学习wireshark使用汇编.docx

学习wireshark使用汇编.docx

《学习wireshark使用汇编.docx》由会员分享，可在线阅读，更多相关《学习wireshark使用汇编.docx（11页珍藏版）》请在冰点文库上搜索。

学习wireshark使用汇编

计算机网络实验报告

实验名称：

学习wireshark使用

一.实验目的

1、学习Wireshark的使用.分析OICQ、DNS、HTTP协议；

二.实验环境

1．实验设备：

软件：

windows10，Wireshark；

硬件：

PC1台

2．网络拓扑结构图如下：

三.实验内容及步骤、实验的详细记录、实验结果分析（写出每个命令执行时，所显示的内容，实验中遇到的问题和思考。

）

1、基础配置操作：

使用C>ipconfig/displaydns显示DNS客户解析缓存内容

使用C>ipconfig/flushdns清空DNS缓存

2、学习使用wireshark，打开界面：

首先，我们打开wireshark，这里我们以Wireshark1.10.2版本作为我们使用的软件。

首先点击左上角的

按钮，得到如下图所示的对话框：

这里我们以Ethernet为接口进行捕获，在将它勾选之后我们点击

按钮进行一些设置，在这里，我们设置捕捉时长为1分钟如下图：

设置完毕后点击Start按钮开始捕捉：

3、OICQ协议分析：

接着我们在

框中输入OICQ查看OICQ协议的报文，点击序号为317的数据包，在这里我们对这个数据包进行分析。

点开

左边的加号，显示如下：

从图中我们可以看到，这一条报文的用户账号为615312798，真是一个美丽帅气的账号。

该数据包的目的地是FujianSt（锐捷交换机），目标地址是00:

1a:

a9:

c4:

7a:

78，这是一个以太网的广播地址，所有发送到这个地址的数据都会被广播到当前网段中的所有设备；这个数据包中以太网头的源地址00:

e0:

4c:

68:

04:

d6就是我们的MAC地址。

可以看到IP的版本号为4；IP头的长度是20字节；首部和载荷的总长度是67字节（0x001a），00在前，1a在后，说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址，低字节数据在高地址；并且TTL（存活时间）域的值是128；还可以看出一台IP地址为172.20.40.167的设备将一个ICMP请求发向了地址为220.249.245.152的设备，这个原始的捕获文件是在源主机172.20.40.167上被创建的。

可以看出源端口是pxc-roid（4004）；目标端口是irdmi（8000），这在国内主要是QQ使用的端口号（irdmi表示为QQ聊天软件）；数据包字节长度为47字节；检验和显示为验证禁用，不能验证。

鼠标右键点击FollowUDPstream，查看传输数据，看到：

这说明QQ聊天内容是加密传送的，需要知道加密算法才能破解。

4、DNS协议分析

首先，在命令行键入nslookup，出现以下界面：

其中本地域名服务器名称未知（UnKnown），本地域名服务器地址为10.8.8.8，的真实域名为，XX的IP地址为112.80.248.74和112.80.248.73。

同IOCQ协议分析过程，我们使用wireshark抓包，对得到的数据包进行分析：

对这四帧分析，发现它首先通过反向查询获得本地DNS服务器的域名，再通过正向查询获得了查询域名对应的真实域名与IP地址。

接下来同OICQ分析步骤，我们对DNS协议的报文格式进行分析，在这里，我们选择NO.297报文进行说明，它是由172.21.182.170发送给本地DNS服务器10.8.8.8的反向查询获得的报文，用于获得本地DNS服务器的名字：

从这里我们可以看到该报文帧数为297，4是IP规格版本，报文标头长度为20bytes，封包总长为67，存活时间128，识别码28002。

而第二帧报文是它的响应帧，在这以帧中我们得到的信息有：

存活时间为3hours

第三帧是客户端发给本地DNS服务器的DNS请求报文，用于请求的IP地址：

第四帧是本地DNS服务器发给客户端的响应报文，包含了的真正域名和IP地址：

笔记：

1.DNS解析过程：

（1）当客户机提出查询请求时，首先在本地计算机的缓存中查找，如果在本地无法查询信息，则将查询请求发给DNS服务器

（2）首先客户机将域名查询请求发送到本地DNS服务器，当本地DNS服务器接到查询后，首先在该服务器管理的区域的记录中查找，如果找到该记录，则进行此记录进行解析，如果没有区域信息可以满足查询要求，服务器在本地缓存中查找

（3）如果本地服务器不能在本地找到客户机查询的信息，将客户机请求发送到根域名DNS服务器

（4）根域名服务器负责解析客户机请求的根域名部分，它将包含下一级域名信息的DNS服务器地址地址返回给客户机的DNS服务器地址

（5）客户机的DNS服务器利用根域名服务器解析的地址访问下一级DNS服务器，得到再下一级域名的DNS服务器地址

（6）按照上述递归方法逐级接近查询目标，最后在有目标域名的DNS服务器上找到相应IP地址信息

（7）客户机的本地DNS服务器将递归查询结构返回客户机

（8）客户机利用从本地DNS服务器查询得到的IP访问目标主机，就完成了一个解析过程

（9）同时客户机本地DNS服务器更新其缓存表，客户机也更新期缓存表，方便以后查询

2.DNS报文协议结构;

该报文是由12字节的首部和4个长度可变的字节组成

标识字段：

占用两个字节，由客户程序设置，并由服务器返回结果标志字段：

该字段占两个字节长，被细分成8个字段：

QR：

1bits字段，0表示查询报文，1表示响应报文Opcode：

4bits字段，通常值为0（标准查询），其他值为1（反向查询）和2（服务器状态请求）AA：

1bits标志表示授权回答（authoritiveanswer）,该名字服务器是授权于该领域的TC：

1bits字段，表示可截（truncated），使用UDP时，它表示当应答的总长度超过512字节时，只返回前512个字节

RD：

1bits字段，表示期望递归，该比特能在一个查询中设置，并在一个响应中返回，这个标志告诉名字服务器必须处理这个查询，也称为一个递归查询，如果该位为0，且被请求的名字服务器没有一个授权回答，它就返回一个能解答该查询的其他名字服务器列表，这称为迭代查询（期望递归）

RA：

1bits字段，表示可用递归，如果名字服务器支持递归查询，则在响应中将该bit置为1（可用递归）zero：

必须为0

rcode：

是一个4bit的返回码字段，通常值为0（没有差错）和3（名字差错），名字差错只有从一个授权名字服务器上返回，它表示在查询中指定的域名不存在

随后的4个bit字段说明最后4个变长字段中包含的条目数，对于查询报文，问题数通常是1，其他三项为0，类似的，对于应答报文，回答数至少是1，剩余两项可以使0或非05.DNS查询报文中每个查询问题的格式

四．思考题回答

2.14DNS协议，回答思考题

（1）是否可以通过Wireshark捕获的DNS分组分析出该DNS记录是否是缓存记录？

一般用户接入运营商网络，都是从运营商本地前端缓存DNS获取域名IP，也就是说，用户得到的都是缓存记录。

（2）一个DNS查询的答复中是否会包含几个应答记录？

如果是，对同一查询多执行几次，看看每次应答记录的顺序是否相同，试分析为什么？

是的，一个DNS查询的答复中会包含几个应答纪录；顺序不相同。

2.16FTP协议，回答思下面思考题

（1）FTP中为什么要区分控制连接和数据连接，若只用一条连接有何局限。

控制连接用于与用户之间连接的建立,数据连接用于与用户之间数据的传输.如果只是一个连接的话，那就是复用一个端口，端口之间通信需要传输协议才能建立连接，端口的复用等于说在一个端口上同时使用2种协议以上。

如果是多种协议，不但会影响传输速度，数据出错的概率也变大了。

（2）使用FlashFXP连接服务器时，在日志窗口中可以看到有一些没用的信信命令，查阅相关资料，看看这些命令如何使用。

五．实验总结

通过本次试验，学会了wireshark的使用，学会了如何撷取网络封包，并尝试对抓取的包进行分析。

在实验过程中，也进一步了解了OICQ协议得报文内容，通过观察分析其中的每一项，使自己更加了解了每一步的细节，巩固了自己的理解。