wireshark实验

最新推荐文章于 2024-04-30 17:15:06 发布
最新推荐文章于 2024-04-30 17:15:06 发布
阅读量243 收藏 1
点赞数
文章标签: wireshark 网络 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54080191/article/details/121244210
版权

wireshark实验

数据链路层

实作一 熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
在cmder中ping www.baidu.com
在这里插入图片描述
同时在wireshark中抓包该域名的百度。
在这里插入图片描述

在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为
(1)Frame: 物理层的数据帧概况
(2)Ethernet II: 数据链路层以太网帧头部信息
(3)Internet Protocol Version 4: 互联网层IP包头部信息
(4)Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
(5)Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

✎ 问题

你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。

有时校验和会由网卡计算,这时wireshark抓到的本机发送的数据包的校验和都是错误的,因此默认关闭WireShark自身校验。

实作二 了解子网内/外通信时的 MAC 地址

1.ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

我自己的MAC地址 ,MAC地址如下

2.然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
在这里插入图片描述

目的MAC地址是:
在这里插入图片描述
源MAC地址是:
在这里插入图片描述

这个源MAC地址是自己的:
在这里插入图片描述

3.再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
在这里插入图片描述
在这里插入图片描述

目的MAC地址是:
在这里插入图片描述
源MAC地址是:
在这里插入图片描述
这个目的MAC地址是自己的:
在这里插入图片描述

✎ 问题

通过以上的实验,你会发现:
访问本子网的计算机时,目的 MAC 就是该主机的
访问非本子网的计算机时,目的 MAC 是网关的
请问原因是什么?

当本机访问的是本子网的计算机,数据包无需离开本通信子网,传输数据也是在本子网里进行,所以是对方主机的MAC物理地址;
当本机访问的是非本子网的计算机,也就是说此时有两个不同通信子网的主机之间需要通信,数据包就需要离开本通信子网,这里就涉及到数据包在两个通信子网的传输,传输数据要离开本通信子网,就势必要经过网关,因此,该目的MAC物理地址就是本网关的物理地址。

实作三 掌握 ARP 解析过程

1.为防止干扰,先使用 arp -d * 命令清空 arp 缓存
ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
2.再次使用 arp -d * 命令清空 arp 缓存
在这里插入图片描述

3.然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
在这里插入图片描述
回复的是子网的网关MAC地址:
在这里插入图片描述
在wireshark中这样的:
在这里插入图片描述

✎ 问题

通过以上的实验,你应该会发现,
ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?

当本机访问的是本子网的计算机,数据包无需离开本通信子网, ARP 解析将也是在本子网里进行,所以ARP解析得到是对方主机的MAC物理地址;
当本机访问的是非本子网的计算机,也就是说此时有两个不同通信子网的主机之间需要通信,数据包就需要离开本通信子网,这里就涉及到数据包在两个通信子网的传输,传输数据要离开本通信子网,ARP 解析就势必要经过网关,因此,该ARP 解析得到的目的MAC物理地址就是本网关的物理地址。

网络层

实作一 熟悉 IP 包结构

使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
在这里插入图片描述

✎ 问题

为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?

头部长度是来表明该包头部的长度,可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度是为了接收方的网络层了解到传输的数据包含哪些,如果没有该部分,当数据链路层在传输时,对数据进行了填充,对应的网络层不会把填充的部分给去掉。

实作二 IP 包的分段与重组

根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。

缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
在这里插入图片描述
在这里插入图片描述

当ping一个Ip的长度制定为2000是Wireshark抓包得到的4次收发的数据包如图;在这之中我们可以很清楚的看到2000长度的ip包被分为了两个ip包进行传输,第一个ip包的长度为1514,第二个长度为562;

在这里插入图片描述
在这里插入图片描述

✎ 问题

分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?

直接丢弃再通知发送端进行重传。
由于在 IPv6中分段只能在源与目的地上执行,不能在路由器上进行。因此当数据包过大时,路由器就会直接丢弃该数据包包,并向发送端发回一个"分组太大"的ICMP差错报文,之后发送端就会使用较小长度的IP数据报重发数据。

实作三 考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。

在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。

请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
命令行:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述首先,TTL是从1开始,每经过一个路由,TTL的的设置就会增加1,直到到达目的地址。发送包才将TTL设置为64或者128,将数据按照路由的顺序进行数据的发送。

✎ 问题

在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?

ICMP 回显应答的 TTL 字段值为 128;TTL为返回值,跳数就为128-50=78跳。

传输层

实作一 熟悉 TCP 和 UDP 段结构

用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
在这里插入图片描述

用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
在这里插入图片描述

✎ 问题

由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?

(1)端口号:标识同一台计算机的不同应用进程
(2)源端口号:源端口号和IP地址的作用是标示报文的返回地址
(3)目的端口号:端口指明接收方计算机上的应用程序接口。

实作二 分析 TCP 建立和释放连接

打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
这里使用百度举例:
在这里插入图片描述

请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。

第一次握手,同步位(SYN)是1,确认位(ACK)是0
第二次握手,同步位(SYN)是1,确认位(ACK)是1
第三次握手,同步位(SYN)是0,确认位(ACK)是1

请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
在这里插入图片描述

在这里插入图片描述这里的释放连接只有三次握手,主要是ACK=1与FIN =1在同一个segement中。

(1)第一次挥手:客户端发送一个 FIN 报文,报文中会指定一个序列号。此时客户端处于 FIN_WAIT1 状态。即发出连接释放报文段(FIN=1,序号seq=u),并停止再发送数据,主动关闭TCP连接,进入FIN_WAIT1(终止等待1)状态,等待服务端的确认。
(2)第二次挥手:服务端收到 FIN 之后,会发送 ACK 报文,且把客户端的序列号值 +1 作为 ACK报文的序列号值,表明已经收到客户端的报文了,此时服务端处于 CLOSE_WAIT 状态。即服务端收到连接释放报文段后即发出确认报文段(ACK=1,确认号ack=u+1,序号seq=v),服务端进入CLOSE_WAIT(关闭等待)状态,此时的TCP处于半关闭状态,客户端到服务端的连接释放。客户端收到服务端的确认后,进入FIN_WAIT2(终止等待2)状态,等待服务端发出的连接释放报文段。
(3)第三次挥手:如果服务端也想断开连接了,和客户端的第一次挥手一样,发给 FIN 报文,且指定一个序列号。此时服务端处于 LAST_ACK的状态即服务端没有要向客户端发出的数据,服务端发出连接释放报文段(FIN=1,ACK=1,序号seq=w,确认号ack=u+1),服务端进入LAST_ACK(最后确认)状态,等待客户端的确认。
(4)第四次挥手:客户端收到 FIN 之后,一样发送一个 ACK 报文作为应答,且把服务端的序列号值 +1 作为自己 ACK报文的序列号值,此时客户端处于TIME_WAIT 状态。需要过一阵子以确保服务端收到自己的 ACK 报文之后才会进入 CLOSED状态,服务端收到 ACK 报文之后,就处于关闭连接了,处于 CLOSED 状态。即客户端收到服务端的连接释放报文段后,对此发出确认报文段(ACK=1,seq=u+1,ack=w+1),客户端进入TIME_WAIT(时间等待)状态。此时TCP未释放掉,需要经过时间等待计时器设置的时间2MSL后,客户端才进入CLOSED状态。
收到一个FIN只意味着在这一方向上没有数据流动。客户端执行主动关闭并进入TIME_WAIT是正常的,服务端通常执行被动关闭,不会进入TIME_WAIT状态。
在socket编程中,任何一方执行close()操作即可产生挥手操作。

✎ 问题一

去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?

它们之间的连接是属于短连接,一旦数据发送完成后,就会断开连接。虽然,断开连接,但是页面还是存在,由于页面已经被缓存下来。一旦需要重新进行发送数据,就要再次进行连接。这样的连接,是为了实现多个用户进行访问,对业务频率不高的场合,节省通道的使用,不让其长期占用通道。

✎ 问题二

我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?

三次握手是因为在释放连接的时候,有一次返回的时候ACK=1确认释放连接的时候,同一个报文中FIN=1,即同时发出的释放连接的请求。

应用层

实作一 了解 DNS 解析

先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
在这里插入图片描述
在这里插入图片描述

你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
可了解一下 DNS 查询和应答的相关字段的含义
在这里插入图片描述

✎ 问题

你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?

一个域名下面肯定不止一个服务器,发送DNS解析请求的时候不会一直连在一个服务器,连接不同的服务器就会有不同的服务器地址

实作二 了解 HTTP 的请求和应答

1.打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
在这里插入图片描述

2.请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
在这里插入图片描述
在这里插入图片描述

Accept:告诉WEB服务器自己接受什么介质类型
Content-Type:WEB 服务器告诉浏览器自己响应的对象的类型
Content-Length:WEB 服务器告诉浏览器自己响应的对象的长度
Cache-Control:用来指示缓存系统(服务器上的,或者浏览器上的)应该怎样处理缓存
Host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
POST:请求的方式,其中包括URI和版本

3.请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

200:交易成功;304:客户端已经执行了GET,但文件未变化;404:没有发现文件、查询或URl.

✎ 问题

刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?

服务器告诉浏览器当前请求的资源上一次修改的时间是这个时间。浏览器第二次发送请求的时候,告诉浏览器我上次请求的资源现在还在自己的缓存中,如果你那边这个资源还没有修改,就可以不用传送应答体给我了。服务器根据浏览器传来的时间发现和当前请求资源的修改时间一致,就应答304,表示不传应答体了,从缓存里取。

kixs_wlj2
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark抓包实验
07-09
wireshark网络抓包,TCP,UDP的抓包,包括三次握手,四次挥手。
计算机网络——Wire shark实验
qq_52282622的博客
01-02 1813
Wire Shark前言一、准备二、数据链路层实作一实作二实作三总结 前言 本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark 进行,请根据简介部分自行下载安装。 一、准备 请自行查找或使用如下参考资料,了解 Wireshark 的基本使用: 选择对哪块网卡进行数据包捕获 开始/停止捕获 了解 Wireshark 主要窗口区域 设置数据包的过滤 跟踪数据流 二、数据链路层 实作一 熟悉 Ethernet 帧结构: 使用 Wireshar
Wireshark抓包实验
weixin_46584792的博客
12-23 1814
目录1.数据链路层实作一 熟悉 Ethernet 帧结构实作二 了解子网内/外通信时的 MAC 地址实作三 掌握 ARP 解析过程2.网络层实作一 熟悉 IP 包结构实作二 IP 包的分段与重组实作三 考察 TTL 事件3.传输层实作一 熟悉TCP UDP段结构实作二 分析TCP建立和释放连接4.应用层实作一 了解DNS解析实作二 了解HTTP的请求和应答5.总结 1.数据链路层 实作一 熟悉 Ethernet 帧结构 使用Wireshark进行任意抓包,熟悉 Ethernet 帧的结构,如:目的 MAC
【计算机网络实验二-wireshark实验
qq_53175673的博客
12-18 1125
2.ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。qige.io接收到后,应该要回复一个ack包,同时,它为了断开与我的连接,也要发一个FIN包,所以这里二三两次挥手被合在一起了。刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。最后我的主机再回复一个ack确认位为1的包。
计算机网络学习②——Wireshark实验
syw6666666的博客
11-18 9191
Wireshark 实验 本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark进行,请根据简介部分自行下载安装。 准备: 请自行查找或使用如下参考资料,了解 Wireshark 的基本使用: 选择对哪块网卡进行数据包捕获 进行网络选择 开始/停止捕获 了解 Wireshark 主要窗口区域 设置数据包的过滤 为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤 ip.addr=[IP地址]
计算机网络实验一:应用协议与数据包分析
进阶中的程序员吃吃的博客
05-13 1万+
2、实验步骤1、ping命令Ping是一个测试程序,运行正确就可以排除网络访问层、网卡、modem的输入输出线路、电缆和路由器等存在的故障,减小了问题的范围。Ping IP地址2、ipconfig用于检查网络TCP/IP配置的信息。比如IP地址、MAC地址、DNS等。MAC(Media Access Control或者Medium Access Control)地址,意译为媒体访问控制,或称为物...
wireshark网络抓包详解
xv7777666的博客
05-24 2686
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏【视图】-> 【着色规则】。如下所示:WireShark 主要分为这几个界面:1)Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:【分析】-> 【Display Filters】。2)Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含。
Wireshark 基于生成的IP统计分析
悦分享
01-04 985
以下是对各个IP统计功能的详细介绍。1. 所有地址所有地址IP统计,显示抓包文件中每个IP地址的数据包个数,频率,占有百分百和高峰值相关信息。使用者也可以通过显示过滤器,只查看某一个或几个IP的统计数据,显示过滤器在下方直接输入即可。2. 目标和端口目标和端口,统计了各个IP传输层端口的数据包个数及相关信息。这个功能能够详细查看任意IP地址都在通过哪些端口传输数据。3. IP协议类型IP协议类型,统计不同协议的数据包个数,占比及相关信息。4. 源-目标地址。
通过tcpdump抓取 指定 ip 端口 的网络数据,并通过wireshark分析网络数据,很实用
热门推荐
三也_攻城狮
12-04 7万+
无意中发现了一个巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,而且非常风趣幽默,像看小说一样!觉得太牛了,所以分享给大家。点这里可以跳转到教程。 抓取来源ip port 端口的数据,tcp协议,并保存到文件 tcpdump -w dataSrc.pcap -i bond0 src net ip and port port 抓取目的ip port端口的数据 t...
Wireshark 日常使用指南
朱工的专栏
05-21 1万+
过滤器 捕获过滤器 (CaptureFilters) 决定将什么样的信息录在捕获结果中。 点击如图所示图标,设置捕获过滤器规则。 在弹出的“捕获选项”界面中,选择合适的接口,然后在 Capture filter for selected interfaces 输入框中输入捕获过滤器表达式。 捕获过滤器表达式语法: 滤波器表达式由**一个或多个原语(primitive)**组成 多个原语之间使用逻辑操作符连接 原语由一个或多个限定符组成。 限定符有三类,分别是:协议、方向和类型 常用的捕获滤波表达式
Wireshark实验
06-02
熟悉并掌握 Wireshark 的基本使用;了解网络协议实体间进行交互以及报文交换的情况;学会使用 Wireshark 分析 IP、ICMP 以及 TCP 协议。
wireshark实验练习
06-13
使用wireshark过滤器,过滤分析并快速找出用户账号和密码。
Wireshark实验讲义.doc
06-05
Wireshark(前称Ethereal)安装过程和使用说明,文档详细结束了Wireshark的安装和命令的使用,具体抓包过程,对所抓取数据的分析过程等,需要的盆友自己下载
WireShark实验1
08-08
WireShark实验1
wireshark实验抓包分析
06-15
wireshark实验抓包分析..........................................
wireshark RTP分析参数
安安爸Chris的专栏
04-23 419
根据载荷可以知道正确的delta应该是多少,比如G711A,ptime=20,那么delta理论上应该趋近于20.这里的delta,分为了好几种,mean Delta应该趋同于ptime,所以这里的值是ok的。min和max评价抖动情况,但是主要mean是正常的就可以。是当前udp包接收到的时间减去上一个udp包接收到的时间。就是丢掉的udp包,所占的比率。主要看丢弃和Delta,
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
最新发布
fiberroad的博客
04-30 323
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 324
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 259
createWs("测试数据", (res) => {

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值