使用 Wireshark 进行计算机网络协议分析

本文详细介绍了使用Wireshark进行网络协议分析的步骤和实验,涵盖数据链路层、网络层、传输层和应用层的关键知识点。通过Wireshark的基本操作,如捕获选项、过滤数据包,深入理解Ethernet帧结构、IP包结构、TCP/UDP段结构、DNS解析和HTTP请求应答。实验涉及ARP解析、IP分段与重组、TTL事件,揭示了网络通信背后的原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验准备

本部分实验用到的是抓包和协议分析软件——Wireshark,下载路径:https://www.wireshark.org/#download

Win10系统安装Wireshark完成后,选择抓包但是不显示网卡,则需要下载win10pcap兼容性安装包。下载路径:win10pcap兼容性安装包

查阅参考资料,了解 Wireshark 的基本使用:
1、选择对哪块网卡进行数据包捕获
2、开始/停止捕获
3、了解 Wireshark 主要窗口区域
4、设置数据包的过滤
5、 跟踪数据流

🌏 参考资料
1、官方文档
2、Wireshark抓包新手使用教程
3、Troubleshooting with Wireshark
4、The Official Wireshark Certified Network Analyst Study Guide
5、Wireshark Network Security

Wireshark基本操作

下面使用wireshark工具抓取ping命令操作的示例

  1. 打开wireshark,选择“捕获”—>“选项”
    在这里插入图片描述

  2. 勾选WLAN网卡,点击开始,运行抓包
    在这里插入图片描述

  3. 开始后wireshark处于抓包状态
    在这里插入图片描述

  • Frame: 物理层的数据帧

  • Ethernet II: 数据链路层以太网帧头部信息

  • Internet Protocol Version 4: 网络层IP包头部信息

  • Transmission Control Protocol: 传输层T的数据段头部信

  • Hypertext Transfer Protocol: 应用层的信息

说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules

在这里插入图片描述

  1. 执行需要抓包的操作,如在cmd窗口下执行ping www.baidu.com
    在这里插入图片描述
  2. 操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤。
    在这里插入图片描述

说明:ip.addr == 14.215.177.39 and icmp表示只显示ICPM协议且源主机IP或者目的主机IP为14.215.177.39的数据包。协议名称icmp要小写。

一、数据链路层

实作1:Ethernet帧结构

使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
在这里插入图片描述
Ethernet 帧的结构:

  • 目的 MAC:00:74:9c:9f:40:13
  • 源 MAC:d4:25:8b:68:04:16
  • 类型: IPv4(0x0800)

✎ 问题

你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。

✍ 解答

Wireshark 抓包前,在物理层网卡已经去掉了一些之前几层加的东西,比如前导同步码,FCS等等,之后利用校验码CRC校验,正确时才会进行下一步操作,这时才开始进行抓包,因此,抓包软件抓到的是去掉前导同步码、FCS之外的数据,没有校验字段。

实作2:子网内/外通信时的 MAC 地址

  1. ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
  • ping 旁边的计算机(同一子网)
    在这里插入图片描述
  • 用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值