05. Ping 包分析 ❀ 数据包分析工具 Wireshark

        【简介】Ping 包查询网络连通情况是我们最常用的操作之一,通过分析Ping包的内容,我们可以看到更多的东西。


  网络环境

        为了使测试环境更加真实,我们布置了这样一个网络环境。防火墙是192.168.28.0/24网段,无线AP是192.168.38.0/24网段。


        ① 防火墙是192.168.28.0/24网段,无线AP是192.168.38.0/24网段。三层交换机与防火墙之间是172.20.1.0/24网段。服务器是172.16.2.0/24网段。工作电脑是172.16.1.0/24网段。


        ② 连接无线AP的笔记本电脑无线网卡的IP地址是 192.168.38.26 。

        ③ 笔记本电脑通过无线网卡,可以Ping通IP地址172.16.2.11的服务器。


        ④ 跟踪路由,可以看到经过无线IP网关后到达三层交换网,再找到服务器IP地址。

  Wireshark 抓包

  前面我们已经知道有抓包过滤和显示过滤,这里我们都试试。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第1张图片

        ① 启动 Wireshark ,点击WLAN接口,输入抓包过滤器,点击蓝色图标开始抓包。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第2张图片

        ② Ping指定服务器IP地址,在 Wireshark 上显示过滤后的抓包内容。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第3张图片

        ③ 也可以不在抓包过滤器里输入内容,这样会抓WLAN的所有包。在显示过滤器里输入过滤条件,一样可以把需要的包过滤出来。

  Ping 包内容

        Ping 是因特网包探测器 (Packet Internet Gopher) 的英文缩写,PC 机执行 Ping 是利用了 ICMP (Internet Control Message Protocol 互联网控制报文协议) 的“回响”功能来检查目标主机是否存在、源主机和目标主机间的连接速度是否正常。

        当我们执行 Ping 的时候,源主机首先会构建一个 ICMP 请求数据包,ICMP 数据包内包含有多个字段,最重要的是两个,第一个是类型字段,对于请求数据包而言该字段为 8,另外一个是顺序号,主要用于连续Ping的时候,区分发出的多个数据包,一般从 1 开始编号,每发出一个请求数据包,顺序号会自动加一。然后 ICMP 层会将这个 ICMP 数据包连同目标 IP 地址一起交给 IP 层,并在映射表中查出目标 IP 地址所对应的 MAC 地址后,交给数据链路层,最终由数据链路层封装成数据帧并通过物理层发送出去,数据帐发出的同时,源主机会记录该数据帧的发出时刻。

        目标主机收到这个数据帧后,经过数据链路层、IP 层和 ICMP 层的层层解析(这个过程其实就是发送的反过程),最终获得源主机发送的 ICMP 数据包中的数据部分,目标主机发现接收到的是一个请求数据包后,会构建一个 ICMP 应答包,应答数据包的类型字段为 0,顺序号为接收到的请求数据包中的顺序号,然后再发送出去。

        在规定的时候间内(一般是 0.5S,1S,2S,不同的主机类型有所不同),源主机如果没有接到 ICMP 的应答包,则说明目标主机不可达,如果接收到了 ICMP 应答包,则说明目标主机可达,此时,源主机会检查当前时刻,减去该数据包最初从源主机上发出的时刻,就是 ICMP 数据包的时间延迟。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第4张图片

        ① 整个ICMP包的长度是74个字节。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第5张图片

        ② 前面的14个字节为以太网帧头。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第6张图片

        ③ 跟着的20字节为IP帧头。报文由IP首部(20字节)加ICMP报文(40)字节组成。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第7张图片

        ④ 再后面8个字节是ICMP信息头,最后32个字节是ICMP数据。ICMP信息头包括:类型(8或0)、代码(0)、检验和、标示符、序号。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第8张图片

        ⑤ 请求报文的类型为8,应答报文的类型为0

  Ping 包分析

        有很多种情况下Ping包Ping不通,我们可以抓包看看Ping不通是什么提示。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第9张图片

        ① 很多情况下被Ping的电脑软件防火墙是打开的。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第10张图片

        ② Ping包Ping不通。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第11张图片

        ③ 抓包可以看到抓到四个请求包。

05. Ping 包分析 ❀ 数据包分析工具 Wireshark_第12张图片

        ④ 在ICMP信息里可以看到有提未,没有看到响应。网线没有接、防火墙的策略没有放行等等,都会出现这样的提示。


老梅子   QQ:57389522



你可能感兴趣的:(Wireshark,数据分析)