wireshark抓包分析ping数据包

已于 2023-03-04 15:31:25 修改
阅读量3.4w 收藏 317
点赞数 52
分类专栏: 物联技术 文章标签: wireshark 网络 icmp tcpip
于 2020-02-23 11:34:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Atlas12345/article/details/104456883
版权

目录

1.抓取数据包

2.ping request数据包解析

2.1 ICMP

2.2 传输层

2.3 以太帧

2.3 数据链路层

3. ping reply数据包解析

1.抓取数据包

先用管理员权限打开WireShark应用,并在条件过滤栏输入“icmp”。打开cmd,输入:ping www.baidu.com。

这样我们在命令行中,得到如下的一个显示结果:

wireshark中显示如下的一个结果:

我们以35/36帧为例,来进行数据包的解析。比较这两帧的时间差,可以看到时间差为18.993ms,这个值跟cmd中显示的时间差19ms是可以对应起来的。

2.ping request数据包解析

我们按照TCP/IP四层模型自上而下的方式来分析ping request数据包,因为该数据就是从应用层开始,逐层添加报头来完成的数据包封包的。对端设备接收到后,又一层一层去掉报头,来获取里面的数据。这好像一个包包子和剥洋葱的过程,O(∩_∩)O哈哈~

2.1 ICMP

应用层是直接使用的icmp封包格式,如下图所示。可以看到整个数据包为40个字节。

icmp数据包的结构如下。

各字段的解释如下:

字段

解释

类型

占据一个字节,标识ICMP报文的类型。ICMP报文类型可以分为两大类,分别是取值在1~127之间的差错报文,另一类是取值大于128的信息报文

代码

占据一个字节,与类型字段一起共同标识ICMP报文的详细类型

校验和

是将整个ICMP数据包(包括数据部分)以16位为一个单位采用CRC校验,然后按位取反后的值

下面罗列一些常见的ICMP报文类型:

类型(十进制)

解释

0

回显应答

3

目标不可达,代码字段值为0标识网络不可达,代码字段值为1标识主机不可达,代码字段值为2标识协议不可达

4

源点抑制,通知主机减少数据包流量

5

重定向或改变路由

8

回显请求

9

路由器公告

10

路由器请求

11

超时,代码字段值为0标识传输超时,代码字段值为1标识分段重组超时

17

地址子网请求

18

地址子网应答

可以看到利用wireshark抓取的icmp如下,跟上面的icmp数据包可以对应起来。

2.2 传输层

传输层是增加的IP报文头部,如下图所示,工20个字节。

我们先看一下IP数据包的格式,它包括IP手部和数据部分,数据部分在本例中就是ICMP数据包。

IP头部各字段的解释:

字段

解释

版本

占据4位,IP协议的版本,IPV4的版本为4

首部长度

占据4位,标识IP首部的长度,值范围为20~60

区分服务

占据一个字节

总长度

占据两个字节,标识的是首部和数据的总大小

标识

占据两个字节,当数据报由于长度超过网络的MTU而必须分 片时,这个标识字段的值就被复制到所有的数据报片的标识字段中,等到重组的时候,相同标识符的值的数据报就会被重新组装成一个数据报

标志

占据3位,一般有用的是前面两位,最低为叫做MF,MF=1表示后面还有若干个数据报,MF=0表示后面没有数据报了;中间为DF,DF表示是否可以进行分片,DF=1表示不能进行分片

片偏移

占13位,片偏移就是,在原来的数据报分片以后,该片在原分组中的相对位置,片偏移中的基本单位是8字节,所以,也就是说,只要是分片,每个分片的长度都是8字节的整数倍,最后一个分片不够八字节的一样是填充

生存时间

占据1个字节,标识该数据包最多可以经过多少个路由器

协议

占据1个字节,标识该数据报使用的是什么协议

首部校验和

占据2个字节,只对首部进行校验,因为数据部分由上层来完成校验

源地址

占据4个字节,源IP地址

目的地址

占据4个字节,目的IP地址

从上面的表格可以看出,上面的字段长度加起来正好是20个字节,也就是IP头部的最小长度大小。

如果有其他数据需要放到IP头部,则可以放到可选字段,填充字段是为了保证IP头部满足4字节整数倍的要求增加的字段。

我们再结合wireshark抓取的数据做一下分析:

2.3 以太帧

我们选中以太帧报文(红色方框圈中的地方),则下面有14个字节被选中了(绿色方框圈中的地方)。可以看到圈中的数据分别是:目的地址的mac地址,源地址的mac地址,还有一个值为0x8000的数据。

我们先看一下以太帧的数据报格式:

字段

解释

目的地址

占据6个字节,标识目标设备(路由器)的mac地址

源地址

占据6个字节,标识源设备的mac地址

类型

占据2个字节,标识上层协议的类型,常见的:0x8000标识IPV4,0x806标识ARP,0x0835标识RARP

这个0x8000表示的就是上层协议类型为ipv4

2.3 数据链路层

双击第35帧数据包,可以得到如下的显示结果。点击数据链路层报文(红色方框标注的地方),可以看到整个74字节的报文内容(绿色方框圈起来的地方)就被选中了,这说明ping request数据链路层报文一共有74个字节。

双击该行,可以展开看到里面更详细的内容:

3. ping reply数据包解析

reply数据包跟request包没有大的区别,在这里就不用再次分析了。

如有错误,请帮忙留言指出,感谢~

马小橙
关注
  • 52
    点赞
  • 317
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[计算机网络][Wireshark] Wireshark分析ICMP协议
lingfy1234的博客
11-16 5807
ICMP(Internet control message protocol)协议是互联网控制报文协议,这里的控制是指监控网络的状态,比如主机是否可达,路由是否可达,端口是否可达等,以便于上层做一些差错处理。
wireshark网络抓取数据包分析
xyang
12-29 5921
<!-- @page {margin:2cm} td p {margin-bottom:0cm} p {margin-bottom:0.21cm} --> <!-- @page {margin:2cm} td p {margin-bottom:0cm} p {margin-bottom:0.21cm} --> <!-- @pag
Wireshark:入门实验|抓取ping数据包
最新发布
Chiefavefan
06-10 991
Wireshark入门实验|抓取校园门户网站的ping数据包
ICMP协议中ping请求的解析和响应的发送
mcupro的专栏
12-14 1371
这里PING请求解析部分的代码在mac_rx文件里,其中相关代码如下: wire [15:0] icmp_chksum ; always @ (posedge clk) case (st4)//write to bram 21:begin wr_addr <= 0; wr_en = 1 ; wr_data<=0; end //0: reply 8:request 22:begin wr_addr <= 1; wr_en = 1 ; wr_data<=0; en
Ping 命令详解收集
常兴E站
08-26 5743
Ping 是Windows自带的一个DOS命令。利用它可以检查网络是否能够连通,用好它可以很好地帮助我们分析判定网络故障。该命令可以加许多参数使用,键入Ping按回车即可看到详细说明。Ping 命令可以用来验证与远程计算机的连接。   ping的参数   ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r cou
TCP报文抓包
12-06
TCP报文抓包,抓了几次包,并分析了其中的报文头字段,得到一些有意思的结果。
网络抓包分析ping的原理
OceanStar的博客
10-22 1万+
控制报文协议(Internet Control Message Protocol,ICMP)是 TCP/IP 协议族的一个子协议。ICMP 协议用于在 IP 主机和路由器之间传递控制消息,描述网络是否通畅、主机是否可达、路由器是否可用等网络状态。 由于IP协议简单,数据传输天然存在不可靠,无连接等特点,为了解决数据传输出现的问题,人们引入了ICMP协议。虽然ICMP协议的数据包并不传输用户数据,但是对于用户数据的传递有着重要的作用 ping一下 ping是基于ICMP协议工作的,所以要明白ping的..
Wireshark抓包——ICMP协议分析
热门推荐
fortune_cookie的博客
04-29 6万+
内容:使用Wireshark抓包分析较简单的数据包。 环境:Windows 7,Wiresharkping是用来测试网络连通性的命令。 一旦发出ping命令,主机会发出连续的测试数据包网络中,在通常的情况下,主机会收到回应数据包ping采用的是ICMP协议。 例1:对ping www.baidu.com进行抓包分析,过程如下: 第一步,确定目标地址,选择www.b...
ping命令 网络抓包 分析
qq_33437985的博客
05-23 1万+
首先,执行ipconfig确认自己电脑的ip地址 可以得到我的电脑的ip地址为192.168.43.15,网关地址为192.168.43.1 打开wireshark抓包工具,ping网关,看看会发生什么 命令行中,我们发送了4个具有32B的数据,从抓包工具中,我们可以看出该命令采用的是icmp协议 第1帧 该帧序号为1,发生在第0.00s,源地址为192.168.43.15(本机),目标地址为192.168.43.1(网关),协议为ICMP协议,长度为74B,信息: Echo (ping) req
wiresharkping数据包以及简单分析
qq_55857040的博客
12-13 2万+
相关知识 1.Ping原理 Ping是一句DOS 命令,一般用于检测网络通与不通 ,也叫时延,其值越大,速度越慢 PING (Packet Internet Grope),因特网包探索器,用于测试网络连接量的程序。Ping 发送一个 ICMP 回声请求消息给目的地并报告是否收到所希望的 ICMP 回声应答。 它是用来检查网络是否通畅或者网络连接速度的命令。 作为一个生活在网络上的管理员或 者黑客来说,ping 命令是第一个必须掌握的 DOS 命令,它所利用的原理是这样的:网络上 的机器都有唯一确定的
wireshark抓取分析UDP数据包
智识帮的博客
01-17 6638
在命令行输入ifconfig,查看本机网络接口。 $ ifconfig enp4s0: flags=4099<UP,BROADCAST,MULTICAST> mtu 1500 ether c8:5b:76:f6:44:d2 txqueuelen 1000 (Ethernet) RX packets 0 bytes 0 (0.0 B) ...
Wireshark抓包全集(85种协议、类别的抓包文件)
12-01
Wireshark抓包文件可揭示UDP数据包发送与接收的实时特性,以及可能出现的丢包问题。 4. HTTP(超文本传输协议):HTTP是应用层的主要协议,用于Web浏览。Wireshark显示HTTP请求和响应的详细信息,包括方法、状态...
Wireshark抓包分析TCP“三次握手,四次挥手”.doc
07-08
Wireshark 抓包分析 TCP“三次握手,四次挥手” Wireshark 是一个功能强大的网络抓包工具,通过它我们可以抓包分析 TCP/IP 传输过程。在本文中,我们将通过 Wireshark抓包分析 TCP“三次握手,四次挥手”...
wireshark抓包后,使用Python捕捉ping包的延时和http包的对方IP.rar
12-19
通过Python解析Wireshark抓包文件(通常为.pcapng或.pcap格式),可以提取这些延时数据,进一步分析网络延迟情况。 3. Python解析Wireshark抓包文件: Python有多个库支持处理Wireshark抓包文件,如`scapy`和`dpkt...
工具使用,抓包wireshark
11-15
在 cmd 窗口下执行需要抓包的操作,如 ping 命令。操作完成后,点击“停止捕获”按钮,以停止抓包。最后,可以通过设置过滤条件来过滤数据包,获取相关的结果。 Wireshark 的界面组成 Wireshark 的主界面包含六个...
wireshark抓包查看各类协议
05-12
通过分析UDP数据包,我们可以检查是否存在丢包或乱序问题。 然后是IEEE 802.3,即以太网II帧格式,这是局域网中最常见的物理层标准。Wireshark可以解析以太网帧头,包括源和目标MAC地址、协议类型等。过滤器`eth`能...
6.3.5 利用Wireshark进行协议分析(五)----捕获并分析ICMP报文
nytcjsjboss的博客
07-18 8924
第三行显示了IP分组头部信息,包括版本号4,头部长度20字节,服务类型,数据报总长度,用于分片的标志字0,分片偏移字段0,说明这是一个完整的IP数据报。第二个ICMP报文图中我们看到它的目的IP地址和源地址与第一个ICMP报文恰恰相反,它是由网关发往本地主机的一个ICMP的应答报文,所以Wireshark捕获的这8个报文告诉我们ping程序是连续的发送了四个ICMP的请求,对方在可达可联通的情况下会回应相应的ICMP应答报文,所以利用ICMP报文的交互,就可以检测对方的可达性。
使用 wireshark 分析 Ping 通信的具体流程
wangyx1234的博客
03-06 1万+
wireshark 的基本使用;通过 wireshark 分析查看 ping 命令的通信过程。
wireshark抓包分析ping
06-28
### 回答1: Wireshark是一款网络协议分析工具,可以用来抓取网络数据包并进行分析Ping是一种常用的网络工具,用于测试网络连接是否正常。下面是使用Wireshark抓包分析Ping的步骤: 1. 打开Wireshark并选择要抓取的网络接口。 2. 在过滤器中输入“icmp”,这样Wireshark就只会显示ICMP协议的数据包。 3. 在命令行中执行ping命令,例如“ping www.baidu.com”。 4. 在Wireshark中可以看到所有与ping相关的数据包,包括请求和响应。 5. 可以通过分析数据包的源地址、目的地址、时间戳等信息来判断网络连接是否正常。 总之,使用Wireshark抓包分析Ping可以帮助我们更好地了解网络连接的情况,从而更好地维护网络。 ### 回答2: Wireshark是一款非常强大的网络协议分析工具,它的功能十分强大,可以用来抓包分析网络数据包。其中,对于ping命令的抓包分析,也是Wireshark常用的操作之一。 首先,我们可以通过Wireshark选择需要抓取数据包网络接口,比如以太网接口、无线网卡、虚拟网卡等。接着,在过滤条件面板中输入“icmp”,选择“icmp echo request”过滤条件,点击“start”按钮开始抓包。 当我们在另一台电脑上使用ping命令来ping网络接口时,我们就可以在Wireshark中看到相应的ping数据包,其中会包含源IP地址、目标IP地址、TTL值、数据长度等信息。我们可以通过Wireshark可以很轻松地分析该包的详细信息,比如:请求响应时间、往返时间、TTL值以及其他诸多参数,从而更深入地了解网络通信的一些基本参数。 Ping命令抓包分析常常被用于网络出现问题的排查过程中,通过分析ping包可以判断某个节点的网络状况,以及是否存在延时、丢包等问题。同时,对于网络攻击与防御也十分有用,比如可以分析DOS攻击中ping flood过程的细节,从而有效防御异常的ping请求等网络攻击行为。 总之,Wireshark抓包分析ping命令是非常实用的网络工具,尤其对于网络维护与安全方面有着极其重要的作用。掌握这两个功能,对于网络管理人员,必不可少。 ### 回答3: Wireshark是一款流行的网络抓包工具,它可以通过在网络接口上监听数据包来进行数据抓包。其中,ping是一个常用的网络命令,能够检测网络连接是否正常,通过使用Wireshark可以对ping命令进行抓包分析,以了解网络延迟、丢包等问题。 在开始进行Wireshark抓包前,首先需要在网络适配器上设置过滤条件。以ping命令为例,可以使用以下过滤条件:icmp和ip.addr==<目标IP>。这将只过滤ICMP数据包以及目标IP地址匹配的数据包。接下来,运行ping命令并同时运行Wireshark进行抓包Wireshark在捕获到数据包后,可以进行详细的分析和解析。 在Wireshark中,可以通过查看ping命令发送的ICMP数据包分析网络延迟和丢包情况。图中可以看到,有多个ICMP数据包从源IP地址发送到目标IP地址,并且每个包的序号依次递增。在此基础上,通过观察时间戳可以计算出每个数据包的延迟时间,以判断网络连接的速度和质量。 此外,Wireshark还可以分析ping命令的回应。当目标IP地址接收到ping数据包时,会向源IP地址返回一个回应数据包。在Wireshark中,可以通过查看回应数据包的序号和时间戳来分析网络延迟和丢包情况。如果回应数据包的序号和时间戳与发送数据包不符,则说明存在丢包现象。通过这些分析,可以更好地了解网络连接的质量和性能问题。 总之,Wireshark抓包分析ping命令是网络工程师必备的技能之一,通过这些技能,可以更好地了解网络的性能和质量问题,为网络优化和故障排除提供有力支持。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值