实验10 使用Wireshark分析SMTP和POP3协议

实验十使用Wireshark分析SMTP和POP3协议

一、实验目的

分析SMTP和POP3协议

二、实验环境

与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、实验步骤

大多数电子邮件客户端允许用户撰写电子邮件并将其方到发件箱中，还能发送发件箱中的邮件，接收新邮件到收件箱。大多数用户都知道必须连接到因特网才能发送和接收邮件，但他们可能不知道网络通信的细节。

发送邮件的过程和接收邮件的过程截然不同，它们甚至使用不同的应用层协议。电子邮件客户端通常使用邮件传送协议（Simple Mail Transfer Protocol, SMTP）来发送邮件，并用邮局协议（Post Office Protocol, POP）接收邮件。客户端发送邮件时，通常连接一台独立的本地邮件服务器，并将所有外发的邮件发送到这个服务器而不管接收者的地址。本地邮件服务器将报文放在发送邮件队列中。此时，电子邮件客户端不再涉及邮件的传输，而由本地邮件服务器负责对每个接收者传送邮件。SMTP不仅用于电子邮件客户端和本地邮件服务器之间的数据传输，而且还用于本地邮件服务器和每一个接收者的邮件服务器之间的数据传输。

一旦电子邮件报文到达接收者的邮件服务器，就随同该用户的其他接收邮件报文一起放在邮件队列中，用户可以通过类似的POP这样的协议来获取所有的接收邮件。

1、俘获发送邮件时SMTP分组

（1）启动IE，在IE工具栏中选择“邮件”-> “阅读邮件”，出现Outlook界面，在Outlook中选择“工具”->“选项”->“邮件设置”-> “电子邮件帐户...”，出现“电子邮件帐户”窗口，选择“添加新电子邮件帐户”,单击“下一步”，选择“POP3(P)”,单击“下一步”，将会出现如下界面：

图1、电子邮件帐户

点击“测试帐户设置”，测试成功后，点击“下一步”，最后点击“完成”。即完成Outlook的设置。

（2）启动Wireshark分组俘获器。

（3）在Outlook工具栏点击“新建邮件”，写一封新邮件，完成后，点击“发送(S)”发送邮件。

（4）停止分组俘获。

（5）过滤分组：在“Filter...”中输入“(not arp) and (not icmp)”。如图2所示.

2、分析俘获的SMTP分组：

图2：Wireshark俘获的分组

在窗口中，初始化了一个从电子邮件客户端到https://www.sodocs.net/doc/1810309491.html,端口25的TCP连接，这就是SMTP邮件服务器监听的众所周知端口。

服务器首先在新建立的连接中发送数据。首个SMTP分组写到“220 ESMTP”。这说明服务器已经做好准备接收邮件并能处理ESMTP。

电子邮件客户端在第二个SMTP分组中响应“EHLO teacher105”。你可以通过选择一个分组，然后再“Analyze”菜单下选择“Follow TCP stream”来查看控制通道的全部内容。

基于SMTP电子邮件报文传输包括三个主要的命令：MAIL FROM、RCPT TO及DATA。MAIL FROM指定电子邮件发送者的地址，RCPT TO指定了邮件接收者的地址，多个RCPT TO命令指定了多个接收者。最后DATA命令通知服务器将接下来的行当作邮件报文的主体。

DATA部分即包含了一系列首部（Subject、From、To、Content－Type等），又包括报文的实际文本。这些首部只是SMTP DATA的一部分。只有SMTP命令MAIL FROM和RCPT TO对邮件的传输方式有影响，DATA部分的首部对接收者显示的数据。

最后注意的是，在最后一个首部和电子邮件报文的第一行之间存在一个空行。这是RFC 2822中定义的邮件首部和邮件主体的分界。

3、俘获接收邮件协议POP3分组

（1）在浏览器地址栏中输入网址：https://www.sodocs.net/doc/1810309491.html,

（2）启动Wireshark分组俘获器

（3）打开Outlook，（操作和发送邮件时一样），出现图1所示界面。在工具中选择“发送和接收”-〉“全部发送/接收”。

（4）停止分组俘获

4、分析俘获的POP3分组

查看POP连接开始的分组，使用Follow Tcp Stream 我们能看到全部的数据交换。

由于客户端缺乏其他可能的授权机制的信息，因此它用USER和PASS命令以明文形式发送用户名和密码,服务器以用户名和密码作为响应都可接受。

UIDL、LIST为用户收集处于邮件接收队列中的邮件报文的相关信息。LIST命令返回列表中报文的大小（八进制），UIDL命令返回一个带标识号的报文列表。POP协议RFC 文档没有规定服务器是如何分配这些标识号，只是简单规定统一标识号用于标识会话中的同一报文，并且在该用户邮箱中是唯一的。

LIST 和UIDL命令允许客户端决定是否下载邮件队列中的报文。例如,客户端可以查看邮件的标识号来看它是否已有邮件报文的副本，或查看邮件报文的大小来决定是否下载这个邮件报文。对于低速网络连接，为避免下载大的或不必要的邮件报文。

电子邮件客户端接下来发送命令RETR1来请求在通道中传送报文1，报文1是上述SMTP传输的邮件报文。

四、实验报告

在实验报告中回答下面两个问题：

1、用户sendmemail的密码是什么？

2、在电子邮件报文上使用Date时间戳作为邮件投递的时间证据是否安全？例如，老师是否接受以Date时间戳作为作业按时完成的证明？

【小技巧】wireshark定位抓包与定位查看

【实用技巧】wireshark过滤抓包与过滤查看在分析网络数据和判断网络故障问题中，都离不开网络协议分析软件（或叫网络嗅探器、抓包软件等等）这个“利器”，通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包，通过分析这些数据包，我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多，比如ethereal（wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪（被誉为国产版sniffer，符合我们的使用习惯）等等，本人水平有限，都是初步玩玩而已，先谈谈个人对这几款软件使用感受，wireshark（ethereal）在对数据包的解码上，可以说是相当的专业，能够深入到协议的细节上，用它们来对数据包深入分析相当不错，更重要的是它们还是免费得，但是用wireshark（ethereal）来分析大量数据包并在大量数据包中快速判断问题所在，比较费时间，不能直观的反应出来，而且操作较为复杂。像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件，不仅仅能解码（不过有些解码还是没有wireshark专业），还能直观形象的反应出数据情况，这些软件会对数据包进行统计，并生成各种各样的报表日志，便于我们查看和分析，能直观的看到问题所在，但这类软件是收费，如果想感受这类专业级的软件，我推荐玩科来网络分析仪技术交流版，免费注册激活，但是只能对50个点进行分析。废话不多说，下面介绍几个wireshark使用小技巧，说的不好，还请各位多指点批评。 目前wireshark最新版本是1.7的，先简单对比下wireshark的1.6和1.7版本。 下面是wireshark的1.6版本的界面图：

实验使用Wireshark分析

实验六使用W i r e s h a r k分析U D P 一、实验目的 比较TCP和UDP协议的不同 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 1、打开两次TCP流的有关跟踪记录，保存在中，并打开两次UDP流中的有关跟踪文件。如图所示： 图1：TCP 流跟踪记录 图2：UDP流跟踪记录 2、分析此数据包： （1）TCP传输的正常数据： 文件的分组1到13中显示了TCP连接。这个流中的大部分信息与前面的实验相同。我们在分组1到分组3中看到了打开连接的三次握手。分组10到分组13显示的则是连接的终止。我们看到分组10既是一个带有FIN标志的请求终止连接的分组，又是一个最后1080个字节的（序号是3921—5000）的重传。 TCP将应用程序写入合并到一个字节流中。它并不会尝试维持原有应用程序写人的边界值。我们注意到TCP并不会在单个分组中传送1000字节的应用程序写入。前1000个字节会在分组4种被发送，而分组5则包含了1460个字节的数据-----一些来自第二个缓冲区，而另一些来自第三个缓冲区。分组7中含有1460个字节而分组8中则包含剩余的1080个字节。（5000-0=1080） 我们注意到实际报告上的秒是从初始化连接的分组1开始到关闭连接的分组10结束。分组11—13未必要计入接收端应用程序的时间内，因为一旦接收到第一个FIN，TCP层便马上发送一个关闭连接的信号。分组11—13只可能由每台计算机操作系统得TCP层后台传输。 如果我们注意到第一个包含数据的分组4和最后一个分组8之间的时间，我们就大约计算出和由UDP接收端所报告的秒相同的时间。这样的话，增加TCP传输时间的主要原因就是分组10中的重传。公平的说，UDP是幸运的，因为它所有的分组都在第一时间被接受了。

SMTP协议发邮件流程

HELO v domain >v CRLF > 用 C++ 发邮件 近段时间，实验室电脑的 IP 频繁地改变，搞得想用远程偷下懒都不行。这时想到的 解决方法有：静态IP,动态域名，自己解决。静态 IP 虽然可以自己指定，但一关机后，与 对方冲突就完了，作罢。免费的动态域名又要手机认证，也作罢。最后只能自己解决。解决 方案是写一个程序不断地检测本机 IP ，如果改变了，就发邮件通知。检测本机 IP 很简单, 就略过。这里介绍下怎样发邮件吧。 发邮件前，需要理解 SMTP(Simple Mail Transfer Protocol) 。 SMTP 是电子邮件从 客户机传输到服务器或从某一个服务器传输到另一个服务器使用的传输协议。 SMTP 是请 求/ 响应协议，命令和响应都是基于 ASCII 文本，并以 CR 和 LF 符结束。响应包括一个 表示返回状态的三位数字代码。在 TCP 协议 25 端口监听连接请求。其命令如下： SMTP 命令 命令说明 识 别发送方到接收 SMTP 的一个 HELO 命令 AUTH LOGIN 登陆服务器的命令。在这条命令之后，要发送用 Base64 编 码后的用户名与密码进行登陆 MAIL FROM: v reverse-path >v CRLF>v reverse-path >为发送者地址。 此命令告 诉接收方一个新邮件发送的开始， 并对所有的状态和缓冲区进行初始化。 此命令开始一个邮 件传输处理，最终完成将邮件数据传送到一个或多个邮箱中。

RCPT TO:v forward-path >v CRLF>v forward-path >标识各个邮件接收者的地

Wireshark抓包实验报告.

第一次实验：利用Wireshark软件进行数据包抓取 1.3.2 抓取一次完整的网络通信过程的数据包实验 一，实验目的： 通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。 二，实验环境： 操作系统为Windows 7,抓包工具为Wireshark. 三，实验原理： ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。 四，验步骤： 1.确定目标地址：选择https://www.sodocs.net/doc/1810309491.html,作为目标地址。 2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1

图 1-1 3.启动抓包：点击【start】开始抓包，在命令提示符下键入ping https://www.sodocs.net/doc/1810309491.html,, 如图 1-2

图 1-2 停止抓包后，截取的数据如图 1-3 图 1-3 4，分析数据包：选取一个数据包进行分析，如图1- 4

图1-4 每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。DLC协议的目的和源地址是MAC地址，IP协议的目的和源地址是IP地址，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下： （1）诊断报文（类型：8，代码0；类型：0代码：0）； (2）目的不可达报文（类型：3，代码0-15）； （3）重定向报文（类型：5，代码：0--4）； （4）超时报文（类型：11，代码：0--1）； （5）信息报文（类型：12--18）。

计算机网络实验利用wireshark进行协议分析

实验4：利用W i r e s h a r k进行协议分析 1、实验目的 熟悉并掌握Wireshark的基本操作，了解网络协议实体间进行交互以及报文交换的情况。 2、实验环境 ?Windows 9x/NT/2000/XP/2003 ?与因特网连接的计算机网络系统 ?分组分析器Wireshark： 要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。为探究协议操作细节，可使协议实体执行某些动作，观察这些动作及其影响。这些任务可以在仿真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器（packet sniffer）。顾名思义，一个分组嗅探器俘获（嗅探）计算机发送和接收的报文。一般情况下，分组嗅探器将存储和显示出被俘获报文的各协议头部字段的内容。图4-1 为一个分组嗅探器的结构。 图4-1 右边是计算机上正常运行的协议（在这里是因特网协议）和应用程序（如：w eb 浏览器和ftp 客户端）。分组嗅探器（虚线框中的部分）是附加计算机普通软件上的，主要有两部分组成。分组俘获库（packetcapture library）接收计算机发送和接收 图4-1 分组嗅探器的结构 的每一个链路层帧的拷贝。高层协议（如：HTTP、FTP、TCP、UDP、DNS、IP 等）交换的报文都被封装在链路层帧中，并沿着物理媒体（如以太网的电缆）传输。图1 假设所使用的物理媒体是以太网，上层协议的报文最终封装在以太网帧中。 分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。 为此，分析器必须能够理解协议所交换的所有报文的结构。例如：我们要显示图4-1 中HTTP 协议所交换的报文的各个字段。分组分析器理解以太网帧格式，能够识别包含在帧中的IP 数据报。分组分析器也要理解IP 数据报的格式，并能从IP 数据报中提取出TCP 报文段。然后，它需要理解TCP 报文段，并能够从中提取出HTTP 消息。 最后，它需要理解HTTP 消息。

利用wireshark分析SMTP、POP3协议实验报告

. .. ... 利用wireshark分析SMTP、POP3协议实验报告

利用wireshark分析SMTP、POP3协议实验报告一、实验目的 利用wireshark抓包，分析SMTP协议和POP3协议容。 二、实验环境 连接Internet的计算机，系统为windows8.1； Foxmail，软件版本为7.2； Wireshark，软件版本为1.10.7。 三、实验过程 1.登陆及接收过程（POP3协议） 1)操作过程 打开wireshark开始俘获。然后打开Foxmail，输入用户名，密码，POP 服务器，SMTP服务器，如下图：

然后点击创建，登陆成功如下图： 然后点击收取，结果如下图： 打开wireshark，停止俘获，并保存（结果“capture_for_emailLogin.pcapng”另附）。 2)结果分析

因为POP3协议默认的传输协议是TCP协议，因此连接服务器要先进行三次握手，如下图： 连接成功，主机向服务器发送明文用户名和密码，如下图： 认证成功，开始接收处理，主机先向服务器发送SATA命令，得到数量： 主机向服务器发送LIST命令，得到每封的大小：

主机向服务器发送UIDL命令，得到这四封的唯一标示符： 最后主机向服务器发送QUIT命令，回话结束： 2.邮寄发送过程（SMTP协议） 1)操作过程 打开wireshark，开始俘获。然后打开Foxmail，点击写，写一封，点发送，如下图：

然后打开wireshark，停止俘获，并保存（结果 “capture_for_emailSend.pcapng”另附）。 2)结果分析 因为SMTP协议是基于TCP协议的，所以要先进行三次握手： 主机向服务器发送EHLO加上主机名（val-pc），服务器响应并回复250,表示服务器可用： 主机向服务器发送发送用户登录命令“AHTU LOGIN”，服务器回复334，表示接受： 因为SMTP要求用户名和密码必须经过64位编码后发送，不接受明文。所以客户端分别向服务器发送编码后的用户名和密码，服务器分别回复334和235表示接受和通过： 客户端先后向服务器发送“MAIL FROM”和“RCPT TO”命令，后面分别接上发件人和收件人的地址。服务器分别回复“250 MAIL OK”，表示接受成功： 接下来客户端向服务器发送命令“DATA”，表示将要向服务器发送正文，服务器回应“354 End data with .”表示同意接收：

利用wireshark分析HTTP协议实验报告

利用wireshark分析HTTP协议实验报告 姓名：杨宝芹 学号：2012117270 班级：电子信息科学与技术 时间：2014.12.26

利用wireshark分析HTTP协议实验报告 一、实验目的 分析HTTP协议。 二、实验环境 连接Internet的计算机，操作系统为windows8.1； Wireshark，版本为1.10.7； Google Chrome，版本为39.0.2171.65.m； 三、实验步骤 1.清空缓存 在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。之后，还要在客户端清空DNS 高速缓存，来确保Web服务器域名到IP地址的映射是从网络中请求。 2.启动wireshare 3.开始俘获 1)在菜单中选择capture-options，选择网络，打开start。如下图：

2)在浏览器地址栏中输入https://www.sodocs.net/doc/1810309491.html,，然后结束俘获，得到如下结果： 3)在过滤器中选择HTTP，点击apply，得到如下结果：

在菜单中选择file-save，保存结果，以便分析。（结果另附） 四、分析数据 在协议框中选择“GET/HTTP/1.1”所在的分组会看到这个基本请求行后跟随 着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行，以此将该 首部与下一个首部隔开。“Host”首部在HTTP1.1版本中是必须的，它描述了URL 中机器的域名，本实验中式https://www.sodocs.net/doc/1810309491.html,。这就允许了一个Web服务器在同一 时间支持许多不同的域名。有了这个数不，Web服务器就可以区别客户试图连接 哪一个Web服务器，并对每个客户响应不同的内容，这就是HTTP1.0到1.1版本 的主要变化。User-Agent首部描述了提出请求的Web浏览器及客户机器。接下 来是一系列的Accpet首部，包括Accept（接受）、Accept-Language（接受语言）、 Accept-Encoding（接受编码）、Accept-Charset（接受字符集）。它们告诉Web

SMTP协议的命令和应答

从前面的通讯模型可以看出SMTP协议在发送SMTP和接收SMTP之间的会话是靠发送SMTP的SMTP 命令和接收SMTP反馈的应答来完成的。在通讯链路建立后，发送SMTP发送MAIL命令指令邮件发送者，若接收SMTP此时可以接收邮件则作出OK的应答，然后发送SMTP继续发出RCPT命令以确认邮件是否收到，如果接收到就作出OK的应答，否则就发出拒绝接收应答，但这并不会对整个邮件操作造成影响。双方如此反复多次，直至邮件处理完毕。SMTP协议共包含10个SMTP命令，列表如下： SMTP命令命令说明 HELLO＜domain＞＜CRLF＞识别发送方到接收SMTP的一个HELLO命令 MAILFROM:＜reverse-path＞＜CRLF＞＜reverse-path＞为发送者地址。此命令告诉接收方一个新邮件发送的开始，并对所有的状态和缓冲区进行初始化。此命令开始一个邮件传输处理，最终完成将邮件数据传送到一个或多个邮箱中。 RCPTTO:＜forward-path＞＜CRLF＞＜forward-path＞标识各个邮件接收者的地址 DATA＜CRLF＞ 接收SMTP将把其后的行为看作邮件数据去处理，以＜CRLF＞.＜CRLF＞标识数据的结尾。 REST＜CRLF＞退出/复位当前的邮件传输 NOOP＜CRLF＞要求接收SMTP仅做OK应答。（用于测试） QUIT＜CRLF＞要求接收SMTP返回一个OK应答并关闭传输。 VRFY＜string＞＜CRLF＞验证指定的邮箱是否存在，由于安全因素，服务器多禁止此命令。 EXPN＜string＞＜CRLF＞验证给定的邮箱列表是否存在，扩充邮箱列表，也常禁止使用。 HELP＜CRLF＞查询服务器支持什么命令 注：＜CRLF＞为回车、换行，ASCII码分别为13、10（十进制）。 SMTP协议的每一个命令都会返回一个应答码，应答码的每一个数字都是有特定含义的，如第一位数字为2时表示命令成功；为5表失败；3表没有完成。一些较复杂的邮件程序利用该特点，首先检查应答码的首数字，并根据其值来决定下一步的动作。下面将SMTP的应答码列表如下： 应答码说明 501参数格式错误 502命令不可实现 503错误的命令序列 504命令参数不可实现 211系统状态或系统帮助响应 214帮助信息 220＜domain＞服务就绪 221＜domain＞服务关闭 421＜domain＞服务未就绪，关闭传输信道 250要求的邮件操作完成 251用户非本地，将转发向＜forward-path＞ 450要求的邮件操作未完成，邮箱不可用 550要求的邮件操作未完成，邮箱不可用 451放弃要求的操作；处理过程中出错 551用户非本地，请尝试＜forward-path＞ 452系统存储不足，要求的操作未执行

实验10 使用Wireshark分析SMTP和POP3协议

实验十使用Wireshark分析SMTP和POP3协议 一、实验目的 分析SMTP和POP3协议 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、实验步骤 大多数电子邮件客户端允许用户撰写电子邮件并将其方到发件箱中，还能发送发件箱中的邮件，接收新邮件到收件箱。大多数用户都知道必须连接到因特网才能发送和接收邮件，但他们可能不知道网络通信的细节。 发送邮件的过程和接收邮件的过程截然不同，它们甚至使用不同的应用层协议。电子邮件客户端通常使用邮件传送协议（Simple Mail Transfer Protocol, SMTP）来发送邮件，并用邮局协议（Post Office Protocol, POP）接收邮件。客户端发送邮件时，通常连接一台独立的本地邮件服务器，并将所有外发的邮件发送到这个服务器而不管接收者的地址。本地邮件服务器将报文放在发送邮件队列中。此时，电子邮件客户端不再涉及邮件的传输，而由本地邮件服务器负责对每个接收者传送邮件。SMTP不仅用于电子邮件客户端和本地邮件服务器之间的数据传输，而且还用于本地邮件服务器和每一个接收者的邮件服务器之间的数据传输。 一旦电子邮件报文到达接收者的邮件服务器，就随同该用户的其他接收邮件报文一起放在邮件队列中，用户可以通过类似的POP这样的协议来获取所有的接收邮件。 1、俘获发送邮件时SMTP分组 （1）启动IE，在IE工具栏中选择“邮件”-> “阅读邮件”，出现Outlook界面，在Outlook中选择“工具”->“选项”->“邮件设置”-> “电子邮件帐户...”，出现“电子邮件帐户”窗口，选择“添加新电子邮件帐户”,单击“下一步”，选择“POP3(P)”,单击“下一步”，将会出现如下界面：

使用wireshark进行协议分析实验报告

1 深圳大学实验报告 实验课程名称：计算机网络 实验项目名称：使用wireshark进行协议分析 学院：计算机与软件学院专业：计算机科学与技术 报告人：邓清津学号：2011150146 班级：2班同组人：无 指导教师：杜文峰 实验时间：2013/6/10 实验报告提交时间：2013/6/10 教务处制

一、实验目的与要求 学习使用网络数据抓包软件.学习使用网络数据抓包软件wireshark，并对一些协议进行分析。 二、实验仪器与材料 Wireshark抓包软件 三、实验内容 使用wireshark分析各层网络协议 1.HTTP协议 2.ARP协议，ICMP协议 3.IP协议 4.EthernetII层数据帧 为了分析这些协议，可以使用一些常见的网络命令。例如，ping等。 四、实验步骤 1、安装Wireshark，简单描述安装步骤: 2、打开wireshark，选择接口选项列表。或单击“Capture”，配置“option” 选项。

3.点击start后，进行分组捕获，所有由选定网卡发送和接收的分组都将被捕获。 4. 开始分组捕获后，会出现如图所示的分组捕获统计窗口。该窗口统计显示各类已捕获分组的数量。在该窗口中有一个“stop”按钮，可以停止分组的捕获。

一、分析HTTP协议 1.在浏览器地址栏中输入某网页的URL，如：https://www.sodocs.net/doc/1810309491.html,。为显示该网页，浏览器需要连接https://www.sodocs.net/doc/1810309491.html,的服务器，并与之交换HTTP消息，以下载该网页。包含这些HTTP消息的以太网帧(Frame)将被WireShark捕获。 2. 在显示筛选编辑框中输入“http”，单击“apply”，分组列表窗口将只显示HTTP消息。 3.点击其中一个http协议包

SMTP简单邮件传输协议

一个网络可以由公用互联网上 TCP 可相互访问的主机、防火墙分隔的 TCP/IP 网络上 TCP 可相互访问的主机，及其它 LAN/WAN 中的主机利用非TCP 传输层协议组成。使用 SMTP ，可实现相同网络上处理机之间的邮件传输，也可通过中继器或网关实现某处理机与其它网络之间的邮件传输。 在这种方式下，邮件的发送可能经过从发送端到接收端路径上的大量中间中继器或网关主机。域名服务系统（DNS）的邮件交换服务器可以用来识别出传输邮件的下一跳 IP 地址。 在传输文件过程中使用25号端口 编辑本段协议原理 SMTP-简单邮件传输协议（SimpleMailTransferProtocol），是定义邮件传输的协议，它是基于TCP服务的应用层协议，由RFC0821所定义。SMTP协议规定的命令是以明文方式进行的。为了说明SMTP的工作原理，我们以向163发送邮件为实例进行说明。 在linux环境下，使用"telnet smtp.163. com 25"连接smtp.163. com 的25号端口(SMTP的标准服务端口)；在windows下使用telnet程序，远程主机指定为smtp.163. com，而端口号指定为25，然后连接smtp.163. com：交互过程如下： SMTP [lix@nslix]$telnet smtp.163. com 25 220 163 .com Anti-spam GT for Coremail System (163com[071018]) HELO smtp.163 .com 250 OK auth login 334 dXNlcm5hbWU6 USER base64加密后的用户名 334 UGFzc3dvcmQ6 PASS base64加密后的密码 235 Authentication successful MAILFROM:XXX@163 .COM 250 Mail OK RCPTTO:XXX@163 .COM

实验四、使用Wireshark网络分析器分析数据包

实验四、使用Wireshark网络分析器分析数据包 一、实验目的 1、掌握Wireshark工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Wireshark 2、捕捉数据包 3、分析捕捉的数据包 三、实验工具 1、计算机n台(建议学生自带笔记本) 2、无线路由器n台 四、相关预备知识 1、熟悉win7操作系统 2、Sniff Pro软件的安装与使用(见Sniff Pro使用文档)

五、实验步骤 1、安装Wireshark Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。 Wireshark的主要应用如下： （1）网络管理员用来解决网络问题 （2）网络安全工程师用来检测安全隐患 （3）开发人员用来测试协议执行情况 （4）用来学习网络协议 （5）除了上面提到的，Wireshark还可以用在其它许多场合。 Wireshark的主要特性 （1）支持UNIX和Windows平台 （2）在接口实时捕捉包 （3）能详细显示包的详细协议信息 （4）可以打开/保存捕捉的包 （5）可以导入导出其他捕捉程序支持的包数据格式

（6）可以通过多种方式过滤包 （7）多种方式查找包 （8）通过过滤以多种色彩显示包 （9）创建多种统计分析 五、实验内容 1．了解数据包分析软件Wireshark的基本情况； 2．安装数据包分析软件Wireshark； 3．配置分析软件Wireshark； 4．对本机网卡抓数据包； 5．分析各种数据包。 六、实验方法及步骤 1．Wireshark的安装及界面 （1）Wireshark的安装 （2）Wireshark的界面 启动Wireshark之后，主界面如图：

计算机网络实验-使用Wireshark分析IP协议

实验三使用Wireshark分析IP协议 一、实验目的 1、分析IP协议 2、分析IP数据报分片 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址，然后被发送到网络中。如果源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机器将接收被传送的数据报，并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。 IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。IP能够使数据报适应于其途径的每个网络。例如，每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。 表 DHCP报文

者续借租用 DHCP-ACK DHCP服务器通知客户端可以使用分配的IP地址和配置参 数 DHCP-NAK DHCP服务器通知客户端地址请求不正确或者租期已过期， 续租失败 DHCP-RELEASE DHCP客户端主动向DHCP服务器发送，告知服务器该客户 端不再需要分配的IP地址 DHCP-DECLINE DHCP客户端发现地址冲突或者由于其它原因导致地址不 能使用，则发送DHCP-DECLINE报文，通知服务器所分配的 IP地址不可用 DHCP-INFORM DHCP客户端已有IP地址，用它来向服务器请求其它配置 参数 图 DHCP报文 1、使用DHCP获取IP地址

SMTP与POP协议简析

SMTP、POP协议简析

作者：李鹏博时间：2016/06

1．SMTP协议与POP协议说明 SMTP（Simple Mail Transfer Protocol）即简单邮件传输协议，它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。 POP（Post Office Protocol）即邮局协议，用于电子邮件的接收。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。本文只介绍POP3。 2．SMTP协议简析 通过抓包，可以看到清晰的服务器与客户端的交流过程。如下图。

如上图，将整个流程分为三部分：握手阶段、认证阶段、发送数据阶段。其中TCP三次握手在上图中未体现，握手成功后，进入认证阶段。 SMTP命令字说明 HELO客户端为标识自己的身份而发送的命令（通常带域名） EHLO使服务器可以表明自己支持扩展简单邮件传输协议(ESMTP) 命令。 MAIL FROM标识邮件的发件人；以MAIL FROM: 的形式使用。 RCPT TO标识邮件的收件人；以RCPT TO: 的形式使用。 DATA客户端发送的、用于启动邮件内容传输的命令。 RSET使整个邮件的处理无效，并重置缓冲区。 QUIT终止会话。 对于服务器的每个回复，都有一个返回码，这个返回码标志着上次的请求操作完成状态。如果第一个数字是2表示操作成功；3表示操作正在进行；5表示操作失败。 握手阶段 认证阶段 握手成功后，邮件服务器（上面示例是163的邮件服务器）会发送欢迎连接信息。然后是客户端HELO（或EHLO），向服务器标识用户身份；接下来进行认证操作。认证成功后，客户端告诉服务器这封邮件从哪个邮箱来，到哪个邮箱去，mail from只有一个，但是recpt to 后面可以跟多个收件人地址。成功后，客户端请求发送邮件数据。 数据发送阶段 服务器回复DATA命令后，会有一个结束符说明。如上图，就是以.结束邮件DATA。其中即为“\r\n”;

利用wireshark分析SMTP、POP3协议实验报告

利用wireshark分析SMTP、POP3协议实验报告

利用wireshark分析SMTP、POP3协议实验报告 一、实验目的 利用wireshark抓包，分析SMTP协议和POP3协议内容。 二、实验环境 连接Internet的计算机，系统为windows8.1； Foxmail，软件版本为7.2； Wireshark，软件版本为1.10.7。 三、实验过程 1.邮箱登陆及接收过程（POP3协议） 1)操作过程 打开wireshark开始俘获。然后打开Foxmail邮箱，输入用户名，密码，POP 服务器，SMTP服务器，如下图： 然后点击创建，登陆成功如下图：

然后点击收取，结果如下图： 打开wireshark，停止俘获，并保存（结果“capture_for_emailLogin.pcapng”另附）。 2)结果分析 因为POP3协议默认的传输协议是TCP协议，因此连接服务器要先进行三次握手，如下图：

连接成功，主机向服务器发送明文用户名和密码，如下图： 认证成功，开始接收处理，主机先向服务器发送SATA命令，得到邮件数量： 主机向服务器发送LIST命令，得到每封邮件的大小：

主机向服务器发送UIDL命令，得到这四封邮件的唯一标示符： 最后主机向服务器发送QUIT命令，回话结束： 2.邮寄发送过程（SMTP协议） 1)操作过程 打开wireshark，开始俘获。然后打开Foxmail，点击写邮件，写一封邮件，点发送，如下图： 然后打开wireshark，停止俘获，并保存（结果“capture_for_emailSend.pcapng”另附）。 2)结果分析

基于POP3与SMTP协议的邮件收发程序的开发

一、设计思想 电子邮件指用电子手段传送信件、单据、资料等信息的通信方法。电子邮件综合了电话通信和邮政信件的特点，它传送信息的速度和电话一样快，又能象信件一样使收信者在接收端收到文字记录。电子邮件系统又称基于计算机的邮件报文系统。它承担从邮件进入系统到邮件到达目的地为止的全部处理过程。电子邮件不仅可利用电话网络, 而且可利用任何通信网传送。在利用电话网络时, 还可利用其非高峰期间传送信息，这对于商业邮件具有特殊价值。由中央计算机和小型计算机控制的面向有限用户的电子系统可以看作是一种计算机会议系统。 电子邮件的工作过程遵循客户- 服务器模式。每份电子邮件的发送都要涉及到发送方与接收方，发送方式构成客户端，而接收方构成服务器，服务器含有众多用户的电子信箱。发送方通过邮件客户程序，将编辑好的电子邮件向邮局服务器（SMTP服务器）发送。邮局服 务器识别接收者的地址，并向管理该地址的邮件服务器（POP3服务器）发送消息。 一个邮件系统的传输包含用户代理User Agent 传输代理TransferAgent 及接受代理DeliveryAgent 三大部分。 用户代理是一个用户发信和收信的程序, 负责将电子邮件按照一定的标准包装,然后送至邮件服务器, 或由邮件服务器收回。传输代理负责信件的交换和传输。将信件传送至适当的邮件主机, 再由接受代理将信件分发至不同的邮件信箱。传输代理必须要能够接受用户邮件程序送来的信件，解读收信人的地址，根据SMTP协议将它正确无误地传递到目的地。现在一般的传输代理已采用Sendmail 程序完成工作。电子邮件到达邮件主机后, 在经接收代理POP协议被用户读取至自己的主机。 电子邮件在发送与接收过程中都要遵循SMTP POP3等协议，这些协议确保了电子邮件 在各种不同系统之间的传输。其中，SMTP负责电子邮件的发送，而POP3则用于接收In ternet 上的电子邮件。 SMTP（Simple Mail Transfer Protocol）即简单邮件传输协议，它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。SMTP协议属于TCP/ IP协议族, 它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器， 我们就可以把E—mail寄到收信人的服务器上了，整个过程只要几分钟。SMTP!务器则是遵循SMTP 协议的发送邮件服务器，用来发送或中转你发出的电子邮件。 POP3（Post Office Protocol 3）即邮局协议，目前已发展到第三版，称POP3它规 定怎样将个人计算机连接到Internet 的邮件服务器和下载电子邮件的电子协议。它是因特网电子邮件的第一个离线协议标准,POP3允许用户从服务器上把邮件存储到本地主机（即自己的计算机）上，同时删除保存在邮件服务器上的邮件，而POP3服务器则是遵循POP3协议 的接收邮件服务器，用来接收电子邮件的。总的来说POP3协议是让用户把服务器上的信收 到本地来所需要的一种协议。 本程序为一个基于SMTP和POP3协议的小型EMAIL收发程序，简单的实现了邮件的收发功能。

实验报告：网络协议分析工具Wireshark的使用

网络协议分析工具Wireshark的使用 课程名称：计算机通信网实验 学院（系）：计信学院 专业：电子信息工程 班级：电信一班 学号：0962610114 学生姓名：花青

一、实验目的 学习使用网络协议分析工具Wireshark的方法，并用它来分析一些协议。 二、实验原理和内容 1、tcp/ip协议族中网络层传输层应用层相关重要协议原理 2、网络协议分析工具Wireshark的工作原理和基本使用规则 三、实验环境以及设备 Pc机、双绞线 四、实验步骤（操作方法） 1.用Wireshark观察ARP协议以及ping命令的工作过程： （1）用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（2）用“arp”命令清空本机的缓存； （3）运行Wireshark，开始捕获所有属于ARP协议或TCP协议的，并且源或目的MAC地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）; （4）执行命令：“ping 缺省路由器的IP地址”； 2.用Wireshark观察tracert命令的工作过程： （1）运行Wireshark, 开始捕获tracert命令中用到的消息； （2）执行“tracert -d https://www.sodocs.net/doc/1810309491.html,” 根据Wireshark所观察到的现象思考并解释tracert的工作原理。 3.用Wireshark观察TCP连接的建立过程和终止过程： （1）启动Wireshark, 配置过滤规则为捕获所有源或目的是本机的Telnet协议中的包（提示：Telnet使用的传输层协议是TCP，它使用TCP端口号23）；（2）在Windows命令行窗口中执行命令“telnet https://www.sodocs.net/doc/1810309491.html,”，登录后再退出。

基于Wireshark的网络数据包内容解析

基于Wireshark的网络数据包内容解析 摘要本课程设计是利用抓包软件Wireshark，对网络服务器与客户端进行网络数据收发过程中产生的包进行抓取，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的。设计过程中对各种包进行抓取分析，各种包之间比较，了解每种包的传输过程与结构，通过本次课程设计，能很好的运用Wireshark对数据包分析和Wireshark各种运用，达到课程设计的目的。 关键词IP协议；TCP协议；UDP协议；ARP协议；Wireshark；计算机网络； 1 引言 本课程设计主要是设计一个基于Wireshark的网络数据包内容解析，抓取数据包，然后对所抓取的包进行分析，并结合的协议进行分析，达到了解各种数据包结构的目的 1.1 课程设计目的 Wireshark是一个网络封包分析软件。可以对网络中各种网络数据包进行抓取，并尽可能显示出最为详细的网络封包资料，计算机网络课程设计是在学习了计算机网络相关理论后，进行综合训练课程，其目的是： 1.了解并会初步使用Wireshark，能在所用电脑上进行抓包； 2.了解IP数据包格式，能应用该软件分析数据包格式。 1.2 课程设计要求 （1）按要求编写课程设计报告书，能正确阐述设计结果。 （2）通过课程设计培养学生严谨的科学态度，认真的工作作风和团队协作精神。 （3）学会文献检索的基本方法和综合运用文献的能力。

（4）在老师的指导下，要求每个学生独立完成课程设计的全部内容。 1.3 课程设计背景 一、Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。 二、网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。 网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具，因为我们知道网络程序都是以数据包的形式在网络中进行传输的，因此难免有协议头定义不对的。 网络嗅探的基础是数据捕获，网络嗅探系统是并接在网络中来实现对于数据的捕获的，这种方式和入侵检测系统相同，因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础，首先就来详细地介绍一下网络嗅探技术，接下来就其在网络监控系统的运用进行阐述。 2 网络协议基础知识 2.1 IP协议 （1） IP协议介绍

Wireshark抓包分析资料报告POP3和SMTP协议详情

Wireshark抓包分析POP3和SMTP协议 一、实验目的 1.初步掌握Wireshark的使用方法，熟悉抓包流程； 2.通过对Wireshark抓包实例进行分析，加强对POP3协议和 SMTP协议的理解； 3.培养动手实践能力和自主学习自主探究的精神。 二、实验要求 利用Wireshark软件抓包，得到登录的信息和发送的信息，并根据所抓包对POP3协议和SMTP协议进行分析。 三、实验环境 1.系统环境：Windows 8专业版 2.接收：Foxmail 6正式版 3.Wireshark：V1. 4.9 四、实验过程 （一）登录及接收过程（POP3协议） 1.POP3协议简介[1] POP3(Post Office Protocol 3)即邮局协议的第3个版本，它是规定个人计算机如何连接到互联网上的服务器进行收发的

协议。它是因特网电子的第一个离线协议标准，POP3协议允许用户从服务器上把存储到本机主机上，同时根据客户端的操作删除或保存在服务器上的。而POP3服务器则是遵循POP3协议的接收服务器，用来接收电子的。POP3协议是TCP/IP协议族中的一员，由RFC 1939 定义。本协议主要用于支持使用客户端远程管理在服务器上的电子。 2.实验过程 （1）准备工作 ●申请一个126 ●安装并配置Foxmail，将接收和发送的服务器分别设置 为POP3服务器和SMTP服务器 ●在安装好的Foxmail上添加申请到的126账户

添加后的信息 （2）打开Wireshark软件，选择正在联网的网卡，开始抓包。 （3）打开Foxmail，选择账号登录，点击左上角收取，开始连接服务器。

wireshark抓包分析

用wireshark分析Http 和Dns 报文 一、http请求报文和响应报文 wireshark所抓的一个含有http请求报文的帧： 1、帧的解释 链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链 路层的一帧。 图中解释： Frame 18：所抓帧的序号是11，大小是409字节 Ethernet ：以太网，有线局域网技术，属链路层 Inernet Protocol：即IP协议，也称网际协议，属网络层 Transmisson Control Protocol：即TCP协议，也称传输控 制协议。属传输层 Hypertext transfer protocol：即http协议，也称超文本传 输协议。属应用层 图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文 报文分析： 请求行： GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本 我们发现，报文里有对请求行字段的相关解释。该报文请求的是一个对象，该对象是图像。 首部行： Accept: */* Referer: https://www.sodocs.net/doc/1810309491.html,/这是网站网址 Accept-Language: zh-cn 语言中文 Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Window s NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理，浏览器的类型是Netscape浏览器；括号内 是相关解释 Host: https://www.sodocs.net/doc/1810309491.html,目标所在的主机 Connection: Keep-Alive 激活连接 在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：

wireshark—报文分析工具培训

报文分析工具培训 一、wireshark介绍（功能、基本使用方法、帮助） wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。 1. wireshark功能： ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?… 2. wireshark基本使用方法： （1）、双击“桌面图标”或执行文件“wireshark.exe” （2）、进入wireshark主界面后，点击左上角图标

（3）、在弹出的“抓包网卡选项”中，选择自己机器的物理网卡，并点击“Start”，开始抓包录制工作。（此处，我抓包使用的物理网卡为：192.168.100.61） 此时，软件抓包显示区域内数据不断变化

（4）、点击wireshark停止键，结束抓包过程 （5）、点击wireshark软件左上角“File”后，选择“Save”选项，在弹出的对话框中，输入存档文件名后，点击“保存”，完成数据包存储工作。 3. wireshark帮助 选择主菜单中的“Help”项，出现帮助菜单。

帮助菜单包含以下几项： Contents：打开一个基本的帮助系统。 Manual Pages：使用手册（HTML网页） Supported Protocols：Wireshark支持的协议清单 About Wireshark：弹出信息窗口显示Wireshark的一些相关信息，如插件，目录等二、wireshark抓取报文高级使用 在开始抓包前，点击“Filter”