Wireshark在TCP/IP網絡協議教學中的應用

摘要:本文結合“計算機網絡”課程的教學，并通過網絡教學實踐，對課程的教學方法進行了探討。通過實例介紹了利用Wireshark捕獲網絡通信數據包，分析網絡協議的數據傳輸機制，強調培養學生解決問題的應用能力。

關鍵詞:“計算機網絡”教學;Wireshark;TCP/IP

“計算機網絡”課程作為計算機科學與技術、網絡工程、通信工程和軟件工程等專業的主干課，其地位在課程體系群中尤為重要。學習這門課程，最重要的是掌握計算機網絡的原理，了解網絡硬件和軟件的工作機制。計算機網絡基礎理論復雜抽象，概念眾多，對剛開始學習計算機網絡的學生來說，這些概念和協議是非常難以理解和記憶的。計算機網絡原理主要描述的是各層的功能及其協議和服務，具體地說就是要理解網絡的相關功能層概念和網絡體系結構(包括OSI參考模型、TCP/IP模型協議族)，以及功能模塊之間的協議交互[1]，這是學好計算機網絡的關鍵。網絡體系結構是計算機網絡及其部件所應完成的功能的精確定義。計算機網絡原理主要講述的就是各層的功能及其協議和服務。在計算機網絡教學過程中，利用Wireshark網絡探測和分析軟件，通過從網絡中實時捕獲幾種常見協議數據包并進行分析，使學生對一些協議的工作原理及結構有了更加深刻的理解和認識[2]。

1Wireshark簡介

Wireshark(原名Ethereal)是目前世界上最受歡迎的協議分析軟件，利用它可將捕獲到的網絡二進制數據流翻譯為人們容易讀懂和理解的文字和圖表等形式，極大地方便了對網絡活動的監測分析和教學實驗。它有十分豐富和強大的統計分析功能，可在Windows，Linux 和UNIX等系統上運行。它允許在一個網絡內部實時捕獲和分析數據包，用戶可以通過圖形界面很直觀地瀏覽捕獲到的數據信息，研究數據包每一層的詳細信息[3]。

學習和理解計算機網絡原理的最好方法是，理論聯系實際。在一個現實的局域網中，網絡數據流往往是來自不同用戶的各種各樣協議數據的大混雜，因此利用Wireshark的“捕獲過濾器”和“顯示過濾器”，從錯綜復雜的數據流中迅速提取自己所關心的網絡信息，了解和掌握網絡的工作原理和協議的交互過程。

Wireshark使用目的是網絡管理員使用Wireshark來檢測網絡問題、網絡安全工程師使用Wireshark來檢查資訊安全相關問題、開發者使用Wireshark來為新的通訊協議除錯、普通使用者使用Wireshark來學習網絡協議的相關知識等。

2用Wireshark分析網絡協議

網絡協議是網絡上所有設備(網絡服務器、計算機及交換機、路由器、防火墻等)之間通信規則的集合，它定義了通信時信息必須采用的格式和這些格式的意義。TCP/IP(Transmission Control Protocol / Internet Protocol)，即傳輸控制協議/互聯網協議是不同操作系統的計算機網絡互連的通用協議，它是一組計算機通信協議族，其中最著名的兩個協議是TCP及IP協議。TCP/IP協議具有開放式互聯環境，很容易實現各種局域網和廣域網的集成式互聯。此協議是當今技術最成熟、應用最廣泛的網絡協議[4]。

TCP是一種面向連接的、可靠的運輸層協議，TCP數據傳輸(只有連接建立后才可進行數據傳輸)需要通過在客戶端和服務器端建立特定的虛電路連接來完成，該過程通常被稱為“三次握手”，即發送方先發送連接請求，然后接收方進行連接確認，最后發送方對接收方的確認再次進行確認(圖1)。下面就以Wireshark對 TCP連接建立交互過程的數據包捕獲分析為例，來說明對TCP/IP協議實現的分析。

2.1建立捕獲TCP連接報文的實驗環境

PCATTCP是一款不錯的測試局域網網絡速度的軟件。在局域網中，兩臺主機通過交換機連接起來。在服務器端和客戶端都安裝和運行PCATTCP進行通信，產生TCP流。啟動Wireshark進行數據包捕獲，單擊Capture→Interfaces菜單，選擇自己的網卡，選擇Start開始監控流量。在服務器端運行ttcp，監聽TCP的5001端口。圖2是服務器端的完整命令行輸出:

服務器配置好后，在客戶端運行ttcp，雙方開始通信。

2.2TCP報文分析

2.2.1客戶端發送連接請求

捕捉到的TCP 連接報文如圖3所示。

從圖3可以看出，客戶端發出的連接請求數據包封裝了三個頭信息:以太網(Ethernet)幀、IP數據報和TCP報文段。在數據鏈路層，數據以幀的方式進行傳輸。在網絡層，加工的主要數據對象是IP數據報。IP協議是TCP/IP協議族中的核心協議之一，所有的TCP、UDP、ICMP數據都以IP數據報格式傳輸。

在運輸層，主要數據對象是TCP報文?？蛻舳税l送的連接請求如圖4所示。

第一條報文是沒有數據的TCP報文段，并且將首部的SYN位設置為1。因此，第一條報文常常被稱為SYN分組。這個報文段里的序列號是由系統隨機設置的數值，表示客戶端為后續報文設定的起始編號。此TCP報文段，序列號SEQ在連接請求時相對初始值是0，其實際值是c9 f4 65 c2;確認號是00 00 00 00，ACK標志為0表明確認號被忽略。SYN=1表示正在進行連接請求，通過SYN和ACK也可以用來區分Connection Request和Connection Accepted，在連接請求中，SYN=1、ACK=0，連接響應時，SYN=1、ACK=1。

SYN分組通常是從客戶端發送到服務器端。這個報文段請求建立連接。因為一旦成功建立連接，服務器進程必須已經在監聽SYN分組所指示的IP地址和端口號[5]。如果沒有建立連接，SYN分組將不會應答。如果第一個分組丟失了，客戶端通常會發送若干個SYN分組，如果多次嘗試不成功，客戶端將會停止并報告一個錯誤給應用程序。

2.2.2服務端連接響應

當服務器接收到連接請求時，就對請求方進行響應，以確認收到客戶端的第一個TCP報文段。響應的報文段SYN位和ACK位都將置1。通常稱這個報文段為SYNACK分組。SYNACK分組在確認收到SYN分組的同時也發出一個初始的數據流序列號，表示服務器發向客戶端的數據序號，它不需要與剛才客戶端發來的數據流的序列號相匹配。服務器端響應的數據包如圖5所示。

此數據包的起始序列號SEQ在協議框中顯示為0，在原始框中的實際值為63 cf 1a c9。所有初始序列號邏輯上都視同為序列號0。ACK標志為1表明確認號有效，SYN仍然為1。

圖6中確認號在協議框中顯示為1，在原始框中的值為c9 f4 65 c3(比c9 f4 65 c2多1)。這解釋了TCP的確認模式，TCP接收端確認第X個字節已經收到，并通過設置確認號為X+1來表明期望收到的下一個字節號。

2.2.3客戶端連接確認

在TCP連接建立的最后階段，客戶端對接收到數據包的服務器端進行確認，到此為止建立完整的TCP連接，開始全雙工模式的數據傳輸過程。客戶端收到服務器端確認后，發送帶有ACK標志的TCP報文段來完成三次握手的過程[6]。這個報文段將確認服務器端發送的SYNACK分組，并檢查TCP連接的兩端是否正確地打開和運作。

如圖7所示，在確認階段，數據包由客戶端發送至服務器端，TCP中的序列號為c9 f4 65 c3(即上次服務器響應報文的確認號)。

圖8中，報文段的本次確認號為63 cf 1a ca(即上次的序列號加1)表示客戶端下一次希望從主機接收的數據的起始位置。ACK標志為1表明確認號有效，SYN置為0表示連接建立結束。連接建立后，雙方可以根據各自的窗口尺寸開始傳輸數據。

2.3小結

從以上的圖可以看出，利用Wireshark可以針對每一數據包，完成從鏈路層、網絡層、運輸層到應用層的協議解析。通過上面步驟，可以更加直觀的觀察到TCP三次握手建立的過程，有助于理解TCP及其工作原理，掌握協議的語法細節。

3結語

計算機網絡基本理論復雜抽象，不易理解，但這部分內容又是進一步學習“計算機網絡”課程，培養實踐應用能力的基礎。在教學過程中，通過合理組織授課內容，采用先進的教學方法和較為科學的教學手段，使學生能夠較好地掌握計算機網絡的基本理論和方法。利用Wireshark網絡協議分析軟件，進行網絡性能參數和數據代碼的捕獲分析，了解協議的封裝結構、交互過程，對于計算機網絡教學有很大的幫助。

參考文獻:

[1] 謝希仁. 計算機網絡[M]. 大連:大連理工大學出版社，2004.

[2] 楊春勇，潘文君，朱翠濤. 計算機網絡課程教學及輔助教學方法研究[J]. 高等函授學報:自然科學版，2008，21(6):12-14.

[3] Angela Orebaugh，Gilbert Ramirez，Jay Beale. Wireshark Ethereal Network Protocol Analyzer Toolkit[M]. Burlington:Syngress Press，2006.

[4] Forouzan.B.A. TCP/IP協議族[M]. 3版. 謝希仁，等譯. 北京:清華大學出版社，2006.

[5] 蔣波，李方軍，郝軍. 數據包的截獲與網絡協議分析[J]. 重慶三峽學院學報，2006，22(3):26-28.

[6] Miller D. 數據通訊與網絡[M]. 鄧勸生，薛建新，王涌，譯. 北京:清華大學出版社，2007.

The Application of Wireshark in TCP/IP Network Protocol Teaching

PAN Wen-chan， ZHANG Yun

(College of Computer Science， Nanjing University of Posts and Telecommunications， Nanjing 210003， China)

Abstract: Combining with the teaching practice of computer network， a concise probe into the teaching methods of computer network is made. Wireshark is a network packet analyzer， which will try to capture network packets and tries to display these packet data as detailed as possible and make analysis of the network transport control protocol. The purpose of this study is to cultivate student ability to analyze and solve problems.

Key words: computer network teaching; Wireshark; TCP/IP

(編輯:彭遠紅)