第1关：Wireshark基本使用入门

【实验目的】

1、掌握wireshark工具的基本使用方法

【实验环境】

1、头歌基于Linux的虚拟机桌面系统

2、网络报文分析工具wireshark

3、浏览器firefox

【本地主机、平台虚拟机之间数据传递】

1、文本的复制与粘贴 操作入口：点击虚拟机桌面右上角“工具栏”，选择“复制粘贴”菜单项。 特点：可双向复制与粘贴。

2、文件传输 操作入口：点击虚拟机桌面右上角“工具栏”，选择“上传文件”或“下载文件”菜单项。

3、截图 可以使用本地机的截图工具，对虚拟机桌面应用进行截图。 

wireshark基本用法】

Wireshark是一种开源的网络协议分析工具，主要功能有捕捉报文、解码分析、报文统计。官方下载地址：Wireshark · Download

1、wireshark主界面

双击桌面上的图标 ，可启动Wireshark。启动后的用户界面如下图所示，中间列表部分列出了所有网络接口。

2、抓取分组操作

A.单击中间网络接口列表中，某一网络接口如eth0，选中网络接口，通过菜单“捕获”-“开始”或工具栏中的

按钮，开始捕获选定接口中的网络分组；

B．也可以双击中间网络接口列表中，某一网络接口如eth0，可以开始抓取分组；

C．通过菜单“捕获”-“停止”或工具栏中的按钮

停止抓取分组。

D．通过菜单“捕获”-“重新开始”或工具栏中的按钮

重新开始抓取。

 

3、Wireshark窗口功能

（1）命令菜单和工具栏 命令菜单位于窗口的最顶部，是标准的下拉式菜单。最常用菜单命令有两个： 文件、 捕获。 文件 菜单允许你保存捕获的分组数据，或打开一个已被保存的捕获分组数据文件，或退出 WireShark 程序。 捕获 菜单允许你开始捕获分组。 工具栏位于命令菜单的下方，提供常用功能的快捷方式。如

：开始捕获、

：停止捕获、

：重新抓取分组。

（2）显示过滤规则 在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。

（3）捕获分组列表（报文摘要窗口） 按行显示已被捕获的分组内容，其中包括： WireShark 赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。单击某一列的列名，可以使分组按指定列进行排序。 在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。

（4）分组头部明细（报文解码窗口） 显示捕获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的 IP 数据报有关的信息。 单击以太网帧或 IP 数据报所在行左边的向右或向下的箭头可以展开或最小化相关信息。如果利用 TCP 或 UDP 承载分组， WireShark 也会显示 TCP 或 UDP 协议头部信息。分组最高层协议的头部字段也会显示在此窗口中。

（5）分组内容窗口（报文内容窗口） 以 ASCII 码和十六进制两种格式显示被捕获帧的完整内容。

4、筛选分组操作

通常，分组列表窗口中会显示许多类型的分组。即使仅仅是下载了一个网页，但是还有许多其他协议在您的计算机上运行，只是用户所看不见。可以在中间过滤窗口中输入过滤的分组协议如http， 选择应用按钮，就可以只让HTTP分组消息显示在分组列表窗口。

 

【实验操作】

1、打开wireshark ，开始抓取网络接口eth0上的分组，将窗口最小化；

2、打开浏览器，访问http://www.baidu.com， 等待网页打开完毕；

3、切换到Wireshark窗口，并停止抓取分组；

4、利用分组过滤功能，过滤出http分组；在报文摘要窗口中点击选取第1个http报文；

5、对当前报文的头部明细窗口进行截图，保存到实验报告中，课后分析该报文，从外到内分别使用了什么协议，对应网络体系结构的哪一层？

6、将分组列表中出现的协议名称，顺序填入代码文件窗口首行末尾，不可修改原有的提示内容（相同协议只填写一次，用符号,分隔）。

7、使用Wireshark文件菜单，将所捕获的所有http报文保存到某个自定义的文件中，并下载到本地主机中。