实验1:网络协议分析工具Wireshark的使用
大连理工大学本科实验报告课程名称: 网络综合实验 学院(系): 软件学院 专 业: 班 级: 学 号: 学生姓名:2011年 6月 22日
大连理工大学
本科实验报告
课程名称: 网络综合实验 学院(系): 软件学院 专 业: 班 级: 学 号: 学生姓名:
2011年 6月 22日
,大连理工大学实验报告
学院(系): 软件学院 专业: 软件工程 班级: 0908班 姓 名: 黄亮 学号: 200992346 组: B1 ___ 实验时间: 2011.6.22 实验室: C315 实验台: B1 指导教师签字: 成绩:
实验一:网络协议分析工具Wireshark 的使用
一、实验目的
学习使用网络协议分析工具Wireshark 的方法,并用它来分析一些协议。
二、实验原理和内容
1、tcp/ip协议族中网络层传输层应用层相关重要协议原理
2、网络协议分析工具Wireshark 的工作原理和基本使用规则
三、实验环境以及设备
Pc 机、双绞线
四、实验步骤(操作方法及思考题)
1. 用Wireshark 观察ARP 协议以及ping 命令的工作过程:(20分)
(1)用“ipconfig ”命令获得本机的MAC 地址和缺省路由器的IP 地址;
(2)用“arp ”命令清空本机的缓存;
(3)运行Wireshark ,开始捕获所有属于ARP 协议或ICMP 协议的,并且源或目的MAC 地址是本机的包(提示:在设置过滤规则时需要使用(1)中获得的本机的MAC 地址);
(4)执行命令:“ping 缺省路由器的IP 地址” ;
写出(1),(2)中所执行的完整命令(包含命令行参数),(3)中需要设置的Wireshark 的Capture Filter 过滤规则,以及解释用Wireshark 所观察到的执行
(4)时网络上出现的现象。
答:
(1) ipconfig/all 获得本机的MAC 地址和缺省路由器的IP 地址
,(2) arp –a 查看本机的arp 缓存,arp –d 清空本机缓存
(3) (arp or icmp) and (ether host f0:4d:a2:24:65:3d)
(4) 实验运行结果如下图所示,ping 发送echo request packet到目标地址,
然后等待应答(reply),当echo request 到达目标地址以后, 在一个有效的时间内(timeout之前) 返回echo reply packet给源地址. 由于 arp 缓存被清空,因此,主机首先发送arp 广播,查询目标地址(默认路由器的地址)的mac 地址,然后主机收到arp 响应包,将默认路由器的mac 和ip 地址的映射加入arp 表。之后,ping 命令连续发送四个32bytes 的echo request packet给目标地址(默认路由器),每个echo request packet对应一个echo reply packet。
2. 用Wireshark 观察tracert 命令的工作过程:(20分)
(1) 运行Wireshark , 开始捕获tracert 命令中用到的消息;
(2) 执行“tracert -d www.dlut.edu.cn”
根据Wireshark 所观察到的现象思考并解释tracert 的工作原理。
答:
实验运行结果如下图(部分截图)所示,tracert 向目的地址发送不同 IP 生存时间 (TTL) 值的“Internet 控制消息协议 (ICMP)”请求回显数据包,以此来确定到目标所采取的路由。Tracert 先发送 TTL 为 1 的回显数据包,并在随后的每次发送过程将 TTL 递增 1,直到目标响应或 TTL 达到最大值,从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。
3. 用Wireshark 观察TCP 连接的建立过程和终止过程:(30分)
(1)启动Wireshark , 配置过滤规则为捕获所有源或目的是本机的Telnet 协议中的包(提示:Telnet 使用的传输层协议是TCP ,它使用TCP 端口号23);
(2)在Windows 命令行窗口中执行命令 “telnet bbs.dlut.edu.cn”,登录后再退出。
请在实验报告中:
a. 写出步骤(1)中需要设置的Wireshark 的Capture Filter过滤规则; b. 根据Wireshark 所观察到的现象解释TCP 三次握手的连接建立过程; c. 根据Wireshark 所观察到的现象解释TCP 的连接终止过程;
d. 根据Wireshark 所观察到的现象说出是哪一方首先发起连接关闭;
答:
a. tcp port 23 and ether host 192.168.32.85
b. 实验中运行结果截图如下所示,可以看出TCP 建立连接由以下三个过程: 1)Client 给Server 发送发送TCP segment :SYN=1,ACK=0,SEQ=x(实验中x=0)。
2)Server 给Client 发送的TCP segment :SYN=1,ACK=1, SEQ = y (实验中y=0), Ack(ackonwlege number)=x 1. 3) Client给Server 发送发送TCP segment:
ACK=1, SEQ=x 1, Ack(acknowledeg number)=y 1
c. tcp连接终止过程如下,1)服务器端发送一个FIN ,用来关闭服务器到客户的数据传送。2)客户端收到这个FIN ,它发回一个ACK ,确认序号为收到的序号加1。3)客户端关闭与服务器的连接,发送一个FIN 给服务器。4)服务器发回ACK 报文确认,并将确认序号设置为收到序号加1。
d. 由图知,目的主机首先发送了FIN 比特为1的报文段,故是目的主机首先发起连接关闭。
4. 用Wireshark 观察使用DNS 来进行域名解析的过程:(30分)
(1)在Windows 命令窗口中执行命令“nslookup ↙”,进入该命令的交互模式;
(2)启动Wireshark , 配置过滤规则为捕获所有源或目的是本机的DNS 协议中的包(提示:DNS 使用的传输层协议是UDP ,它使用UDP 端口号53);
(3)在提示符“>”下直接键入域名www.dlut.edu.cn ,解析它所对应的IP 地
,址;
(4)在提示符“>”下键入命令“set type=mx”,设置查询类型为MX 记录;
(5)在提示符“>”下键入域名“tom.com ”, 解析它所对应的MX 记录;
(6)在提示符“>”下键入命令“set type=a”,恢复查询类型为A 记录;
(7)在提示符“>”下键入MX 记录的查询结果,从而查出“tom.com ”邮件服务器的IP 地址;
(8)在提示符“>”下键入“exit ”,退出nslookup 的交互模式。
请在实验报告中回答:
a. 写出步骤(2)中需要设置的Wireshark 的Capture Filter过滤规则; b. 根据Wireshark 所观察到的现象解释解析域名“www.dlut.edu.cn ”所对应IP 地址的过程。
c. 根据Wireshark 所观察到的现象解释解析域名“tom.com ”所对应MX 记录的过程。
d. “tom.com ”域有几个邮件服务器?它们的IP 地址分别是什么? 答案:
a. Capture Filter过滤规则:
过滤规则:(udp port 53)and host 192.168.32.185
b. 根据Wireshark 所观察到的现象解释解析域名“www.dlut.edu.cn ”所对应IP 地址的过程。
首先,本地主机的DNS 客户端向网络中发送了一个查询IP 地址为202.118.66.6的域名的报文,收到了DNS 回复报文,告知该域名为 cedrus.dlut.edu.cn, 该过程为逆解析。
然后,本地主机的DNS 客户端向网络中发送一个查询.OurEDA-Sever-NAT 且资源记录类型为A 的DNS 查询报文, 收到一个DNS 回答报文,告知了没有这个域名。
最后,本地主机的DNS 客户端向网络中发送了一个查询www.dlut.edu.cn 且资源记录类型为A 的DNS 查询报文,收到了一个DNS 回答报文,告知这个IP 地址为202.118.66.66。
c. 根据Wireshark 所观察到的现象解释解析域名“tom.com ”所对应MX 记录的过程。
首先,本地主机的DNS 客户端向网络中发送一个查询
,tom.com.OurEDA-Server-NAT 且资源记录类型为MX 的DNS 查询报文; 接着,收到一个DNS 回答报文,告知无这样的域名;
然后,本地主机的DNS 客户端又发送了一个查询tom.com 且资源记录类型为MX 的DNS 查询报文;
最后,收到一个DNS 回答报文,告知其规范主机名为tommx.cdn.163.net 。
d. “tom.com ”域有几个邮件服务器?它们的IP 地址分别是什么?
可知有1个邮件服务器,它们的IP 地址是:
202.108.252.141
五、讨论、建议、质疑
此次实验让我深刻的认识到了课前预习的重要性,同时也意识到自己知识储备的不足,和自学的重要性,虽然刚一开始我什么都不懂,但是随着一次次的试验,我对Wireshark 慢慢了解,通过分析捕获的包把原来很神秘的网络内部运行机制看的很清楚,很开心。要想顺利完成实验并真正学到有用的知识,课前预习是必要的环节,接下来的几堂课也要坚持这样做。