实验六 Wireshark网络抓包实验
一、实验目的
- 使用Wireshark软件对网卡上的数据包进行抓取,分析数据包各字段的含义。
- 掌握数据链路层、网络层、运输层常用数据包的定义
- 掌握相关网络命令
二、实验要求
- 熟悉wireshark软件。
- 利用wireshark软件完成实验内容。
- 提交实验设计报告。
三、实验环境
- Wireshark软件
四、实验内容
本机IP:10.1.36.48 网关:10.1.36.1
- 捕获ARP请求及应答包
- 要求:分析数据链路层协议中的:源MAC,目的MAC,类型。
- ARP协议中:表明是请求的数据;表明是应答的数据;IP 地址和MAC地址之间的关系。
- 输入命令:arp –a查看当前主机中的ARP表
- 输入命令:arp –d删除ARP表中所有项
- 执行ping命令:ping 10.1.36.1 (网关)
- 抓取网络包:(ARP Request)
- 抓取网络包:(ARP Reply)
- 捕获ICMP数据包
- 执行命令:Ping 10.1.36.1(网关)
- 抓取数据包
- ICMP Echo Request
- ICMP Echo Replay
- 针对下列内容对数据包进行分析:
- 数据链路层中的:源MAC,目的MAC,类型。
- IP层:首部长度,总长度;源IP地址,目的IP地址
- ICMP协议:ICMP请求字段和ICMP应答字段
- UDP数据包测试(应用层DNS命令):
- 命令:nslookup
- 数据包:
- 针对下列内容对数据包进行分析:
- 数据链路层中的:源MAC,目的MAC,类型。
- IP层:首部长度,总长度;源IP地址,目的IP地址
- UDP:源端口,目的端口,长度
- 捕获TCP数据包;捕获三次握手过程和TCP传输过程中双方发送的第一个数据包
- 输入命令:打开浏览器访问www.baidu.com (119.75.218.70)
- 捕获三次握手数据报
- 第一次:
- 要求:关键点:SYN=1,ACK=0,Seq=1895471718
- 第二次:
- 百度回应报文,SYN=1,ACK=1,ack=1895471719,seq=413206942
- 第三次:
- 客户端回应报文,SYN=0,ACK=1,ack= 413206943,seq=189547171
- 客户端发送的第一个HTTP数据报
- 客户端发送登陆百度的请求,seq=1895471719,ack= 413206943
要求:
- 数据链路层中的:源MAC,目的MAC,类型。
- IP层:首部长度,总长度;源IP地址,目的IP地址
- TCP:源端口,目的端口,序号,确认号,标识连接请求和连接接收的字段
五、实验步骤
本机IP:192.168.43.215
默认网关:192.168.43.1
- 捕获ARP请求及应答包
- arp -a
- arp -d arp -a
- ping 192.168.43.1
ARP请求报文如图所示。
数据链路层协议中:
目的MAC地址是ff ff ff ff ff ff说明该帧是广播帧
源MAC地址是04 ea 56 1e 02 6c,是本主机接口的MAC地址
类型是08 06,之后是数据部分ARP报文
ARP协议中:
源MAC地址是04 ea 56 1e 02 6c,是本主机接口的MAC地址
目的MAC地址是00 00 00 00 00 00,表示未知目的主机的MAC地址
源IP地址是c0 a8 2b d7
目的IP地址是c0 a8 2b 01分别是各自的IP地址
ARP应答报文如图所示。
数据链路层协议中:
目的MAC地址是04 ea 56 1e 02 6c,是来自请求报文的源MAC地址
源MAC地址是52 88 35 e5 90 18,是接受到请求报文的接口的MAC地址
类型是08 06,之后是数据部分ARP报文
ARP协议中:
源MAC地址是52 88 35 e5 90 18,是本主机接口的MAC地址
目的MAC地址是04 ea 56 1e 02 6c,表示目的主机的MAC地址
源IP地址是c0 a8 2b 01
目的IP地址是c0 a8 2b d7 分别是各自的IP地址
- 捕获ICMP数据包
- ping 192.168.43.1
ICMP请求报文如图所示。
数据链路层中:
目的MAC地址:52 88 35 e5 90 18 ping的网关接口IP地址的对应MAC地址
源MAC地址:04 ea 56 1e 02 6c 本机接口的MAC地址
类型:08 00
IP层中:
首部长度:5 以4字节为单位,可见该报文是固定首部长度的报文
总长度:00 3c即60字节长度
源IP地址:c0 a8 2b d7
目的IP地址:c0 a8 ab 01 分别是两者的IP的地址
ICMP协议中:
ICMP请求字段是目的IP地址之后的部分
ICMP应答报文如图所示。
数据链路层中:
目的MAC地址:04 ea 56 1e 02 6c ping本网关的主机接口的MAC地址
源MAC地址:52 88 35 e5 90 18 本机接口的MAC地址
类型:08 00
IP层中:
首部长度:5 以4字节为单位,可见该报文是固定首部长度的报文
总长度:00 3c即60字节长度
目的IP地址:c0 a8 2b d7
源IP地址:c0 a8 ab 01 分别是两者的IP的地址
ICMP协议中:
ICMP应答字段是目的IP地址之后的部分
- UDP数据包测试(应用层DNS命令):
数据链路层中的:
源MAC:04:ea:56:1e:02:6c
目的MAC:52:88:35:e5:90:18
类型:08 00(IP数据报)
IP层:
首部长度:5(20字节)
总长度:00 5b(91字节)
源IP地址:192.168.43.215
目的IP地址:192.168.43.1 分别是两者的IP地址
UDP:
源端口:54150
目的端口:53
长度:00 47(71字节)
数据链路层中的:
源MAC:52:88:35:e5:90:18
目的MAC:04:ea:56:1e:02:6c
类型:08 00(IP数据报)
IP层:
首部长度:5(20字节)
总长度:00 91(145字节)
目的IP地址:192.168.43.215
源IP地址:192.168.43.1 分别是两者的IP地址
UDP:
目的端口:54150
源端口:53
长度:00 7d(125字节)
- 捕获TCP数据包;捕获三次握手过程和TCP传输过程中双方发送的第一个数据包
- 打开浏览器访问www.baidu.com
- ping www.baidu.com查询百度的IP地址
百度IP:39.156.66.14
- 捕获三次握手数据报
数据链路层中的:
源MAC:04:ea:56:1e:02:6c(本机接口MAC地址)
目的MAC:52:88:35:e5:90:18(默认网关接口的MAC地址)
类型:08 00 (IP)
IP层:
首部长度:5(20字节)
总长度:00 34(52字节)
源IP地址:192.168.43.215(本机IP地址)
目的IP地址:39.156.66.14(目的服务器的IP地址)
TCP:
源端口:14061
目的端口:443
序号:0
确认号:无效
数据链路层中的:
源MAC:52:88:35:e5:90:18(默认网关接口的MAC地址)
目的MAC:04:ea:56:1e:02:6c(主机的MAC地址)
类型:08 00 (IP)
IP层:
首部长度:5(20字节)
总长度:00 34(52字节)
目的IP地址:192.168.43.215(本机的IP地址)
源IP地址:39.156.66.14(服务器的IP地址)
TCP:
目的端口:14061
源端口:443
序号:0
确认号:1
数据链路层中的:
源MAC:04:ea:56:1e:02:6c
目的MAC:52:88:35:e5:90:18
类型:08 00 (IP)
IP层:
首部长度:5(20字节)
总长度:00 28(40字节)
源IP地址:192.168.43.215
目的IP地址:39.156.66.14
TCP:
源端口:14061
目的端口:443
序号:1
确认号:1
数据链路层中的:
源MAC:04:ea:56:1e:02:6c
目的MAC:52:88:35:e5:90:18
类型:08 00 (IP)
IP层:
首部长度:5(20字节)
总长度:02 2d(557字节)
源IP地址:192.168.43.215
目的IP地址:39.156.66.14
TCP:
源端口:14061
目的端口:443
序号号:1(因为第三次握手若不携带数据的话不消耗序列号,所以仍是1)
确认号:1
六、实验心得体会
深刻理解了各个数据报的格式,以及TCP三次握手的过程。
