目 錄實驗?zāi)康?. .......................................................................................

目 錄

實驗?zāi)康?. .................................................................................................................... 2

1) 熟練地使用Wireshark 軟件 ................................................................... 2 2） 運用軟件分析網(wǎng)絡(luò)協(xié)議 . ........................................................................... 2 實驗任務(wù) . .................................................................................................................... 2

1) 軟件要求 ..................................................................................................... 2

2） 網(wǎng)絡(luò)協(xié)議分析要求 .................................................................................... 2 軟件介紹 . .................................................................................................................... 2

1） wireshark 軟件的發(fā)展史： . .................................................................... 2

2） wireshark 的功能及相關(guān)知識 . ................................................................ 2

3） wireshark 所不能提供的功能 . ................................................................ 3 4） wireshark 軟件運行的主界面 . ................................................................ 3 實驗環(huán)境 . .................................................................................................................... 4

1） 軟件要求....................................................................................................... 4

2） 硬件要求....................................................................................................... 4 實驗內(nèi)容和過程 . ...................................................................................................... 4

1） DNS 基本知識及原理 ................................................................................... 4

◆DNS 解析過程............................................................................................. 4

2） 域服務(wù)器報文 .............................................................................................. 5

◆不變部分含有6個定長域，各域分別占2個字節(jié)： ............................. 6

◆變化部分含有4個部分： ......................................................................... 6

3） 分析過程....................................................................................................... 7

（一）進(jìn)入命令提示符中，查看當(dāng)前的一些信息。 ................................. 7

（二）通過一個ping 實例，來獲得域名解析數(shù)據(jù)包。............................ 8

（三）數(shù)據(jù)包列表分析 ................................................................................. 9

（四）運用第一個數(shù)據(jù)包（詢問）的協(xié)議樹分析解析過程： ............... 10

（五）運用第二個數(shù)據(jù)包（響應(yīng)）的協(xié)議樹分析解析過程： ............... 13 總結(jié) ............................................................................................................................ 17

基于wireshark 軟件的分析報告

實驗?zāi)康?/p>

1) 熟練地使用Wireshark 軟件

Wireshark 是一個有名的網(wǎng)絡(luò)端口探測器，是可以在Windows 、Unix 等各種平臺運行的網(wǎng)絡(luò)監(jiān)聽軟件，它主要是針對TCP/IP協(xié)議的不安全性對運行該協(xié)議的機(jī)器進(jìn)行監(jiān)聽。其功能是在一個共享的網(wǎng)絡(luò)環(huán)境下對數(shù)據(jù)包進(jìn)行捕捉和分析。

2） 運用軟件分析網(wǎng)絡(luò)協(xié)議

本實驗的主要的目的就是對用Wireshark 捕獲的數(shù)據(jù)包進(jìn)行分析，尤其是針對網(wǎng)絡(luò)協(xié)議（DNS ）的分析。深入了解其基本原理，學(xué)會結(jié)合實際的數(shù)據(jù)來分析其原理。

實驗任務(wù)

1) 軟件要求

熟悉Wireshark 軟件的一些基本功能，包括Wireshark 的用戶界面如何使用，如何捕捉包，如何查看包，如何過濾包等。

2）網(wǎng)絡(luò)協(xié)議分析要求

對捕獲的數(shù)據(jù)包進(jìn)行分析，主要是針對網(wǎng)絡(luò)協(xié)議（DNS ）的結(jié)合實例的分析。 軟件介紹

1）wireshark 軟件的發(fā)展史：

1997年以后，Gerald Combs 需要一個工具追蹤網(wǎng)絡(luò)問題并想學(xué)習(xí)網(wǎng)絡(luò)知識。所以他開始開發(fā)Ethereal (Wireshark項目以前的名稱) 以解決以上的兩個需要。Ethereal 是第一版，經(jīng)過數(shù)次開發(fā)，停頓，1998年，經(jīng)過這么長的時間，補丁，Bug 報告，以及許多的鼓勵，0.2.0版誕生了。此后不久，Gilbert Ramirez發(fā)現(xiàn)它的潛力，并為其提供了底層分析

1998年10月，Guy Harris 正尋找一種比TcpView 更好的工具，他開始為Ethereal 進(jìn)行改進(jìn)，并提供分析。

1998年以后，正在進(jìn)行TCP/IP教學(xué)的Richard Sharpe 關(guān)注了它在這些課程中的作用。并開始研究該軟件是否他所需要的協(xié)議。如果不行，新協(xié)議支持應(yīng)該很方便被添加。所以他開始從事Ethereal 的分析及改進(jìn)。從那以后，幫助Ethereal 的人越來越多，他們的開始幾乎都是由于一些尚不被Ethereal 支持的協(xié)議。所以他們拷貝了已有的解析器，并為團(tuán)隊提供了改進(jìn)回饋。 2006年項目Moved House重新命名為：Wireshark 。

2）wireshark 的功能及相關(guān)知識

Wireshark 是一個有名的網(wǎng)絡(luò)端口探測器，是可以在Windows 、Unix 等各種

平臺運行的網(wǎng)絡(luò)監(jiān)聽軟件，它主要是針對TCP/IP協(xié)議的不安全性對運行該協(xié)議的機(jī)器進(jìn)行監(jiān)聽。Wireshark 是網(wǎng)絡(luò)包分析工具。網(wǎng)絡(luò)包分析工具的主要作用是嘗試捕獲網(wǎng)絡(luò)包， 并嘗試顯示包的盡可能詳細(xì)的情況。你可以把網(wǎng)絡(luò)包分析工具當(dāng)成是一種用來測量有什么東西從網(wǎng)線上進(jìn)出的測量工具，就好像使電工用來測量進(jìn)入電信的電量的電度表一樣。其功能相當(dāng)于Windows 下的Sniffer ，都是在一個共享的網(wǎng)絡(luò)環(huán)境下對數(shù)據(jù)包進(jìn)行捕捉和分析，而且還能夠自由地為其增加某些插件以實現(xiàn)額外功能。

Wireshark 是開源軟件項目，發(fā)布遵循GNU General Public Licence (GPL協(xié)議), 所有源代碼可以在GPL 框架下免費使用。這也就意味著，為了適合自己的需要，你可以自己對wireshark 進(jìn)行修改。

3）wireshark 所不能提供的功能

另外，值得注意的是，wireshark 不能提供以下的功能：

①Wireshark 不是入侵檢測系統(tǒng)。如果別人在您的網(wǎng)絡(luò)做了一些他不被允許的奇怪的事情，Wireshark 不會警告您。但是如果發(fā)生了奇怪的事情，Wireshark 可能對察看發(fā)生了什么會有所幫助

②Wireshark 不會處理網(wǎng)絡(luò)事務(wù)，它僅僅是“測量”(監(jiān)視) 網(wǎng)絡(luò)。Wireshark 不會發(fā)送網(wǎng)絡(luò)包或做其它交互性的事情（名稱解析除外，但您也可以禁止解析）.

4）wireshark 軟件運行的主界面

圖1為軟件運行后的主窗口界面，大多數(shù)打開捕捉包以后的界面都是這樣子

圖1 wireshark運行的主界面

◆主界面介紹

Wireshark 和其它的圖形化嗅探器使用基本類似的界面，整個窗口被分成三個部分：

ⅰ. 最上面為數(shù)據(jù)包列表，用來顯示截獲的每個數(shù)據(jù)包的總結(jié)性信息； ⅱ. 中間為協(xié)議樹，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；

ⅲ. 最下邊是以十六進(jìn)制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時的最終形式。

實驗環(huán)境

1）軟件要求

該實驗在Microsoft Windows XP 操作系統(tǒng)下完成，使用的軟件是wireshark-win32-1.4.2版本；

2）硬件要求

奔騰Ⅱ300以上的電腦配置，10M 以上的網(wǎng)卡。

實驗內(nèi)容和過程

1）DNS 基本知識及原理

DNS(Domain Name System) 就是域名服務(wù)系統(tǒng)，它的作用就是域名到IP 地址的轉(zhuǎn)換過程。IP 地址是網(wǎng)路上標(biāo)識您站點的數(shù)字地址，為了簡單好記，采用域名來代替ip 地址標(biāo)識站點地址。任何域名都至少有一個DNS ，一般是2個（主DNS ，輔DNS ）。因為兩個DNS 可以輪回處理，第一個解析失敗可以找第二個。這樣只要有一個DNS 解析正常，就不會影響域名的正常使用。

◆DNS 解析過程

第一步：客戶機(jī)提出域名解析請求, 并將該請求發(fā)送給本地的域名服務(wù)器。

第二步：當(dāng)本地的域名服務(wù)器收到請求后, 就先查詢本地的緩存, 如果有該紀(jì)錄項, 則本地的域名服務(wù)器就直接把查詢的結(jié)果返回。

第三步：如果本地的緩存中沒有該紀(jì)錄, 則本地域名服務(wù)器就直接把請求發(fā)給根域名服務(wù)器, 然后根域名服務(wù)器再返回給本地域名服務(wù)器一個所查詢域(根的子域) 的主域名服務(wù)器的地址。

第四步：本地服務(wù)器再向上一步返回的域名服務(wù)器發(fā)送請求, 然后接受請求的服務(wù)器查詢自己的緩存, 如果沒有該紀(jì)錄, 則返回相關(guān)的下級的域名服務(wù)器的地址。 第五步：重復(fù)第四步, 直到找到正確的紀(jì)錄。

第六步：本地域名服務(wù)器把返回的結(jié)果保存到緩存, 以備下一次使用, 同時還將結(jié)果返回給客戶機(jī)。

下面是解析過程的流程圖：

圖2 解析過程流程圖

這里值得注意的是，ISP （當(dāng)?shù)鼐W(wǎng)絡(luò)接入商）的DNS 緩存是有時間限制的，一般是1個小時。前后2次間隔1個小時的話，它就去域名的DNS 上重新取得數(shù)據(jù)。這里說的是最前面一次和當(dāng)前的比較。也就是說如果時間差距較大，就重新去域名的DNS 服務(wù)器上找。所以刷新就變的很有必要，否則緩存了一次以后，域名記錄改了以后，ISP 就永遠(yuǎn)不去找新的記錄了。

2） 域服務(wù)器報文

用戶使用應(yīng)用程序時，首先給出欲通信的對方主機(jī)的域名。應(yīng)用程序在真正開始通信之前，首先必須解析出對方的IP 地址，這是一個域名解析過程。它將域名交給本地解析器軟件，該軟件首先在本地緩沖區(qū)中查找相應(yīng)的綁定；如果查找不到，本地解析器構(gòu)造一個詢問報文，發(fā)往本地服務(wù)器，服務(wù)器根據(jù)響應(yīng)情況回答一個響應(yīng)報文。一旦解析器從本地緩沖區(qū)或服務(wù)器響應(yīng)中獲得信宿機(jī)IP 地址，交給應(yīng)用程序，應(yīng)用程序便可以開始真正的通信過程。 域服務(wù)器報文的格式如表1：

表1 域名服務(wù)器報文格式

請求報文與響應(yīng)報文的格式相同，總的來說，一個域名服務(wù)器的報文分為兩大部分：不變部分（圖二中前三行）與可變部分（圖二中后四行）；變與不變是相對于長度而言的。

◆不變部分含有6個定長域，各域分別占2個字節(jié)：

① 標(biāo)識（Identification ）：用戶用來識別其詢問對應(yīng)到哪個相應(yīng)信息的碼。 ② 參數(shù)（Parameter ）：指出所請求的操作類型及一個響應(yīng)碼。

③ 問題數(shù)（Question ）：在問題區(qū)內(nèi)，問題信息的數(shù)目。

④ 答案數(shù)（Answer ）：在答案區(qū)內(nèi)，答案的數(shù)目，答案是指域名服務(wù)器對用

戶提出的詢問解析后所響應(yīng)的信息。

⑤ 管理機(jī)構(gòu)數(shù)（Authority ）：管轄區(qū)內(nèi)管轄信息的數(shù)目，管轄數(shù)目表示針對

此詢問有響應(yīng)的域名服務(wù)器的數(shù)目。

⑥ 附加信息數(shù)（Additional Information）：表示在附加區(qū)域內(nèi)額外的信息數(shù)目。

◆變化部分含有4個部分：

（一）問題部分（Question Section）：由一組詢問組成，各表目格式如表2：

該部分由用戶填寫。

（二）其余三部分為答案部分（Answer Section ）、管理機(jī)構(gòu)部分（Authority

Section ）、以及附加信息部分（Additional Information Section）均由一組資源記錄（Resource Record）組成。如表3所示：

其中，資源域名（Resource Domain Name）指出本資源記錄所涉及的域名，其長度是任意的；

① 類型域（Type ）指出資源記錄中所含數(shù)據(jù)類型；

② 類域（Class ）指出數(shù)據(jù)類；

③ 生存時間域（TTL ）包含一個整數(shù)，指出本資源記錄可被緩沖區(qū)保存的時間（以秒計）。

TTL 是IP 協(xié)議包中的一個值，它告訴網(wǎng)絡(luò)路由器包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄。TTL 的初值通常是系統(tǒng)缺省值，是包頭中的8位的域。TTL 的最初設(shè)想是確定一個時間范圍，超過此時間就把包丟棄。當(dāng)記數(shù)到0時，路由器決定丟棄該包，并發(fā)送一個ICMP 報文給最初的發(fā)送者。默認(rèn)情況下，Linux 系統(tǒng)的TTL 值為64或255，Windows NT/2000/XP系統(tǒng)的TTL 值為128，Windows 98系統(tǒng)的TTL 值為32，UNIX 主機(jī)的TTL 值為255。一般情況下Windows 系列的系統(tǒng)返回的TTL 值在100-130之間，而UNIX/Linux系列的系統(tǒng)返回的TTL 值在240-255之間。

（三）域名系統(tǒng)資源記錄類型：

① A (Address) 記錄是用來指定主機(jī)名（或域名）對應(yīng)的IP 地址記錄。用戶可以將 該域名下的網(wǎng)站服務(wù)器指向到自己的web server上。同時也可以設(shè)置您域名的二級域名。

②MX （郵件路由記錄），用戶可以將該域名下的郵件服務(wù)器指向到自己的mail server 上，然后即可自行操控所有的郵箱設(shè)置。您只需在線填寫您服務(wù)器的IP 地址，即可將您域名下的郵件全部轉(zhuǎn)到您自己設(shè)定相應(yīng)的郵件服務(wù)器上。

③CNAME （別名記錄）。這種記錄允許您將多個名字映射到同一臺計算機(jī)。 通常用于同時提供WWW 和MAIL 服務(wù)的計算機(jī)。

④NS 即名字服務(wù)器，域的授權(quán)服務(wù)器名。

3）分析過程

（一）進(jìn)入命令提示符中，查看當(dāng)前的一些信息。

如下所示：

Microsoft Windows XP [版本 5.1.2600]

(C) 版權(quán)所有 1985-2001 Microsoft Corp.

C:Documents and Settings?ministrator>ipconfig/all

Windows IP Configuration

Host Name . . . . . . . . . . . . : 939739AAEB584A0

Primary Dns Suffix . . . . . . . :

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter 無線網(wǎng)絡(luò)連接:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Atheros AR5007EG Wireless Network Ad

apter

Physical Address. . . . . . . . . : 00-17-C4-44-76-DF

Dhcp Enabled. . . . . . . . . . . : Yes

Autoconfiguration Enabled . . . . : Yes

IP Address. . . . . . . . . . . . : 192.168.1.107

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 192.168.1.1

DHCP Server . . . . . . . . . . . : 192.168.1.1

DNS Servers . . . . . . . . . . . : 218.2.135.1

61.147.37.1

Lease Obtained. . . . . . . . . . : 2010年11月28日 星期日 15:45:41

Lease Expires . . . . . . . . . . : 2010年11月28日 星期日 17:45:41

Ethernet adapter 本地連接:

Media State . . . . . . . . . . . : Media disconnected

Description . . . . . . . . . . . : Realtek RTL8102E/RTL8103E Family PCI

-E Fast Ethernet NIC

Physical Address. . . . . . . . . : 00-21-70-88-82-61

從無線網(wǎng)絡(luò)連接中可以發(fā)現(xiàn)，當(dāng)前主機(jī)的物理地址MAC 為

00-17-C4-44-76-DF ，IP 地址為192.168.1.107，子網(wǎng)掩碼為255.255.255.0，缺省網(wǎng)關(guān)為192.168.1.1，域名服務(wù)器的IP 為218.2.135.1、61.147.37.1。

（二）通過一個ping 實例，來獲得域名解析數(shù)據(jù)包。

C:Documents and Settings?ministrator>ping www.baidu.com

Pinging www.a.shifen.com [119.75.218.45] with 32 bytes of data:

Request timed out.

Reply from 119.75.218.45: bytes=32 time=23ms TTL=55

Reply from 119.75.218.45: bytes=32 time=34ms TTL=55

Reply from 119.75.218.45: bytes=32 time=230ms TTL=55

Ping statistics for 119.75.218.45:

Packets: Sent = 4, Received = 3, Lost = 1 (25 loss),

Approximate round trip times in milli-seconds:

Minimum = 23ms, Maximum = 230ms, Average = 95ms

從中可以發(fā)現(xiàn)，域名www.baidu.com 的CNAME 為www.a.shifen.com ，其IP 地址為119.75.218.45。在此過程中，wireshark 捕獲的數(shù)據(jù)包如圖3所示：

圖3 捕獲的數(shù)據(jù)包

（三）數(shù)據(jù)包列表分析

序號為201及202的數(shù)據(jù)包列表總結(jié)性信息如下：

圖4 數(shù)據(jù)包列表信息

從中我們不難發(fā)現(xiàn)，NO201是一條詢問報文，源IP 地址為192.168.1.107，目的IP 地址61.147.37.1，即報文是從本地計算機(jī)發(fā)往本地域名服務(wù)器的。這也就是域名解析過程中的第一步：客戶機(jī)提出域名解析請求, 并將該請求發(fā)送給本地的域名服務(wù)器。接下來就是本地的域名服務(wù)器收到請求后, 查詢本地的緩存, 看是否有該紀(jì)錄項。

從NO202可以知道本地域名服務(wù)器向客戶機(jī)回復(fù)了一條報文，則可以推斷，本地域名服務(wù)器緩存中有該項紀(jì)錄，故直接把查詢的結(jié)果返回給客戶機(jī)。經(jīng)查詢可知，IP 地址段：在119.75.208.0 - 119.75.223.255 之間的記錄為北京市 百度公司的，故域名www.baidu.com 首選地IP 地址為119.75.218.45。

（四）運用第一個數(shù)據(jù)包（詢問）的協(xié)議樹分析解析過程：

對于NO201數(shù)據(jù)包的協(xié)議樹所示的具體的協(xié)議屬性如下圖5所示：

圖5 NO201數(shù)據(jù)包協(xié)議樹信息

圖5中上面的是協(xié)議樹的內(nèi)容，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；下邊是以十六進(jìn)制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時的最終形式。

① 首先看協(xié)議樹中的第一項：

圖6 協(xié)議樹第一項信息

該幀顯示了一些基本信息，包括幀到達(dá)時間，各種時間差，幀及捕獲的包長，幀中所含有的協(xié)議（Ethernet 、ip 、udp 、dns 協(xié)議）等信息；

② 協(xié)議樹的第二項為：

圖7 協(xié)議樹第二項信息