学习wireshark使用汇编.docx
- 文档编号:28613649
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:11
- 大小:865.95KB
学习wireshark使用汇编.docx
《学习wireshark使用汇编.docx》由会员分享,可在线阅读,更多相关《学习wireshark使用汇编.docx(11页珍藏版)》请在冰豆网上搜索。
学习wireshark使用汇编
计算机网络实验报告
实验名称:
学习wireshark使用
一.实验目的
1、学习Wireshark的使用.分析OICQ、DNS、HTTP协议;
二.实验环境
1.实验设备:
软件:
windows10,Wireshark;
硬件:
PC1台
2.网络拓扑结构图如下:
三.实验内容及步骤、实验的详细记录、实验结果分析(写出每个命令执行时,所显示的内容,实验中遇到的问题和思考。
)
1、基础配置操作:
使用C>ipconfig/displaydns显示DNS客户解析缓存内容
使用C>ipconfig/flushdns清空DNS缓存
2、学习使用wireshark,打开界面:
首先,我们打开wireshark,这里我们以Wireshark1.10.2版本作为我们使用的软件。
首先点击左上角的
按钮,得到如下图所示的对话框:
这里我们以Ethernet为接口进行捕获,在将它勾选之后我们点击
按钮进行一些设置,在这里,我们设置捕捉时长为1分钟如下图:
设置完毕后点击Start按钮开始捕捉:
3、OICQ协议分析:
接着我们在
框中输入OICQ查看OICQ协议的报文,点击序号为317的数据包,在这里我们对这个数据包进行分析。
点开
左边的加号,显示如下:
从图中我们可以看到,这一条报文的用户账号为615312798,真是一个美丽帅气的账号。
该数据包的目的地是FujianSt(锐捷交换机),目标地址是00:
1a:
a9:
c4:
7a:
78,这是一个以太网的广播地址,所有发送到这个地址的数据都会被广播到当前网段中的所有设备;这个数据包中以太网头的源地址00:
e0:
4c:
68:
04:
d6就是我们的MAC地址。
可以看到IP的版本号为4;IP头的长度是20字节;首部和载荷的总长度是67字节(0x001a),00在前,1a在后,说明进行网络传输的时候是先传输高位再传输低位,即高字节数据在低地址,低字节数据在高地址;并且TTL(存活时间)域的值是128;还可以看出一台IP地址为172.20.40.167的设备将一个ICMP请求发向了地址为220.249.245.152的设备,这个原始的捕获文件是在源主机172.20.40.167上被创建的。
可以看出源端口是pxc-roid(4004);目标端口是irdmi(8000),这在国内主要是QQ使用的端口号(irdmi表示为QQ聊天软件);数据包字节长度为47字节;检验和显示为验证禁用,不能验证。
鼠标右键点击FollowUDPstream,查看传输数据,看到:
这说明QQ聊天内容是加密传送的,需要知道加密算法才能破解。
4、DNS协议分析
首先,在命令行键入nslookup,出现以下界面:
其中本地域名服务器名称未知(UnKnown),本地域名服务器地址为10.8.8.8,的真实域名为,XX的IP地址为112.80.248.74和112.80.248.73。
同IOCQ协议分析过程,我们使用wireshark抓包,对得到的数据包进行分析:
对这四帧分析,发现它首先通过反向查询获得本地DNS服务器的域名,再通过正向查询获得了查询域名对应的真实域名与IP地址。
接下来同OICQ分析步骤,我们对DNS协议的报文格式进行分析,在这里,我们选择NO.297报文进行说明,它是由172.21.182.170发送给本地DNS服务器10.8.8.8的反向查询获得的报文,用于获得本地DNS服务器的名字:
从这里我们可以看到该报文帧数为297,4是IP规格版本,报文标头长度为20bytes,封包总长为67,存活时间128,识别码28002。
而第二帧报文是它的响应帧,在这以帧中我们得到的信息有:
存活时间为3hours
第三帧是客户端发给本地DNS服务器的DNS请求报文,用于请求的IP地址:
第四帧是本地DNS服务器发给客户端的响应报文,包含了的真正域名和IP地址:
笔记:
1.DNS解析过程:
(1)当客户机提出查询请求时,首先在本地计算机的缓存中查找,如果在本地无法查询信息,则将查询请求发给DNS服务器
(2)首先客户机将域名查询请求发送到本地DNS服务器,当本地DNS服务器接到查询后,首先在该服务器管理的区域的记录中查找,如果找到该记录,则进行此记录进行解析,如果没有区域信息可以满足查询要求,服务器在本地缓存中查找
(3)如果本地服务器不能在本地找到客户机查询的信息,将客户机请求发送到根域名DNS服务器
(4)根域名服务器负责解析客户机请求的根域名部分,它将包含下一级域名信息的DNS服务器地址地址返回给客户机的DNS服务器地址
(5)客户机的DNS服务器利用根域名服务器解析的地址访问下一级DNS服务器,得到再下一级域名的DNS服务器地址
(6)按照上述递归方法逐级接近查询目标,最后在有目标域名的DNS服务器上找到相应IP地址信息
(7)客户机的本地DNS服务器将递归查询结构返回客户机
(8)客户机利用从本地DNS服务器查询得到的IP访问目标主机,就完成了一个解析过程
(9)同时客户机本地DNS服务器更新其缓存表,客户机也更新期缓存表,方便以后查询
2.DNS报文协议结构;
该报文是由12字节的首部和4个长度可变的字节组成
标识字段:
占用两个字节,由客户程序设置,并由服务器返回结果标志字段:
该字段占两个字节长,被细分成8个字段:
QR:
1bits字段,0表示查询报文,1表示响应报文Opcode:
4bits字段,通常值为0(标准查询),其他值为1(反向查询)和2(服务器状态请求)AA:
1bits标志表示授权回答(authoritiveanswer),该名字服务器是授权于该领域的TC:
1bits字段,表示可截(truncated),使用UDP时,它表示当应答的总长度超过512字节时,只返回前512个字节
RD:
1bits字段,表示期望递归,该比特能在一个查询中设置,并在一个响应中返回,这个标志告诉名字服务器必须处理这个查询,也称为一个递归查询,如果该位为0,且被请求的名字服务器没有一个授权回答,它就返回一个能解答该查询的其他名字服务器列表,这称为迭代查询(期望递归)
RA:
1bits字段,表示可用递归,如果名字服务器支持递归查询,则在响应中将该bit置为1(可用递归)zero:
必须为0
rcode:
是一个4bit的返回码字段,通常值为0(没有差错)和3(名字差错),名字差错只有从一个授权名字服务器上返回,它表示在查询中指定的域名不存在
随后的4个bit字段说明最后4个变长字段中包含的条目数,对于查询报文,问题数通常是1,其他三项为0,类似的,对于应答报文,回答数至少是1,剩余两项可以使0或非05.DNS查询报文中每个查询问题的格式
四.思考题回答
2.14DNS协议,回答思考题
(1)是否可以通过Wireshark捕获的DNS分组分析出该DNS记录是否是缓存记录?
一般用户接入运营商网络,都是从运营商本地前端缓存DNS获取域名IP,也就是说,用户得到的都是缓存记录。
(2)一个DNS查询的答复中是否会包含几个应答记录?
如果是,对同一查询多执行几次,看看每次应答记录的顺序是否相同,试分析为什么?
是的,一个DNS查询的答复中会包含几个应答纪录;顺序不相同。
2.16FTP协议,回答思下面思考题
(1)FTP中为什么要区分控制连接和数据连接,若只用一条连接有何局限。
控制连接用于与用户之间连接的建立,数据连接用于与用户之间数据的传输.如果只是一个连接的话,那就是复用一个端口,端口之间通信需要传输协议才能建立连接,端口的复用等于说在一个端口上同时使用2种协议以上。
如果是多种协议,不但会影响传输速度,数据出错的概率也变大了。
(2)使用FlashFXP连接服务器时,在日志窗口中可以看到有一些没用的信信命令,查阅相关资料,看看这些命令如何使用。
五.实验总结
通过本次试验,学会了wireshark的使用,学会了如何撷取网络封包,并尝试对抓取的包进行分析。
在实验过程中,也进一步了解了OICQ协议得报文内容,通过观察分析其中的每一项,使自己更加了解了每一步的细节,巩固了自己的理解。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 学习 wireshark 使用 汇编