准备
了解 Wireshark 的基本使用:
1.选择对哪块网卡进行数据包捕获
2.开始/停止捕获
3.了解 Wireshark 主要窗口区域
4.设置数据包的过滤
5.跟踪数据流
参考
数据链路层
一、熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
步骤:
1、打开Wireshark,勾选WLAN网卡,点击Start,启动抓包。
2、wireshark启动后,wireshark处于抓包状态中。
3、执行需要抓包的操作,如在cmd窗口下执行ping www.baidu.com。
4、操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤,获取结果如下。说明:ip.addr == 14.215.177.39 and icmp 表示只显示ICPM协议且源主机IP或者目的主机IP为14.215.177.39的数据包
5、观察数据详细区中的Ethernet II一栏,了解数据链路层中帧的结构
分析:
Destination一行为目的mac地址,为00:74:9c:9f:40:13;Source一行为源mac地址,为d4:6d:6d:2d:65:22;
Type一行为类型,为0x0800,为IPv4类型,但缺少FCS校验字段。
问题
你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
分析:这是因为有时校验和会由网卡计算,这时wireshark抓到的本机发送的数据包的校验和都是错误的,所以默认关闭了WireShark自己的校验。
二、了解子网内/外通信时的 MAC 地址
步骤:
1.在命令提示符中输入ipconfig -all
2.由图可知,本机的mac地址为d4:6d:6d:2d:65:22,ip地址为192.168.43.89。子网另一主机的mac地址为40-9f-38-aa-f5-df,ip地址为192.168.43.32。
3.Ping 192.168.43.32
4.用 Wireshark 抓取ip地址为192.168.43.32的包,记录发出帧的目的 MAC 地址以及返回帧的源MAC地址
5.Ping qige.io
6.用 Wireshark 抓取ip地址为104.18.40.82的包,记录发出帧的目的 MAC 地址以及返回帧的源MAC地址。
7.ping www.baidu.com
8.用 Wireshark 抓取ip地址为183.232.231.174的包,记录发出帧的目的 MAC 地址以及返回帧的源MAC地址。
分析:
1、访问本子网的计算机,目的mac为40-9f-38-aa-f5-df(为另一主机地址)
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
