實驗三 使用 Wireshark 查看網絡流量拓撲結構能上Internet 的機房環(huán)境，本網內可以互訪，每臺PC 可以訪問互聯(lián)網。目標第 1 部分：并安裝 Wireshark第 2 部分：在 Wir

實驗三 使用 Wireshark 查看網絡流量

拓撲結構

能上Internet 的機房環(huán)境，本網內可以互訪，每臺PC 可以訪問互聯(lián)網。

目標

第 1 部分：并安裝 Wireshark

第 2 部分：在 Wireshark 中捕獲和分析本地 ICMP 數據

?

? 開始和停止 ping 流量到本地主機的數據捕獲。 在捕獲到的 PDU 中查找 IP 和 MAC 地址信息。

第 3 部分：在 Wireshark 中捕獲和分析遠程 ICMP 數據

?

?

? 開始和停止 ping 流量到遠程主機的數據捕獲。 在捕獲到的 PDU 中查找 IP 和 MAC 地址信息。 解釋遠程主機的 MAC 地址為什么與本地主機的 MAC 地址不同。

背景/場景

Wireshark 是一種協(xié)議分析器軟件，即“數據包嗅探器”應用程序，適用于網絡故障排除、分析、軟件和協(xié)議開發(fā)以及教學。當數據流通過網絡來回傳輸時，嗅探器可以“捕獲”每個協(xié)議數據單元 (PDU)，并對其內容進行解碼和分析。

對于任何從事網絡工作的人而言，Wireshark 都是一款實用工具，可以在實踐中用于數據分析和故障排除。本實驗提供安裝 Wireshark 的說明，即使可能已安裝了 Wireshark 。在本實驗中，您將使用 Wireshark 捕獲 ICMP 數據包 IP 地址和以太網幀 MAC 地址。

所需資源

?

? 每人一 臺PC （采用 Windows7、8或 XP 且可訪問 Internet） 機房其它的 PC 將用于響應 ping 請求。

第 1 部分：安裝 wireshark

Wireshark 已成為網絡工程師使用的數據包嗅探器程序的行業(yè)標準。此開源軟件可用于許多不同的操作系統(tǒng)，包括 Windows、Mac 和 Linux。在本實驗的第 1 部分，您將在 PC 上安裝 Wireshark 軟件程序。 第 1 步： 安裝 Wireshark。

a. 安裝文件名為 Wireshark-win32-x.x.x.exe ，其中 x 表示版本號。雙擊該文件，開始安裝過程。對屏幕上可能會顯示的所有安全消息做出響應。如果您在 PC 上已經有 Wireshark 副本，則系統(tǒng)會提示您在安裝新版本之前卸載舊版本。建議您在安裝另一個版本之前刪除 Wireshark 的舊版本。

b. 如果是首次安裝 Wireshark ，或者已完成卸載過程，則您將會導航至 Wireshark 設置向導。單擊Next （下一步）。

第 1 頁，共 19 頁

實驗三 使用 Wireshark 查看網絡流量

c. 繼續(xù)進行安裝過程?！霸S可協(xié)議”窗口顯示時，單擊“我同意”。

d. 保留在“選擇組件”窗口上的默認設置，并單擊“下一步”。

第 2 頁，共 19 頁

實驗三 使用 Wireshark 查看網絡流量

e. 選擇所需的快捷方式選項并單擊“下一步”。

f. 您可以更改 Wireshark 安裝位置，但除非磁盤空間有限，否則我們建議您保留默認位置。

第 3 頁，共 19 頁

實驗三 使用 Wireshark 查看網絡流量

g. 要捕獲實時網絡數據，您的 PC 上必須安裝 WinPcap。如果 WinPcap 已安裝在您的計算機上，“安裝”復

選框將處于非選中狀態(tài)。如果安裝的 WinPcap 版本比 Wireshark 附帶的版本舊，建議您單擊“安裝 WinPcap x.x.x（版本號）”復選框，安裝更新的版本。

h. 如果安裝 WinPcap，請完成 WinPcap 設置向導。

i. Wireshark 隨即開始安裝其文件，并在單獨的窗口中顯示其安裝狀態(tài)。完成安裝后單擊“下一步”。

第 4 頁，共 19 頁

實驗三 使用 Wireshark 查看網絡流量

j. 單擊“完成”，完成 Wireshark 安裝過程。

第 5 頁，共 19 頁

實驗三 使用 Wireshark 查看網絡流量

第 2 部分：在 Wireshark 中捕獲并分析本地 ICMP 數據

在本實驗的第 2 部分，您將對局域網中的另一臺 PC 執(zhí)行 ping 操作并在 Wireshark 中捕獲 ICMP 請求和應答。您還將在捕獲的幀中深入了解具體信息。該分析將幫助確定如何使用數據包報頭將數據傳輸到目的地。 第 1 步： 檢索 PC 的接口地址。

對于本實驗，您將需要檢索 PC 的 IP 地址及其網絡接口卡 (NIC) 物理地址（也稱為 MAC 地址）。

a. 打開命令窗口，鍵入 ipconfig /all，然后按下 Enter 鍵。

b. 注意 PC 接口的 IP 地址和 MAC（物理）地址(以下是實例，和每位同學試驗機的地址不一樣) 。

c. 向團隊成員請求其 PC 的 IP 地址，并向他們提供自己 PC 的 IP 地址。請勿在此時向他們提供您的 MAC 地

址。

第 2 步： 啟動 Wireshark 并開始捕獲數據。

a. 在您的 PC 上，單擊 Windows 的“開始”按鈕，使 Wireshark 程序顯示在在彈出菜單中。雙擊

Wireshark 。

b. 在 Wireshark 啟動之后，單擊“接口列表”。

第 6 頁，共 19 頁

實驗三 使用 Wireshark 查看網絡流量

注意：單擊圖標行中的第一個接口圖標也會打開“接口列表”。

c. 在 Wireshark 的“捕獲接口”窗口上，單擊連接到您的 LAN 的接口旁的復選框。

注意：如果列出了多個接口，而您不確定需要檢查哪個接口，請單擊“詳細信息”按鈕，然后單擊“802.3（以太網）”選項卡。檢驗 MAC 地址與您在步驟 1b 中的說明是否匹配。在驗證接口正確無誤之后關閉“接口詳細信息”窗口。

d. 在檢查接口正確無誤后，單擊“啟動”開始捕獲數據。

第 7 頁，共 19 頁

實驗三 使用 Wireshark 查看網絡流量

信息將在 Wireshark 的頂部開始向下滾動。數據行將根據協(xié)議以不同的顏色顯示。

e. 可根據通過 PC 和 LAN 之間進行的通信快速滾動此信息。我們可以應用過濾器來更輕松地查看和處理

Wireshark 捕獲的數據。在本實驗中，我們只對顯示 ICMP (ping) PDU 感興趣。在 Wireshark 頂部的“過濾器”框中鍵入 icmp ，然后按下 Enter 鍵或單擊“應用”按鈕，可以僅查看 ICMP (ping) PDU。

f. 此過濾器會導致頂部窗口中的所有數據不顯示，但是您仍在捕獲接口上的流量。彈出之前打開過的命令提

示符窗口并對您從團隊成員接收的 IP 地址執(zhí)行 ping 操作。注意：您會看到數據顯示在 Wireshark 的頂部窗口。

第 8 頁，共 19 頁

實驗三 使用 Wireshark 查看網絡流量

注意：如果您的團隊成員的 PC 沒有應答您的 ping 操作，則原因可能是其 PC 防火墻阻止了這些請求。 有關如何使用 Windows 7 通過防火墻允許 ICMP 流量的信息，請參閱附錄 A：允許 ICMP 流量通過防火墻。

g. 通過單擊“停止捕獲”停止捕獲數據。

第 3 步： 檢查捕獲的數據。

在第 3 步中，通過對團隊成員的 PC 進行 ping 請求來檢查生成的數據。Wireshark 數據顯示為三個部分：1) 頂部顯示捕獲的 PDU 幀列表和 IP 數據包信息摘要，2) 中間部分列出了屏幕頂部所選幀的 PDU 信息并由其協(xié)議層隔開一個捕獲的 PDU 幀，而 3) 底部顯示每層的原始數據。原始數據以十六進制和十進制兩種形式顯示。

第 9 頁，共 19 頁

實驗三 使用 Wireshark 查看網絡流量

a. 單擊 Wireshark 頂部的第一個 ICMP 請求 PDU 幀。注意：“源”列包含 PC 的 IP 地址，而“目的”列包

含您對其執(zhí)行 ping 操作的團隊成員 PC 的 IP 地址。

第 10 頁，共 19 頁