摘要:本文結(jié)合“計算機網(wǎng)絡(luò)”課程的教學(xué)，并通過網(wǎng)絡(luò)教學(xué)實踐，對課程的教學(xué)方法進行了探討。通過實例介紹了利用Wireshark捕獲網(wǎng)絡(luò)通信數(shù)據(jù)包，分析網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)傳輸機制，強調(diào)培養(yǎng)學(xué)生解決問題的應(yīng)用能力。

關(guān)鍵詞:“計算機網(wǎng)絡(luò)”教學(xué);Wireshark;TCP/IP

“計算機網(wǎng)絡(luò)”課程作為計算機科學(xué)與技術(shù)、網(wǎng)絡(luò)工程、通信工程和軟件工程等專業(yè)的主干課，其地位在課程體系群中尤為重要。學(xué)習(xí)這門課程，最重要的是掌握計算機網(wǎng)絡(luò)的原理，了解網(wǎng)絡(luò)硬件和軟件的工作機制。計算機網(wǎng)絡(luò)基礎(chǔ)理論復(fù)雜抽象，概念眾多，對剛開始學(xué)習(xí)計算機網(wǎng)絡(luò)的學(xué)生來說，這些概念和協(xié)議是非常難以理解和記憶的。計算機網(wǎng)絡(luò)原理主要描述的是各層的功能及其協(xié)議和服務(wù)，具體地說就是要理解網(wǎng)絡(luò)的相關(guān)功能層概念和網(wǎng)絡(luò)體系結(jié)構(gòu)(包括OSI參考模型、TCP/IP模型協(xié)議族)，以及功能模塊之間的協(xié)議交互[1]，這是學(xué)好計算機網(wǎng)絡(luò)的關(guān)鍵。網(wǎng)絡(luò)體系結(jié)構(gòu)是計算機網(wǎng)絡(luò)及其部件所應(yīng)完成的功能的精確定義。計算機網(wǎng)絡(luò)原理主要講述的就是各層的功能及其協(xié)議和服務(wù)。在計算機網(wǎng)絡(luò)教學(xué)過程中，利用Wireshark網(wǎng)絡(luò)探測和分析軟件，通過從網(wǎng)絡(luò)中實時捕獲幾種常見協(xié)議數(shù)據(jù)包并進行分析，使學(xué)生對一些協(xié)議的工作原理及結(jié)構(gòu)有了更加深刻的理解和認識[2]。

1Wireshark簡介

Wireshark(原名Ethereal)是目前世界上最受歡迎的協(xié)議分析軟件，利用它可將捕獲到的網(wǎng)絡(luò)二進制數(shù)據(jù)流翻譯為人們?nèi)菀鬃x懂和理解的文字和圖表等形式，極大地方便了對網(wǎng)絡(luò)活動的監(jiān)測分析和教學(xué)實驗。它有十分豐富和強大的統(tǒng)計分析功能，可在Windows，Linux 和UNIX等系統(tǒng)上運行。它允許在一個網(wǎng)絡(luò)內(nèi)部實時捕獲和分析數(shù)據(jù)包，用戶可以通過圖形界面很直觀地瀏覽捕獲到的數(shù)據(jù)信息，研究數(shù)據(jù)包每一層的詳細信息[3]。

學(xué)習(xí)和理解計算機網(wǎng)絡(luò)原理的最好方法是，理論聯(lián)系實際。在一個現(xiàn)實的局域網(wǎng)中，網(wǎng)絡(luò)數(shù)據(jù)流往往是來自不同用戶的各種各樣協(xié)議數(shù)據(jù)的大混雜，因此利用Wireshark的“捕獲過濾器”和“顯示過濾器”，從錯綜復(fù)雜的數(shù)據(jù)流中迅速提取自己所關(guān)心的網(wǎng)絡(luò)信息，了解和掌握網(wǎng)絡(luò)的工作原理和協(xié)議的交互過程。

Wireshark使用目的是網(wǎng)絡(luò)管理員使用Wireshark來檢測網(wǎng)絡(luò)問題、網(wǎng)絡(luò)安全工程師使用Wireshark來檢查資訊安全相關(guān)問題、開發(fā)者使用Wireshark來為新的通訊協(xié)議除錯、普通使用者使用Wireshark來學(xué)習(xí)網(wǎng)絡(luò)協(xié)議的相關(guān)知識等。

2用Wireshark分析網(wǎng)絡(luò)協(xié)議

網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備(網(wǎng)絡(luò)服務(wù)器、計算機及交換機、路由器、防火墻等)之間通信規(guī)則的集合，它定義了通信時信息必須采用的格式和這些格式的意義。TCP/IP(Transmission Control Protocol / Internet Protocol)，即傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議是不同操作系統(tǒng)的計算機網(wǎng)絡(luò)互連的通用協(xié)議，它是一組計算機通信協(xié)議族，其中最著名的兩個協(xié)議是TCP及IP協(xié)議。TCP/IP協(xié)議具有開放式互聯(lián)環(huán)境，很容易實現(xiàn)各種局域網(wǎng)和廣域網(wǎng)的集成式互聯(lián)。此協(xié)議是當(dāng)今技術(shù)最成熟、應(yīng)用最廣泛的網(wǎng)絡(luò)協(xié)議[4]。

TCP是一種面向連接的、可靠的運輸層協(xié)議，TCP數(shù)據(jù)傳輸(只有連接建立后才可進行數(shù)據(jù)傳輸)需要通過在客戶端和服務(wù)器端建立特定的虛電路連接來完成，該過程通常被稱為“三次握手”，即發(fā)送方先發(fā)送連接請求，然后接收方進行連接確認，最后發(fā)送方對接收方的確認再次進行確認(圖1)。下面就以Wireshark對 TCP連接建立交互過程的數(shù)據(jù)包捕獲分析為例，來說明對TCP/IP協(xié)議實現(xiàn)的分析。

2.1建立捕獲TCP連接報文的實驗環(huán)境

PCATTCP是一款不錯的測試局域網(wǎng)網(wǎng)絡(luò)速度的軟件。在局域網(wǎng)中，兩臺主機通過交換機連接起來。在服務(wù)器端和客戶端都安裝和運行PCATTCP進行通信，產(chǎn)生TCP流。啟動Wireshark進行數(shù)據(jù)包捕獲，單擊Capture→Interfaces菜單，選擇自己的網(wǎng)卡，選擇Start開始監(jiān)控流量。在服務(wù)器端運行ttcp，監(jiān)聽TCP的5001端口。圖2是服務(wù)器端的完整命令行輸出:

服務(wù)器配置好后，在客戶端運行ttcp，雙方開始通信。

2.2TCP報文分析

2.2.1客戶端發(fā)送連接請求

捕捉到的TCP 連接報文如圖3所示。

從圖3可以看出，客戶端發(fā)出的連接請求數(shù)據(jù)包封裝了三個頭信息:以太網(wǎng)(Ethernet)幀、IP數(shù)據(jù)報和TCP報文段。在數(shù)據(jù)鏈路層，數(shù)據(jù)以幀的方式進行傳輸。在網(wǎng)絡(luò)層，加工的主要數(shù)據(jù)對象是IP數(shù)據(jù)報。IP協(xié)議是TCP/IP協(xié)議族中的核心協(xié)議之一，所有的TCP、UDP、ICMP數(shù)據(jù)都以IP數(shù)據(jù)報格式傳輸。

在運輸層，主要數(shù)據(jù)對象是TCP報文?？蛻舳税l(fā)送的連接請求如圖4所示。

第一條報文是沒有數(shù)據(jù)的TCP報文段，并且將首部的SYN位設(shè)置為1。因此，第一條報文常常被稱為SYN分組。這個報文段里的序列號是由系統(tǒng)隨機設(shè)置的數(shù)值，表示客戶端為后續(xù)報文設(shè)定的起始編號。此TCP報文段，序列號SEQ在連接請求時相對初始值是0，其實際值是c9 f4 65 c2;確認號是00 00 00 00，ACK標(biāo)志為0表明確認號被忽略。SYN=1表示正在進行連接請求，通過SYN和ACK也可以用來區(qū)分Connection Request和Connection Accepted，在連接請求中，SYN=1、ACK=0，連接響應(yīng)時，SYN=1、ACK=1。

SYN分組通常是從客戶端發(fā)送到服務(wù)器端。這個報文段請求建立連接。因為一旦成功建立連接，服務(wù)器進程必須已經(jīng)在監(jiān)聽SYN分組所指示的IP地址和端口號[5]。如果沒有建立連接，SYN分組將不會應(yīng)答。如果第一個分組丟失了，客戶端通常會發(fā)送若干個SYN分組，如果多次嘗試不成功，客戶端將會停止并報告一個錯誤給應(yīng)用程序。

2.2.2服務(wù)端連接響應(yīng)

當(dāng)服務(wù)器接收到連接請求時，就對請求方進行響應(yīng)，以確認收到客戶端的第一個TCP報文段。響應(yīng)的報文段SYN位和ACK位都將置1。通常稱這個報文段為SYNACK分組。SYNACK分組在確認收到SYN分組的同時也發(fā)出一個初始的數(shù)據(jù)流序列號，表示服務(wù)器發(fā)向客戶端的數(shù)據(jù)序號，它不需要與剛才客戶端發(fā)來的數(shù)據(jù)流的序列號相匹配。服務(wù)器端響應(yīng)的數(shù)據(jù)包如圖5所示。

此數(shù)據(jù)包的起始序列號SEQ在協(xié)議框中顯示為0，在原始框中的實際值為63 cf 1a c9。所有初始序列號邏輯上都視同為序列號0。ACK標(biāo)志為1表明確認號有效，SYN仍然為1。

圖6中確認號在協(xié)議框中顯示為1，在原始框中的值為c9 f4 65 c3(比c9 f4 65 c2多1)。這解釋了TCP的確認模式，TCP接收端確認第X個字節(jié)已經(jīng)收到，并通過設(shè)置確認號為X+1來表明期望收到的下一個字節(jié)號。

2.2.3客戶端連接確認

在TCP連接建立的最后階段，客戶端對接收到數(shù)據(jù)包的服務(wù)器端進行確認，到此為止建立完整的TCP連接，開始全雙工模式的數(shù)據(jù)傳輸過程?？蛻舳耸盏椒?wù)器端確認后，發(fā)送帶有ACK標(biāo)志的TCP報文段來完成三次握手的過程[6]。這個報文段將確認服務(wù)器端發(fā)送的SYNACK分組，并檢查TCP連接的兩端是否正確地打開和運作。

如圖7所示，在確認階段，數(shù)據(jù)包由客戶端發(fā)送至服務(wù)器端，TCP中的序列號為c9 f4 65 c3(即上次服務(wù)器響應(yīng)報文的確認號)。

圖8中，報文段的本次確認號為63 cf 1a ca(即上次的序列號加1)表示客戶端下一次希望從主機接收的數(shù)據(jù)的起始位置。ACK標(biāo)志為1表明確認號有效，SYN置為0表示連接建立結(jié)束。連接建立后，雙方可以根據(jù)各自的窗口尺寸開始傳輸數(shù)據(jù)。

2.3小結(jié)

從以上的圖可以看出，利用Wireshark可以針對每一數(shù)據(jù)包，完成從鏈路層、網(wǎng)絡(luò)層、運輸層到應(yīng)用層的協(xié)議解析。通過上面步驟，可以更加直觀的觀察到TCP三次握手建立的過程，有助于理解TCP及其工作原理，掌握協(xié)議的語法細節(jié)。

3結(jié)語

計算機網(wǎng)絡(luò)基本理論復(fù)雜抽象，不易理解，但這部分內(nèi)容又是進一步學(xué)習(xí)“計算機網(wǎng)絡(luò)”課程，培養(yǎng)實踐應(yīng)用能力的基礎(chǔ)。在教學(xué)過程中，通過合理組織授課內(nèi)容，采用先進的教學(xué)方法和較為科學(xué)的教學(xué)手段，使學(xué)生能夠較好地掌握計算機網(wǎng)絡(luò)的基本理論和方法。利用Wireshark網(wǎng)絡(luò)協(xié)議分析軟件，進行網(wǎng)絡(luò)性能參數(shù)和數(shù)據(jù)代碼的捕獲分析，了解協(xié)議的封裝結(jié)構(gòu)、交互過程，對于計算機網(wǎng)絡(luò)教學(xué)有很大的幫助。

參考文獻:

[1] 謝希仁. 計算機網(wǎng)絡(luò)[M]. 大連:大連理工大學(xué)出版社，2004.

[2] 楊春勇，潘文君，朱翠濤. 計算機網(wǎng)絡(luò)課程教學(xué)及輔助教學(xué)方法研究[J]. 高等函授學(xué)報:自然科學(xué)版，2008，21(6):12-14.

[3] Angela Orebaugh，Gilbert Ramirez，Jay Beale. Wireshark Ethereal Network Protocol Analyzer Toolkit[M]. Burlington:Syngress Press，2006.

[4] Forouzan.B.A. TCP/IP協(xié)議族[M]. 3版. 謝希仁，等譯. 北京:清華大學(xué)出版社，2006.

[5] 蔣波，李方軍，郝軍. 數(shù)據(jù)包的截獲與網(wǎng)絡(luò)協(xié)議分析[J]. 重慶三峽學(xué)院學(xué)報，2006，22(3):26-28.

[6] Miller D. 數(shù)據(jù)通訊與網(wǎng)絡(luò)[M]. 鄧勸生，薛建新，王涌，譯. 北京:清華大學(xué)出版社，2007.

The Application of Wireshark in TCP/IP Network Protocol Teaching

PAN Wen-chan， ZHANG Yun

(College of Computer Science， Nanjing University of Posts and Telecommunications， Nanjing 210003， China)

Abstract: Combining with the teaching practice of computer network， a concise probe into the teaching methods of computer network is made. Wireshark is a network packet analyzer， which will try to capture network packets and tries to display these packet data as detailed as possible and make analysis of the network transport control protocol. The purpose of this study is to cultivate student ability to analyze and solve problems.

Key words: computer network teaching; Wireshark; TCP/IP

(編輯:彭遠紅)