典型网络协议的深入认识与分析.docVIP

典型网络协议的深入认识与分析 1、实验目的 深入认识网络协议实体间进行交互以及报文交换的情况, 熟悉并掌握的基本操作 2、实验环境 Windows 9x/NT/2000/XP/2003； 与因特网连接的计算机网络系统； Wireshark 3、实验内容 学习Wireshark的使用 利用Wireshark分析HTTP协议 Wireshark分析协议Wireshark分析协议Wireshark分析a) 利用Wireshark分析协议 Wireshark分析协议Wireshark分析协议4、实验方式 每位同学上机实验，并与指导教师讨论。 5、参考内容 要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。顾名思义，一个分组嗅探器俘获（嗅探）计算机发送和接收的报文。一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。图1为一个分组嗅探器的结构。 图 分组嗅探器的结构 图1右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：web浏览器和ftp客户端）。分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。分组俘获库（packet capture library）接收计算机发送和接收的每一个链路层帧的拷贝。高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。图1假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。 分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。为此，分析器必须能够理解协议所交换的所有报文的结构。例如：我们要显示图1中HTTP协议所交换的报文的各个字段。分组分析器理解以太网帧格式，能够识别包含在帧中的IP数据报。分组分析器也要理解IP数据报的格式，并能从IP数据报中提取出TCP报文段。然后，它需要理解TCP报文段，并能够从中提取出HTTP消息。最后，它需要理解HTTP消息。 Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组分析器。Wireshark是免费的，可以从/download.html得到,Wireshark的User’s Guide可以从/docs/ 获得。运行Wireshark程序时，其图形用户界面如图2所示。最初，各窗口中并无数据显示。在用户选择接口，点击开始抓包按钮之后，Wireshark的用户界面会变成如图3所示。 图2 Wireshark初始用户界面 图3 Wireshark的用户界面 此时Wireshark的用户界面主要有5部分组成，如图3所示 命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。最常用菜单命令有两个：File、Capture。File菜单允许你保存俘获的分组数据或打开一个已被保存的俘获分组数据文件或退出Wireshark程序。Capture菜单允许你开始俘获分组。 俘获分组列表（listing of captured packets）：按行显示已被俘获的分组内容，其中包括：Wireshark赋予的分组序号、俘获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名，可以使分组按指定列进行排序。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。 分组头部明细（details of selected packet header）：显示俘获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关的信息。单击以太网帧或IP数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。另外，如果利用TCP或UDP承载分组，Wireshark也会显示TCP或UDP协议头部信息。最后，分组最高层协议的头部字段也会显示在此窗口中。 分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被俘获帧的完整内容。 显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。 （一）Wireshark的使用 启动主机上的web浏览器。 启动Wireshark。你会看到如图2所示的窗口，只是窗口中没有任何分组列表。 开始分组俘获：选择“capture”下拉菜单中的“Capture Options”命令，会出现如图3所示的“W