实验1：网络协议分析工具Wireshark的使用最新完整版

大连理工大学本科实验报告课程名称： 网络综合实验 学院（系）： 软件学院 专 业：年 月 日 ,大连理工大学实验

大连理工大学

本科实验报告

课程名称： 网络综合实验 学院（系）： 软件学院 专 业：

年 月 日

大连理工大学实验报告

学院（系）： 专业： 班级： 姓 名： 学号： 组： ___ 实验时间： 实验室： 实验台： 指导教师签字： 成绩：

实验一：网络协议分析工具Wireshark 的使用

一、实验目的

学习使用网络协议分析工具Wireshark 的方法，并用它来分析一些协议。

二、实验原理和内容

1、tcp/ip协议族中网络层传输层应用层相关重要协议原理

2、网络协议分析工具Wireshark 的工作原理和基本使用规则

三、实验环境以及设备

Pc 机、双绞线

四、实验步骤（操作方法及思考题）

1. 用Wireshark 观察ARP 协议以及ping 命令的工作过程：

（1）用“ipconfig ”命令获得本机的MAC 地址和缺省路由器的IP 地址；

（2）用“arp ”命令清空本机的缓存；

（3）运行Wireshark ，开始捕获所有属于ARP 协议或ICMP 协议的，并且源或目的MAC 地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC 地址）;

（4）执行命令：“ping 缺省路由器的IP 地址” ；

写出（1），（2）中所执行的完整命令（包含命令行参数），（3）中需要设置的Wireshark 的Capture Filter 过滤规则，以及解释用Wireshark 所观察到的执行

（4）时网络上出现的现象。

(1) ipconfig –all

(2) arp –d

(3) ether host 00-11-5B-28-69-B0 and (arp or icmp)

(4)

因为实验开始时清空了本机ARP 缓存，所以在ping 默认网关的IP 时，首先主机广播一个ARP 查询报文，默认网关回复一个ARP 响应报文；ping 程序执行时，源向目的发送一个ICMP 的Echo 请求，目的方向源回复一个Echo 响应，如此反复执行四次，所以捕获到8个ICMP 报文。

2. 用Wireshark 观察tracert 命令的工作过程：

（1） 运行Wireshark , 开始捕获tracert 命令中用到的消息；

（2） 执行“tracert -d www.dlut.edu.cn”

根据Wireshark 所观察到的现象思考并解释tracert 的工作原理。

3. 用Wireshark 观察TCP 连接的建立过程和终止过程：

（1）启动Wireshark , 配置过滤规则为捕获所有源或目的是本机的Telnet 协议中的包（提示：Telnet 使用的传输层协议是TCP ，它使用TCP 端口号23）；

（2）在Windows 命令行窗口中执行命令 “telnet bbs.dlut.edu.cn”，登录后再退出。

请在实验报告中：

a. 写出步骤（1）中需要设置的Wireshark 的Capture Filter过滤规则； ether host 00-11-5B-28-69-B0 and (tcp port 23)

b. 根据Wireshark 所观察到的现象解释TCP 三次握手的连接建立过程；

首先客户端向服务器发送TCP 报文，SYN 置为1；

然后服务器向客户端发送TCP 报文，表示收到建立连接的请求，同意建立连接，SYN 置1；

最后，客户端向服务器发送消息，表示收到服务器的消息，连接已经建立。

c. 根据Wireshark 所观察到的现象解释TCP 的连接终止过程；

首先提出断开连接的一方向对方发送FIN 为1的TCP 报文，对方

d. 根据Wireshark 所观察到的现象说出是哪一方首先发起连接关闭； 是BBS 服务器端先发起连接关闭的

4. 用Wireshark 观察使用DNS 来进行域名解析的过程：

（1）在Windows 命令窗口中执行命令“nslookup ↙”，进入该命令的交互模式；

（2）启动Wireshark , 配置过滤规则为捕获所有源或目的是本机的DNS 协议中的包（提示：DNS 使用的传输层协议是UDP ，它使用UDP 端口号53）；

（3）在提示符“>”下直接键入域名www.dlut.edu.cn ，解析它所对应的IP 地址；

（4）在提示符“>”下键入命令“set type=mx”，设置查询类型为MX 记录;

（5）在提示符“>”下键入域名“tom.com ”, 解析它所对应的MX 记录；

（6）在提示符“>”下键入命令“set type=a”，恢复查询类型为A 记录;

（7）在提示符“>”下键入MX 记录的查询结果，从而查出“tom.com ”邮件服务器的IP 地址；

（8）在提示符“>”下键入“exit ”，退出nslookup 的交互模式。

请在实验报告中回答：

a. 写出步骤（2）中需要设置的Wireshark 的Capture Filter过滤规则； ether host 00-11-5B-28-69-B0 and (udp port 53)

b. 根据Wireshark 所观察到的现象解释解析域名“www.dlut.edu.cn ”所对应IP 地址的过程。

在查询之前，主机首先取得自己本地DNS 服务器的IP 地址和域名。

查询时，他像自己的本地DNS 服务器发送一个DNS 查询报文，查询“www.dlut.edu.cn ”对应的查询类型为A 记录，默认查询类型就是A ，本地DNS 服务器向它回复一个响应报文，将“www.dlut.edu.cn ”对应的IP 地址202.118.66.6传给主机。

c. 根据Wireshark 所观察到的现象解释解析域名“tom.com ”所对应MX 记录的过程。

查询时，他像自己的本地DNS 服务器发送一个DNS 查询报文，查询“tom.com ”对应的查询类型为MX 记录，本地DNS 服务器向它回复一个响应报文，将tom.com 的邮箱服务器域名返回给主机。

第7、8条记录是在查询tom.com 的邮件服务器IP 地址是产生的。

d. “tom.com ”域有几个邮件服务器？它们的IP 地址分别是什么？

1个邮件服务器

IP 地址为：202.108.252.141

五、讨论、建议、质疑