一、实验目的和要求
熟悉抓包软件wireshark的使用
正确落实每一个步骤
内容:wireshark抓包、数据包过滤、协议格式分析
原理:WinPcap 与 libpcap有几个独立的库可以在不同平台提供包捕捉以及过滤支持功能。WinPcap和libpcap工作在一个比wireshark显示过滤器更低的层面,并且使用了决然不同的机制。这就是为什么我们在使用过程中会遇到不同的显示及捕捉过滤器语法。捕获功能可以从网络适配器捕捉到包信息并且将其保存为文件存到本地磁盘。由于访问原始的网络适配器需要提升权限,这些功能就与dumpcap程序独立开来了。因此只有这些程序需要提升权限,其他的主要功能部分(解析器,用户界面等)只需要在普通权限下运行即可。wireshark可以读写抓包文件,支持的文件格式主要是pcapng and pcap,这两种格式也被很多网络抓包工具所支持,比如tcpdump。不过,wireshark能读取其他网络抓包工具所支持的大部分文件格式。wiretap库提供了通用接口用于读写所有的网络抓包工具支持的文件格式。如果我们需要支持更多的文件格式,就可以从这里入手。当wireshark从文件加载包内容的时候,这些包就被解析了。wireshark尝试检测包内容并尝试获取足够多的包信息。
三、主要仪器设备
计算机、wireshark软件
1.首先进入cmd输入pconfig指令查询双方无线局域网ip地址
2.打开wireshark进行抓包
3.进入cmd窗口通过ping指令+对方ip地址与之相ping
4.进入wireshark通过对方ip地址过滤数据包
5、wireshark协议格式分析
五、实验结果与分析
(1)wireshark抓包
(2)数据包过滤(由于别人ping我不能成功,所以我ping了10.101.115.246这个地址,然后在该计算机上过滤我的数据包截图)
(3)协议格式分析
六、讨论、心得
wireshark主要功能部分:
GUI:处理所有的用户输入输出(所有窗体,对话框等等)。源码存在于ui/qt以及ui/gtk目录。
Core:主要作为"胶水代码"而存在,它负责将其他模块整合成为一个整体。源码存在于根目录。
Epan:Ethereal Packet ANalyzer —— 包分析引擎。源码存在于epan目录。epan提供了下列api:
Protocol Tree: 负责独立包的信息剖析。
Dissectors: 存在于epan/dissectors目录下的各种协议解析器.
Dissector Plugins : 支持将解析器的具体实现作为独立模块存在。源码存在于plugins目录。
Display Filters : 显示过滤器引擎,位置为epan/dfilter。
Wiretap:wiretap库用于读写捕获的文件,读写各位可能是libpcap, pcapng或者其他类型的文件格式。源码位置为wiretap目录。
Capture:即捕获引擎接口。源码目录为根目录。
Dumpcap:即捕获引擎本身。这个部分的执行是唯一需要提升权限的。源码目录为根目录。
WinPcap 与 libpcap:有几个独立的库可以在不同平台提供包捕捉以及过滤支持功能。WinPcap和libpcap工作在一个比wireshark显示过滤器更低的层面,并且使用了决然不同的机制
心得:通过此次实验我学会了wireshark软件抓包的基础操作、ping指令、数据包的过滤等,但也存在一些问题,比如别人ping我,老是超时,ping不上,最后只有去对方那里抓包