Wireshark抓包分析报告POP3和SMTP协议详情

Wireshark抓包分析POP3和SMTP协议

一、实验目的

1.初步掌握Wireshark的使用方法，熟悉抓包流程；

2.通过对Wireshark抓包实例进行分析，加强对POP3协议和

SMTP协议的理解；

3.培养动手实践能力和自主学习自主探究的精神。

二、实验要求

利用Wireshark软件抓包，得到邮箱登录的信息和发送邮件的信息，并根据所抓包对POP3协议和SMTP协议进行分析。

三、实验环境

1.系统环境：Windows 8专业版

2.邮件接收：Foxmail 6正式版

3.Wireshark：V1.

4.9

四、实验过程

（一）邮箱登录及邮件接收过程（POP3协议）

1.POP3协议简介[1]

POP3(Post Office Protocol 3)即邮局协议的第3个版本，它是规定个人计算机如何连接到互联网上的邮箱服务器进行收

发邮件的协议。它是因特网电子邮件的第一个离线协议标准，

POP3协议允许用户从服务器上把邮件存储到本机主机上，同时根据客户端的操作删除或保存在邮箱服务器上的邮件。而POP3服务器则是遵循POP3协议的接收邮件服务器，用来接收电子邮

件的。POP3协议是TCP/IP协议族中的一员，由RFC 1939 定义。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。

2.实验过程

（1）准备工作

●申请一个126邮箱

●安装并配置Foxmail，将接收和发送邮件的服务器分别

设置为POP3服务器和SMTP服务器

●在安装好的Foxmail上添加申请到的126邮箱账户

添加后的邮箱信息

（2）打开Wireshark软件，选择正在联网的网卡，开始抓包。

（3）打开Foxmail，选择邮箱账号登录，点击左上角收取，邮箱开始连接服务器。

（4）关闭Foxmail，Wireshark停止抓包，找到包的位置，可以发现账号和密码都被找出来了。

3.分析过程

通过查找资料可知，主机向POP3服务器发送的命令采用命

令行形式，用ASCII码表示。服务器响应是由一个单独的命令行组成或多个命令行组成，响应第一行以ASCII文本+OK或-ERR(OK 指成功，-ERR指失败）指出相应的操作状态是成功还是失败。由上述报文可以分析出如下过程：

●因为POP3协议默认的传输协议时TCP协议[2]，因此连接服务

器要先进行三次握手

●主机需要提供账号和密码，并等待服务器确认

●认证成功以后，开始进入处理阶段

主机向服务器发送命令码STAT，服务器向主机发回邮箱的统计资料，包括邮件总数和总字节数（3个邮件，共17393个字节）

主机向服务器发送命令码UIDL，服务器返回每个邮件的唯

一标识符

三个邮件的标识符

主机向服务器发送命令码LIST，服务器返回邮件数量和每个邮件的大小

三个邮件的大小分别是14417字节、882字节、2096字节

主机向服务器发送命令码QUIT，终止会话。

●进一步分析可得到如下信息（以主机向服务器发送密码为例）

本机的端口号为65500 服务器端口号为110

本机和服务器MAC地址

POP协议是基于TCP/IP的协议

4.过程总结

由上述实验结果和实验分析可知，账户的登录过程为：当邮件发送到服务器后，账户登录时，电子邮件客户端会调用邮件客户端程序连接服务器，连接时先进行身份验证（账号和密码），验证成功以后通过向服务器发送一些命令码，从而获得所有未读的电子邮件信息到主机，完成登录过程和新邮件信息的获取。

从抓包结果来看，客户端向服务器采用明码来发送用户名和密码，在认证状态下服务器等待客户端连接时，客户端发出连接请求，并把由命令构成的user/pass用户身份信息数据明文发送给服务器。所以在抓包时可以看到未加密的密码。

（二）邮件发送过程（SMTP协议）

1.SMTP协议简介

SMTP（Simple Mail Transfer Protocol）即简单邮局传输协议。用于电子邮件系统中发送邮件。它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方。

SMTP协议使用客户端/服务器模型，发送邮件的进程是客户端，接收邮件的进程是服务器[3]。SMTP协议基于TCP协议，它帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,就可以把E－mail寄到收信人的服务器上了。SMTP服务器则是遵循SMTP协议的发送邮件服务器，用来发送或中转发出的电子邮件。

SMTP的默认端口是25.

2.实验过程

（1）准备阶段

软件和客户端已安装配置完毕。

（2）打开Foxmail客户端，点击撰写按钮

（3）打开Wireshark软件，选择正在上网的网卡，开始抓包

（4）点击Foxmail客户端，对于已编写好的邮件，点击左上角的发送按钮，邮件开始发送，发送成功以后，关闭界面，

（5）Wireshark停止抓包，查找

3.分析过程

（1）过程描述和解释

SMTP协议在发送SMTP和接收SMTP之间的会话是靠发送SMTP的SMTP命令和接收SMTP反馈的应答来完成的。在通讯链路建立后，发送SMTP发送MAIL命令指令邮件发送者，若接收SMTP此时可以接收邮件则作出OK的应答，然后发送SMTP 继续发出RCPT命令以确认邮件是否收到，如果接收到就作出OK的应答，否则就发出拒绝接收应答，但这并不会对整个邮件操作造成影响。双方如此反复多次，直至邮件处理完毕[4]。具体过程如下：

?因为SMTP协议是基于TCP的，所以先进行三次握手，

客户端与服务器建立TCP连接，服务器返回连接信息，

表示是否连接成功

?客户端向服务器发送命令“HELO”，并加上本机的主机

名（123shi），服务器响应并回复（250表示服务器可

用）

?客户端向服务器发送用户登录命令“AUTH LOGIN”，服

务器回复表示接受（“334”表示接受）

?客户端分别向服务器发送编码后的用户名和密码，服务

器分别回复“334”“235”表示接受

因为SMTP要求用户名和密码都通过64位编码后再发送，不接受明文的[5]

?客户端分别先后向服务器发送“MAIL FROM”和“RCPT TO”

命令，后面分别加上发件人的邮箱地址和收件人的邮箱

地址，服务器分别回应“250 Mail OK”表示成功接受

?接下来客户端向服务器发送命令“DATA”，表示将要向

服务器发送邮件正文，服务器回应“354 End data with

.”表示同意接收

?然后客户端将邮件拆分为3个包发送给服务器（大小分

别是356bytes、1460bytes,244bytes），服务器回应表

示成功接收（250）

?邮件已成功发送到服务器，客户端向服务器发送命令

“QUIT”，释放服务器连接，服务器返回“221”表示同

意

?双方释放TCP连接，通信过程结束

（2）邮件信息分析

刚开始打开拆分成的三个包，并没有找到关于邮件内容的什么信息，因为已经被拆分成了三个包，因此找不到也是情有可原的了，但可以得到总的大小为2060。

第一个包（包号39，大小356bytes）

第二个包（包号40，大小1460bytes）

第三个包（包号41，大小244bytes）但在第43个包IMF包里找到了邮件完整的信息

由包内的内容可以得到很多的信息：

?邮件是通过由包39，40，41得来的，总大小为

356+1460+244=2060

?邮件的发送日期，发件人名称和地址，收件人的名称和

地址

?邮件主题（已编码）、客户端的信息、正文内容等

以行为单位的文本数据：HTML文本，即文件格式（显然已加密）

4.过程总结

通过这次实验是我了解了很多，SMTP协议是基于TCP的协议，用于在网络上发送电子邮件。通过客户端与服务器的通信过程，每次向服务器发送不同的命令，得到服务器的回应可知是否成功，直到把邮件发送到服务器上。而后服务器由一条已经建立好的传输通道把邮件送到收件人所用的服务器上，收件人再根据POP协议从服务器上接收邮件，从而完成邮件的发送和接受过程。

和POP3协议不同的是，SMTP协议中客户端向服务器发送用户名和密码时不是明文发送的，需要经过64位编码后再发送，所以通过抓包是看不到的。而且文本内容也是加密的。

五、实验总结

通过本次实验，使得我对邮件的发送和接收过程有了一定的了解，锻炼了我的工具使用和分析协议的能力，也加深了我对网络协议的兴趣，正如教员所说，分析协议是一件很好玩的事情，网络协议看似很复杂，但相互之间还是有很多的联系，认真的研究真的会产生很多的乐趣。因为没有系统的学习过网络协议分析，又没有做过协议分析，半路子出家，查找资料的过程中难免会存在一些理解上的偏差，有些地方的分析会显得很肤浅甚至是错误的，而且本次实验重点分析了协议的过程，而对每个包的详细分析还显得不够，还请教员多多指导！！

六、参考文献

[1] 百度百科——POP3

[2] 百度文库——【论文】SMTP、POP3协议解析及实战

[3] 《网络协议分析》第一版寇晓蕤罗军勇蔡廷荣机械工

业出版社

[4] 百度百科——SMPT

[5]

https://www.sodocs.net/doc/493758358.html,/littlestream9527/article/details/73501 13

wireshark分析tcp协议

WireShark分析TCP协议 韩承昊3172700 摘要： 利用wireshark分析TCP协议的报文，和其基本行为，包括三 次握手，中间信息的交互，和最后的断开连接。其中通过中间信息的交互，可以看出TCP的累积式确认。 一：基本TCP报文分析 我们来看一个简单的TCP报文，现在蓝字选中的是源端口号，

我们可以看到在这个报文中是14065，下面对应的是相应的二进制代码，我们可以看到的确是16bit。紧随其后的16bit就是目的端口号。 下面是序号，Sequence number: 1169。接下来的32bit是确认号，Acknowledgement number: 19353。再后面是首部长度，Header length: 20 bytes，和未用的3bit数据。 0= Urgent:Not set，1=Acknowledgement: set，0= Push:Not set，0= Reset:Not set，0= Syn:Not set，0= Fin:Not set，这些表示的是一些标识位，是URG紧急标识，ACK确认标识，PSH推送标识，RST、SYN、FIN用于建立和结束连接。window size value：65535 表示接收窗口。 二：三次握手分析 三次握手的第一步，客户机端会向服务器端发送一个特殊的TCP报文段，这个报文段的SYN被置为1，并会发送一个起始序号seq。

我们看到SYN为1，且Sequence number=0，这样，面对这样的请求报文段，服务器听该返回一个SYN=1，返回自己的初始seq，并且要求主机发送下一个报文段的序号，ack=1。下面是服务端实际返回的报文。 正如我们所期待的那样，服务器返回了自己的seq=0，并且要求主机端发送下一个报文段，并且SYN=1。这样主机端就应该返回seq=1，ack=1，要求服务端发送下一个报文，并且SYN=0，结束建立连接阶段，结束三次握手。

wireshark抓包分析报告TCP和UDP

计 算 机 网 络Wireshark抓包分析报告

目录 1. 使用wireshark获取完整的UDP报文 (3) 2. 使用wireshark抓取TCP报文 (3) 2.1 建立TCP连接的三次握手 (3) 2.1.1 TCP请求报文的抓取 (4) 2.1.2 TCP连接允许报文的抓取 (5) 2.1.3 客户机确认连接报文的抓取 (6) 2.2 使用TCP连接传送数据 (6) 2.3 关闭TCP连接 (7) 3. 实验心得及总结 (8)

1. 使用wireshark获取完整的UDP报文 打开wireshark，设置监听网卡后，使用google chrome 浏览器访问我腾讯微博的首页 p.t.qq./welcomeback.php?lv=1#!/list/qqfriends/5/?pgv_ref=im.perinfo.perinfo.icon? ptlang=2052&pgv_ref=im.perinfo.perinfo.icon，抓得的UDP报文如图1所示。 图1 UDP报文 分析以上的报文容，UDP作为一种面向无连接服务的运输协议，其报文格式相当简单。第一行中，Source port：64318是源端口号。第二行中，Destination port：53是目的端口号。第三行中，Length：34表示UDP报文段的长度为34字节。第四行中，Checksum之后的数表示检验和。这里0x表示计算机中16进制数的开始符，其后的4f0e表示16进制表示的检验和，把它们换成二进制表示为：0100 1111 0000 1110. 从wireshark的抓包数据看出，我抓到的UDP协议多数被应用层的DNS协议应用。当一台主机中的DNS应用程序想要进行一次查询时，它构成了一个DNS 查询报文并将其交给UDP。UDP无须执行任何实体握手过程，主机端的UDP为此报文添加首部字段，并将其发出。 2. 使用wireshark抓取TCP报文 2.1 建立TCP连接的三次握手 建立TCP连接需要经历三次握手，以保证数据的可靠传输，同样访问我的腾讯微博主页，使用wireshark抓取的TCP报文，可以得到如图2所示的客户机和服务器的三次握手的过程。 图2 建立TCP连接的三次握手

利用wireshark分析SMTP、POP3协议实验报告

. .. ... 利用wireshark分析SMTP、POP3协议实验报告

利用wireshark分析SMTP、POP3协议实验报告一、实验目的 利用wireshark抓包，分析SMTP协议和POP3协议容。 二、实验环境 连接Internet的计算机，系统为windows8.1； Foxmail，软件版本为7.2； Wireshark，软件版本为1.10.7。 三、实验过程 1.登陆及接收过程（POP3协议） 1)操作过程 打开wireshark开始俘获。然后打开Foxmail，输入用户名，密码，POP 服务器，SMTP服务器，如下图：

然后点击创建，登陆成功如下图： 然后点击收取，结果如下图： 打开wireshark，停止俘获，并保存（结果“capture_for_emailLogin.pcapng”另附）。 2)结果分析

因为POP3协议默认的传输协议是TCP协议，因此连接服务器要先进行三次握手，如下图： 连接成功，主机向服务器发送明文用户名和密码，如下图： 认证成功，开始接收处理，主机先向服务器发送SATA命令，得到数量： 主机向服务器发送LIST命令，得到每封的大小：

主机向服务器发送UIDL命令，得到这四封的唯一标示符： 最后主机向服务器发送QUIT命令，回话结束： 2.邮寄发送过程（SMTP协议） 1)操作过程 打开wireshark，开始俘获。然后打开Foxmail，点击写，写一封，点发送，如下图：

然后打开wireshark，停止俘获，并保存（结果 “capture_for_emailSend.pcapng”另附）。 2)结果分析 因为SMTP协议是基于TCP协议的，所以要先进行三次握手： 主机向服务器发送EHLO加上主机名（val-pc），服务器响应并回复250,表示服务器可用： 主机向服务器发送发送用户登录命令“AHTU LOGIN”，服务器回复334，表示接受： 因为SMTP要求用户名和密码必须经过64位编码后发送，不接受明文。所以客户端分别向服务器发送编码后的用户名和密码，服务器分别回复334和235表示接受和通过： 客户端先后向服务器发送“MAIL FROM”和“RCPT TO”命令，后面分别接上发件人和收件人的地址。服务器分别回复“250 MAIL OK”，表示接受成功： 接下来客户端向服务器发送命令“DATA”，表示将要向服务器发送正文，服务器回应“354 End data with .”表示同意接收：

实验使用Wireshark分析

实验六使用W i r e s h a r k分析U D P 一、实验目的 比较TCP和UDP协议的不同 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 1、打开两次TCP流的有关跟踪记录，保存在中，并打开两次UDP流中的有关跟踪文件。如图所示： 图1：TCP 流跟踪记录 图2：UDP流跟踪记录 2、分析此数据包： （1）TCP传输的正常数据： 文件的分组1到13中显示了TCP连接。这个流中的大部分信息与前面的实验相同。我们在分组1到分组3中看到了打开连接的三次握手。分组10到分组13显示的则是连接的终止。我们看到分组10既是一个带有FIN标志的请求终止连接的分组，又是一个最后1080个字节的（序号是3921—5000）的重传。 TCP将应用程序写入合并到一个字节流中。它并不会尝试维持原有应用程序写人的边界值。我们注意到TCP并不会在单个分组中传送1000字节的应用程序写入。前1000个字节会在分组4种被发送，而分组5则包含了1460个字节的数据-----一些来自第二个缓冲区，而另一些来自第三个缓冲区。分组7中含有1460个字节而分组8中则包含剩余的1080个字节。（5000-0=1080） 我们注意到实际报告上的秒是从初始化连接的分组1开始到关闭连接的分组10结束。分组11—13未必要计入接收端应用程序的时间内，因为一旦接收到第一个FIN，TCP层便马上发送一个关闭连接的信号。分组11—13只可能由每台计算机操作系统得TCP层后台传输。 如果我们注意到第一个包含数据的分组4和最后一个分组8之间的时间，我们就大约计算出和由UDP接收端所报告的秒相同的时间。这样的话，增加TCP传输时间的主要原因就是分组10中的重传。公平的说，UDP是幸运的，因为它所有的分组都在第一时间被接受了。

wireshark抓包分析实验报告

Wireshark抓包分析实验 若惜年 一、实验目的： 1.学习安装使用wireshark软件，能在电脑上抓包。 2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。 二、实验内容： 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文： IP报文分析： 从图中可以看出： IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符：0xd74b 标志：0x02 比特偏移：0 寿命：48 上层协议：TCP 首部校验和：0x5c12 源IP地址为：119.75.222.18 目的IP为：192.168.1.108

从图中可以看出： 源端口号：1891 目的端口号：8000 udp报文长度为：28 检验和：0x58d7 数据长度：20 bytes UDP协议是一种无需建立连接的协议，它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报文段交给网络层。

第一次握手： 从图中看出： 源端口号：56770 目的端口号：80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手： 从图中看出： 源端口号是：80 目的端口号为：56770 序列号为：0 ack为：1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手： 从图中看出： 源端口：56770 目的端口：80 序列号为：1 ACK为：1 首部长为：20bytes Acknowledgement为1表示包含确认的报文 所以，看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议，在一个应用进程可以开始向另一个应用进程发送数据前，这两个进程必须先握手，即它们必须相互发送预备文段，建立确保传输的参数。

实验10 使用Wireshark分析SMTP和POP3协议

实验十使用Wireshark分析SMTP和POP3协议 一、实验目的 分析SMTP和POP3协议 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、实验步骤 大多数电子邮件客户端允许用户撰写电子邮件并将其方到发件箱中，还能发送发件箱中的邮件，接收新邮件到收件箱。大多数用户都知道必须连接到因特网才能发送和接收邮件，但他们可能不知道网络通信的细节。 发送邮件的过程和接收邮件的过程截然不同，它们甚至使用不同的应用层协议。电子邮件客户端通常使用邮件传送协议（Simple Mail Transfer Protocol, SMTP）来发送邮件，并用邮局协议（Post Office Protocol, POP）接收邮件。客户端发送邮件时，通常连接一台独立的本地邮件服务器，并将所有外发的邮件发送到这个服务器而不管接收者的地址。本地邮件服务器将报文放在发送邮件队列中。此时，电子邮件客户端不再涉及邮件的传输，而由本地邮件服务器负责对每个接收者传送邮件。SMTP不仅用于电子邮件客户端和本地邮件服务器之间的数据传输，而且还用于本地邮件服务器和每一个接收者的邮件服务器之间的数据传输。 一旦电子邮件报文到达接收者的邮件服务器，就随同该用户的其他接收邮件报文一起放在邮件队列中，用户可以通过类似的POP这样的协议来获取所有的接收邮件。 1、俘获发送邮件时SMTP分组 （1）启动IE，在IE工具栏中选择“邮件”-> “阅读邮件”，出现Outlook界面，在Outlook中选择“工具”->“选项”->“邮件设置”-> “电子邮件帐户...”，出现“电子邮件帐户”窗口，选择“添加新电子邮件帐户”,单击“下一步”，选择“POP3(P)”,单击“下一步”，将会出现如下界面：

利用wireshark分析HTTP协议实验报告

利用wireshark分析HTTP协议实验报告 姓名：杨宝芹 学号：2012117270 班级：电子信息科学与技术 时间：2014.12.26

利用wireshark分析HTTP协议实验报告 一、实验目的 分析HTTP协议。 二、实验环境 连接Internet的计算机，操作系统为windows8.1； Wireshark，版本为1.10.7； Google Chrome，版本为39.0.2171.65.m； 三、实验步骤 1.清空缓存 在进行跟踪之前，我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的，而不是从高速缓冲中取得的。之后，还要在客户端清空DNS 高速缓存，来确保Web服务器域名到IP地址的映射是从网络中请求。 2.启动wireshare 3.开始俘获 1)在菜单中选择capture-options，选择网络，打开start。如下图：

2)在浏览器地址栏中输入https://www.sodocs.net/doc/493758358.html,，然后结束俘获，得到如下结果： 3)在过滤器中选择HTTP，点击apply，得到如下结果：

在菜单中选择file-save，保存结果，以便分析。（结果另附） 四、分析数据 在协议框中选择“GET/HTTP/1.1”所在的分组会看到这个基本请求行后跟随 着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行，以此将该 首部与下一个首部隔开。“Host”首部在HTTP1.1版本中是必须的，它描述了URL 中机器的域名，本实验中式https://www.sodocs.net/doc/493758358.html,。这就允许了一个Web服务器在同一 时间支持许多不同的域名。有了这个数不，Web服务器就可以区别客户试图连接 哪一个Web服务器，并对每个客户响应不同的内容，这就是HTTP1.0到1.1版本 的主要变化。User-Agent首部描述了提出请求的Web浏览器及客户机器。接下 来是一系列的Accpet首部，包括Accept（接受）、Accept-Language（接受语言）、 Accept-Encoding（接受编码）、Accept-Charset（接受字符集）。它们告诉Web

wireshark抓包分析了解相关协议工作原理

安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月

Wireshark抓包分析了解相关协议工作原理 学生：康谦班级：09计算机2班学号：09168168 指导教师：饶元 （安徽农业大学信息与计算机学院合肥） 摘要：本文首先ping同一网段和ping不同网段间的IP地址，通过分析用wireshark抓到的包，了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问https://www.sodocs.net/doc/493758358.html,抓到的包与访问https://www.sodocs.net/doc/493758358.html,抓到的包之间的区别，分析了访问二者网络之间的不同。 关键字：ping 同一网段不同网段 wireshark 协议域名服务器 正文： 一、ping隔壁计算机与ping https://www.sodocs.net/doc/493758358.html,抓到的包有何不同，为什么？（1）、ping隔壁计算机 ARP包：

ping包： （2）ing https://www.sodocs.net/doc/493758358.html, ARP包：

Ping包： （3）考虑如何过滤两种ping过程所交互的arp包、ping包；分析抓到的包有

何不同。 答：ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题，如果要找的主机和源主机不在同一个局域网上，就会解析出网 关的硬件地址。 二、访问https://www.sodocs.net/doc/493758358.html,，抓取收发到的数据包，分析整个访问过程。（1）、访问https://www.sodocs.net/doc/493758358.html, ARP（网络层）： ARP用于解析IP地址与硬件地址的映射，本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组，询问IP地址为192.168.0.10的硬件地址，IP地址为192.168.0.100所在的主机见到自己的IP 地址，于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS（应用层）： DNS用于将域名解析为IP地址，首先源主机发送请求报文询问https://www.sodocs.net/doc/493758358.html, 的IP地址，DNS服务器210.45.176.18给出https://www.sodocs.net/doc/493758358.html,的IP地址为210.45.176.3

【小技巧】wireshark定位抓包与定位查看

【实用技巧】wireshark过滤抓包与过滤查看在分析网络数据和判断网络故障问题中，都离不开网络协议分析软件（或叫网络嗅探器、抓包软件等等）这个“利器”，通过网络协议分析软件我们可以捕获网络中正常传输哪些数据包，通过分析这些数据包，我们就可以准确地判断网络故障环节出在哪。网络协议分析软件众多，比如ethereal（wireshark的前身),wireshark,omnipeek,sniffer,科来网络分析仪（被誉为国产版sniffer，符合我们的使用习惯）等等，本人水平有限，都是初步玩玩而已，先谈谈个人对这几款软件使用感受，wireshark（ethereal）在对数据包的解码上，可以说是相当的专业，能够深入到协议的细节上，用它们来对数据包深入分析相当不错，更重要的是它们还是免费得，但是用wireshark（ethereal）来分析大量数据包并在大量数据包中快速判断问题所在，比较费时间，不能直观的反应出来，而且操作较为复杂。像omnipeek,sniffer,科来网络分析仪这些软件是专业级网络分析软件，不仅仅能解码（不过有些解码还是没有wireshark专业），还能直观形象的反应出数据情况，这些软件会对数据包进行统计，并生成各种各样的报表日志，便于我们查看和分析，能直观的看到问题所在，但这类软件是收费，如果想感受这类专业级的软件，我推荐玩科来网络分析仪技术交流版，免费注册激活，但是只能对50个点进行分析。废话不多说，下面介绍几个wireshark使用小技巧，说的不好，还请各位多指点批评。 目前wireshark最新版本是1.7的，先简单对比下wireshark的1.6和1.7版本。 下面是wireshark的1.6版本的界面图：

利用wireshark分析SMTP、POP3协议实验报告

利用wireshark分析SMTP、POP3协议实验报告

利用wireshark分析SMTP、POP3协议实验报告 一、实验目的 利用wireshark抓包，分析SMTP协议和POP3协议内容。 二、实验环境 连接Internet的计算机，系统为windows8.1； Foxmail，软件版本为7.2； Wireshark，软件版本为1.10.7。 三、实验过程 1.邮箱登陆及接收过程（POP3协议） 1)操作过程 打开wireshark开始俘获。然后打开Foxmail邮箱，输入用户名，密码，POP 服务器，SMTP服务器，如下图： 然后点击创建，登陆成功如下图：

然后点击收取，结果如下图： 打开wireshark，停止俘获，并保存（结果“capture_for_emailLogin.pcapng”另附）。 2)结果分析 因为POP3协议默认的传输协议是TCP协议，因此连接服务器要先进行三次握手，如下图：

连接成功，主机向服务器发送明文用户名和密码，如下图： 认证成功，开始接收处理，主机先向服务器发送SATA命令，得到邮件数量： 主机向服务器发送LIST命令，得到每封邮件的大小：

主机向服务器发送UIDL命令，得到这四封邮件的唯一标示符： 最后主机向服务器发送QUIT命令，回话结束： 2.邮寄发送过程（SMTP协议） 1)操作过程 打开wireshark，开始俘获。然后打开Foxmail，点击写邮件，写一封邮件，点发送，如下图： 然后打开wireshark，停止俘获，并保存（结果“capture_for_emailSend.pcapng”另附）。 2)结果分析

计算机网络实验-使用Wireshark分析IP协议

实验三使用Wireshark分析IP协议 一、实验目的 1、分析IP协议 2、分析IP数据报分片 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址，然后被发送到网络中。如果源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机器将接收被传送的数据报，并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。 IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。IP能够使数据报适应于其途径的每个网络。例如，每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。 表 DHCP报文

者续借租用 DHCP-ACK DHCP服务器通知客户端可以使用分配的IP地址和配置参 数 DHCP-NAK DHCP服务器通知客户端地址请求不正确或者租期已过期， 续租失败 DHCP-RELEASE DHCP客户端主动向DHCP服务器发送，告知服务器该客户 端不再需要分配的IP地址 DHCP-DECLINE DHCP客户端发现地址冲突或者由于其它原因导致地址不 能使用，则发送DHCP-DECLINE报文，通知服务器所分配的 IP地址不可用 DHCP-INFORM DHCP客户端已有IP地址，用它来向服务器请求其它配置 参数 图 DHCP报文 1、使用DHCP获取IP地址

wireshark抓包分析

用wireshark分析Http 和Dns 报文 一、http请求报文和响应报文 wireshark所抓的一个含有http请求报文的帧： 1、帧的解释 链路层的信息上是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据。而wireshark抓到的就是链 路层的一帧。 图中解释： Frame 18：所抓帧的序号是11，大小是409字节 Ethernet ：以太网，有线局域网技术，属链路层 Inernet Protocol：即IP协议，也称网际协议，属网络层 Transmisson Control Protocol：即TCP协议，也称传输控 制协议。属传输层 Hypertext transfer protocol：即http协议，也称超文本传 输协议。属应用层 图形下面的数据是对上面数据的16进制表示。

2、分析上图中的http请求报文 报文分析： 请求行： GET /img/2009people_index/images/hot_key.gif HTTP/1.1 方法字段/ URL字段/http协议的版本 我们发现，报文里有对请求行字段的相关解释。该报文请求的是一个对象，该对象是图像。 首部行： Accept: */* Referer: https://www.sodocs.net/doc/493758358.html,/这是网站网址 Accept-Language: zh-cn 语言中文 Accept-Encoding: gzip, deflate 可接受编码，文件格式User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Window s NT 5.1; SV1; CIBA; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; 360SE) 用户代理，浏览器的类型是Netscape浏览器；括号内 是相关解释 Host: https://www.sodocs.net/doc/493758358.html,目标所在的主机 Connection: Keep-Alive 激活连接 在抓包分析的过程中还发现了另外一些http请求报文中所特有的首部字段名，比如下面http请求报文中橙黄色首部字段名：

Wireshark抓包实例分析

Wireshark抓包实例分析 通信工程学院010611班赖宇超01061093 一．实验目的 1.初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际，知行合一的学术精神。 二．实验原理 1.用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。 2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。 3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。 三．实验环境 1.系统环境：Windows 7 Build 7100 2.浏览器：IE8 3.Wireshark：V 1.1.2 4.Winpcap：V 4.0.2 四．实验步骤 1.Wireshark简介 Wireshark（原Ethereal）是一个网络封包分析软件。其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。其使用目的包括：网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的

相关知识……当然，有的人也会用它来寻找一些敏感信息。 值得注意的是，Wireshark并不是入侵检测软件（Intrusion Detection Software,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。 2.实例 实例1：计算机是如何连接到网络的？ 一台计算机是如何连接到网络的？其间采用了哪些协议？Wireshark将用事实告诉我们真相。如图所示： 图一：网络连接时的部分数据包 如图，首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境，但必须事先获得客户端的硬件地址，而且，与其对应的IP地址是静态的。DHCP是BOOTP 的增强版本，包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议(Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。 让我们来看一下数据包的传送过程：

Wireshark抓包分析资料报告POP3和SMTP协议详情

Wireshark抓包分析POP3和SMTP协议 一、实验目的 1.初步掌握Wireshark的使用方法，熟悉抓包流程； 2.通过对Wireshark抓包实例进行分析，加强对POP3协议和 SMTP协议的理解； 3.培养动手实践能力和自主学习自主探究的精神。 二、实验要求 利用Wireshark软件抓包，得到登录的信息和发送的信息，并根据所抓包对POP3协议和SMTP协议进行分析。 三、实验环境 1.系统环境：Windows 8专业版 2.接收：Foxmail 6正式版 3.Wireshark：V1. 4.9 四、实验过程 （一）登录及接收过程（POP3协议） 1.POP3协议简介[1] POP3(Post Office Protocol 3)即邮局协议的第3个版本，它是规定个人计算机如何连接到互联网上的服务器进行收发的

协议。它是因特网电子的第一个离线协议标准，POP3协议允许用户从服务器上把存储到本机主机上，同时根据客户端的操作删除或保存在服务器上的。而POP3服务器则是遵循POP3协议的接收服务器，用来接收电子的。POP3协议是TCP/IP协议族中的一员，由RFC 1939 定义。本协议主要用于支持使用客户端远程管理在服务器上的电子。 2.实验过程 （1）准备工作 ●申请一个126 ●安装并配置Foxmail，将接收和发送的服务器分别设置 为POP3服务器和SMTP服务器 ●在安装好的Foxmail上添加申请到的126账户

添加后的信息 （2）打开Wireshark软件，选择正在联网的网卡，开始抓包。 （3）打开Foxmail，选择账号登录，点击左上角收取，开始连接服务器。

SMTP与POP协议简析

SMTP、POP协议简析

作者：李鹏博时间：2016/06

1．SMTP协议与POP协议说明 SMTP（Simple Mail Transfer Protocol）即简单邮件传输协议，它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。 POP（Post Office Protocol）即邮局协议，用于电子邮件的接收。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。本文只介绍POP3。 2．SMTP协议简析 通过抓包，可以看到清晰的服务器与客户端的交流过程。如下图。

如上图，将整个流程分为三部分：握手阶段、认证阶段、发送数据阶段。其中TCP三次握手在上图中未体现，握手成功后，进入认证阶段。 SMTP命令字说明 HELO客户端为标识自己的身份而发送的命令（通常带域名） EHLO使服务器可以表明自己支持扩展简单邮件传输协议(ESMTP) 命令。 MAIL FROM标识邮件的发件人；以MAIL FROM: 的形式使用。 RCPT TO标识邮件的收件人；以RCPT TO: 的形式使用。 DATA客户端发送的、用于启动邮件内容传输的命令。 RSET使整个邮件的处理无效，并重置缓冲区。 QUIT终止会话。 对于服务器的每个回复，都有一个返回码，这个返回码标志着上次的请求操作完成状态。如果第一个数字是2表示操作成功；3表示操作正在进行；5表示操作失败。 握手阶段 认证阶段 握手成功后，邮件服务器（上面示例是163的邮件服务器）会发送欢迎连接信息。然后是客户端HELO（或EHLO），向服务器标识用户身份；接下来进行认证操作。认证成功后，客户端告诉服务器这封邮件从哪个邮箱来，到哪个邮箱去，mail from只有一个，但是recpt to 后面可以跟多个收件人地址。成功后，客户端请求发送邮件数据。 数据发送阶段 服务器回复DATA命令后，会有一个结束符说明。如上图，就是以.结束邮件DATA。其中即为“\r\n”;

wireshark分析HTTP

利用Wireshark分析协议HTTP 一、实验目的 分析HTTP协议 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、实验步骤 3.1课程设计步骤 (1)启动WireShark。 图 3.1 wireshark启动界面 (2)启动PC上的chrome浏览器。

图3.2 启动chrome浏览器 (3) 开始分组捕获：选择“抓包”下拉菜单中的“抓包参数选择”命令，在 WireShark：“抓包选项”窗口中可以设置分组捕获的选项。 (4) 在这次实验中，使用窗口中显示的默认值。选择“抓包”下拉菜单中的 “网络接口”命令，显示计算机中所安装的网络接口(即网卡)。我们需要选择电 脑真实的网卡，点击后显示本机的IP地址。 (5) 随后，点击“开始”则进行分组捕获，所有由选定网卡发送和接收的分 组都将被捕获。 图3.4 抓包选项设置

(6) 待捕获一段时间，关闭浏览器，选择主窗口中有的“stop”按钮，可以停止分组的捕获。 图3.5 结束按钮 3.2 抓包并分析过程 这次实验通过分析打开谷歌主页来分析http协议的作用。 在filter中输入http进行筛选。 wireshark所抓的含有http请求报文的帧： 图3.6 打开谷歌主页抓到的HTTP包 对打开谷歌网页这个事务进行分析：在浏览器中输入谷歌主页地址，敲击回车的过程中，浏览器向DNS请求解析https://www.sodocs.net/doc/493758358.html,的IP地址。域名系统DNS 解析出谷歌服务器的IP地址为173.194.72.199在这个过程中本机IP 10.10.22.75。然后浏览器与服务器建立TCP连接(服务器端的IP地址为173.194.72.199，端口是80)。然后浏览器发出取文件命令：GET /webhp?hl=zh-CN&sourceid=cnhp HTTP/1.1\r\n。服务器给出响应把文件(text/html)发送给浏览器，浏览器显示 text/html中的所有文本。浏览器下载网页文本内容，网页文本中标记着图片、CSS 文件和Flash等等。在这次课程设计中谷歌主页还包括谷歌logo图片和其他一些内容，浏览器分析出这些内容后开4个线程对这些内容进行下载，分别向服务器发送请求报文，服务器接收到内容后根据HTTP协议发送响应报文。所有的内容

SMTP与POP协议简析

SMTP、POP协议简析 作者：李鹏博 时间：2016/06

1．SMTP协议与POP协议说明 SMTP（Simple Mail Transfer Protocol）即简单邮件传输协议，它是一组用于由源地址到目的地址传送邮件的规则，由它来控制信件的中转方式。 POP（Post Office Protocol）即邮局协议，用于电子邮件的接收。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。本文只介绍POP3。 2．SMTP协议简析 通过抓包，可以看到清晰的服务器与客户端的交流过程。如下图。 如上图，将整个流程分为三部分：握手阶段、认证阶段、发送数据阶段。其中TCP三次握手在上图中未体现，握手成功后，进入认证阶段。 SMTP命令字说明 HELO客户端为标识自己的身份而发送的命令（通常带域名） EHLO使服务器可以表明自己支持扩展简单邮件传输协议(ESMTP) 命令。

MAIL FROM标识邮件的发件人；以MAIL FROM: 的形式使用。 RCPT TO标识邮件的收件人；以RCPT TO: 的形式使用。 DATA客户端发送的、用于启动邮件内容传输的命令。 RSET使整个邮件的处理无效，并重置缓冲区。 QUIT终止会话。 对于服务器的每个回复，都有一个返回码，这个返回码标志着上次的请求操作完成状态。如果第一个数字是2表示操作成功；3表示操作正在进行；5表示操作失败。 握手阶段 认证阶段 握手成功后，邮件服务器（上面示例是163的邮件服务器）会发送欢迎连接信息。然后是客户端HELO（或EHLO），向服务器标识用户身份；接下来进行认证操作。认证成功后，客户端告诉服务器这封邮件从哪个邮箱来，到哪个邮箱去，mail from只有一个，但是recpt to 后面可以跟多个收件人地址。成功后，客户端请求发送邮件数据。 数据发送阶段 服务器回复DATA命令后，会有一个结束符说明。如上图，就是以.结束邮件DATA。其中即为“\r\n”; 数据内容规格一般是按照MIME协议生成，具体参见《MIME协议的内容分析及解析说明》。 数据发送完成后客户端以QUIT命令主动退出。邮件发送完成，流程结束。 3．POP协议简析 POP命令字说明 USER <用户名> 用户登录。 PASS <密码> 发送用户密码。 STAT返回邮箱列表（邮件数量、字节）。 LIST 返回邮件数量和每个邮件的大小。 UIDL 返回邮件的唯一标识符，pop3会话的每个标识符都将是唯一的。 RETR <邮件编号> 传回指定的邮件，以只有一个“.”号的行结束。 QUIT关闭连接。 服务器命令回应的第一行以“+OK”或“-ERR”（+OK指成功，-ERR指失败）指出相应的操作状态是成功还是失败。

SMTP及POP3协议分析

网络协议分析与设计实验报告 实验名称：实验六SMTP及POP3协议分析 班级：姓名：学号： 实验地点：日期：2012年10 月20 日 一、实验目的： 1.掌握SMTP协议和POP协议的工作原理和工作过程 2.掌握SMTP协议和POP协议的常用命令 二、实验环境： 1.联网并运行SimpleNPTS软件的PC机 2.已配置好的SMTP和POP3服务器 3.安装了邮件客户端程序（如Outlook Express）的工作站 三、实验内容和要求： 1、捕获并分析SMTP协议工作过程中发送和接收的报文 2、捕获并分析POP3协议工作过程中发送和接收的报文 3、在与邮件服务器建立的TCP连接上发送SMTP和POP3命令，实现邮件的发送和接收 4、构造并发送SMTP报文 5、构造并发送POP3报文 四、实验步骤： 1、开启网络协议分析软件，设置过滤器为只捕获SMTP和POP3协议报文。 2、在一个支持SMTP发送邮件、POP3接收邮件的邮件服务器上申请一个邮箱，然后按照已 申请的邮箱信息对邮件客户端软件进行配置。 3、使用邮件客户软件创建并发送一封邮件，利用网络协议软件捕获并分析SMTP报文和 SMTP服务器的响应报文。 4、使用邮件客户软件从自己的邮箱中接收邮件，利用网络协议软件捕获并分析POP报文和 POP3服务器的响应报文。 5、利用TCP连接工具与SMTP服务器建立TCP连接，然后在该连接上使用SMTP命令来发 送邮件。捕获并分析该过程中发送和接收的SMTP报文。 6、利用TCP连接工具与POP3服务器建立TCP连接，然后在该连接上使用POP3命令来接 收邮件。捕获并分析该过程中发送和接收到的POP3报文。 7、编辑并发送POP3报文，以实现登录到POP3服务器。

wireshark—报文分析工具培训

报文分析工具培训 一、wireshark介绍（功能、基本使用方法、帮助） wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。 1. wireshark功能： ?支持UNIX和Windows平台 ?在接口实时捕捉包 ?能详细显示包的详细协议信息 ?可以打开/保存捕捉的包 ?可以导入导出其他捕捉程序支持的包数据格式 ?可以通过多种方式过滤包 ?多种方式查找包 ?通过过滤以多种色彩显示包 ?创建多种统计分析 ?… 2. wireshark基本使用方法： （1）、双击“桌面图标”或执行文件“wireshark.exe” （2）、进入wireshark主界面后，点击左上角图标

（3）、在弹出的“抓包网卡选项”中，选择自己机器的物理网卡，并点击“Start”，开始抓包录制工作。（此处，我抓包使用的物理网卡为：192.168.100.61） 此时，软件抓包显示区域内数据不断变化

（4）、点击wireshark停止键，结束抓包过程 （5）、点击wireshark软件左上角“File”后，选择“Save”选项，在弹出的对话框中，输入存档文件名后，点击“保存”，完成数据包存储工作。 3. wireshark帮助 选择主菜单中的“Help”项，出现帮助菜单。

帮助菜单包含以下几项： Contents：打开一个基本的帮助系统。 Manual Pages：使用手册（HTML网页） Supported Protocols：Wireshark支持的协议清单 About Wireshark：弹出信息窗口显示Wireshark的一些相关信息，如插件，目录等二、wireshark抓取报文高级使用 在开始抓包前，点击“Filter”

Wireshark抓包工具计算机网络实验

实验一 Wireshark使用 一、实验目的 1、熟悉并掌握Wireshark的基本使用； 2、了解网络协议实体间进行交互以及报文交换的情况。 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、预备知识 要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。 Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从https://www.sodocs.net/doc/493758358.html,下载。 运行Wireshark程序时，其图形用户界面如图2所示。最初，各窗口中并无数据显示。Wireshark的界面主要有五个组成部分： 命令和菜单 协议筛选框 捕获分组 列表 选定分组 首部明细 分组内容 左：十六进制 右：ASCII码 图1

●命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。 ●协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark 据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。 ●捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名，可以使分组列表按指定列排序。其中，协议类型是发送或接收分组的最高层协议的类型。 ●分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息，需要查看哪层信息，双击对应层次或单击该层最前面的“＋”即可。 ●分组内容窗口（packet content）：分别以十六进制（左）和ASCII码（右）两种格式显示被捕获帧的完整内容。 四、实验步骤 1.启动Web浏览器（如IE）； 2.启动Wireshark； 3.开始分组捕获：单击工具栏的按钮，出现如图3所示对话框，[options]按钮可以进行系统参数设置，在绝大部分实验中，使用系统的默认设置即可。当计算机具有多个网卡时，选择其中发送或接收分组的网络接口（本例中，第一块网卡为虚拟网卡，第二块为以太网卡）。单击“Start”开始进行分组捕获；