Wireshark抓包(PING命令)

于 2025-03-15 15:29:17 发布
阅读量1k 收藏 15
点赞数 8
文章标签: wireshark wireshark抓包 ping命令 计算机网络 tcp 三次握手
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2402_82610419/article/details/146279425
版权
本次抓包 通过抓取本机连接到我校校园网 CUG 中产生的数据包进行分析,主要分析了ping命令以及TCP三次握手和四次挥手。

PING分析

过程简介

首先打开 wireshark 抓包软件开始抓包 , 接着调出 cmd 命令窗口执行 ping 命令 , 以此来获取校园网的 IP 地址. 打开浏览器输入校园网的网址 , 在加载完毕后关闭页面 , 等待几秒后终止抓包进程, 通过 wireshark过滤器过滤出和目的IP 地址相关的数据包进行分析 .

PING测试

cmd 命令窗口输入 ping www.cug.edu.cn , 可以得到如图所示内容.
可以得到以下信息 .
目的网络 IP 地址为 202.114.198.182, 发送的 4 个数据包均被成功接收 , 字节数和 TTL 都相同 , 往返时间略有差异. 丢包率为 0%, 并且可以得到往返时间的最短值 , 最长值和平均值 .
可见这是一组成功的 Ping 测试结果 , 说明与目标服务器之间的网络连通性良好 , 无数据包丢失 , 延迟稳定.

抓包分析

PING请求与回复
wireshark 中抓取 ping 测试的 icmp 数据包如图所示 , 包含四次请求与四次回复 . 下面我将分别以第一次请求与第一次回复的icmp 数据包为例进行分析 .
第一次请求
第一次请求的数据包内容如图所示 .
可以得到以下信息 .
IP 层信息
  • 协议版本:IPv4
  • 标志字段Don't Fragment : 设置为0, 表明该数据报可以分片
  • IP地址: 172.26.229.54
  • 目标IP地址:202.114.198.182
  • TTL生存时间:128 

ICMP 协议信息

  • ICMP类型: 8 (Echo 请求,Ping 请求)

  • 代码: 0 (无子类型)

  • 校验和: 0x4cf8, 状态为正确
  • 标识符: Big Endian: 0x0001 Little Endian: 0x0100
  • 序列号: Big Endian: 99 Little Endian: 25344
第一次回复
第一次回复的数据包内容如图所示 .
可以得到以下信息 .
IP 层信息
  • 协议版本:IPv4
  • 标志字段Don't Fragment : 设置为1, 表明该数据报不可分片
  • IP地址: 202.114.198.182
  • 目标IP地址:172.26.229.54
  • TTL生存时间:252
ICMP 协议信息
  • ICMP类型: 0 (Echo 回复,Ping 回复)
  • 代码: 0 (无子类型)
  • 校验和: 0x54f8, 状态为正确
  • 标识符: Big Endian: 0x0001 Little Endian: 0x0100
  • 序列号:Big Endian: 99 Little Endian: 25344
三次握手
wireshark 中抓取三次握手的 TCP 数据包如图所示 . 下面我将分别介绍这三个数据包的内容 .
第一次握手
第一次握手的数据包内容如图所示 .
可以得到以下信息 .
  • IP地址
    • IP地址: 172.26.229.54
    • 目标IP地址: 202.114.198.182
  • 端口号
    • 源端口号: 61186
    • 目的端口号: 443
  • 序列号( Sequence Number) : 0. 表示这是连接初始化时发送的 SYN , 其相对序列号为 0
  • 确认号( Acknowledgment Number): 0. 因为这是第一次握手, 还没有收到任何数据, 所以确认号为0
  • TCP 标志位
    • SYN: 设置为 1. 这是标志 TCP 连接初始化的 SYN
    • FINACK : 均未设置. 表示当前不是连接关闭(FIN) 或数据确认(ACK)的包
  • 解释: 这是 TCP 三次握手的第一步. 客户端向服务器发送一个SYN=1的报文,并指定一个客户端的初始序列号seq以请求与目标建立连接. 这时, 客户端进入SYN-SENT(同步已发送) 状态, 这个动作启动了TCP连接的建立.
第二次握手
第二次握手的数据包内容如图所示 .
可以得到以下信息 .
  • IP地址
    • IP地址: 202.114.198.182
    • 目标IP地址: 172.26.229.54
  • 端口号
    • 源端口号: 443
    • 目的端口号: 61186
  • 序列号(Sequence Number) : 0. 说明目标主机在建立连接时的初始序列号(相对序列号0) 0
  • 确认号(Acknowledgment Number) : 1. 表示目标主机已成功接收到来自源主机的 SYN (第一次握手) .这里的确认号是对源主机的初始序列号加1
  • TCP 标志位
    • SYN: 设置为 1. 这表明目标主机同意建立连接
    • ACK: 设置为 1. 这是对源主机第一次握手( SYN ) 的确认
    • 其他标志位: 均未设置. 表示这是一个正常的连接初始化响应
  • 解释: 这是 TCP 三次握手的第二步. 服务器收到客户端的SYN报文后, 需要确认客户的SYN( ack=x+1), 同时自己也发送一个SYN报文 ( SYN=1) , SYN+ACK报文, 此时服务器端将进入SYN-RCVD( 步收到) 状态.
第三次握手
第三次握手的数据包内容如图所示 .
可以得到以下信息 .
  • IP地址
    • IP地址: 172.26.229.54
    • 目标IP地址: 202.114.198.182
  • 端口号
    • 源端口号: 61186
    • 目的端口号: 443
  • 序列号(Sequence Number) : 1. 源主机发送的相对序列号为 1, 说明之前发送的 SYN 数据包序列号 0, 现在的序列号已经加 1
  • 确认号( Acknowledgment Number) : 1. 表明源主机已经成功接收了目标主机的 SYN-ACK , 并确认目标主机的初始序列号加 1
  • TCP 标志位
    • SYN: 未设置. 表明当前是第三次握手, 而不是初始的 SYN
    • ACK: 设置为 1. 表示这是一个确认数据包, 用于确认目标主机发送的 SYN-ACK
    • 其他标志位: 均未设置. 表示这是一个普通的确认包, 没有携带其他控制信息
  • 解释: 这是 TCP 三次握手的第三步. 客户端收到服务器的SYN+ACK报文后, 会发送一个确认报文ACK(ack=y+1) , 这个报文发送完毕后, 客户端和服务器端都进入ESTABLISHED(已建立连接) 状态, 成三次握手, TCP连接建立成功
过程总结
三次握手过程 :
        1. 第一次握手 (SYN) : 源主机发起连接请求 , 提供初始序列号
        2. 第二次握手 (SYN-ACK) : 目标主机确认收到 SYN, 并发送自己的 SYN 请求
        3. 第三次握手 (ACK) : 源主机确认目标主机的 SYN-ACK, 完成连接建立
从此抓包分析可以确认 , 三次握手过程是完整且成功的 , 双方已经可以进行正式的通信
四次挥手
wireshark 中抓取四次挥手的 TCP 数据包如图所示 . 下面我将分别介绍这四个数据包的内容 .
第一次挥手
第一次挥手的数据包内容如图所示.
可以得到以下信息 .
  • IP地址
    • IP地址: 172.26.229.54
    • 目标IP地址: 202.114.198.182
  • 端口号
    • 源端口号: 61197
    • 目的端口号: 443
  • 序列号(Sequence Number) : 1872. 当前数据包的相对序列号为1872确认号( Acknowledgment Number) : 148. 表示源主机确认了目标主机之前的所有数据, 其确认号为目标主机的序列号加 1
  • TCP 标志位
    • FIN: 设置为1. 表明这是一个请求断开连接的包. 源主机请求结束当前连接
    • ACK: 设置为 1. 表明此包同时包含对之前数据的确认
    • 其他标志位: 均未设置. 表示这是一个正常的关闭请求, 没有其他特殊的控制信息
  • 解释: 这是 TCP 四次挥手的第一步. 源主机发送 FIN , 请求断开连接. 这表示源主机已经完成数据发送, 进入半关闭状态, 等待目标主机的响应
第二次挥手
第二次挥手的数据包内容如图所示 .
可以得到以下信息 .
  • IP地址
    • IP地址: 202.114.198.182
    • 目标IP地址: 172.26.229.54
  • 端口号
    • 源端口号: 443
    • 目的端口号: 61197
  • 序列号(Sequence Number) : 148. 当前数据包的相对序列号为 148
  • 确认号( Acknowledgment Number) : 1873. 表示目标主机确认了源主机在第一次挥手中发送的 FIN , 其序列号为 1872, 所以确认号为 1873( 1872 + 1)
  • TCP 标志位
    • ACK: 设置为 1. 表示这是一个确认数据包, 用于确认源主机发送的 FIN
    • 其他标志位: 均未设置. 表明此包只是一个确认数据包, 没有其他控制信息
  • 解释: 这是 TCP 四次挥手的第二步. 用于确认源主机的 FIN , 通过此确认包, 源主机可以放心地进入半关闭状态, 目标主机将在稍后发送自己的 FIN 包请求断开连接
第三次挥手
第三次挥手的数据包内容如图所示 .
可以得到以下信息 .
  • IP地址
    • IP地址: 202.114.198.182
    • 目标IP地址: 172.26.229.54
  • 端口号
    • 源端口号: 443
    • 目的端口号: 61197
  • 序列号(Sequence Number) : 148. 当前数据包的相对序列号为 148
  • 确认号( Acknowledgment Number) : 1873. 表示目标主机确认了源主机在第一次挥手中发送的 FIN , 其序列号为 1872, 所以确认号为 1873( 1872 + 1)
  • TCP 标志位
    • FIN: 设置为1. 表示目标主机请求断开连接
    • ACK: 设置为 1. 表示目标主机对源主机的FIN包的确认
    • 其他标志位: 均未设置. 说明此包仅用于断开连接的请求和确认
  • 解释: 这是 TCP 四次挥手的第三步. 目标主机发送FINACK, 确认源主机的断开请求, 并发出自己的断开请求
第四次挥手
第四次挥手的数据包内容如图所示 .
可以得到以下信息 .
  • IP地址
    • IP地址: 172.26.229.54
    • 目标IP地址: 202.114.198.182
  • 端口号
    • 源端口号: 61197
    • 目的端口号: 443
  • 序列号(Sequence Number) : 1873. 当前数据包的相对序列号为1873
  • 确认号( Acknowledgment Number) : 149. 表示源主机确认了目标主机在第三次挥手中发送的FIN, 其确认号为目标主机的序列号加1(148+1)
  • TCP 标志位
    • ACK: 设置为 1. 表示这是一个确认数据包用, 于确认目标主机的FIN
    • 其他标志位: 均未设置. 表明此包只是一个确认包, 没有其他控制信息
  • 解释: 这是 TCP 四次挥手的第四步. 源主机通过此ACK包确认了目标主机在第三次挥手中发送的FIN 包, 表明连接正式关闭
过程总结
四次挥手过程 :
        1.第一次挥手 : 源主机发送 FIN , 表示希望断开连接
        2.第二次挥手 : 目标主机发送 ACK , 确认接收到源主机的 FIN
        3.第三次挥手 : 目标主机发送 FIN , 表示自己也准备断开连接
        4.第四次挥手 : 源主机发送 ACK , 确认接收到目标主机的 FIN 包,连接正式关闭
从此抓包分析可以确认 , 四次挥手过程是完整且成功的 , 双方的连接彻底关闭 !
wireshark进行抓包且对ping分析
mny38450的博客
11-08 1784
1.
作业二:wireshark抓包ping操作
m0_57851357的博客
10-17 3322
wireshark是一款功能完备的抓包工具,利用这个工具便可以抓取不同协议的数据包。 一、网站数据包的抓取1)随意打开网站输入账号密码,如: (2)利用wireshark进行抓包,并用http.request.method==POST来过滤。 可以发现我们捕获了账号密码的数据包。 二、对QQ的抓包1)我们通过OICQ进行过滤来捕获QQ的数据包。 (2)在我们可以找到当前时间,QQ版本号等信息。 注: NO: 编号 Time: 包的时间戳 Sou
wireshark抓包使用教程
位文杰的博客
08-04 1万+
Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。 Wireshark软件安装 软件下载路径:w...
Wireshark:入门实验|抓取ping数据包
Chiefavefan
06-10 2680
Wireshark入门实验|抓取校园门户网站的ping数据包
wireshark抓包分析ping数据包
热门推荐
马小橙的专栏
02-23 3万+
目录 1.抓取数据包 2.ping request数据包解析 2.1 ICMP 2.2 传输层 2.3 以太帧 2.3 数据链路层 3. ping reply数据包解析 1.抓取数据包 先用管理员权限打开WireShark应用,并在条件过滤栏输入“icmp”。打开cmd,输入:ping www.baidu.com。 这样我们在命令行中,得到如下的一个显示结果: wi...
Wireshark抓包分析ICMP协议
wangyuxiang946的博客
09-27 1万+
Wireshark抓包分析ICMP协议,分析ICMP协议的数据格式、报文类型及作用。
wireshark抓包
yiwenrong的博客
12-30 1365
wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选...
wireshark PING流量分析
最新发布
qq_60229657的博客
10-13 1266
记录一下ICMP的学习过程
最新Wireshark抓包分析IP协议_捕捉并分析ip数据包
2401_84281720的博客
05-04 1600
作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「专栏简介」:此文章已录入专栏试验目的:抓包分析IP协议的传输过程和数据分片操作系统:Windows 10 企业版抓包工具:Wireshark 3.6.3。
2024年Wireshark抓包分析ICMP协议_wiresharkping包分析数据报格式
2401_84264662的博客
05-02 2078
分析目的:分析ICMP协议的数据格式、报文类型及作用。操作系统:Windows 10 企业版抓包工具:Wireshark 4.0.8。
Wireshark抓包全集(85种协议、类别的抓包文件)
12-01
Wireshark抓包文件可揭示UDP数据包发送接收的实时特性,以及可能现的丢包问题。 4. HTTP(超文本传输协议):HTTP是应用层的主要协议,用于Web浏览。Wireshark能显示HTTP请求和响应的详细信息,包括方法、状态...
网络安全最新Wireshark抓包分析ICMP协议_wiresharkping包分析数据报格式,面试看这个就够了
2401_84281703的博客
05-15 825
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Wiresharkping操作以及使用
D000o11的博客
11-13 7134
ping命令是个使用频率极高的网络诊断工具,在Windows、Unix和Linux系统下均适用。它是TCP/IP协议的一部分,用于确定本地主机是否能另一台主机交换数据报。根据返回的信息,我们可以推断TCP/IP参数设置是否正确以及运行是否正常。需要注意的是,成功另一台主机进行一次或两次数据报交换并不表示TCP/IP配置就是正确的,必须成功执行大量的数据报交换,才能确信TCP/IP的正确性。下面就以Windows系统为例,介绍一下ping命令的基本使用方法。 我们可以用ping ...
wireshark抓包,丢包分析
hackzkaq的博客
05-05 1万+
零基础学黑客,搜索公众号:白帽子左一 前言 我们都知道,一般流量分析设备都支持pcap回放离线分析的功能,但如果抓的pcap丢了包,会影响最终安全测试的效果。 比如说竞测现场需要提供pcap包测试恶意文件的检测功能,如果pcap中丢包,可能会导致文件还原失败,最终恶意文件检测功能“实效”。 那问题来了,我们怎么识别pcap包是否有丢包呢? 接下来,我们通过wireshark来查找pcap文件中的丢包线索。 完整?丢包? 思路1:透过现象看现象。 在真实的网络分析场景中,特别是传输大文件时,经常会发现这样的
wireshark抓包,丢包分析?
ZL_1618的博客
08-03 2738
我们都知道,一般流量分析设备都支持pcap回放离线分析的功能,但如果抓的pcap丢了包,会影响最终安全测试的效果。比如说竞测现场需要提供pcap包测试恶意文件的检测功能,如果pcap中丢包,可能会导致文件还原失败,最终恶意文件检测功能“实效”。那问题来了,我们怎么识别pcap包是否有丢包呢?接下来,我们通过wireshark来查找pcap文件中的丢包线索。
使用 wireshark 分析 Ping 通信的具体流程
wangyx1234的博客
03-06 2万+
wireshark 的基本使用;通过 wireshark 分析查看 ping 命令的通信过程。
WireShark抓包分析ping命令
newbaby2012的专栏
06-10 5882
好吧 我就是无聊闲的 首先ping命令是基于ICMP的,所以我们在用wireShark时要先指定过滤器
wireshark抓包及分析ping
06-28
### 回答1Wireshark是一款网络协议分析工具,可以用来抓取网络数据包并进行分析。Ping是一种常用的网络工具,用于测试网络连接是否正常。下面是使用Wireshark抓包并分析Ping的步骤: 1. 打开Wireshark并选择要抓取的网络接口。 2. 在过滤器中输入“icmp”,这样Wireshark就只会显示ICMP协议的数据包。 3. 在命令行中执行ping命令,例如“ping www.baidu.com”。 4. 在Wireshark中可以看到所有ping关的数据包,包括请求和响应。 5. 可以通过分析数据包的源地址、目的地址、时间戳等信息来判断网络连接是否正常。 总之,使用Wireshark抓包并分析Ping可以帮助我们更好地了解网络连接的情况,从而更好地维护网络。 ### 回答2: Wireshark是一款非常强大的网络协议分析工具,它的功能十分强大,可以用来抓包并分析网络数据包。其中,对于ping命令抓包分析,也是Wireshark常用的操作之一。 首先,我们可以通过Wireshark选择需要抓取数据包的网络接口,比如以太网接口、无线网卡、虚拟网卡等。接着,在过滤条件面板中输入“icmp”,选择“icmp echo request”过滤条件,点击“start”按钮开始抓包。 当我们在另一台电脑上使用ping命令ping该网络接口时,我们就可以在Wireshark中看到应的ping数据包,其中会包含源IP地址、目标IP地址、TTL值、数据长度等信息。我们可以通过Wireshark可以很轻松地分析该包的详细信息,比如:请求响应时间、往返时间、TTL值以及其他诸多参数,从而更深入地了解网络通信的一些基本参数。 Ping命令抓包分析常常被用于网络现问题的排查过程中,通过分析ping包可以判断某个节点的网络状况,以及是否存在延时、丢包等问题。同时,对于网络攻击防御也十分有用,比如可以分析DOS攻击中ping flood过程的细节,从而有效防御异常的ping请求等网络攻击行为。 总之,Wireshark抓包分析ping命令是非常实用的网络工具,尤其对于网络维护安全方面有着极其重要的作用。掌握这两个功能,对于网络管理人员,必不可少。 ### 回答3: Wireshark是一款流行的网络抓包工具,它可以通过在网络接口上监听数据包来进行数据抓包。其中,ping是一个常用的网络命令,能够检测网络连接是否正常,通过使用Wireshark可以对ping命令进行抓包分析,以了解网络延迟、丢包等问题。 在开始进行Wireshark抓包前,首先需要在网络适配器上设置过滤条件。以ping命令为例,可以使用以下过滤条件:icmp和ip.addr==<目标IP>。这将只过滤ICMP数据包以及目标IP地址匹配的数据包。接下来,运行ping命令并同时运行Wireshark进行抓包Wireshark在捕获到数据包后,可以进行详细的分析和解析。 在Wireshark中,可以通过查看ping命令发送的ICMP数据包来分析网络延迟和丢包情况。中可以看到,有多个ICMP数据包从源IP地址发送到目标IP地址,并且每个包的序号依次递增。在此基础上,通过观察时间戳可以计算每个数据包的延迟时间,以判断网络连接的速度和质量。 此外,Wireshark还可以分析ping命令的回应。当目标IP地址接收到ping数据包时,会向源IP地址返回一个回应数据包。在Wireshark中,可以通过查看回应数据包的序号和时间戳来分析网络延迟和丢包情况。如果回应数据包的序号和时间戳发送数据包不符,则说明存在丢包现象。通过这些分析,可以更好地了解网络连接的质量和性能问题。 总之,Wireshark抓包和分析ping命令是网络工程师必备的技能之一,通过这些技能,可以更好地了解网络的性能和质量问题,为网络优化和故障排除提供有力支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值