实验一：Wireshark工具的使用

1.0 【实验目的】

了解Wireshark、TCP协议的概念，掌握Wireshark抓包工具的使用、FTP的搭建和登录，学会对Wireshark抓包结果的分析。

2.0【知识点】

Wireshark

3.0【实验原理】

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

网络封包分析软件的功能可想像成“电工技师使用电表来量测电流、电压、电阻”的工作，只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。

Wireshark不是入侵侦测系统（IntrusionDetectionSystem，IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出流通的封包资讯。Wireshark本身也不会送出封包至网络上。

TCP（TransmissionControlProtocol传输控制协议）是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF的RFC793定义。在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能，用户数据报协议（UDP）是同一层内另一个重要的传输协议。在因特网协议族（Internetprotocolsuite）中，TCP层是位于IP层之上，应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP层不提供这样的流机制，而是提供不可靠的包交换。

应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，然后TCP把数据流分区成适当长度的报文段（通常受该计算机连接的网络的数据链路层的最大传输单元（MTU）的限制）。之后TCP把结果包传给IP层，由它来通过网络将包传送给接收端实体的TCP层。TCP为了保证不发生丢包，就给每个包一个序号，同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功收到的包发回一个相应的确认（ACK）；如果发送端实体在合理的往返时延（RTT）内未收到确认，那么对应的数据包就被假设为已丢失将会被进行重传。TCP用一个校验和函数来检验数据是否有错误；在发送和接收时都要计算和校验。

首先，TCP建立连接之后，通信双方都同时可以进行数据的传输，其次，它是全双工的；

在保证可靠性上，采用超时重传和捎带确认机制。

在流量控制上，采用滑动窗口协议，协议中规定，对于窗口内未经确认的分组需要重传。

在拥塞控制上，采用广受好评的TCP拥塞控制算法（也称AIMD算法），该算法主要包括三个主要部分：1，加性增、乘性减；2，慢启动；3，对超时事件做出反应。

不管怎样，TCP/IP是一个协议集。为应用提供一些“低级”功能，这些包括IP、TCP、UDP。最重要的“商业”TCP/IP服务有：FTP文件传送（FileTransfer)、RLogin远程登录（Remotelogin)、SMTPPOP3电子邮件（Mail)、NFS网络文件系统（NetworkFileSystem)、远程打印（RemotePrinting)、远程执行（RemoteExecution)、名字服务器（NameServers）、终端服务器（TerminalServers)。TCP协议通过三个报文段完成连接的建立，这个过程称为三次握手（three-wayhandshake）。

4.0【软件工具】

操作系统：2台Windows7-64

工具：Wireshark

5.0【实验拓扑】

6.0【实验目标】

使用Wireshark抓取数据流量，抓取Ping命令的网络流量，抓取FTP服务的网络流量。

7.0【实验步骤】

7.1 步骤1:使用Wireshark抓取数据

流量登录操作机，打开目录【D:\网络攻防技术\1.Wireshark工具的使用】，解压【Wireshark抓包实验.zip】到当前文件夹，双击按默认安装Wireshark，然后启动Wireshark。

配置Wireshark，【Capture】→【Interfaces】选择相应的网卡进行数据包检测，选择本地网卡，点击【Start】。

出现相应的数据报文。包括数据的源地址、目的地址、协议类型等信息，因为局域网中只有两台电脑设备，所以流量并不会太多。

7.2 步骤2：抓取Ping命令的网络流量操作机

打开命令行，输入ping10.143.0.77-t（目标机IP地址为10.143.0.77）过一会后按Ctrl+C停止Ping命令。此时Wireshark中出现了ICMP报文：可以看到地址10.143.0.103和10.143.0.77相互发包。

7.3步骤3：抓取FTP服务的网络流量

登录目标机，搭建目标机本地FTP服务器。

在目标机的实验工具目录【D:\网络攻防技术\1.Wireshark工具的使用】下，找到并运行【FTPserver.exe】。然后填写用户名：test，密码：123456，启动服务。设置FTP软件如下图所示，然后点击【启动】按钮，启动ftp服务器。

回到操作机，通过命令行或者资源管理器登录FTP服务器。

在Wireshark中可以看到FTP协议及客户端和服务器端的交互过程，以及详细显示数据报文的构成，下图为F7TP协议及客户端和服务器端的交互过程。