Wireshark 抓包分析计算机网络各层协议

最新推荐文章于 2025-03-04 19:36:19 发布
最新推荐文章于 2025-03-04 19:36:19 发布
阅读量1.5w 收藏 163
点赞数 22
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44832245/article/details/111573295
版权

Wireshark 抓包分析计算机网络各层协议

一、Wireshark 抓包实操

(1)数据链路层

1.1 实作一: 熟悉 Ethernet 帧结构

  • 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等
    在这里插入图片描述

分析:上图为我任意抓取的一个包,可以看见Ethernet帧结构中的源MAC、目的MAC、类型等等信息。校验和会由网卡计算,这时,wireshark抓到的本机发送的数据包和校验和都是错误的,所以默认关闭了wireshark自己的校验和,所以可以看见字段中没有校验字段。

1.2 实作二:了解子网内/外通信时的 MAC 地址

  • ping 你旁边的计算机(同一子网),同时用Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
    在这里插入图片描述
    在这里插入图片描述

  • 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
    在这里插入图片描述
    在这里插入图片描述

  • 再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
    在这里插入图片描述
    分析:可以发现Ping子网外的主机不能ping成功,在包中以太网帧格式中很容易找到源MAC和目的MAC

1.3 实作三:掌握 ARP 解析过程

  • 为防止干扰,先使用 arp -d * 命令清空 arp 缓存
  • ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
    在这里插入图片描述
    分析:可以看出,请求的目的 MAC 地址ff:ff:ff:ff:ff:ff即广播地址,该请求的回应的源 MAC是被访问主机的MAC地址,目的 MAC 地址是本地主机的MAC地址
  • 再次使用 arp -d * 命令清空 arp 缓存
  • 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应
    在这里插入图片描述
    分析:目的Mac是该网关的路由器,源Mac是自己

(2)网络层

2.1 实作一:熟悉 IP 包结构

  • 使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段
    在这里插入图片描述

分析:上图是一个IP包头部的信息,版本为IPV4、头部长度20字节(5行)、原地址和目的地址等信息

2.2 实作二:IP 包的分段与重组

  • 根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
  • 缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
    在这里插入图片描述

2.3 实作三:考察 TTL 事件

  • 在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。

  • 在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。

  • 请使用 tracert www.baidu.com命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理
    在这里插入图片描述
    在这里插入图片描述

分析:IP 包的 TTL 值从 1 开始逐渐增加,直至到达最终目的主机,可以看见中间进过了11个路由器节点,当成功到达主机后主机会响应表示达到该主机

(3)传输层

3.1 实作一:熟悉 TCP 和 UDP 段结构

  • 用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段
    在这里插入图片描述

  • 用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等
    在这里插入图片描述

3.2 实作二:分析 TCP 建立和释放连接

  • 打开浏览器访问 qige.io网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。

  • 请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
    在这里插入图片描述

  • 请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征

在这里插入图片描述
分析:在找到三次连接之后,要等一会在停止捕获, 否则可能我们的连接还没释放,抓不到连接释放的包。

(4)应用层

4.1 实作一:了解 DNS 解析

  • 先使用ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)
  • 你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
  • 可了解一下 DNS 查询和应答的相关字段的含义
    在这里插入图片描述
  • 虽然DNS请求超时,但是抓包后的确可以看见DNS 服务器的 53 号端口返回了结果
    在这里插入图片描述

1.QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文
2.opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态
3.AA,授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器
4.TC,截断标志,仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制,所以过长的DNS报文将被截断。1表示DNS报文超过512字节,并被截断
5.RD,递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。0表示执行迭代查询,即如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供客户端参考
6.RA,允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询
7.zero,这3位未用,必须设置为0
8.rcode,4位返回码,表示应答的状态。常用值有0(无错误)和3(域名不存在)

4.2 实作二:了解 HTTP 的请求和应答

  • 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
  • 请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
  • 请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
    在这里插入图片描述
    在这里插入图片描述

-常见HTTP 应答包,查看应答的代码是什么,如:200, 304, 404

200 - 服务器成功返回网页
304(未修改)自从上次请求后,请求的网页未修改过
404 - 请求的网页不存在
500(服务器内部错误)服务器遇到错误,无法完成请求

二、参考文献

[1]计算机网络实验教程-棋歌教学网

使用 Wireshark分析网络协议
小宝的博客
07-19 708
上图是数据包嗅探器的结构,最右侧为计算机上运行的协议与网络应用程序,通过左侧虚线框中的图示得到,所谓数据抓包,实际上是复制TCP / IP的数据链路中接收或发送的以太网帧(以太网帧),因为所有上协议最终都已经封装在以太网帧中了。作为一款开源的数据包嗅探器(数据包嗅探器),可以运行在windows ,苹果机,Linux以及Unix的平台上,拥有庞大的用户群和完善的帮助文档与常见问题,内部具有数百个协议库,我们可以通过Wireshark的进行各类协议的学习分析,真正做到做中学。每个回答包含什么内容?
Wireshark网络分析就这么简单——网络分
ssyyg_2017的博客
01-07 1157
Wireshark网络分析就这么简单——网络分 本文引用部分为从原书中摘抄或者整理改写的部分 在正式阅读之前——网络分 OSI七模型(括号表示合并入TCP/IP协议) 自下往上依次是(物理、数据链路、)网络、传输、(会话、表示、应用) TCP/IP 自下往上依次是链路、网络、传输、应用Wireshark看TCP/IP 各结构 以NFS为例 应用:专注于文件操作...
计算机网络wireshark实验
啰啰的博客
12-22 1591
Wireshark 实验 一、数据链路 实作一 熟悉 Ethernet 帧结构 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 ✎ 问题 你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 实作二 了解子网内/外通信时的 MAC 地址 ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MA
Wireshark抓包分析,看这篇就够了!
xnxqwzy的博客
03-04 2395
Wireshark抓包分析WireShark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在网络封包和流量分析领域有着十分强大功能的工具,深受各类和网络分析师的喜爱。我们首先来介绍一下Wireshark这款软件。首先我们先认识一下这个软件的主界面是长这样的在这个界面中为Wireshark的主界面。
wireshark 如何识别应用协议是什么呢?
marywang56的专栏
08-31 1万+
最近在使用wireshark 抓包,发现IP 包里面有个协议字段,是进行协议类型区分的,IP协议格式如下:其中协议字段,是对上协议的描述: 比如:ICMP 为1,TCP 为6,UDP为17 具体协议对应数字可参考: http://blog.csdn.net/mifan88/article/details/8809382但是TCP或者UDP上是什么协议类型呢?帧格式中有没有字段进行说明。
Wireshark-----抓包分析
HakuMaster的博客
07-13 2万+
它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。在这上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。点击 捕获-->选项,取消勾选“在所有接口上使用混杂模式”,选择自己需要的网卡,例如WLAN,点击确定即可;
wireshark分析(传输,网络,链路
thlzjfefe的博客
09-18 3187
wireshark抓包软件总是友善地帮包分...
计算机网络实验: 使用Wireshark抓包工具进行应用和传输网络协议分析(HTTP部分)
乔卿的博客
06-16 1万+
目录实验名称实验介绍实验目的背景知识和准备HTTP协议HTTP概述HTTP连接HTTP请求报文HTTP响应报文TCP协议TCP概述i. 端到端ii. 可靠、有序的字节流iii. 流水线iv. 发送和接收缓冲区v. 全双工网络vi. 面向连接vii. 流量控制viii. 拥塞控制可靠数据传输TCP报文段结构实验过程1. 了解Wireshark工具的工作原理及使用方法2. 对HTTP协议进行分析基本的HTTP请求/响应HTTP条件请求/响应(file 2) 实验名称 应用和传输网络协议分析 实验介绍 实验使
使用wireshark抓包软件分析微信协议-计算机网络实验大作业.doc
06-07
1. **网络协议分析**:Wireshark允许用户捕获并查看网络通信中的各种协议数据包,包括TCP/IP、DNS、SSL等。通过分析这些数据包,可以理解网络通信的过程,如数据传输、认证和加密机制。 2. **微信登录认证**:微信...
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
Wireshark 是一种功能强大的网络抓包分析工具,能够对网络协议进行深入分析。在本文中,我们将使用 Wireshark 对 Telnet 协议进行抓包分析,了解 Telnet 协议的工作原理和实现机制。 首先,让我们了解 Telnet 协议...
使用WireShark抓包分析TCP_IP协议_wiresharkip协议分析
2401_87555661的博客
11-12 1720
在(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分,及各个比特的含义。在这篇文章中,我们将使用抓包分析 TCP/IP 协议,用实践来验证理论。
计算机网络IP FTP协议分析.ppt(wireshark抓包分析
05-27
计算机网络IP FTP协议分析.ppt
Wireshark抓包工具计算机网络实验解析
12-13
Wireshark是一款强大的网络协议分析工具,广泛应用于网络故障排查、性能分析以及网络安全检测等领域。它可以在多种操作系统上运行,包括Windows、UNIX和Linux,提供了一个直观的图形用户界面,帮助用户捕获、查看和...
使用wireshark抓包并进行网络协议分析
Tyler_Zx的博客
10-18 3万+
前言 今天想通过抓包实验,巩固一下所学习的网络协议。同时,在知识点上会加上以前遇到的一些问题。这次实验并不是对所有的网络协议都进行分析,而是从下面这个问题出发(面试常被问)。从这一过程中复习学过的网络协议。使用的工具是wireshark。 问题:在浏览器中输入URL后,执行的过程。会用到哪些协议? 例如:查询www.163.com的IP地址过程如下: (1)域名解析(DNS) ...
Wireshark——抓包分析
热门推荐
qq_45951891的博客
11-04 4万+
ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输协议。在这上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。该协议用来支撑那些需要在计算机之间传输数据的网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。
wireshark分析常见的网络协议
qq_61963012的博客
08-14 2998
它的创始人是Gerald Combs,前身是Ethereal,作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。ICMP (Internet Control Message Protocol,网际报文控制协议)是Internet 协议族的核心协议之一,它主要用在网络计算机的操作系统中发送出错信息。TCP (Transmission Control Protocol,传输控制协议)是一种面向连接的、可靠的、基于P的传输协议。在这上工作的不止一个协议,但是最普遍的就是互联网协议(IP)。
WireShark抓包及常用协议分析
weixin_68254517的博客
10-21 2941
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。WireShark使用WinPCAP(kali自带)作为接口,直接与网卡进行数据报文交换。混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC地址。普通模式下的网卡只接收发给本机的包(包括广播包)传递给上程序,其他的包一律丢弃。一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。
Wireshark网络协议分析 - Wireshark速览
马赛琦的博客
01-30 1660
在阅读本文。
由浅入深wireshark抓包分析网络协议
Cloud1209的博客
03-16 473
Ping 首先从简单的ping入手,ping一下百度,看一看抓包情况 Ping 的原理是 ICMP 协议. ICMP 的全称是 Intent Control Message Protocol, 中文过来就是 互联网控制报文协议 网络数据包在庞大的网络中会很多各种不同情况。如果一定需要举一个例子来比如的话,用相当于兵种的侦察兵。时刻给大部队探测前方的情况。以便后方的大部队能够根据不同情况做出不同的调整。所以 ICMP 经常用于网络环境的测试。 ICMP位于七中的网络 1、先打开wireshark的监听
ensp传输协议分析
最新发布
05-14
### ENSP中传输协议的使用与配置 #### 1. 传输协议概述 传输位于OSI七模型中的第四,主要负责端到端的数据传输和服务质量保障。常见的传输协议包括TCP(Transmission Control Protocol)和UDP(User Datagram Protocol)。这些协议在ENSP模拟环境中可以通过路由器、交换机等网络设备进行配置和测试。 - **TCP** 是一种面向连接的可靠传输协议,适用于需要高可靠性数据传输的应用场景,如文件传输(FTP)、电子邮件(SMTP)等[^3]。 - **UDP** 则是一种无连接的不可靠传输协议,适合实时性强但对错误容忍度较高的应用场景,如视频流媒体播放、DNS查询等[^4]。 #### 2. TCP/UDP协议的主要特性 以下是TCP和UDP协议的一些关键特性和区别: | 特性 | TCP | UDP | |-----------------|------------------------------------|----------------------------------| | 连接类型 | 面向连接 | 无连接 | | 可靠性 | 提供确认机制,确保数据完整传递 | 不提供确认机制 | | 流量控制 | 支持流量控制 | 不支持流量控制 | | 应用场景 | 文件传输、邮件服务 | 视频会议、语音通话 | 以上表格总结了两种协议的核心差异[^5]。 #### 3. 在ENSP中配置TCP/UDP协议 虽然ENSP本身并不直接涉及传输协议的具体配置,但它可以用来搭建实验环境并验证应用协议的工作情况,而这些应用协议通常基于TCP或UDP运行。以下是一个简单的配置示例,展示如何通过ENSP配置一台路由器以允许特定的TCP或UDP流量通行。 ##### (1) 配置ACL规则 访问控制列表(Access Control List, ACL)可用于过滤特定的TCP或UDP流量。以下是在华为路由器上创建ACL规则的命令示例: ```shell # 创建基本ACL规则,仅允许指定源IP地址发送的TCP流量 [Huawei] acl number 2000 [Huawei-acl-basic-2000] rule permit tcp source 192.168.1.0 0.0.0.255 destination any [Huawei-acl-basic-2000] quit # 将ACL应用于接口 [Huawei]interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1] ip access-group 2000 inbound ``` 上述配置展示了如何通过ACL规则筛选入站方向上的TCP流量,并将其绑定至某个物理接口[^6]。 ##### (2) 验证配置效果 完成配置后,可通过抓包工具(如Wireshark)或者ENSP内置的调试功能来观察实际流量行为。例如,执行`display firewall session table verbose`命令可以查看当前会话表中的详细信息,从而判断是否成功匹配了预期的TCP或UDP流量。 #### 4. 结合HDLC协议分析 尽管HDLC属于链路协议,但在某些情况下可能会影响传输的表现形式。例如,在广域网环境下部署HDLC作为串行链路封装协议时,可能会间接影响高协议的选择策略。如果底链路不稳定,则即使选择了可靠的TCP协议也可能因频繁重传而导致性能下降[^7]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值