Wireshark抓包实验

实验目的：
通过实验掌握下列知识：

1. 掌握Wireshark抓包工具的使用。
2. 掌握建立telnet用户密码登录方式，并通过wireshark抓取相关信息。
3. 理解TCP的包结构，并掌握TCP建立连接的过程。
4. 掌握使用tftp工具，上传、下载文件操作及tftp上传下载过程。

实验过程分析：

1. Wireshark抓包软件使用
   1） Wireshark抓包软件常用功能有哪些？进行抓包操作的一般步骤是怎样的？如何设置显示过滤器？
   常用功能：
2. 标记序包
   点击mark packet即可标记，取消标记则是取消标记。功能：方便找到需要的包，另外导出的时候可以选择只导出标记的包。
   2.导出指定序包
   可以选择所有包，或者当前选择的包、已经标记的包或者标记包之间的包。
   3.首选项位置：file – preference
   “打开文件”位置记忆选项，如果选择remember last directory则是打开上次位置，会经常变，不过我们一般会把抓的包放到同一个目录方便管理，这里可以选择always start in 来指定每次打开固定文件夹。
   4.界面调整
   5.抓包选项
   调整包的大小或抓包时间来保存，这个功能在局域网流量比较大的时候特别实用，因为流量大的时候，会抓到大量的包，很容易导致软件假死，以至于抓的包丢失。

步骤：

1. 打开Wireshark
2. 选择菜单栏上Capture -> Option，勾选WLAN网卡，点击Start。启动抓包。
3. wireshark启动后，wireshark处于抓包状态中。
4. 执行需要抓包的操作，如在cmd窗口下执行ping www.baidu.com。
5. 操作完成后相关数据包就抓取到了

设置显示过滤器：在分析菜单栏中选择显示过滤器

2） ICMP协议包中主要内容有哪些？ping命令携带的32字节的信息是什么？
ICMP的主要内容：它是互联网协议族的核心协议之一。它用于TCP/IP网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈，通过这些信息，使管理者可以对所发生的问题作出诊断，然后采取适当的措施解决。 在IP通信中，经常有数据包到达不了对方的情况。原因是，在通信途中的某处的一个路由器由于不能处理所有的数据包，就将数据包一个一个丢弃了。或者，虽然到达了对方，但是由于搞错了端口号，服务器软件可能不能接受它。这时，在错误发生的现场，为了联络而飞过来的信鸽就是ICMP 报文。在IP 网络上，由于数据包被丢弃等原因，为了控制将必要的信息传递给发信方。ICMP 协议是为了辅助IP 协议，交换各种各样的控制信息而被制造出来的。
ICMP的主要功能： 1.确认IP包是否成功送达目标地址。 2.通知在发送过程当中IP包被废弃的具体原因。

32 字节的信息：表示 ICMP 报文中有 32 个字节的测试数据。

2. Telnet登录抓包测试
   1）telnet协议包中主要内容有哪些？telnet的用户名和密码是怎么在包中传输的？

Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。它提供了三种基本服务：　　 　　
1）Telnet定义一个网络虚拟终端为远的系统提供一个标准接口。客户机程序不必详细了解远的系统，他们只需构造使用标准接口的程序；　　 　　
2）Telnet包括一个允许客户机和服务器协商选项的机制，而且它还提供一组标准选项；　　 　　
3）Telnet对称处理连接的两端，即Telnet不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输出。

用户名和密码的传输：首先进行 TCP 三次握手建立起连接，连接建立之后，主机和虚拟机相互交换一些信息，并且间断使用 TCP 包保持连接。主机输入一个字符就发送一个 Telnet 报文，然后远程返回一个应答，之后主机发送一个 TCP响应报文。三个一组：Telnet Telnet TCP。输入用户名并回车后，远端立即回送一个\r\npassword：要求输入密码。密码输入过程和用户名输入过程稍有不同。密码输入时一个字符产生两个包，一个是 telnet，一个是 tcp 包。用户名和密码均采用明文传输。

2）TCP协议包中主要内容有哪些？简述TCP建立连接过程（截图）
TCP协议是TCP/IP协议族中另一个重要的协议。与IP协议相比，更接近于应用层。传输层协议主要有两个：TCP协议和UDP协议相较于UDP，TCP协议的特点是：面向连接、字节流、可靠传输
过程：
1.双方首先进行，需要为连接分配必要的内核资源，管理连接状态和数据传输
2.双方读写都是通过同一个连接进行的
3.完成数据交换后，通信双方应该断开连接以释放系统资源

3. Tftp文件传输抓包测试
   1） 执行tftp命令时，传输的文件中的内容是怎样传递的。截图

2）Tftp读取端口号是多少？写入命令的端口号是多少？数据传递时的端口号又是多少？截图

4. 联网抓包测试
   1）http数据包中的主要内容有哪些？找到页面登录的用户名和密码后，截图。

5. 思考题
   1）如何捕获ARP包，ARP包的数据包括哪些主要信息？
   ARP 包是借助 ARP 请求与 ARP 响应两种类型的包确定 MAC 地址.
   ①主机会通过广播发送 ARP 请求，这个包中包含了想要知道的 MAC 地址的主机 IP 地址。
   ②当同个链路中的所有设备收到 ARP 请求时，会去拆开 ARP 请求包里的内容，如果 ARP 请求包中的目标 IP 地址与自己的 IP 地址一致，那么这个设备就将自己的 MAC 地址塞入 ARP 响应包返回给主机。
   ③操作系统通常会把第一次通过 ARP 获取的 MAC 地址缓存起来，以便下次直接从缓存中找到对应 IP 地址的 MAC 地址。不过，MAC 地址的缓存是有一定期限的，超过这个期限，缓存的内容将被清除。 ARP 包的数据的主要信息：
   硬件类型：指明了发送方想知道的硬件接口类型，以太网的值为 1
   协议类型：表示要映射的协议地址类型。它的值为 0x0800，表示 IP 地址.
   硬件地址长度和协议长度：分别指出硬件地址和协议的长度，以字节为单位。对于以太网上的请求或应答来说，它们的值分别为 6 和 4。
   操作类型：用来表示这个报文的类型，请求为 1，响应为 2，RARP 请求为3，RARP 响应为 4。
   发送方 MAC 地址：发送方设备的硬件地址
   发送方 IP 地址：发送方设备的 IP 地址
   目标 MAC 地址：接收方设备的硬件地址
   目标 IP 地址：接收方设备的 IP 地址