Sniffer与Wireshark抓包实验:揭秘ICMP与TCP协议

已于 2025-05-14 15:09:23 修改
阅读量683 收藏 12
点赞数 30
分类专栏: 网络工程 # 网络安全 文章标签: sniffer wireshark tcp/ip
于 2025-05-14 12:25:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57376564/article/details/147947709
版权

使用Sniffer和Wireshark抓取网络包头的实验可以帮助你理解网络协议的工作原理,特别是ICMP和TCP协议。以下是实验的原理、过程和步骤:

实验原理

  1. ICMP协议:ICMP(Internet Control Message Protocol)是网络层协议,主要用于在IP网络中传递控制消息,如ping命令使用的就是ICMP协议。
  2. TCP协议:TCP(Transmission Control Protocol)是传输层协议,提供可靠的、面向连接的通信服务。TCP包头包含源端口、目的端口、序列号、确认号等信息。
  3. Sniffer和Wireshark:Sniffer和Wireshark都是网络抓包工具,可以捕获和分析网络流量。Sniffer通常用于抓取特定类型的包(如ICMP),而Wireshark则是一个功能更强大的网络协议分析工具,支持多种协议的抓包和分析。

实验步骤

使用Sniffer抓取百度的ICMP包头

  • 准备工作

    • 确保你的计算机连接到互联网。
    • 安装Sniffer工具(如Microsoft Network Monitor或类似工具)。
    • Sniffer工具在Win7以上系统会有兼容性错误,建议在XP系统上安装使用。

安装sniffer pro网络监听工具的完整教程https://blog.csdn.net/2301_77001831/article/details/138806130

  • 启动Sniffer

    • 打开Sniffer工具,选择要监听的网络接口(通常是你的网卡)。

  • 设置过滤器

    • 在Sniffer中设置监视器与捕获的过滤器,只捕获ICMP协议的数据包。
    • 通常可以在过滤器中输入 icmp 或 protocol == icmp

设置步骤同上 

  • 开始抓包

    • 点击“开始”按钮,开始捕获网络流量。

  • 发送ICMP请求

    • 打开命令提示符(Windows)或终端(Linux/Mac),输入 ping www.baidu.com,向百度发送ICMP请求。

  • 停止抓包

    • 在Sniffer中点击“停止”按钮,停止捕获。

  • 分析ICMP包头

    • 在捕获的数据包列表中,找到与百度相关的ICMP包,查看其包头信息,包括类型、代码、校验和等。

使用Wireshark抓取TCP包头

  • 准备工作

    • 确保你的计算机连接到互联网。
    • 安装Wireshark工具。

  • 启动Wireshark

    • 打开Wireshark,选择要监听的网络接口(通常是你的网卡)。

  • 设置过滤器

    • 在Wireshark的过滤器中输入 tcp,只捕获TCP协议的数据包。

  • 开始抓包

    • 点击“开始”按钮,开始捕获网络流量。

  •  建立TCP连接

    • 打开浏览器,访问一个使用TCP协议的网站(如 blog.csdn.net),建立TCP连接。
    • 通过F12进入控制台,选择网络查看请求获取到网站的IP地址(或者通过PIN​G域名的方式获取)

  • 停止抓包

    • 点击“结束”按钮,停止捕获网络流量。

  • 再次设置过滤器

    • 在Wireshark的过滤器中输入 追加网站的IP地址,只捕获TCP协议+该地址的的数据包。

  • 分析TCP包头

    • 在捕获的数据包列表中,找到与该网址三次握手相关的TCP包,查看其包头信息,包括源端口、目的端口、序列号、确认号、标志位等。

解析后的TCP数据包信息如下:

数据包1(No.57857)
  • 时间: 19.216344秒
  • 源IP10.1.28.129
  • 目标IP220.185.184.40
  • 协议: TCP
  • 源端口15782 → 目标端口443
  • 标志SYN(发起连接请求)
  • 关键字段:
    • Seq=0(初始序列号)
    • Win=64240(窗口大小)
    • MSS=1460(最大报文段长度)
    • SACK_PERM=1(支持选择性确认)
    • 时间戳选项:
      • TSval=7594330(本地时间戳值)
      • TSecr=0(回传时间戳值)
数据包2(No.58138)
  • 时间: 19.236515秒
  • 源IP220.185.184.40
  • 目标IP10.1.28.129
  • 协议: TCP
  • 源端口443 → 目标端口15781疑似OCR错误,应为15782
  • 标志[SYN, ACK](同步确认)
  • 关键字段:
    • Seq=0(服务器初始序列号)
    • Ack=1(确认客户端SYN的下一个序列号)
    • Win=1448(窗口大小,可能受窗口缩放影响)
    • SACK_PERM=1(支持选择性确认)
    • 时间戳选项:
      • TSval=1483713837(本地时间戳值)
      • TSecr=7594320(回传时间戳值)
数据包3(No.58139)
  • 时间: 19.236585秒
  • 源IP10.1.28.129
  • 目标IP220.185.184.40
  • 协议: TCP
  • 源端口15781 → 目标端口443
  • 标志[ACK](确认连接建立)
  • 关键字段:
    • Seq=1(确认服务器SYN+ACK后的序列号)
    • Ack=1(确认服务器序列号)
    • Win=262656(窗口大小)
    • 时间戳选项:
      • TSval=7594351(本地时间戳值)
      • TSecr=1483713837(回传时间戳值)

总结

  1. 客户端(10.1.28.129:15782)发送SYN到服务器(220.185.184.40:443)。
  2. 服务器回应SYN+ACK(443→15782),携带时间戳和SACK选项。
  3. 客户端发送ACK(15782→443),确认连接建立。

实验总结

通过使用Sniffer和Wireshark抓取ICMP和TCP包头,你可以深入了解这两种协议的工作原理和包头结构。实验过程中,注意观察和分析包头中的各个字段,理解它们在网络通信中的作用。

注意事项

  • 确保你有权限在网络上进行抓包操作,避免违反网络安全政策。
  • 在抓包过程中,尽量减少其他网络活动,以避免捕获到无关的数据包。
  • 分析数据包时,注意区分不同协议的数据包,避免混淆。

通过这个实验,你将能够更好地理解网络协议的工作原理,并掌握使用抓包工具进行网络分析的基本技能。

Wireshark抓包教程(2024最新版个人笔记)
qq_62073188的博客
01-10 830
协议号:IP头部里的字段,标识这个数据包是tcp(6),还是udp(17),还是icmp(1),还是gre(47),还是ospf(80),还是vrrp。端口号:TCP,UDP头部里的字段,标识这个数据包是http(80),还是dns(53),还是ftp(21),还是tftp(69),还是smtp。因为ttl=1的包,数据包没到达一个三层设备,ttl减去1,在第一跳减到0,如果ttl=0,丢弃。需要什么允许通,防火墙设置,放行。谁把我的包,丢了,谁给我一个报错消息,报错消息的内容,ttl没了所以丢包了。
  WireShark 抓包使用教程--详细
热门推荐
HarveyH的博客
02-06 12万+
WireShark 抓包使用教程--详细 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。 Wires...
实验Wireshark 抓包软件的使用及MAC协议分析
qq_45140146的博客
04-11 1万+
实验目的 1、理解抓包软件的工作原理; 2、掌握Wireshark软件的安装和使用方法。 3、掌握MAC协议分析的技术方法 实验任务 1、安装和运行Wireshark软件; 2、使用Wireshark软件抓取网络报文; 3、选取两个以上的以太网报文进行深入对比分析。 实验环境及工具 硬件:连接互联网的PC机; 软件:Wireshark 3.6.2。 实验记录(尽可能详细记录每个实验任务的过程现象) 1、安装和运行Wireshark软件; 到官网下载网络抓包工具Wireshark,可以从https://w
计算机网络ip协议分析,计算机网络实验TCPIP协议分析验证
weixin_34526152的博客
07-26 1451
实验TCP/IP协议分析验证[参考” Wireshark中文简明使用教程”]【实验目的】通过本实验使学生了解和掌握报文捕获工具Wiresshark(或者EtherDetect)的使用方法和基本特点,通过Wireshark软件捕获并分析基于链路层的协议数据,包括ARP、ICMP、IP、TCP、UDP以及DNS、FTP、HTTP协议的报文格式以及工作过程,促使学生真正了解TCP、UDP、IP等协...
《计算机网络—自顶向下方法》 Wireshark实验(一):Wireshark软件的安装和入门
CarpeDiem
05-05 3354
Wireshark是一种免费的网络协议分析器,可在Windows,Mac和Linux/Unix计算机上运行,是进行网络实验的理想分组分析器。本篇主要通过该软件进行抓包实验
【计算机网络】 课程大作业:利用Wireshark抓包并进行分析
zombotany的博客
02-05 1万+
目录一:任务目的二:任务内容三:提交形式及时间四:步骤五、感悟 一:任务目的 (1)了解计算机网络TCP/IP的分层实现过程,了解不同层次PDU的逐层封装解封过程; (2)熟悉网络通信的实现过程和数据发送过程; (3)熟悉计算机网络各层知识的应用,能综合利用所学知识对网络数据进行分析; 二:任务内容 (1)了解并熟悉常见的抓包工具,例如WiresharkSniffer等,熟悉以太网数据帧和IP数据包的结构; (2)能够正确捕捉ping命令执行过程中所产生的数据包,并逐层分析其构成,进而了解数据包的封装
实验Wireshark 报文捕捉分析实验
m0_56147044的博客
03-21 1907
实验报告wireshark分析tcp分享
嵌入式linux网络编程,TCP、IP协议原理,wireshark抓包工具,以太网头(Ethernet header),IP头,TCP头,三次握手,四次握手,UDP头
m0_37542524的博客
11-28 3228
文章目录1,wireshark抓包工具1.1,wireshark安装1.2,wireshark启动1.2.1,出现错误警告1.2.2,解决方案2,常用调试测试工具3,TCP/IP协议网络封包格式3.1,以太网头(Ethernet header)--- (网络接口和物理层)3.1.1. Destination MAC Address:3.1.2. Source MAC Address:3.1.3. ...
TCP/IP协议攻击防范
qq_73611706的博客
11-26 1709
TCP/IP协议攻击防范
绿色免安装版Wireshark抓包工具支持SIP协议
它的名称来源于一种网络设备“分组捕获器”(Packet Sniffer),Wireshark允许用户查看网络上实时传输的数据包,同时可以对这些数据包进行解码和分析,便于网络管理员和工程师诊断网络问题、学习网络协议以及进行...
Sniffer工具使用实验报告.doc
06-24
1. 掌握Sniffer工具的基本操作,包括启动、停止抓包以及解析捕获的数据包。 2. 了解网络协议的基础知识,如TCP/IPICMP、ARP等。 3. 学会如何分析网络通信过程,识别异常流量。 4. 理解并实践ARP欺骗,探讨网络安全...
学习黑客抓包wireshark
qq_41179365的博客
05-10 1258
快速添加任意字段为列:在 Packet Details 窗格中,右键点击任意字段并选择即可将其变成一列展示,大大简化繁琐筛选工作。导出列数据为 CSV:使用将当前列数据导出为 CSV 文件,便于后期数据处理和报表制作。快速扩展协议解析:借助 Lua 脚本,你可在路径下放置.lua文件,实现对自定义协议的精准解析。示例调用:通过即可链式解析子协议,轻松处理复杂报文结构。
【deekseek】TCP Offload Engine
ruofengdeyu的博客
05-13 952
TOE通过硬件实现完整TCP协议栈,是超低延迟网络的基石技术,但其部署需权衡兼容性、安全性成本。在AI、大数据等场景中,TOERDMA、DPU的协同将成为下一代数据中心的关键架构。:TOE 通过硬件固化协议栈和零拷贝架构,将延迟降低1~2个数量级,成为超低延迟网络的基石技术。但其部署需权衡协议灵活性、硬件成本和生态支持。:当应用发送数据时,TOE 网卡直接从用户态内存抓取数据,由硬件生成TCP/IP头并发送,全程无需CPU参。,将原本由CPU软件处理的协议计算任务完全转移到网卡硬件中。
高防服务器部署实战:从IP隐匿到协议混淆
@云安全小杜
05-13 280
结合群联的动态节点切换(每5分钟更新IP池),可进一步混淆攻击目标。此技术使攻击流量识别难度提升10倍,尤其适用于游戏金融行业。此方案可有效防止攻击者绕过防护直接攻击源站。
Windows 操作系统使用 Tcping 命令检查目标主机端口是否开放
yousuotu的博客
05-14 460
Tcping 非 Windows 自带命令,我们需要下载 Tcping 可执行文件,然后将该文件 copy 到 C:\WINDOWS\system32 目录。检查目标主机端口是否开放的方法已经很多了,网络上也有第三方网页版的检查工具,这篇文章给大家介绍一个实用小工具 Tcping。1、No response 表示本地到远程主机的检测端口连接失败。2、默认检测本地到远程主机的80端口是否可以正常通讯。
【go】binary包,大小端理解,read,write使用,自实现TCP封包拆包案例
m0_74282926的博客
05-13 579
包提供了字节序相关的编码和解码功能,常用于网络协议、文件格式或其他二进制数据的处理。字节序常量:小端序:大端序:系统原生字节序(Go 1.19+)核心函数:将数据按指定字节序写入io.Writer。:从io.Reader按指定字节序读取数据。:将整数按指定字节序写入字节切片。:从字节切片按指定字节序解析整数。
开源的跨语言GUI元素理解8B大模型:AgentCPM-GUI
直达开源前线,冲冲冲!
05-15 673
AgentCPM-GUI 是由清华大学自然语言处理实验 ModelBest 联合开发的开源大模型,基于 MiniCPM-V 架构,拥有 80 亿参数,专为移动终端 GUI 操作设计。该模型通过接收屏幕截图作为输入,自动执行用户任务,具备高质量 GUI 定位、中文应用适配、强化推理规划和紧凑动作空间设计等关键特性。在基准测试中,AgentCPM-GUI 在多个指标上表现优异,尤其在复杂 GUI 场景下的任务执行能力显著领先。其技术架构结合了多模态融合和强化学习,训练数据涵盖大规模双语 Android 数据
奇妙协同效应,EtherNet IPPROFINET网关优化半导体生产线
最新发布
bjbxkj的博客
05-15 273
通过对这些数据的深入分析,我们可以识别生产瓶颈,优化工艺流程,甚至预测设备维护周期。通过监控和分析整个生产线的能耗,我们可以识别节能机会,减少浪费,同时提高生产线的可持续性。控制系统,半导体生产线不仅能够实现更高的运行效率,还能提高生产的灵活性和可持续性,这对于应对快速变化的市场需求和环境挑战至关重要。再者,这种集成还增强了生产线的适应性。在面对市场变化时,我们可以快速调整生产线的配置,以适应不同的产品需求。主控制器,我们可以迅速改变生产线的运行模式,以生产新的半导体产品,而无需进行大规模的硬件更改。
EtherCAT转EtherNet/IP解决方案-泗博网关CEI-382
weixin_42660214的博客
05-15 392
CEI-382是一款实现EtherCAT从站设备EtherNet/IP主站设备之间数据交换的通信网关,可以轻松实现伺服驱动器、变频器等采用EtherCAT协议的设备罗克韦尔(Rockwell)、欧姆龙等品牌PLC主站系统之间的安全连接高效通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渣渣盟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值