计网实验:wireshark抓包+筛选+数据帧和MAC地址初步理解

用wireshark做的第一个抓包实验

实验目的
1、掌握网络分析工具Wireshark的使用
2、理解以太网的数据帧格式和MAC地址。
实验内容与分析
实验步骤:
1.启动Wireshark;
计网实验:wireshark抓包+筛选+数据帧和MAC地址初步理解_第1张图片
2.设置接口,关闭混杂模式,即关闭Capture packets in promiscuous mode选项;
计网实验:wireshark抓包+筛选+数据帧和MAC地址初步理解_第2张图片
点击勾选蓝框后,关闭混杂模式。
计网实验:wireshark抓包+筛选+数据帧和MAC地址初步理解_第3张图片
3.进行网络操作,操作结束后,停止抓包;
计网实验:wireshark抓包+筛选+数据帧和MAC地址初步理解_第4张图片

4 使用过滤器,编写过滤规则,找到需要分析的数据包,仔细观察数据包信息并分析。
(1)观察Frame信息,写出数据包的捕获时间,这个包与第一个包的相对时间增量,帧序号,数据包的长度,捕获的长度,协议封装层次。
计网实验:wireshark抓包+筛选+数据帧和MAC地址初步理解_第5张图片
数据包的捕获时间 Arrival Time 2020-4-25 14:38:30.316241000
与第一个包的相对时间增量
Time since reference or first frame 0
帧序号 Frame Number 1
数据包的长度 Frame Length 90 bytes
捕获的长度 Capture Length 90 bytes
协议封装层次 Protocols in frame eth:ethertype:ipv6:ipv6.hopopts:icmpv6

数据包的捕获时间 Arrival Time 2020-4-25 14:38:32.319799000
与第一个包的相对时间增量
Time since reference or first frame 2.003558000 seconds
帧序号 Frame Number 20
数据包的长度 Frame Length 54 bytes
捕获的长度 Capture Length 54 bytes
协议封装层次 Protocols in frame eth:ethertype:ip:igmp:igmp

(2)找到一个单播帧,分析其首部各字段值,并说明其含义,如发送计算机的MAC地址和接收计算机的MAC地址各是什么,以及类型字段等。
计网实验:wireshark抓包+筛选+数据帧和MAC地址初步理解_第6张图片
00 50 56 c0 00 01: 发送计算机的MAC地址
00 50 56 e6 65 9d: 接受计算机的MAC地址
0800: 使用IPv4协议传输
(3)找到一个广播帧,源地址和目的地址是什么,数据部分承载的是什么协议的数据包?
计网实验:wireshark抓包+筛选+数据帧和MAC地址初步理解_第7张图片
源地址:00:50:56:c0:00:01
目的地址:00:00:00:00:00:00
协议:ARP
(4)尝试编写过滤规则找到一个组播帧。
筛选:eth.addr[0]!=0
在这里插入图片描述
(5)实验中捕获的所有以太网帧,最小帧长是多少?为什么?
最小帧长为42,无线网抓包可能会出现短帧。
然而不出意外的话,有效帧长为64。
原因:按照标准,10Mbps以太网采用中继器时,连接的最大长度是 2500米,最多经过4个中继器,因此规定对10Mbps以太网一帧的最小发送时间为51.2微秒。这段时间所能传输的数据为512位,因此也称该时间为 512位时。这个时间定义为以太网时隙,或冲突时槽。512位=64字节,这就是以太网帧最小64字节的原因。
计网实验:wireshark抓包+筛选+数据帧和MAC地址初步理解_第8张图片
(6)在实验中捕获的以太网帧中,除了封装IP数据包,还有别的什么协议的数据包?Type字段的值是多少?
按照Protocol参数进行筛选,没有筛选到“IP”,但有以下几种类型的协议,在每种类型中选取一帧,下拉查询Ethernet II,Src:下的Type参数,得到下表。
协议 Type
ARP 0x0806
BROWSER 0x0800
DHCP 0x0800
ICMPv6 0x86dd
IGMPv3 0x0800
LLMNR 0x0800
MDNS 0x86dd
NBNS 0x0800
SSDP 0x0800

实验总结
遇到的问题:
1.主机连接的是WLAN而非以太网,所以最初打开wireshark时,以太网的线一直是平的。
计网实验:wireshark抓包+筛选+数据帧和MAC地址初步理解_第9张图片
然后就利用了一下虚拟机,把linux做实验用的虚拟机设置到以太网模式,就可以对以太网进行抓包了。另外还有就是不知道这个操作的原理是什么,但因为考虑到以太网是局域网,我尝试考了一下电脑的热点,一打开那个线就动了,好像也是有效果的。
2.对于参数的含义不太清楚(中英对应),参考:
https://www.jianshu.com/p/645a0e1b2474
3.对如何筛选不太清楚,参考:
http://www.csna.cn/viewthread.php?tid=14614

收获:wireshark的作用就是抓下一帧一帧的数据,然后解析它们,即按照规则自动识别要素,以解码出帧包含的信息。

疑问:(1)参数理解不够,每一帧点开详细信息后,还不能清楚每一项是什么意思。(2)筛选不太会。

你可能感兴趣的:(wireshark,网络)