Wireshark分析PING命令的过程

已于 2022-06-14 16:15:35 修改
阅读量2.9k 收藏 35
点赞数 24
CC 4.0 BY-SA版权
分类专栏: 计算机网络 文章标签: 网络 网络协议 wireshark
于 2022-06-10 22:56:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ChenTest100/article/details/125228807
本文详细介绍了使用Wireshark分析ping命令在网络中的运行流程,包括ARP协议用于查找MAC地址,ICMP协议用于网络检测。通过实例展示了不同情况下的网络通信:ping其他网段不存在地址时会先获取网关MAC,ping其他网络存在地址时直接通过网关,以及在同一网络内通信时的直接ARP请求。总结了ping命令如何根据目标IP是否在同一网络,决定是否需要经过网关进行通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Wireshark分析PING命令的过程

Wireshark的使用可以参考:wireshark抓包新手使用教程 - jack_Meng - 博客园

前言

相信大家对ping命令都很熟悉,也经常用来检测网络环境,但你对ping命令背后的运行过程有多少了解呢?

正文部分涉及两个背景知识:ARP协议和ICMP协议,简单说ARP协议是根据Mac地址查找IP,而ICMP协议是用来检测网络情况的,感兴趣的小伙伴可以自行查阅这两个协议

ping命令的流程

下面以几个案例来分析,先介绍一些本机和网关地址

本机的地址:
IPv4 地址 . . . . . . . . . . . . : 192.168.4.6
物理地址. . . . . . . . . . . . . : 5C-80-B6-FE-A5-0B
子网掩码  . . . . . . . . . . . . : 255.255.255.0
​
网关的地址:
IPv4 地址 . . . . . . . . . . . . : 192.168.4.1
物理地址. . . . . . . . . . . . . : b4-de-df-24-5f-1b

ping一个其他网段且不存在的地址

先打开Wireshark抓包再输入命令哦

# 清除本机ARP表
arp -d
# ping命令
ping 10.10.10.10

获取网关地址

从下图可以看出,26号包是我本机发起的ARP广播,查找网关的Mac地址,这是因为ping命令指向的地址 10.10.10.10 和我本机地址 192.168.4.6 不在同一个网段,因此需要借助网关转发;

而本机的ARP表被清空了,因此需要先发起ARP广播获取网关的Mac地址

在Wireshark的过滤栏中输入arp,表示筛选arp协议相关的包

Mac地址前面部分是网卡厂商的标识,由于这是全球统一的,因此Wireshark直接显示厂商的名称,如IntelCor表示的是因特尔的网卡,而zte表示的是中兴的网卡

发起ICMP请求

本机发起的ICMP请求,但目标Mac却是网关,这是为什么呢?

原因是本机不知道目标IP的Mac地址,它需要借助网关来转发,因此需要先将数据包发送给网关;

而该地址不存在,所以没有响应。

 

而若是本机的ARP表中已经存在网关的地址,则可以省去第一步,可以直接将ICMP包发送给网关

ping一个其他网络且存在的地址

C:\WINDOWS\system32>ping www.baidu.com
​
正在 Ping www.a.shifen.com [163.177.151.110] 具有 32 字节的数据:
来自 163.177.151.110 的回复: 字节=32 时间=13ms TTL=55
来自 163.177.151.110 的回复: 字节=32 时间=11ms TTL=55
来自 163.177.151.110 的回复: 字节=32 时间=12ms TTL=55
来自 163.177.151.110 的回复: 字节=32 时间=15ms TTL=55
​
163.177.151.110 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 11ms,最长 = 15ms,平均 = 12ms

39号包和上面提到的一样,本机发起的请求,目标IP是163.177.151.110,而目标Mac地址是网关

由于此时ARP表中已经有网关的记录,无需发起ARP广播获取网关的Mac地址

而我们查看一下40号包,可以发现该包的源IP地址是163.177.151.110,但源Mac地址是网关,而目标Mac地址和目标IP地址都是本机

这是由于数据包在网络传输中需要经过许多设备,而这个数据包的源IP地址和目标IP地址不变源Mac地址目标Mac地址会随着经过的网络环境发生变化,在本机所处的局域网中,最后一步是由网关将数据包转发到本机,这就是为什么这个包的源Mac地址是网关而目标Mac地址是本机了

采用NAT协议的网络是会修改对外数据包的源IP地址哦

ping一个本网络且存在的地址

先来查看一下本机的ARP表

C:\WINDOWS\system32>arp -a
接口: 192.168.4.6 --- 0x1c
  Internet 地址         物理地址              类型
  192.168.4.1           b4-de-df-24-5f-1b     动态
  192.168.4.230         00-11-32-82-cc-f3     动态
  192.168.4.255         ff-ff-ff-ff-ff-ff     静态
  224.0.0.22            01-00-5e-00-00-16     静态
  224.0.0.251           01-00-5e-00-00-fb     静态
  224.0.0.252           01-00-5e-00-00-fc     静态
  239.255.255.250       01-00-5e-7f-ff-fa     静态
  255.255.255.255       ff-ff-ff-ff-ff-ff     静态

可以看到有好几个IP与Mac地址的映射,而如果我们ping一个不在该表的IP

C:\WINDOWS\system32>ping 192.168.4.5
​
正在 Ping 192.168.4.5 具有 32 字节的数据:
来自 192.168.4.5 的回复: 字节=32 时间=738ms TTL=64
来自 192.168.4.5 的回复: 字节=32 时间=54ms TTL=64
来自 192.168.4.5 的回复: 字节=32 时间=5ms TTL=64
来自 192.168.4.5 的回复: 字节=32 时间=11ms TTL=64
​
192.168.4.5 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 5ms,最长 = 738ms,平均 = 202ms

可以看到这次和前两次不同,发起的ARP广播直接请求192.168.4.5的Mac地址,而192.168.4.5也直接回应本机。

让我们再来看看ICMP包的情况,从157号和158号包可以看出,两个主机之间的通信并没有经过网关,这是由于两个IP处在同一个网段,因此系统直接对目标地址发起了ARP请求,并且后续的ICMP包也无需经过网关,两个主机处于同一个广播域。

 

还有一个细节是当ARP表记录了192.168.4.5的地址后,请求的延时低了许多,这是因为减少了ARP广播获取192.168.4.5 Mac地址的步骤,可以直接发送ICMP包给对应主机。

总结

从前面的三个例子中可以看出,ping命令的运行过程是这样的:

  1. 判断目标IP地址是否为本网络
  2. 若是,则查找本机的ARP表,若表中没有记录则对目标IP发起ARP广播,不经过网关
  3. 若不是,则查找本机ARP表是否有网关的记录,若则直接发起ICMP协议,目标IP是ping的IP,目标Mac地址是网关;而若表中没有,则发起对网关的ARP请求,获取网关的Mac地址后再发送ICMP包
  4. 若目标IP与本机处于同一网络,并且ARP表中有记录,则可以免去ARP广播请求获取目标Mac地址的步骤,直接与目标主机通信ICMP数据包
  5. 若目标IP与本机不是同一个网络,则通信需要借助网关,数据包的源Mac地址和目标Mac地址会被修改

网络协议分析工具Wireshark的使用、用Wireshark观察ARP协议以及ping命令工作过程分析以太网报文格式
MJ813的专栏
10-06 1万+
网络协议分析工具Wireshark的使用、用Wireshark观察ARP协议以及ping命令工作过程分析以太网报文格式
2024年Wireshark抓包分析ICMP协议_wiresharkping分析数据报格式
2401_84264662的博客
05-02 2171
分析目的:分析ICMP协议的数据格式、报文类型及作用。操作系统:Windows 10 企业版抓包工具:Wireshark 4.0.8。
wireshark抓包分析ping数据包
热门推荐
马小橙的专栏
02-23 4万+
目录 1.抓取数据包 2.ping request数据包解析 2.1 ICMP 2.2 传输层 2.3 以太帧 2.3 数据链路层 3. ping reply数据包解析 1.抓取数据包 先用管理员权限打开WireShark应用,并在条件过滤栏输入“icmp”。打开cmd,输入:ping www.baidu.com。 这样我们在命令行中,得到如下的一个显示结果: wi...
使用 wireshark 分析 Ping 通信的具体流程
wangyx1234的博客
03-06 2万+
wireshark 的基本使用;通过 wireshark 分析查看 ping 命令的通信过程
wireshark PING流量分析
qq_60229657的博客
10-13 1385
记录一下ICMP的学习过程
Wiresharkping操作以及使用
D000o11的博客
11-13 7185
ping命令是个使用频率极高的网络诊断工具,在Windows、Unix和Linux系统下均适用。它是TCP/IP协议的一部分,用于确定本地主机是否能与另一台主机交换数据报。根据返回的信息,我们可以推断TCP/IP参数设置是否正确以及运行是否正常。需要注意的是,成功与另一台主机进行一次或两次数据报交换并不表示TCP/IP配置就是正确的,必须成功执行大量的数据报交换,才能确信TCP/IP的正确性。下面就以Windows系统为例,介绍一下ping命令的基本使用方法。 我们可以用ping ...
网络安全最全Wireshark抓包分析ICMP协议_wiresharkping分析数据报格式(1)
2401_84247760的博客
05-04 1101
作者简介」:优快云 top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏分析目的:分析ICMP协议的数据格式、报文类型及作用。操作系统:Windows 10 企业版抓包工具:Wireshark 4.0.8。
作业二:wireshark抓包与ping操作
m0_57851357的博客
10-17 3364
wireshark是一款功能完备的抓包工具,利用这个工具便可以抓取不同协议的数据包。 一、网站数据包的抓取 (1)随意打开网站输入账号与密码,如: (2)利用wireshark进行抓包,并用http.request.method==POST来过滤。 可以发现我们捕获了账号密码的数据包。 二、对QQ的抓包 (1)我们通过OICQ进行过滤来捕获QQ的数据包。 (2)在我们可以找到当前时间,QQ版本号等信息。 注: NO: 编号 Time: 包的时间戳 Sou
wireshark进行抓包且对ping分析
mny38450的博客
11-08 1828
1.
锐捷长ping_锐捷实战系列(二) Wireshark抓包分析Ping过程
weixin_29000729的博客
12-30 3617
实训目的初步了解Wireshark的使用。能分析Ping过程。实训背景PING(Packet Internet Groper, 因特网包探索器),用于测试网络是否连通的程序,在Windows、Linux、Unix下都是标配程序,Ping发送一个ICMP (Internet Control Messages Protocol, 因特网信息控制协议)Request,接收方收到后,马上回复一个ICMP ...
Wireshark:入门实验|抓取ping数据包
Chiefavefan
06-10 2952
Wireshark入门实验|抓取校园门户网站的ping数据包
实验3 使用Wiresharkl观察ping命令工作过程
2301_76979886的博客
09-29 483
实现原理就是首先建立通道,然后发送包,对方接受后返回信息,这个包至少包括以下内容,发送的时候,包的内容包括对方的ip地址和自己的地址,还有序列数,回送的时候包括双方地址,还有时间等,3、分析一个数据包,详细描述出该数据包的相关信息,并对数据包中相关字段的信息作出解释,比如协议,版本,首部长度,标识,标志,片偏移,源地址和目标地址等等。4 输入要运行的pjng命令及要测试的目标主机的ip地址,等到ping命令的结果完全显示出来后,单击软件中的stop按钮,停止包的抓获;
对于Ping过程,你真的了解吗?
weixin_34236497的博客
12-23 1397
一、概览 对于ping命令,想必只要是程序员都知道吧?当我们检查网络情况的时候,最先使用的命令肯定是ping命令吧?一般我们用ping查看网络情况,主要是检查两个指标,第一个是看看是不是超时,第二个看看是不是延迟太高。如果超时那么肯定是网络有问题啦(禁ping情况除外),如果延迟太高,网络情况肯定也是很糟糕的。那么对于ping命令的原理,ping是如何检查网络的?大家之前有了解吗?接下来我们来跟...
Wireshark抓取ping
qq_51926773的博客
10-13 6612
TCP:传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793[1]定义。 TCP旨在适应支持多网络应用的分层协议层次结构。 连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的,可能不可靠的数据报服务。 原则上,TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作. 首先抓取数据包 首...
Wireshark分析PING操作
WUXX_00的博客
11-03 743
首先下载网络分包、分析软件WIreshark(前称Ethereal),再下载winpcap(windows平台下一个免费,公共的网络访问系统) 以管理员身份运行Wireshark 在条件过滤器框中输入“icmp” ,打开运行对话框,打开cmd,输入“ping www.baidu.com” ...
Wireshark抓包(PING命令
2402_82610419的博客
03-15 1550
本文详细介绍了wireshark抓包分析ping命令以及三次握手和四次挥手的全过程
wireshark 分析 ping 操作
qq_23690313的博客
12-13 1465
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Wireshark分析ping操作
kistch的博客
10-31 2565
打开wireshark,在过滤器指定过滤icmp协议的数据 打开cmd,在命令行输入ping www.baidu.com
wiresharkping数据包以及简单分析
qq_55857040的博客
12-13 2万+
相关知识 1.Ping原理 Ping是一句DOS 命令,一般用于检测网络通与不通 ,也叫时延,其值越大,速度越慢 PING (Packet Internet Grope),因特网包探索器,用于测试网络连接量的程序。Ping 发送一个 ICMP 回声请求消息给目的地并报告是否收到所希望的 ICMP 回声应答。 它是用来检查网络是否通畅或者网络连接速度的命令。 作为一个生活在网络上的管理员或 者黑客来说,ping 命令是第一个必须掌握的 DOS 命令,它所利用的原理是这样的:网络上 的机器都有唯一确定的
Wireshark观察ARP以及Ping命令工作过程
最新发布
04-28
### 关于 `null` 的解释 在 Java 中,`null` 是任何引用类型的默认值[^1]。这意味着当声明一个对象类型的变量而未显式赋值时,该变量会被自动初始化为 `null`。需要注意的是,这种行为适用于类的成员变量、实例变量和静态变量。然而,对于局部变量来说,如果尝试使用未经初始化的对象类型变量,则会导致编译错误。 尽管如此,当前讨论的主题似乎偏离了您最初提到的内容——关于 Wireshark 捕获 ARPPing 命令网络通信过程。以下是针对这一主题的相关解答: --- ### 使用 Wireshark 捕获和分析 ARPPing 命令过程 #### 工具准备 Wireshark 是一款功能强大的开源网络协议分析工具,能够实时捕获并显示网络数据包的详细信息。为了捕获和分析 ARP 以及 ICMP 协议的数据包,需确保已安装最新版本的 Wireshark 并具备管理员权限以访问底层网络接口。 #### 配置过滤条件 ARP 数据包属于链路层协议 (Ethernet),其主要作用是在局域网中解析 IP 地址到 MAC 地址的映射关系;Ping 命令则基于 ICMP 协议实现主机间的可达性测试。可以通过设置特定的捕获过滤器来筛选这些流量: - **捕获 ARP 流量**: 输入 `arp` 或更具体的表达式如 `(arp.opcode == 1)` 来仅获取请求帧。 - **捕获 ICMP 流量**: 对应命令为 `icmp` 或细化至具体消息类型,例如检测回声请求/响应可写成 `(icmp.type==8) || (icmp.type==0)`[^3]。 #### 实际操作步骤说明 启动程序后,在目标适配器上启用监听模式之前定义好上述任一规则字符串加载应用逻辑从而减少冗余记录数量提升效率效果显著另外记得保存重要片段以便后续深入研究或者报告撰写之用最后别忘了关闭项目前确认停止录制动作以免遗忘造成不必要的资源浪费等问题发生总之合理规划整个流程有助于提高工作效率同时也能获得更加精确的结果呈现形式满足不同场景下的需求差异等等诸多方面均值得我们去认真对待执行每一个细节环节力求做到最好最完美无缺憾为止才行啊亲们加油吧! ```bash # 示例:运行 ping 命令向远程服务器发送探测信号 ping -c 4 www.example.com ``` 通过以上方法即可轻松完成对指定活动期间产生的相关联报文序列进行全面监控与剖析工作啦! --- ### 注意事项 由于实际环境中可能存在多种干扰因素影响最终观察结论准确性因此建议结合实际情况灵活调整策略参数设定范围大小长短等方面综合考量后再做决定比较好哦朋友们记住了吗? ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值