2022-04-10 使用Wireshark抓取局域网的数据包并进行分析

个人作业记录，不保证绝对准确，仅供参考

1、观察Frame信息，写出数据包的捕获时间，这个包与第一个包的相对时间增量，帧序号，数据包的长度，捕获的长度，协议封装层次。

数据包的捕获时间：

这个包与第一个包的相对时间增量：

帧序号： 

数据包长度：

捕获的长度： 

协议封装层次： 

---

2、找到一个单播帧，分析其首部各字段值，并说明其含义，如发送计算机的MAC地址和接收计算机的MAC地址各是什么，以及类型字段等。

 Ethernet V2帧头结构为 6bytes的源地址 + 6bytes的目标地址 + 2Bytes的协议类型字段 + 数据

过滤原则：eth.dst.ig==0       

以太网协议版本II，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）

 字段含义：厂名_序号（网卡地址），目标Mac地址：(34:71:46:9a:c3:15)

字段含义：厂名_序号（网卡地址），源Mac地址：(ac:67:5d:42:11:7a)

 类型字段：

---

3、找到一个广播帧，源地址和目的地址是什么，数据部分承载的是什么协议的数据包？

 过滤原则：eth.dst == ffff.ffff.ffff    

源地址：(34:71:46:9a:c3:15)

目的地址：(ff:ff:ff:ff:ff:ff)

承载ARP协议数据包

---

4、尝试编写过滤规则找到一个组播帧。

 eth.dst.ig==1

---

5、实验中捕获的所有以太网帧，最小帧长是多少？为什么？

（参考别人的）

最小帧长为42，无线网抓包可能会出现短帧。

然而不出意外的话，有效帧长为64。

原因：按照标准，10Mbps以太网采用中继器时，连接的最大长度是 2500米，最多经过4个中继器，因此规定对10Mbps以太网一帧的最小发送时间为51.2微秒。这段时间所能传输的数据为512位，因此也称该时间为 512位时。这个时间定义为以太网时隙，或冲突时槽。512位＝64字节，这就是以太网帧最小64字节的原因。

---

 6、在实验中捕获的以太网帧中，除了封装IP数据包，还有别的什么协议的数据包？Type字段的值是多少？

还有arp协议的数据包，字段值为

所有捕获的数据包协议以及字段值如下：

Tcp： 

Udp： 

Arp： 

Icmp： 

Http： 

Dns： 

Rtcp：

TLSv1.2： 

 TLSv1.3：

---

本次记录就到这，主要是记录一下Wireshark一些参数是怎么看的，没什么技术含量 

如果有错误麻烦请指出