目 錄實驗目的 . .......................................................................................

目 錄

實驗目的 . .................................................................................................................... 2

1) 熟練地使用Wireshark 軟件 ................................................................... 2 2） 運用軟件分析網(wǎng)絡協(xié)議 . ........................................................................... 2 實驗任務 . .................................................................................................................... 2

1) 軟件要求 ..................................................................................................... 2

2） 網(wǎng)絡協(xié)議分析要求 .................................................................................... 2 軟件介紹 . .................................................................................................................... 2

1） wireshark 軟件的發(fā)展史： . .................................................................... 2

2） wireshark 的功能及相關知識 . ................................................................ 2

3） wireshark 所不能提供的功能 . ................................................................ 3 4） wireshark 軟件運行的主界面 . ................................................................ 3 實驗環(huán)境 . .................................................................................................................... 4

1） 軟件要求....................................................................................................... 4

2） 硬件要求....................................................................................................... 4 實驗內容和過程 . ...................................................................................................... 4

1） DNS 基本知識及原理 ................................................................................... 4

◆DNS 解析過程............................................................................................. 4

2） 域服務器報文 .............................................................................................. 5

◆不變部分含有6個定長域，各域分別占2個字節(jié)： ............................. 6

◆變化部分含有4個部分： ......................................................................... 6

3） 分析過程....................................................................................................... 7

（一）進入命令提示符中，查看當前的一些信息。 ................................. 7

（二）通過一個ping 實例，來獲得域名解析數(shù)據(jù)包。............................ 8

（三）數(shù)據(jù)包列表分析 ................................................................................. 9

（四）運用第一個數(shù)據(jù)包（詢問）的協(xié)議樹分析解析過程： ............... 10

（五）運用第二個數(shù)據(jù)包（響應）的協(xié)議樹分析解析過程： ............... 13 總結 ............................................................................................................................ 17

基于wireshark 軟件的分析報告

實驗目的

1) 熟練地使用Wireshark 軟件

Wireshark 是一個有名的網(wǎng)絡端口探測器，是可以在Windows 、Unix 等各種平臺運行的網(wǎng)絡監(jiān)聽軟件，它主要是針對TCP/IP協(xié)議的不安全性對運行該協(xié)議的機器進行監(jiān)聽。其功能是在一個共享的網(wǎng)絡環(huán)境下對數(shù)據(jù)包進行捕捉和分析。

2） 運用軟件分析網(wǎng)絡協(xié)議

本實驗的主要的目的就是對用Wireshark 捕獲的數(shù)據(jù)包進行分析，尤其是針對網(wǎng)絡協(xié)議（DNS ）的分析。深入了解其基本原理，學會結合實際的數(shù)據(jù)來分析其原理。

實驗任務

1) 軟件要求

熟悉Wireshark 軟件的一些基本功能，包括Wireshark 的用戶界面如何使用，如何捕捉包，如何查看包，如何過濾包等。

2）網(wǎng)絡協(xié)議分析要求

對捕獲的數(shù)據(jù)包進行分析，主要是針對網(wǎng)絡協(xié)議（DNS ）的結合實例的分析。 軟件介紹

1）wireshark 軟件的發(fā)展史：

1997年以后，Gerald Combs 需要一個工具追蹤網(wǎng)絡問題并想學習網(wǎng)絡知識。所以他開始開發(fā)Ethereal (Wireshark項目以前的名稱) 以解決以上的兩個需要。Ethereal 是第一版，經過數(shù)次開發(fā)，停頓，1998年，經過這么長的時間，補丁，Bug 報告，以及許多的鼓勵，0.2.0版誕生了。此后不久，Gilbert Ramirez發(fā)現(xiàn)它的潛力，并為其提供了底層分析

1998年10月，Guy Harris 正尋找一種比TcpView 更好的工具，他開始為Ethereal 進行改進，并提供分析。

1998年以后，正在進行TCP/IP教學的Richard Sharpe 關注了它在這些課程中的作用。并開始研究該軟件是否他所需要的協(xié)議。如果不行，新協(xié)議支持應該很方便被添加。所以他開始從事Ethereal 的分析及改進。從那以后，幫助Ethereal 的人越來越多，他們的開始幾乎都是由于一些尚不被Ethereal 支持的協(xié)議。所以他們拷貝了已有的解析器，并為團隊提供了改進回饋。 2006年項目Moved House重新命名為：Wireshark 。

2）wireshark 的功能及相關知識

Wireshark 是一個有名的網(wǎng)絡端口探測器，是可以在Windows 、Unix 等各種

平臺運行的網(wǎng)絡監(jiān)聽軟件，它主要是針對TCP/IP協(xié)議的不安全性對運行該協(xié)議的機器進行監(jiān)聽。Wireshark 是網(wǎng)絡包分析工具。網(wǎng)絡包分析工具的主要作用是嘗試捕獲網(wǎng)絡包， 并嘗試顯示包的盡可能詳細的情況。你可以把網(wǎng)絡包分析工具當成是一種用來測量有什么東西從網(wǎng)線上進出的測量工具，就好像使電工用來測量進入電信的電量的電度表一樣。其功能相當于Windows 下的Sniffer ，都是在一個共享的網(wǎng)絡環(huán)境下對數(shù)據(jù)包進行捕捉和分析，而且還能夠自由地為其增加某些插件以實現(xiàn)額外功能。

Wireshark 是開源軟件項目，發(fā)布遵循GNU General Public Licence (GPL協(xié)議), 所有源代碼可以在GPL 框架下免費使用。這也就意味著，為了適合自己的需要，你可以自己對wireshark 進行修改。

3）wireshark 所不能提供的功能

另外，值得注意的是，wireshark 不能提供以下的功能：

①Wireshark 不是入侵檢測系統(tǒng)。如果別人在您的網(wǎng)絡做了一些他不被允許的奇怪的事情，Wireshark 不會警告您。但是如果發(fā)生了奇怪的事情，Wireshark 可能對察看發(fā)生了什么會有所幫助

②Wireshark 不會處理網(wǎng)絡事務，它僅僅是“測量”(監(jiān)視) 網(wǎng)絡。Wireshark 不會發(fā)送網(wǎng)絡包或做其它交互性的事情（名稱解析除外，但您也可以禁止解析）.

4）wireshark 軟件運行的主界面

圖1為軟件運行后的主窗口界面，大多數(shù)打開捕捉包以后的界面都是這樣子

圖1 wireshark運行的主界面

◆主界面介紹

Wireshark 和其它的圖形化嗅探器使用基本類似的界面，整個窗口被分成三個部分：

ⅰ. 最上面為數(shù)據(jù)包列表，用來顯示截獲的每個數(shù)據(jù)包的總結性信息； ⅱ. 中間為協(xié)議樹，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；

ⅲ. 最下邊是以十六進制形式表示的數(shù)據(jù)包內容，用來顯示數(shù)據(jù)包在物理層上傳輸時的最終形式。

實驗環(huán)境

1）軟件要求

該實驗在Microsoft Windows XP 操作系統(tǒng)下完成，使用的軟件是wireshark-win32-1.4.2版本；

2）硬件要求

奔騰Ⅱ300以上的電腦配置，10M 以上的網(wǎng)卡。

實驗內容和過程

1）DNS 基本知識及原理

DNS(Domain Name System) 就是域名服務系統(tǒng)，它的作用就是域名到IP 地址的轉換過程。IP 地址是網(wǎng)路上標識您站點的數(shù)字地址，為了簡單好記，采用域名來代替ip 地址標識站點地址。任何域名都至少有一個DNS ，一般是2個（主DNS ，輔DNS ）。因為兩個DNS 可以輪回處理，第一個解析失敗可以找第二個。這樣只要有一個DNS 解析正常，就不會影響域名的正常使用。

◆DNS 解析過程

第一步：客戶機提出域名解析請求, 并將該請求發(fā)送給本地的域名服務器。

第二步：當本地的域名服務器收到請求后, 就先查詢本地的緩存, 如果有該紀錄項, 則本地的域名服務器就直接把查詢的結果返回。

第三步：如果本地的緩存中沒有該紀錄, 則本地域名服務器就直接把請求發(fā)給根域名服務器, 然后根域名服務器再返回給本地域名服務器一個所查詢域(根的子域) 的主域名服務器的地址。

第四步：本地服務器再向上一步返回的域名服務器發(fā)送請求, 然后接受請求的服務器查詢自己的緩存, 如果沒有該紀錄, 則返回相關的下級的域名服務器的地址。 第五步：重復第四步, 直到找到正確的紀錄。

第六步：本地域名服務器把返回的結果保存到緩存, 以備下一次使用, 同時還將結果返回給客戶機。

下面是解析過程的流程圖：

圖2 解析過程流程圖

這里值得注意的是，ISP （當?shù)鼐W(wǎng)絡接入商）的DNS 緩存是有時間限制的，一般是1個小時。前后2次間隔1個小時的話，它就去域名的DNS 上重新取得數(shù)據(jù)。這里說的是最前面一次和當前的比較。也就是說如果時間差距較大，就重新去域名的DNS 服務器上找。所以刷新就變的很有必要，否則緩存了一次以后，域名記錄改了以后，ISP 就永遠不去找新的記錄了。

2） 域服務器報文

用戶使用應用程序時，首先給出欲通信的對方主機的域名。應用程序在真正開始通信之前，首先必須解析出對方的IP 地址，這是一個域名解析過程。它將域名交給本地解析器軟件，該軟件首先在本地緩沖區(qū)中查找相應的綁定；如果查找不到，本地解析器構造一個詢問報文，發(fā)往本地服務器，服務器根據(jù)響應情況回答一個響應報文。一旦解析器從本地緩沖區(qū)或服務器響應中獲得信宿機IP 地址，交給應用程序，應用程序便可以開始真正的通信過程。 域服務器報文的格式如表1：

表1 域名服務器報文格式

請求報文與響應報文的格式相同，總的來說，一個域名服務器的報文分為兩大部分：不變部分（圖二中前三行）與可變部分（圖二中后四行）；變與不變是相對于長度而言的。

◆不變部分含有6個定長域，各域分別占2個字節(jié)：

① 標識（Identification ）：用戶用來識別其詢問對應到哪個相應信息的碼。 ② 參數(shù)（Parameter ）：指出所請求的操作類型及一個響應碼。

③ 問題數(shù)（Question ）：在問題區(qū)內，問題信息的數(shù)目。

④ 答案數(shù)（Answer ）：在答案區(qū)內，答案的數(shù)目，答案是指域名服務器對用

戶提出的詢問解析后所響應的信息。

⑤ 管理機構數(shù)（Authority ）：管轄區(qū)內管轄信息的數(shù)目，管轄數(shù)目表示針對

此詢問有響應的域名服務器的數(shù)目。

⑥ 附加信息數(shù)（Additional Information）：表示在附加區(qū)域內額外的信息數(shù)目。

◆變化部分含有4個部分：

（一）問題部分（Question Section）：由一組詢問組成，各表目格式如表2：

該部分由用戶填寫。

（二）其余三部分為答案部分（Answer Section ）、管理機構部分（Authority

Section ）、以及附加信息部分（Additional Information Section）均由一組資源記錄（Resource Record）組成。如表3所示：

其中，資源域名（Resource Domain Name）指出本資源記錄所涉及的域名，其長度是任意的；

① 類型域（Type ）指出資源記錄中所含數(shù)據(jù)類型；

② 類域（Class ）指出數(shù)據(jù)類；

③ 生存時間域（TTL ）包含一個整數(shù)，指出本資源記錄可被緩沖區(qū)保存的時間（以秒計）。

TTL 是IP 協(xié)議包中的一個值，它告訴網(wǎng)絡路由器包在網(wǎng)絡中的時間是否太長而應被丟棄。TTL 的初值通常是系統(tǒng)缺省值，是包頭中的8位的域。TTL 的最初設想是確定一個時間范圍，超過此時間就把包丟棄。當記數(shù)到0時，路由器決定丟棄該包，并發(fā)送一個ICMP 報文給最初的發(fā)送者。默認情況下，Linux 系統(tǒng)的TTL 值為64或255，Windows NT/2000/XP系統(tǒng)的TTL 值為128，Windows 98系統(tǒng)的TTL 值為32，UNIX 主機的TTL 值為255。一般情況下Windows 系列的系統(tǒng)返回的TTL 值在100-130之間，而UNIX/Linux系列的系統(tǒng)返回的TTL 值在240-255之間。

（三）域名系統(tǒng)資源記錄類型：

① A (Address) 記錄是用來指定主機名（或域名）對應的IP 地址記錄。用戶可以將 該域名下的網(wǎng)站服務器指向到自己的web server上。同時也可以設置您域名的二級域名。

②MX （郵件路由記錄），用戶可以將該域名下的郵件服務器指向到自己的mail server 上，然后即可自行操控所有的郵箱設置。您只需在線填寫您服務器的IP 地址，即可將您域名下的郵件全部轉到您自己設定相應的郵件服務器上。

③CNAME （別名記錄）。這種記錄允許您將多個名字映射到同一臺計算機。 通常用于同時提供WWW 和MAIL 服務的計算機。

④NS 即名字服務器，域的授權服務器名。

3）分析過程

（一）進入命令提示符中，查看當前的一些信息。

如下所示：

Microsoft Windows XP [版本 5.1.2600]

(C) 版權所有 1985-2001 Microsoft Corp.

C:Documents and Settings?ministrator>ipconfig/all

Windows IP Configuration

Host Name . . . . . . . . . . . . : 939739AAEB584A0

Primary Dns Suffix . . . . . . . :

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter 無線網(wǎng)絡連接:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Atheros AR5007EG Wireless Network Ad

apter

Physical Address. . . . . . . . . : 00-17-C4-44-76-DF

Dhcp Enabled. . . . . . . . . . . : Yes

Autoconfiguration Enabled . . . . : Yes

IP Address. . . . . . . . . . . . : 192.168.1.107

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.1.1

DHCP Server . . . . . . . . . . . : 192.168.1.1

DNS Servers . . . . . . . . . . . : 218.2.135.1

61.147.37.1

Lease Obtained. . . . . . . . . . : 2010年11月28日 星期日 15:45:41

Lease Expires . . . . . . . . . . : 2010年11月28日 星期日 17:45:41

Ethernet adapter 本地連接:

Media State . . . . . . . . . . . : Media disconnected

Description . . . . . . . . . . . : Realtek RTL8102E/RTL8103E Family PCI

-E Fast Ethernet NIC

Physical Address. . . . . . . . . : 00-21-70-88-82-61

從無線網(wǎng)絡連接中可以發(fā)現(xiàn)，當前主機的物理地址MAC 為

00-17-C4-44-76-DF ，IP 地址為192.168.1.107，子網(wǎng)掩碼為255.255.255.0，缺省網(wǎng)關為192.168.1.1，域名服務器的IP 為218.2.135.1、61.147.37.1。

（二）通過一個ping 實例，來獲得域名解析數(shù)據(jù)包。

C:Documents and Settings?ministrator>ping www.baidu.com

Pinging www.a.shifen.com [119.75.218.45] with 32 bytes of data:

Request timed out.

Reply from 119.75.218.45: bytes=32 time=23ms TTL=55

Reply from 119.75.218.45: bytes=32 time=34ms TTL=55

Reply from 119.75.218.45: bytes=32 time=230ms TTL=55

Ping statistics for 119.75.218.45:

Packets: Sent = 4, Received = 3, Lost = 1 (25 loss),

Approximate round trip times in milli-seconds:

Minimum = 23ms, Maximum = 230ms, Average = 95ms

從中可以發(fā)現(xiàn)，域名www.baidu.com 的CNAME 為www.a.shifen.com ，其IP 地址為119.75.218.45。在此過程中，wireshark 捕獲的數(shù)據(jù)包如圖3所示：

圖3 捕獲的數(shù)據(jù)包

（三）數(shù)據(jù)包列表分析

序號為201及202的數(shù)據(jù)包列表總結性信息如下：

圖4 數(shù)據(jù)包列表信息

從中我們不難發(fā)現(xiàn)，NO201是一條詢問報文，源IP 地址為192.168.1.107，目的IP 地址61.147.37.1，即報文是從本地計算機發(fā)往本地域名服務器的。這也就是域名解析過程中的第一步：客戶機提出域名解析請求, 并將該請求發(fā)送給本地的域名服務器。接下來就是本地的域名服務器收到請求后, 查詢本地的緩存, 看是否有該紀錄項。

從NO202可以知道本地域名服務器向客戶機回復了一條報文，則可以推斷，本地域名服務器緩存中有該項紀錄，故直接把查詢的結果返回給客戶機。經查詢可知，IP 地址段：在119.75.208.0 - 119.75.223.255 之間的記錄為北京市 百度公司的，故域名www.baidu.com 首選地IP 地址為119.75.218.45。

（四）運用第一個數(shù)據(jù)包（詢問）的協(xié)議樹分析解析過程：

對于NO201數(shù)據(jù)包的協(xié)議樹所示的具體的協(xié)議屬性如下圖5所示：

圖5 NO201數(shù)據(jù)包協(xié)議樹信息

圖5中上面的是協(xié)議樹的內容，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；下邊是以十六進制形式表示的數(shù)據(jù)包內容，用來顯示數(shù)據(jù)包在物理層上傳輸時的最終形式。

① 首先看協(xié)議樹中的第一項：

圖6 協(xié)議樹第一項信息

該幀顯示了一些基本信息，包括幀到達時間，各種時間差，幀及捕獲的包長，幀中所含有的協(xié)議（Ethernet 、ip 、udp 、dns 協(xié)議）等信息；

② 協(xié)議樹的第二項為：

圖7 協(xié)議樹第二項信息