使用网络协议分析仪Wireshark

使用网络协议分析仪Wireshark

环境

操作系统：运行Win10操作系统的PC一台 网络平台：以太网 机器的IP地址：IPv4：xxxxxxxxxxxx

实验目的

1)能够正确安装配置网络协议分析仪Wireshark 2)熟悉使用Wireshark分析网络协议的基本方法 3)加深对协议格式、协议层次和协议交互过程的理解。

实验内容及步骤

1.安装网络协议分析仪 安装wireshark版本2.6.3。双击wireshark安装程序图标，机内安装过程。根据提示进行选择确认，可以顺利安装系统。安装好后需重启系统。

2.使用Wireshark分析协议 ⑴启动系统。点击“Wireshark”图标，出现如图1所示的软件界面。

⑴启动系统。点击“Wireshark”图标，出现如图1所示的软件界面。 ⑵打开命令行，输入tracert www.baidu.com

⑶在启动界面双击以太网开始抓包，在过滤器中输入“ip.addr==119.75.216.20”开始抓包。

实验结果

1、tracert www.baidu.com

分析： ①Tracert：路由跟踪实用程序。用于确定IP数据包访问目标所采取的路径，其工作原理是通过向目标发送不同IP生存时间 (TTL) 值的“Internet控制消息协议（ICMP）”回应数据包，跟踪路由诊断程序确定到目标所采取的路由。实际应用中可以使用跟踪路由命令确定数据包在网络上的停止位置。TTL是有效的跃点计数，在必需路径的每个路由器转发数据包之前至少递减一，当TTL递减至0时，路由器将“ICMP超时”的消息发送回源地址。执行tracert命令后，源主机先发送TTL为1的回显数据包，并在随后的每次发送过程中将TTL递增一，直到目标响应或TTL达到最大值，从而确定路由。路由则通过检查中间路由器送回的“ICMP已超时”的信息来确定路由。 ②截图中输入命令后第一行显示测试包最大跳数30，防止路由回环；域名解析后ip为119.75.216.61。 ③下面15跳，通过百度这些ip地址可查到ip所在地信息，结合网上例子分析大致过程如下： 1行：请求从本机出发，是从湖北省武汉市教育网某主机出发 2-3行：本地局域网，来到了网关，即学校的总路由器 4行：湖北省武汉市教育网，根据本校的网络设置，找到了学校的外网出口，来到了湖北省教育局的路由器 5行：湖北省无百度服务器，来到了广东省教育局的路由器 6-8,9,10,11行：北京市海淀区教育网 12-15行：北京市北京市百度，最终成功找到了百度的服务器（其中14行请求超时可能是因为网络路径中间件不允许应答该类型报文，但路由通畅或是网络拥堵）； 2、wireshark抓包分析 （1）路由分析

上图为包的简要纲略，每一列分别对应帧编号，发送时间，发送源ip地址，目的地ip地址，协议，长度以及该包报告信息或内容。 从上图也能看出，从本机（222.20.100.187）向目标地址www.baidu.com（119.75.213.61）连续发送三个TTL为1的ICMP包，当到达第一个路由（222.20.101.254）时，由于TTL由1减为0，该路由便向源主机发送一超时报文，同时不再转发该包。

当本机收到第一个路由送回的超时报文后，本机将TTL增1，向目标地址连续发送三个TTL=2的ICMP包，到达第一个路由后，TTL减1变为1，并向下一路由转发该包，于是到达IP为192.168.243.1的路由，由于TTL在该路由减1为0，所以将会向主机地址发送一ICMP超时报文，同时不再转发该包。 之后TTL=3、4……13,原理同上。

由上图可看到，TTL=14时，主机地址收不到回应，与tracert执行后第14行的结果对应，返回tracert执行结果可看到“请求超时”提示。一般情况下，tracert会连续发出三个同样TTL值的包，只要收到一个包的回应便能确定路由地址。而图中结果可能是因为网络拥堵或者路由器的原因，导致三个包请求都超时。但tracert命令会继续使TTL增1，发送三个TTL=15的包。