實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量拓?fù)浣Y(jié)構(gòu)能上Internet 的機(jī)房環(huán)境，本網(wǎng)內(nèi)可以互訪，每臺(tái)PC 可以訪問互聯(lián)網(wǎng)。目標(biāo)第 1 部分：并安裝 Wireshark第 2 部分：在 Wir

實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量

拓?fù)浣Y(jié)構(gòu)

能上Internet 的機(jī)房環(huán)境，本網(wǎng)內(nèi)可以互訪，每臺(tái)PC 可以訪問互聯(lián)網(wǎng)。

目標(biāo)

第 1 部分：并安裝 Wireshark

第 2 部分：在 Wireshark 中捕獲和分析本地 ICMP 數(shù)據(jù)

?

? 開始和停止 ping 流量到本地主機(jī)的數(shù)據(jù)捕獲。 在捕獲到的 PDU 中查找 IP 和 MAC 地址信息。

第 3 部分：在 Wireshark 中捕獲和分析遠(yuǎn)程 ICMP 數(shù)據(jù)

?

?

? 開始和停止 ping 流量到遠(yuǎn)程主機(jī)的數(shù)據(jù)捕獲。 在捕獲到的 PDU 中查找 IP 和 MAC 地址信息。 解釋遠(yuǎn)程主機(jī)的 MAC 地址為什么與本地主機(jī)的 MAC 地址不同。

背景/場(chǎng)景

Wireshark 是一種協(xié)議分析器軟件，即“數(shù)據(jù)包嗅探器”應(yīng)用程序，適用于網(wǎng)絡(luò)故障排除、分析、軟件和協(xié)議開發(fā)以及教學(xué)。當(dāng)數(shù)據(jù)流通過網(wǎng)絡(luò)來回傳輸時(shí)，嗅探器可以“捕獲”每個(gè)協(xié)議數(shù)據(jù)單元 (PDU)，并對(duì)其內(nèi)容進(jìn)行解碼和分析。

對(duì)于任何從事網(wǎng)絡(luò)工作的人而言，Wireshark 都是一款實(shí)用工具，可以在實(shí)踐中用于數(shù)據(jù)分析和故障排除。本實(shí)驗(yàn)提供安裝 Wireshark 的說明，即使可能已安裝了 Wireshark 。在本實(shí)驗(yàn)中，您將使用 Wireshark 捕獲 ICMP 數(shù)據(jù)包 IP 地址和以太網(wǎng)幀 MAC 地址。

所需資源

?

? 每人一 臺(tái)PC （采用 Windows7、8或 XP 且可訪問 Internet） 機(jī)房其它的 PC 將用于響應(yīng) ping 請(qǐng)求。

第 1 部分：安裝 wireshark

Wireshark 已成為網(wǎng)絡(luò)工程師使用的數(shù)據(jù)包嗅探器程序的行業(yè)標(biāo)準(zhǔn)。此開源軟件可用于許多不同的操作系統(tǒng)，包括 Windows、Mac 和 Linux。在本實(shí)驗(yàn)的第 1 部分，您將在 PC 上安裝 Wireshark 軟件程序。 第 1 步： 安裝 Wireshark。

a. 安裝文件名為 Wireshark-win32-x.x.x.exe ，其中 x 表示版本號(hào)。雙擊該文件，開始安裝過程。對(duì)屏幕上可能會(huì)顯示的所有安全消息做出響應(yīng)。如果您在 PC 上已經(jīng)有 Wireshark 副本，則系統(tǒng)會(huì)提示您在安裝新版本之前卸載舊版本。建議您在安裝另一個(gè)版本之前刪除 Wireshark 的舊版本。

b. 如果是首次安裝 Wireshark ，或者已完成卸載過程，則您將會(huì)導(dǎo)航至 Wireshark 設(shè)置向?qū)?。單擊Next （下一步）。

第 1 頁(yè)，共 19 頁(yè)

實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量

c. 繼續(xù)進(jìn)行安裝過程。“許可協(xié)議”窗口顯示時(shí)，單擊“我同意”。

d. 保留在“選擇組件”窗口上的默認(rèn)設(shè)置，并單擊“下一步”。

第 2 頁(yè)，共 19 頁(yè)

實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量

e. 選擇所需的快捷方式選項(xiàng)并單擊“下一步”。

f. 您可以更改 Wireshark 安裝位置，但除非磁盤空間有限，否則我們建議您保留默認(rèn)位置。

第 3 頁(yè)，共 19 頁(yè)

實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量

g. 要捕獲實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)，您的 PC 上必須安裝 WinPcap。如果 WinPcap 已安裝在您的計(jì)算機(jī)上，“安裝”復(fù)

選框?qū)⑻幱诜沁x中狀態(tài)。如果安裝的 WinPcap 版本比 Wireshark 附帶的版本舊，建議您單擊“安裝 WinPcap x.x.x（版本號(hào)）”復(fù)選框，安裝更新的版本。

h. 如果安裝 WinPcap，請(qǐng)完成 WinPcap 設(shè)置向?qū)А?/p>

i. Wireshark 隨即開始安裝其文件，并在單獨(dú)的窗口中顯示其安裝狀態(tài)。完成安裝后單擊“下一步”。

第 4 頁(yè)，共 19 頁(yè)

實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量

j. 單擊“完成”，完成 Wireshark 安裝過程。

第 5 頁(yè)，共 19 頁(yè)

實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量

第 2 部分：在 Wireshark 中捕獲并分析本地 ICMP 數(shù)據(jù)

在本實(shí)驗(yàn)的第 2 部分，您將對(duì)局域網(wǎng)中的另一臺(tái) PC 執(zhí)行 ping 操作并在 Wireshark 中捕獲 ICMP 請(qǐng)求和應(yīng)答。您還將在捕獲的幀中深入了解具體信息。該分析將幫助確定如何使用數(shù)據(jù)包報(bào)頭將數(shù)據(jù)傳輸?shù)侥康牡亍?第 1 步： 檢索 PC 的接口地址。

對(duì)于本實(shí)驗(yàn)，您將需要檢索 PC 的 IP 地址及其網(wǎng)絡(luò)接口卡 (NIC) 物理地址（也稱為 MAC 地址）。

a. 打開命令窗口，鍵入 ipconfig /all，然后按下 Enter 鍵。

b. 注意 PC 接口的 IP 地址和 MAC（物理）地址(以下是實(shí)例，和每位同學(xué)試驗(yàn)機(jī)的地址不一樣) 。

c. 向團(tuán)隊(duì)成員請(qǐng)求其 PC 的 IP 地址，并向他們提供自己 PC 的 IP 地址。請(qǐng)勿在此時(shí)向他們提供您的 MAC 地

址。

第 2 步： 啟動(dòng) Wireshark 并開始捕獲數(shù)據(jù)。

a. 在您的 PC 上，單擊 Windows 的“開始”按鈕，使 Wireshark 程序顯示在在彈出菜單中。雙擊

Wireshark 。

b. 在 Wireshark 啟動(dòng)之后，單擊“接口列表”。

第 6 頁(yè)，共 19 頁(yè)

實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量

注意：?jiǎn)螕魣D標(biāo)行中的第一個(gè)接口圖標(biāo)也會(huì)打開“接口列表”。

c. 在 Wireshark 的“捕獲接口”窗口上，單擊連接到您的 LAN 的接口旁的復(fù)選框。

注意：如果列出了多個(gè)接口，而您不確定需要檢查哪個(gè)接口，請(qǐng)單擊“詳細(xì)信息”按鈕，然后單擊“802.3（以太網(wǎng)）”選項(xiàng)卡。檢驗(yàn) MAC 地址與您在步驟 1b 中的說明是否匹配。在驗(yàn)證接口正確無誤之后關(guān)閉“接口詳細(xì)信息”窗口。

d. 在檢查接口正確無誤后，單擊“啟動(dòng)”開始捕獲數(shù)據(jù)。

第 7 頁(yè)，共 19 頁(yè)

實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量

信息將在 Wireshark 的頂部開始向下滾動(dòng)。數(shù)據(jù)行將根據(jù)協(xié)議以不同的顏色顯示。

e. 可根據(jù)通過 PC 和 LAN 之間進(jìn)行的通信快速滾動(dòng)此信息。我們可以應(yīng)用過濾器來更輕松地查看和處理

Wireshark 捕獲的數(shù)據(jù)。在本實(shí)驗(yàn)中，我們只對(duì)顯示 ICMP (ping) PDU 感興趣。在 Wireshark 頂部的“過濾器”框中鍵入 icmp ，然后按下 Enter 鍵或單擊“應(yīng)用”按鈕，可以僅查看 ICMP (ping) PDU。

f. 此過濾器會(huì)導(dǎo)致頂部窗口中的所有數(shù)據(jù)不顯示，但是您仍在捕獲接口上的流量。彈出之前打開過的命令提

示符窗口并對(duì)您從團(tuán)隊(duì)成員接收的 IP 地址執(zhí)行 ping 操作。注意：您會(huì)看到數(shù)據(jù)顯示在 Wireshark 的頂部窗口。

第 8 頁(yè)，共 19 頁(yè)

實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量

注意：如果您的團(tuán)隊(duì)成員的 PC 沒有應(yīng)答您的 ping 操作，則原因可能是其 PC 防火墻阻止了這些請(qǐng)求。 有關(guān)如何使用 Windows 7 通過防火墻允許 ICMP 流量的信息，請(qǐng)參閱附錄 A：允許 ICMP 流量通過防火墻。

g. 通過單擊“停止捕獲”停止捕獲數(shù)據(jù)。

第 3 步： 檢查捕獲的數(shù)據(jù)。

在第 3 步中，通過對(duì)團(tuán)隊(duì)成員的 PC 進(jìn)行 ping 請(qǐng)求來檢查生成的數(shù)據(jù)。Wireshark 數(shù)據(jù)顯示為三個(gè)部分：1) 頂部顯示捕獲的 PDU 幀列表和 IP 數(shù)據(jù)包信息摘要，2) 中間部分列出了屏幕頂部所選幀的 PDU 信息并由其協(xié)議層隔開一個(gè)捕獲的 PDU 幀，而 3) 底部顯示每層的原始數(shù)據(jù)。原始數(shù)據(jù)以十六進(jìn)制和十進(jìn)制兩種形式顯示。

第 9 頁(yè)，共 19 頁(yè)

實(shí)驗(yàn)三 使用 Wireshark 查看網(wǎng)絡(luò)流量

a. 單擊 Wireshark 頂部的第一個(gè) ICMP 請(qǐng)求 PDU 幀。注意：“源”列包含 PC 的 IP 地址，而“目的”列包

含您對(duì)其執(zhí)行 ping 操作的團(tuán)隊(duì)成員 PC 的 IP 地址。

第 10 頁(yè)，共 19 頁(yè)