计算机网络实验二——利用wireshark抓包
准备
请自行查找或使用如下参考资料,了解 Wireshark 的基本使用:
•选择对哪块网卡进行数据包捕获
•开始/停止捕获
•了解 Wireshark 主要窗口区域
•设置数据包的过滤
•跟踪数据流
参考链接:https://blog.csdn.net/wz_cow/article/details/81489671
wireshark使用
1,Wireshark的介绍
上图是数据包嗅探器的结构,最右侧为计算机上运行的协议与网络应用程序,通过左侧虚线框中的图示得到,所谓数据抓包,实际上是复制TCP / IP的数据链路层中接收或发送的以太网帧(以太网帧),因为所有上层协议最终都已经封装在以太网帧中了。作为一款开源的数据包嗅探器(数据包嗅探器),可以运行在windows ,苹果机,Linux以及Unix的平台上,拥有庞大的用户群和完善的帮助文档与常见问题,内部具有数百个协议库,我们可以通过Wireshark的进行各类协议的学习分析,真正做到做中学。(从技术上讲wireshark应该是数据包分析器(数据包分析器))
2,获取安装的Wireshark
下载安装Wireshark软件:https://www.wireshark.org/,根据实验主机系统下载安装对应版本
3,运行Wireshark的
不同的版本会有不同的界面,在下方在接口列表中选择要捕获数据包的网卡。
A区:标准的下拉菜单命令
B区:快捷工具栏
C区:数据包显示过滤器字段(包显示过滤器),可以通过输入协议名称或其他信息,在众多捕获的数据包中过滤相关信息
D区:捕获的包列表(捕获数据包列表),显示当前捕获文件中的所有数据包,相关列字段可以进行定制
E区:数据包头部细节(包头详情),以TCP / IP格式分层显示一个数据包中的内容
F区:数据包字节(包字节),以ASCII和十六进制格式显示捕获的帧的全部内容
4.抓包过滤
①显示过滤: wireshark过滤经过指定ip的数据包
显示过滤可以完整的复现测试时的网络环境,但会产生较大的捕获文件和内存占用。
ip.addr = = 192.168.1.1//显示所有目标或源地址是192.168.1.1的数据包
ip.dst= =192.168.1.1//显示目标地址是192.168.1.1的数据包
ip.src = =192.168.1.1//显示源地址是192.168.1.1的数据包
eth.addr== 80:f6:2e:ce:3f00//根据MAC地址过滤,详见“wireshark过滤MAC地址/物理地址”
ip.src==192.168.0.0/16 //网络过滤,过滤一个网段
②捕获过滤: wireshark捕获经过指定ip的数据包
捕捉过滤抓包前在capture option中设置,仅捕获符合条件的包,可以避兔产生较大的捕获文件和内存占用,但不能完整的复现测试时的网络环境。
host 192.168.1.1//抓取192.168.1.1收到和发出的所有数据包
src host 192.168.1.1//源地址,192.168.1.1发出的所有数据包
dst host 192.168.1.1//目标地址,192.168.1.1收到的所有数据包
src host hostname//根据主机名过滤
ether host 80:05:09:03:E4:35//根据MAC地址过滤
net 192.168.1//网络过滤,过滤整个网段
src net 192.168
dst net 192
🌏 参考
1.官方文档 https://www.wireshark.org/docs/wsug_html/
2.Wireshark抓包新手使用教程https://www.cnblogs.com/linyfeng/p/9496126.html
3.Troubleshooting with Wireshark http://file.allitebooks.com/20160907/Troubleshooting%20with%20Wireshark.pdf
4.The Official Wireshark Certified Network Analyst Study Guide http://file.allitebooks.com/20150724/Wireshark%20Network%20Analysis-%20The%20Official%20Wireshark%20Certified%20Network%20Analyst%20Study%20Guide,%202nd%20Edition.pdf
5.Wireshark Network Security http://file.allitebooks.com/20190315/Wireshark%20Network%20Security.pdf
一、数据链路层
实作一 熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
目的 MAC:96:55:a4:4c:7e:03
源 MAC:d0:c5:d3:25:a3:7b
类型:IPv4 (0x0800)
✎ 问题
你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
答:帧校验序列FCS(4字节):采用循环冗余校验码(CRC)用于检验帧在传输过程中有无差错。由于是在传输过程中会使用校验的字段,因此,抓包软件抓到的是过滤过的数据。
实作二 了解子网内/外通信时的 MAC 地址
1.ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
答:发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是 ,这个MAC地址就是旁边这台计算机的MAC地址。
2.然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?