文章目录
实验准备
本部分实验用到的是抓包和协议分析软件——Wireshark,下载路径:https://www.wireshark.org/#download
Win10系统安装Wireshark完成后,选择抓包但是不显示网卡,则需要下载win10pcap兼容性安装包。下载路径:win10pcap兼容性安装包
查阅参考资料,了解 Wireshark 的基本使用:
1、选择对哪块网卡进行数据包捕获
2、开始/停止捕获
3、了解 Wireshark 主要窗口区域
4、设置数据包的过滤
5、 跟踪数据流
🌏 参考资料
1、官方文档
2、Wireshark抓包新手使用教程
3、Troubleshooting with Wireshark
4、The Official Wireshark Certified Network Analyst Study Guide
5、Wireshark Network Security
Wireshark基本操作
下面使用wireshark工具抓取ping命令操作的示例
-
打开wireshark,选择“捕获”—>“选项”
-
勾选WLAN网卡,点击开始,运行抓包
-
开始后wireshark处于抓包状态
-
Frame: 物理层的数据帧
-
Ethernet II: 数据链路层以太网帧头部信息
-
Internet Protocol Version 4: 网络层IP包头部信息
-
Transmission Control Protocol: 传输层T的数据段头部信
-
Hypertext Transfer Protocol: 应用层的信息
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules
- 执行需要抓包的操作,如在cmd窗口下执行ping www.baidu.com
- 操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤。
说明:
ip.addr == 14.215.177.39 and icmp
表示只显示ICPM协议且源主机IP或者目的主机IP为14.215.177.39
的数据包。协议名称icmp要小写。
一、数据链路层
实作1:Ethernet帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
Ethernet 帧的结构:
- 目的 MAC:00:74:9c:9f:40:13
- 源 MAC:d4:25:8b:68:04:16
- 类型: IPv4(0x0800)
✎ 问题
你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
✍ 解答
Wireshark 抓包前,在物理层网卡已经去掉了一些之前几层加的东西,比如前导同步码,FCS等等,之后利用校验码CRC校验,正确时才会进行下一步操作,这时才开始进行抓包,因此,抓包软件抓到的是去掉前导同步码、FCS之外的数据,没有校验字段。
实作2:子网内/外通信时的 MAC 地址
- ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
- ping 旁边的计算机(同一子网)
- 用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析)