实验3 Wireshark查看包

实验三 使用 Wireshark 查看网络流量拓扑结构能上Internet 的机房环境，本网内可以互访，每台PC 可以访问互联网。目标第 1 部分：并安装 Wireshark第 2 部分：在 Wir

实验三 使用 Wireshark 查看网络流量

拓扑结构

能上Internet 的机房环境，本网内可以互访，每台PC 可以访问互联网。

目标

第 1 部分：并安装 Wireshark

第 2 部分：在 Wireshark 中捕获和分析本地 ICMP 数据

∙

∙ 开始和停止 ping 流量到本地主机的数据捕获。 在捕获到的 PDU 中查找 IP 和 MAC 地址信息。

第 3 部分：在 Wireshark 中捕获和分析远程 ICMP 数据

∙

∙

∙ 开始和停止 ping 流量到远程主机的数据捕获。 在捕获到的 PDU 中查找 IP 和 MAC 地址信息。 解释远程主机的 MAC 地址为什么与本地主机的 MAC 地址不同。

背景/场景

Wireshark 是一种协议分析器软件，即“数据包嗅探器”应用程序，适用于网络故障排除、分析、软件和协议开发以及教学。当数据流通过网络来回传输时，嗅探器可以“捕获”每个协议数据单元 (PDU)，并对其内容进行解码和分析。

对于任何从事网络工作的人而言，Wireshark 都是一款实用工具，可以在实践中用于数据分析和故障排除。本实验提供安装 Wireshark 的说明，即使可能已安装了 Wireshark 。在本实验中，您将使用 Wireshark 捕获 ICMP 数据包 IP 地址和以太网帧 MAC 地址。

所需资源

∙

∙ 每人一 台PC （采用 Windows7、8或 XP 且可访问 Internet） 机房其它的 PC 将用于响应 ping 请求。

第 1 部分：安装 wireshark

Wireshark 已成为网络工程师使用的数据包嗅探器程序的行业标准。此开源软件可用于许多不同的操作系统，包括 Windows、Mac 和 Linux。在本实验的第 1 部分，您将在 PC 上安装 Wireshark 软件程序。 第 1 步： 安装 Wireshark。

a. 安装文件名为 Wireshark-win32-x.x.x.exe ，其中 x 表示版本号。双击该文件，开始安装过程。对屏幕上可能会显示的所有安全消息做出响应。如果您在 PC 上已经有 Wireshark 副本，则系统会提示您在安装新版本之前卸载旧版本。建议您在安装另一个版本之前删除 Wireshark 的旧版本。

b. 如果是首次安装 Wireshark ，或者已完成卸载过程，则您将会导航至 Wireshark 设置向导。单击Next （下一步）。

第 1 页，共 19 页

实验三 使用 Wireshark 查看网络流量

c. 继续进行安装过程。“许可协议”窗口显示时，单击“我同意”。

d. 保留在“选择组件”窗口上的默认设置，并单击“下一步”。

第 2 页，共 19 页

实验三 使用 Wireshark 查看网络流量

e. 选择所需的快捷方式选项并单击“下一步”。

f. 您可以更改 Wireshark 安装位置，但除非磁盘空间有限，否则我们建议您保留默认位置。

第 3 页，共 19 页

实验三 使用 Wireshark 查看网络流量

g. 要捕获实时网络数据，您的 PC 上必须安装 WinPcap。如果 WinPcap 已安装在您的计算机上，“安装”复

选框将处于非选中状态。如果安装的 WinPcap 版本比 Wireshark 附带的版本旧，建议您单击“安装 WinPcap x.x.x（版本号）”复选框，安装更新的版本。

h. 如果安装 WinPcap，请完成 WinPcap 设置向导。

i. Wireshark 随即开始安装其文件，并在单独的窗口中显示其安装状态。完成安装后单击“下一步”。

第 4 页，共 19 页

实验三 使用 Wireshark 查看网络流量

j. 单击“完成”，完成 Wireshark 安装过程。

第 5 页，共 19 页

实验三 使用 Wireshark 查看网络流量

第 2 部分：在 Wireshark 中捕获并分析本地 ICMP 数据

在本实验的第 2 部分，您将对局域网中的另一台 PC 执行 ping 操作并在 Wireshark 中捕获 ICMP 请求和应答。您还将在捕获的帧中深入了解具体信息。该分析将帮助确定如何使用数据包报头将数据传输到目的地。 第 1 步： 检索 PC 的接口地址。

对于本实验，您将需要检索 PC 的 IP 地址及其网络接口卡 (NIC) 物理地址（也称为 MAC 地址）。

a. 打开命令窗口，键入 ipconfig /all，然后按下 Enter 键。

b. 注意 PC 接口的 IP 地址和 MAC（物理）地址(以下是实例，和每位同学试验机的地址不一样) 。

c. 向团队成员请求其 PC 的 IP 地址，并向他们提供自己 PC 的 IP 地址。请勿在此时向他们提供您的 MAC 地

址。

第 2 步： 启动 Wireshark 并开始捕获数据。

a. 在您的 PC 上，单击 Windows 的“开始”按钮，使 Wireshark 程序显示在在弹出菜单中。双击

Wireshark 。

b. 在 Wireshark 启动之后，单击“接口列表”。

第 6 页，共 19 页

实验三 使用 Wireshark 查看网络流量

注意：单击图标行中的第一个接口图标也会打开“接口列表”。

c. 在 Wireshark 的“捕获接口”窗口上，单击连接到您的 LAN 的接口旁的复选框。

注意：如果列出了多个接口，而您不确定需要检查哪个接口，请单击“详细信息”按钮，然后单击“802.3（以太网）”选项卡。检验 MAC 地址与您在步骤 1b 中的说明是否匹配。在验证接口正确无误之后关闭“接口详细信息”窗口。

d. 在检查接口正确无误后，单击“启动”开始捕获数据。

第 7 页，共 19 页

实验三 使用 Wireshark 查看网络流量

信息将在 Wireshark 的顶部开始向下滚动。数据行将根据协议以不同的颜色显示。

e. 可根据通过 PC 和 LAN 之间进行的通信快速滚动此信息。我们可以应用过滤器来更轻松地查看和处理

Wireshark 捕获的数据。在本实验中，我们只对显示 ICMP (ping) PDU 感兴趣。在 Wireshark 顶部的“过滤器”框中键入 icmp ，然后按下 Enter 键或单击“应用”按钮，可以仅查看 ICMP (ping) PDU。

f. 此过滤器会导致顶部窗口中的所有数据不显示，但是您仍在捕获接口上的流量。弹出之前打开过的命令提

示符窗口并对您从团队成员接收的 IP 地址执行 ping 操作。注意：您会看到数据显示在 Wireshark 的顶部窗口。

第 8 页，共 19 页

实验三 使用 Wireshark 查看网络流量

注意：如果您的团队成员的 PC 没有应答您的 ping 操作，则原因可能是其 PC 防火墙阻止了这些请求。 有关如何使用 Windows 7 通过防火墙允许 ICMP 流量的信息，请参阅附录 A：允许 ICMP 流量通过防火墙。

g. 通过单击“停止捕获”停止捕获数据。

第 3 步： 检查捕获的数据。

在第 3 步中，通过对团队成员的 PC 进行 ping 请求来检查生成的数据。Wireshark 数据显示为三个部分：1) 顶部显示捕获的 PDU 帧列表和 IP 数据包信息摘要，2) 中间部分列出了屏幕顶部所选帧的 PDU 信息并由其协议层隔开一个捕获的 PDU 帧，而 3) 底部显示每层的原始数据。原始数据以十六进制和十进制两种形式显示。

第 9 页，共 19 页

实验三 使用 Wireshark 查看网络流量

a. 单击 Wireshark 顶部的第一个 ICMP 请求 PDU 帧。注意：“源”列包含 PC 的 IP 地址，而“目的”列包

含您对其执行 ping 操作的团队成员 PC 的 IP 地址。

第 10 页，共 19 页