预备知识
本次实验需要使用Wireshark
Wireshark(原名Ethereal)是一个开放源码的网络分析系统,支持Linux、windows等多种平台。它主要是通过侦听网络中的数据来实现分析网络协议、网络故障、网络安全等功能。
基本流程
- 选择网卡
- 捕获数据流量
- 过滤数据包
- 保存数据包
分为三块区域
上面是数据包
中间是数据包的详细信息
下面是从二进制转化成十六进制的报文
最下方的
代表
有2384个包,符合筛选条件的2384个,占比100%
题目
1
用Wireshark捕捉在本机中一次ping网关过程产生的ICMP流量,初步了解其使用方法:
1)运行Wireshark,打开菜单命令Capture->Options,将Interfaces设为本机NIC,Capture filter中输入icmp;
2)按Start按钮开始捕捉数据;
3)打开命令行界面,ping网关;
4)切换到Wireshark的窗口,观察接受到的数据包;
5)按Stop按钮;
解答
名词:
NIC:网卡
Capture filter:捕捉过滤器(上面接协议类型就可以进行包的筛选)
2
用Wireshark捕捉与本小组其它计算机通信产生的流量:
1)使用本组中两台计算机PCA和PCB;
2)在PCA中运行Wireshark,打开菜单命令Capture->Options,将Interfaces设为本机NIC,Capture filter中输入ether host MACofPCB (MACofPCB 处输入PCB的MAC地址);
3)在PCB打开命令行窗口,首先运行命令:
arp -d
如果这个命令不能执行,可能由于需要用管理员身份运行,进入windows\system32文件夹找到cmd.exe,右键“以管理员身份运行”,这样打开cmd程序就能运行arp -d命令了。
(注:IPofPCA 处输入PCA的IP地址 ),与此同时用PCA捕捉与PCB之间的流量;
4)Ping命令结束后,停止捕捉;
5)运行命令Statistics ->Summary,观察统计的概要信息,对统计窗口截图保存,查出本次传输的包(Packets)总数和字节(Bytes)总数;
6)将捕捉到的数据保存到包文件pcb1中。
解答
名词:
MAC:局域网地址
为了防止跟踪与识别,很多手机都自有功能,每次连接WLAN都会重新生成一个虚拟的mac地址,所以,这个我没法用手机ether host 手机MAC地址(用了也抓不到包,但是能正常ping通),手机的话用了host ip地址的方式
电脑ping手机抓包,想看手机和电脑如何互ping的可以移步这里:关于手机ping电脑和电脑ping手机
换成两台电脑
电脑ping电脑抓包
两台电脑传输了共12包,其中8个是ICMP协议,4个是ARP协议
3
用Wireshark分析以太网帧结构。
1)打开实验步骤2中保存的包文件pcb1;
2)分析其中任意两个不同协议类型的帧,将其相应字段值填入下表:
3)分别选中这两个帧,并标记(使用右键菜单中的Mark Packet命令),将它们保存到文件pcb2中(在File->Save as窗口的packet range中指定要保存帧范围)。(注:文件pcb2连同实验报告一同上交)
解答
只有ICMP和ARP两种协议的包
字段 | 帧1 | 帧2 |
---|---|---|
协议 | ICMP | ARP |
目的MAC地址 | ac:ed:5c:01:43:d9 | d0:c6:37:b8:47:be |
源MAC地址 | d0:c6:37:b8:47:be | ac:ed:5c:01:43:d9 |
类型 | Ethernet (1) | Ethernet (1) |
帧的总长度 | 74 bytes | 42 bytes |
参考:
https://www.cnblogs.com/blg2/archive/2004/01/13/11922850.html