《用wireshark捕捉分析以太网帧结构》由会员分享,可在线阅读,更多相关《用wireshark捕捉分析以太网帧结构(4页珍藏版)》请在金锄头文库上搜索。
1、wireshark 抓包工具使用一、收获体会 在此次作业中通过使用 wireshark 嗅探器,加深了对 ip 数据报,以及 udp 协议结构的 理解,同时通过对以前知识的复习,进一步理解了数据在网络中是如何传输的,同时 对七层模型有了进一步的理解。 在此次解答的过程中,也发现了一些比较明显的问题,如对于一些比较基础的网络知 识有遗忘的迹象,同时发现自己的计算机专业英语水平有些不足。针对这些问题,我 应该采取一些弥补措施,复习才是王道呀,每次在复习的时候都会有新的发现,也许 以前不理解的知识点,或者是以前没有理解透的问题,通过复习你便会有全新的认识。二、教学与建议 希望老师尽量讲得通俗易懂一些
2、,最好能在上课的前几分钟,简单的温习一下前一节 课的内容;建议老师在上课期间选择适当的时机给我们讲网络工程的一些实践经验,同时, 可以多让我们了解一些比较前沿的应用; 三、作业解答过程(截图与分析) 1、工具界面:2、首先在控制台中输入 ipconfig /all 命令查看当前主机的 ip 地址,以及其他相关的网络 配置信息截图如下;为了与 wireshark 软件捕获的信息做对比,应该事先从以上配置知道的信息: Mac 物理地址: Ip v4 地址:192.168.1.100 子网掩码:255.255.255.0 默认网关:192.168.1.1 3、选取一条捕获的信息进行分析截图如下:对应
3、的详细信息截图:从第一项可以粗略地得知,捕获帧有 89 字节,从第二项可以看出源地址和目的地址 (物理地址) ,第三项包含使用的网络协议,源 ip 地址,目的 ip 地址等信息; 4、逐项分析:展开第一项显示以上内容,我们可以看出 arrival time(到达时间)帧数为 181,帧的长度为 89 字节,被 wireshark 捕获的长度为 89 字节,显示帧未被标 记展开第二项,得知目的 mac 地址为:28:93:fe:c4:f5:f3 源 mac 地址为:00:26:9e:62:26:ba 网络协议类型为:ip(在以太网帧结构中规定类型字段0x0600 的表示协议类型其中 ip 协议的
4、类型码为 0x0800,arp 协议的类型码为:0x0806 netware 的 ixp 协议: 0x8137,如果类型字段0x0600 则表示帧的长度)展开第三项可以得出 协议版本 version 号为:4 表示网络层使用的是 ipv4 协议 报头长度为:20 字节 (ip 头部常用 4B 作为一个基本单元,前 5 个单元 20B 为必需域,其中 ip 头部的长度 范围:20B60B)服务类型域 service field:0x00 (该域有 8 位,用于指示路由器如何处理该数据,包括优先级和服务类型参数,具体 信息见网络基础 P234)总长度 total length:75 字节 (16
5、位,定义了以字节为单位的数据报的总长度)标识域 identification:0x539e (16 位的片识别的标记)标志域 flags:0x00 (3 位,DF 值为 0 表示可以分片,MF 值为 0 表示接收的是最后一个分片)报文片段偏移量为:0 (片偏移值是以 8B 为单位来计数的)生存时间 ttl:75 (表示数据报可以经过最多的路由器跳数)协议域 protocol:0x11 协议值为 17 表示 udp 协议头部校验和 header checksum:0x0000 保证报头的完整性、源 ip 地址:192.168.1.100目的 ip 地址:183.60.48.200展开第四和第五部分(udp 用户数据报)分析得出: 源端口号:4000、 目的端口号:8000 (端口号长度为 16 位,客户进程的端口分配,01023 为熟知端口号,102449151 为注 册端口号,4915265535 为临时端口号) 数据报总长度:55 字节 (16 位,范围 8B65535B) 校验和 checksum:0xaa59 数据长度为:47 字节5 综合分析 从以上的分析表明,此数据是由本地主机发往 183.60.48.200 地址的主机,网络层采用 的是 ipv4 协议,传输层采用的是 udp 协议;参考资料: 计算机网络(第二版) 清华大学出版社
