1.0 【实验目的】
了解Wireshark、TCP协议的概念,掌握Wireshark抓包工具的使用、FTP的搭建和登录,学会对Wireshark抓包结果的分析。
2.0【知识点】
Wireshark
3.0【实验原理】
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
网络封包分析软件的功能可想像成“电工技师使用电表来量测电流、电压、电阻”的工作,只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
Wireshark不是入侵侦测系统(IntrusionDetectionSystem,IDS)。对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出流通的封包资讯。Wireshark本身也不会送出封包至网络上。
TCP(TransmissionControlProtocol传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC793定义。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,用户数据报协议(UDP)是同一层内另一个重要的传输协议。在因特网协议族(Internetprotocolsuite)中,TCP层是位于IP层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接,但是IP层不提供这样的流机制,而是提供不可靠的包交换。
应用层向TCP层发送用于网间传输的、用8位字节表示的数据流,然后TCP把数据流分区成适当长度的报文段(通常受该计算机连接的网络的数据链路层的最大传输单元(MTU)的限制)。之后TCP把结果包传给IP层,由它来通过网络将包传送给接收端实体的TCP层。TCP为了保证不发生丢包,就给每个包一个序号,同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功收到的包发回一个相应的确认(ACK);如果发送端实体在合理的往返时延(RTT)内未收到确认,那么对应的数据包就被假设为已丢失将会被进行重传。TCP用一个校验和函数来检验数据是否有错误;在发送和接收时都要计算和校验。
首先,TCP建立连接之后,通信双方都同时可以进行数据的传输,其次,它是全双工的;
在保证可靠性上,采用超时重传和捎带确认机制。
在流量控制上,采用滑动窗口协议,协议中规定,对于窗口内未经确认的分组需要重传。
在拥塞控制上,采用广受好评的TCP拥塞控制算法(也称AIMD算法),该算法主要包括三个主要部分:1,加性增、乘性减;2,慢启动;3,对超时事件做出反应。
不管怎样,TCP/IP是一个协议集。为应用提供一些“低级”功能,这些包括IP、TCP、UDP。最重要的“商业”TCP/IP服务有:FTP文件传送(FileTransfer)、RLogin远程登录(Remotelogin)、SMTPPOP3电子邮件(Mail)、NFS网络文件系统(NetworkFileSystem)、远程打印(RemotePrinting)、远程执行(RemoteExecution)、名字服务器(NameServers)、终端服务器(TerminalServers)。TCP协议通过三个报文段完成连接的建立,这个过程称为三次握手(three-wayhandshake)。
4.0【软件工具】
操作系统:2台Windows7-64
工具:Wireshark
5.0【实验拓扑】
6.0【实验目标】
使用Wireshark抓取数据流量,抓取Ping命令的网络流量,抓取FTP服务的网络流量。
7.0【实验步骤】
7.1 步骤1:使用Wireshark抓取数据
流量登录操作机,打开目录【D:\网络攻防技术\1.Wireshark工具的使用】,解压【Wireshark抓包实验.zip】到当前文件夹,双击按默认安装Wireshark,然后启动Wireshark。
配置Wireshark,【Capture】→【Interfaces】选择相应的网卡进行数据包检测,选择本地网卡,点击【Start】。
出现相应的数据报文。包括数据的源地址、目的地址、协议类型等信息,因为局域网中只有两台电脑设备,所以流量并不会太多。
7.2 步骤2:抓取Ping命令的网络流量操作机
打开命令行,输入ping10.143.0.77-t(目标机IP地址为10.143.0.77)过一会后按Ctrl+C停止Ping命令。此时Wireshark中出现了ICMP报文:可以看到地址10.143.0.103和10.143.0.77相互发包。