC地址为00：25：11：4b：7d：6e

使用的协议为Ipv4

网络层的首部长度为20bytes

目的Ip地址为222.31.38.94

源Ip地址为222.31.38.93

数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为128

头部校验和为0x01正确

ICMP的校验和为0x01序列号为2304 数据有32bytes

3.3 TRACERT命令数据捕获

观察路由跳步过程。分别自行选择校内外2个目标主机。比如，

（1）校内：tracert 210.31.32.8

（2）校外：tracert

分析：从这个数据包的分析结果来看我们可以得知：

使用的协议为Ipv4

网络层的首部长度为20bytes

目的Ip地址为222.31.32.8

分析：从这个数据包的分析结果来看我们可以得知：

目的Ip地址为220.181.112.143

源Ip地址为21031.38.1

数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为1

3.4 端口扫描数据捕获与分析

（1）各组自行下载和安装某个端口扫描工具，比如NMAP、SUPERSCAN、SCANPORT、SSPORT、TCPVIEW。

（2）扫描对方的主机，获得开放的端口号。捕获其所有相关信息和协议内容。

显示过滤举例：

tcp.port=135

Portmap.prot

（3）关闭某一开放的端口，重新扫描，观察捕获效果。

(2)

扫描对方主机获得的端口号

串口135相关内容及协议

(3)

关闭串口3000

关闭串口3000之后串口139的相关内容及协议

3.5 FTP 协议包捕获与分析

重点捕获其3个关键过程： （1）FTP 服务器的登录

捕获USER 和PWD 的内容，分析FTP 、TCP 、IP 协议的首部信息。FTP 服务器的端口号为21，用于控制连接。

分析：从这个数据包的分析结果来看我们可以得知：

数据包的到达时间为2013年11月11日20：20：38

帧的序号为8764

帧的长度为121bytes（968bits），同时抓取的长度也是968bytes，说明没有丢失数据使用的的协议有Ip tcp ftp

目的MAC地址为e0：69：95：85：19：c3

源MAC地址为e0：69：95：85：19：a6

网络层的首部长度为20bytes

目的Ip地址为210.31.32.5

源Ip地址为222.31.142.23

数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为127

头部校验和为0x9b55正确

本机所用的端口为9392 目的主机所用的端口为21

Tcp首部长度为32bytes

Tcp校验和为0x9a71 校验失败

账号密码为空

（2）FTP文件的下载过程

要求分别下载不同大小的文件，如小于1M、大于5M的文件，观察FTP、TCP和IP协议中的数据分片过程。

下载1M的文件：

分析：从这个数据包的分析结果来看我们可以得知：

数据包的到达时间为2013年11月11日20：25：09

帧的序号为7552

帧的长度为66bytes（528bits），同时抓取的长度也是528bytes，说明没有丢失数据使用的的协议有ip tcp ftp

目的MAC地址为e0：69：95：85：19：c3

源MAC地址为e0：69：95：85：19：a6

网络层的首部长度为20bytes

目的Ip地址为210.31.32.5

源Ip地址为222.31.142.23

数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为127

头部校验和为0x3bab

本机所用的端口为15646 目的主机所用的端口为21

Tcp首部长度为32bytes

Tcp校验和为0x9ac1

下载大于5M的文件：