wireshark软件使用和一次抓包实验

2024年5月27日发(作者：)

wireshark

软件使用和一次抓包实验

一、实验题目

wireshark软件的使用和一次抓包。

二、实验目的

1. 认识抓包工具wireshark；

2. 了解wireshark的特性。

3. 掌握wireshark的初步应用——对一次邮箱登陆的抓包。

三、实验原理

Wireshark简介

a) 什么是wireshark？

Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络

包， 并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用

来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电

量的电度表一样。

b) Wireshark的特性？

1. 支持UNIX和Windows平台

2.

3.

4.

5.

在接口实时捕捉包

能详细显示包的详细协议信息

可以打开/保存捕捉的包

可以导入导出其他捕捉程序支持的包数据格式

6. 可以通过多种方式过滤包

7. 多种方式查找包

8. 通过过滤以多种色彩显示包

9. 创建多种统计分析

POP3工作原理：

1) 客户端使用TCP协议连接邮件服务器的110端口；

2) 客户端使用USER命令将邮箱的账号传给POP3服务器；

3) 客户端使用PASS命令将邮箱的账号传给POP3服务器；

4) 完成用户认证后，客户端使用STAT命令请求服务器返回邮箱的统计资料；

5) 客户端使用LIST命令列出服务器里邮件数量；

6) 客户端使用RETR命令接收邮件，接收一封后便使用DELE命令将邮件服务器中的

邮件置为删除状态；

7) 客户端发送QUIT命令，邮件服务器将将置为删除标志的邮件删除，连接结束。

四、实验环境

1. 学校网络工程机房

2. Widows xp操作系统

3. Wireshark v1.13 英文版

五、实验内容

通过运行wireshark 软件，熟悉软件的界面和各大功能。然后使用wireshark实现一次

对发送邮件过程的监测，并进行报文分析，进一步掌握一般抓包工具的简单应用。

六、实验步骤

1 . 点击可执行程序，安装软件。

2. 运行软件，打开初始界面。

3 . 点击[capture]——[interfaces] ，打开捕捉接口对话框，浏览可用的本地网络接口

选择需要进行捕捉的接口启动捕捉。

LAN

WAN

192.168.1.91

219.139.10.164

4 . 点击[Start]，打开主窗口界面。

和大多数图形界面程序一样，Wireshark主窗口由如下部分组成：

1) 菜单用于开始操作。

2) 主工具栏提供快速访问菜单中经常用到的项目的功能。

3) Fiter toolbar/过滤工具栏提供处理当前显示过滤得方法

4) Packet List面板显示打开文件的每个包的摘要。点击面板中的单独条目，包的其他

情况将会显示在另外两个面板中。

5) Packet detail面板显示您在Packet list面板中选择的包德更多详情。

6) Packet bytes面板显示您在Packet list面板选择的包的数据，以及在Packet details

面板高亮显示的字段。

7) 状态栏显示当前程序状态以及捕捉数据的更多详情。

Packet list/包列表面板显示所有当前捕捉的包

列表中的每行显示捕捉文件的一个包。如果您选择其中一行，该包得更多情况会显

示在"Packet Detail/包详情"，"Packet Byte/包字节"面板

在分析(解剖)包时，Wireshark会将协议信息放到各个列。因为高层协议通常会覆盖

底层协议，您通常在包列表面板看到的都是每个包的最高层协议描述。

默认的列如下

No. 包的编号，编号不会发生改变，即使进行了过滤也同样如此

Time 包的时间戳。包时间戳的格式可以自行设置，

Source 显示包的源地址。

Destination 显示包的目标地址。

Protocal 显示包的协议类型的简写

Info 包内容的附加信息

5 . 连接Internet，输入用户名zhangtaolmq和密码******登陆到自己的邮箱（这里使用

163邮箱）。在[filter]后面的文本框中输入 == 219.139.10.164，过滤出源地址为

本机网络地址的报文。

6 . 点击cmd，在dos下输入命令ping ,得到163邮箱服务器的ip为

220.181.12.101.

7 . 在[filter]后面的文本框中输入== 220.181.12.101.，过滤出目标地址为邮箱服务

器ip的报文。

8 . 从Packet list中观察到从本机(client)到邮箱(server)的报文情况。

Source Destination protocol info

219.139.10.164 220.181.12.101 TCP

prismiq—plugin>pop3 [SYN] seq=0 win=65535 len=0 mss=1440

219.139.10.164 220.181.12.101 TCP

prismiq—plugin>pop3 [Ack] seq=1 ACK=1 win=65535 len=0

219.139.10.164 220.181.12.101 pop C:USER zhangtaolmq

219.139.10.164 220.181.12.101 pop C:PASS *******

219.139.10.164 220.181.12.101 pop C:STAT

219.139.10.164 220.181.12.101 pop C:LIST

219.139.10.164 220.181.12.101 pop C:RETR1

9. 点击[capture]—[restart],重新启动程序，再测试一遍。

10. 实验结束后，点击[file]—[quit]，在弹出的保存对话框里，点击[save]保存实验数据，

然后关闭程序。

七、实验结果分析

TCP的三次握手：发送端发送一个SYN=1，ACK=0标志的数据包给接收端，请求进行连接，

这是第一次握手；接收端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1标志的

数据包给发送端，告诉它，可以通讯了，并且让发送端发送一个确认数据包，这是第二次握

手；最后，发送端发送一个SYN=0，ACK=1的数据包给接收端，告诉它连接已被确认，这就

是第三次握手。之后，一个TCP连接建立，开始通讯。

客户端使用USER命令将邮箱的账号传给POP3服务器；客户端使用PASS命令将邮箱的

账号传给POP3服务器；完成用户认证后，客户端使用STAT命令请求服务器返回邮箱的统计

资料；客户端使用LIST命令列出服务器里邮件数量；客户端使用RETR命令接收邮件，接收

一封后便使用DELE命令将邮件服务器中的邮件置为删除状态；客户端发送QUIT命令，邮

件服务器将将置为删除标志的邮件删除，连接结束。

八、实验总结

通过上机实验，对winshark 的反复操作，基本上熟悉winshark的界面和属性，也深刻

地认识到了这一抓包软件的优良特性，它为研究各种协议的传输原理提供良好的手段。

本实验过程中实现了一次简单的抓包测试，抓包的结果分析与教材上的内容基本吻合，

加深了我对书本知识的理解，使那些生硬的理论鲜活地展现到了我的眼前。

通过本次实验以及实验报告的完成，使我明白了理论联系实际的重要性：一切从实际出

发，理论指导实践，在实践中检验真理发展真理。