实验报告项目名称：网络协议分析工具的使用课程名称：计算机网络B班级：姓名：学号：教师：信息工程学院测控系一、实验目的基于网络协议分析工具Wireshark（原为Ethereal），通过多种网络应用的实际操作，学习和掌握不同网络协议数据包的分析方法，提高TCP/IP协议的分析能力和应用技能。

二、实验前的准备● 二人一组，分组实验；● 熟悉Ping、Tracert等命令，学习FTP、HTTP、SMTP和POP3协议；● 安装软件工具Wireshark，并了解其功能、工作原理和使用方法；● 安装任一种端口扫描工具；● 阅读本实验的阅读文献；三、实验内容、要求和步骤3.1 学习Wireshark工具的基本操作学习捕获选项的设置和使用，如考虑源主机和目的主机，正确设置Capture Filter；捕获后设置Display Filter。

3.2 PING命令的网络包捕获分析PING命令是基于ICMP协议而工作的，发送4个包，正常返回4个包。

以主机210.31.40.41为例，主要实验步骤为：（1）设置“捕获过滤”：在Capture Filter中填写host 210.31.38.94；（2）开始抓包；（3）在DOS下执行PING命令；（4）停止抓包。

（5）设置“显示过滤”: IP.Addr=210.31.38.94（6）选择某数据包，重点分析其协议部分，特别是协议首部内容，点开所有带+号的内容。

（7）针对重要内容截屏，并解析协议字段中的内容，一并写入WORD文档中。

分析：从这个数据包的分析结果来看我们可以得知：数据包的到达时间为2013年11月28日14：43：15帧的序号为20411帧的长度为74bytes（592bits），同时抓取的长度也是74bytes，说明没有丢失数据目的MAC地址为00：25：11:：4b：7a：6e源MAC地址为00：25：11：4b：7d：6e使用的协议为Ipv4网络层的首部长度为20bytes目的Ip地址为222.31.38.94源Ip地址为222.31.38.93数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为128头部校验和为0x01正确ICMP的校验和为0x01序列号为2304 数据有32bytes3.3 TRACERT命令数据捕获观察路由跳步过程。

分别自行选择校内外2个目标主机。

比如，（1）校内：tracert 210.31.32.8（2）校外：tracert 分析：从这个数据包的分析结果来看我们可以得知：使用的协议为Ipv4网络层的首部长度为20bytes目的Ip地址为222.31.32.8分析：从这个数据包的分析结果来看我们可以得知：目的Ip地址为220.181.112.143源Ip地址为21031.38.1数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为13.4 端口扫描数据捕获与分析（1）各组自行下载和安装某个端口扫描工具，比如NMAP、SUPERSCAN、SCANPORT、SSPORT、TCPVIEW。

（2）扫描对方的主机，获得开放的端口号。

捕获其所有相关信息和协议内容。

显示过滤举例：tcp.port=135Portmap.prot（3）关闭某一开放的端口，重新扫描，观察捕获效果。

(2)扫描对方主机获得的端口号串口135相关内容及协议(3)关闭串口3000关闭串口3000之后串口139的相关内容及协议3.5 FTP 协议包捕获与分析重点捕获其3个关键过程： （1）FTP 服务器的登录捕获USER 和PWD 的内容，分析FTP 、TCP 、IP 协议的首部信息。

FTP 服务器的端口号为21，用于控制连接。

分析：从这个数据包的分析结果来看我们可以得知：数据包的到达时间为2013年11月11日20：20：38帧的序号为8764帧的长度为121bytes（968bits），同时抓取的长度也是968bytes，说明没有丢失数据使用的的协议有Ip tcp ftp目的MAC地址为e0：69：95：85：19：c3源MAC地址为e0：69：95：85：19：a6网络层的首部长度为20bytes目的Ip地址为210.31.32.5源Ip地址为222.31.142.23数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为127头部校验和为0x9b55正确本机所用的端口为9392 目的主机所用的端口为21Tcp首部长度为32bytesTcp校验和为0x9a71 校验失败账号密码为空（2）FTP文件的下载过程要求分别下载不同大小的文件，如小于1M、大于5M的文件，观察FTP、TCP和IP协议中的数据分片过程。

下载1M的文件：分析：从这个数据包的分析结果来看我们可以得知：数据包的到达时间为2013年11月11日20：25：09帧的序号为7552帧的长度为66bytes（528bits），同时抓取的长度也是528bytes，说明没有丢失数据使用的的协议有ip tcp ftp目的MAC地址为e0：69：95：85：19：c3源MAC地址为e0：69：95：85：19：a6网络层的首部长度为20bytes目的Ip地址为210.31.32.5源Ip地址为222.31.142.23数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为127头部校验和为0x3bab本机所用的端口为15646 目的主机所用的端口为21Tcp首部长度为32bytesTcp校验和为0x9ac1下载大于5M的文件：分析：从这个数据包的分析结果来看我们可以得知：数据包的到达时间为2013年11月18日21：57：39帧的序号为6437帧的长度为66bytes（528bits），同时抓取的长度也是528bytes，说明没有丢失数据使用的的协议有ip tcp ftp目的MAC地址为08：81：f4：9e：47：f0源MAC地址为5c：ff：35：00：cc：03ip首部长度为20bytes目的Ip地址为210.31.32.5源Ip地址为222.31.143.77数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为127头部校验和为0x536e目的主机所用的端口为2110M分析：从这个数据包的分析结果来看我们可以得知：数据包的到达时间为2013年11月28日22：02：55帧的序号为9571帧的长度为66bytes（528bits），同时抓取的长度也是528bytes，说明没有丢失数据使用的的协议有ip tcp ftp目的MAC地址为08：81：f4：9e：47：f0源MAC地址为5c：ff：35：00：cc：03ip首部长度为20bytes目的Ip地址为210.31.32.5源Ip地址为222.31.143.77数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为128头部校验和为0x3b49目的主机所用的端口为21（3）FTP服务的退出过程分析：从这个数据包的分析结果来看我们可以得知：数据包的到达时间为2013年11月11日20：36：08帧的序号为8457帧的长度为66bytes（528bits），同时抓取的长度也是528bytes，说明没有丢失数据使用的的协议有ip tcp ftpip首部长度为20bytes目的Ip地址为210.31.32.5源Ip地址为222.31.142.23数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为128头部校验和为0xff45目的主机所用的端口为21Tcp首部长度为32bytesTcp校验和为0xf4313.6 HTTP协议包的捕获与分析登录到国内外的一些门户网站上，将主页浏览过程捕获下来，分析其HTTP、TCP、UDP、IP协议的内容。

注意TCP协议中的端口号。

登录百度，记录下主页浏览过程分析HTTP TCP IP协议内容分析：从这个数据包的分析结果来看我们可以得知：数据包的到达时间为2013年11月28日22：24：17帧的序号为6525帧的长度为66bytes（528bits），同时抓取的长度也是528bytes，说明没有丢失数据使用的的协议有ip tcp ftp目的MAC地址为5c：ff：35：00：cc：03源MAC地址为08：81：f4：9e：47：f0ip首部长度为20bytes目的Ip地址为220.181.32.5源Ip地址为222.31.143.77数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为128目的主机所用的端口为21Tcp首部长度为32bytesTcp校验和为0xbba83.7 EMAIL协议包的捕获与分析登录到校内外的邮件系统，捕获自己的登录信息，重点分析其SMTP、POP3协议的内容。

注意其端口号分别是25和110。

分析：从这个数据包的分析结果来看我们可以得知：数据包的到达时间为2013年11月29日12：35：52帧的序号为3791帧的长度为66bytes（528bits），同时抓取的长度也是528bytes，说明没有丢失数据使用的的协议有Ip http tcp http的端口为80目的MAC地址为08：81：f4：9e：47：f0源MAC地址为5c：ff：35：00：cc：03网络层的首部长度为20bytes目的Ip地址为210.31.32.79源Ip地址为10.10.28.167数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为128头部校验和为0xc753Tcp校验和为0x96bb目的主机所用的端口为803.8 保存捕获的数据，分别是TEXT文件和XML文件。

附在计算机.十、思考题1.在FTP服务中，FTP数据长度为什么是1460字节？答：最大传输单元是1460字节是TCP层的报文段(segment)的长度限制。

2.如何捕获FTP服务的结束数据包？答：登陆FTP，打开Wireshark进行抓包，关闭FTP，Wireshark就可以抓到FTP结束数据包3.在端口扫描中，对应的协议有TCP和UDP。

应该如何查找某端口对应的服务类型？答：打开命令提示符，输入netstat -n命令4.不指定IP地址时，为什么有的邻近主机捕获不到？答：数据包的收发是要根据ip进行寻找的，不指定ip地址，包就不能顺利地到达目的地。

5.PING命令操作时，为什么会捕获ARP协议的数据包？答：因为ping命令要根据ip地址找到对应的MAC，而arp协议是地址解析协议可以将ip 翻译为对应的MAC，从而找到对应的主机，可以看出ping命令使用到了arp协议，会包含arp协议数据包。