计算机网络——wireshark抓包

计算机网络——wireshark抓包

1. 以太帧分析

实验步骤

1. 在命令行输入ifconfig命令得到如图:
   

2. 由上图可知,网关地址为10.22.63.255,开启wireshark抓包服务,添加过滤规则,同时在命令行输入ping 10.22.63.255,ping网关
   

3. 过滤搜索得到
   

4. ping同一网段的一台主机
   

实验结果分析

ping网关数据如图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ij7Ec2gk-1636377150185)(http://i.niupic.com/images/2021/11/01/9FjU.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sqPjYgLL-1636377150187)(/Users/mainjay/Downloads/mSGBykp89OjfcHg.png)]

ping同一网段数据如图

结果分析(以ping网关为例)

数据链路层

内容	说明
Ethernet II	以太网协议版本 II
Source: Apple_de:1f:24	厂名:序号
(64:c7:53: de:1f:24)	网卡地址
Type: IPv4 (0x0800)	协议类型

网络层

内容	说明
Src: 10.22.61.215	源地址
Dst: 10.22.63.255	目的地址
Version: 4	互联网协议
… 0101 = Header Length: 20 bytes (5)	帧头部长度
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)	差分服务字段
Total Length: 84	帧的总长度
Identification: 0x5524 (21796)	标志字段
Flags: 0x00	标记字段
Fragment Offset: 0	分段偏移量
Time to Live: 64	生存期 ITL
Protocol: ICMP (1)	上层协议
Header Checksum: 0x9383 [validation disabled]	头部数据的校验和
[Header checksum status: Unverified]	头部数据的校验和状态
Source Address: 10.22.61.215	源IP 地址
Destination Address: 10.22.63.255	目的IP 地址

2. ARP 数据包

实验步骤

1. 清空本机APM缓存
   

2. 在wireshark中添加过滤条件,进行筛选,进行抓包
   

3. ping同一网段的主机,在本机命令行输入ping 10.22.191.128
   

4. ping不同的主机,在本机命令行输入ping baidu.com
   [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q9dseZJ5-1636377150201)(http://i.niupic.com/images/2021/11/08/9G4R.png)]

结果分析

ping不同网段结果如图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CtgFjdCD-1636377150205)(http://i.niupic.com/images/2021/11/08/9G4T.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0Mi8x2AK-1636377150208)(http://i.niupic.com/images/2021/11/08/9G4V.png)]

ping相同网段结果如图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KnOp3KZI-1636377150212)(http://i.niupic.com/images/2021/11/08/9G56.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tKXUETGO-1636377150214)(http://i.niupic.com/images/2021/11/08/9G58.png)]

ARP数据包分析

数据如图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sUVhbPfB-1636377150218)(http://i.niupic.com/images/2021/11/08/9G4M.png)]

数据分析

内容	说明
Ethernet II	以太网协议版本 II
Src: Apple_6b:a1:5c (08:f8:bc:6b:a1:5c)	源主机MAC地址
Broadcast (ff:ff:ff:ff:ff:ff)	广播包
Type: ARP (0x0806)	协议类型
Hardware type: Ethernet (1)	硬件类型(标识链路层协议)
Protocol type: IPv4 (0x0800)	协议类型(标识网络层协议)
Hardware size: 6	硬件地址大小(标识MAC地址长度)
Protocol size: 4	协议地址大小(标识IP地址长度)
Opcode: request (1)	操作代码(标识ARP数据包类型1表示请求，2表示回应)
Sender MAC address: Apple_6b:a1:5c (08:f8:bc:6b:a1:5c)	发送者MAC
Sender IP address: 0.0.0.0	发送者IP
Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00)	目标MAC(此处全0表示在请求)
Target IP address: 10.22.76.228	目标IP

ARP流程分析

• 本地(主机A)IP地址为10.22.48.253，MAC地址为64:c7:53:de:1f:24；

• 目标主机(主机B)的IP地址为10.22.50.2，MAC地址为38:f9:d3:dd:7d:d2；

1. 根据主机A上的 ARP缓存内容，IP确定用于访问主机B的转发IP地址是10.22.50.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。

2. 如果主机A在ARP缓存中没有找到映射，它将询问10.22.50.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。
   [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oYxxksb0-1636377150220)(http://i.niupic.com/images/2021/11/08/9G4N.png)]上图为将ARP请求帧广播到本地网络上的所有主机

3. 主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。

4. 主机B将包含其MAC地址的ARP回复消息直接发送回主机A。

   [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fuvMYX9a-1636377150223)(http://i.niupic.com/images/2021/11/08/9G4P.png)]

   上图为通过wireshark过滤筛选出得到目标主机对主机A的回复信息

5. 当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。

   

   上图为主机A和主机B互相通信