wireshark抓ping包分析

内网中利用Wireshark分析ping命令执行过程目录1. Ping的过程 (1)2. 如图：测试环境 (1)3. 执行一下ping 18.250.0.31看看结果 (2)4. Ping同网段ip，消息发出后，无法获得目的ip的mac地址的情况 (4)5. 没有路由的情况模拟 (5)6. 恢复集成网卡的网线的情况 (6)6.1. Ping其他网段的情况 (7)6.2. Ping异网段的ip，没有得到reply的情况 (8)6.2.1. 这个ip不存在时 (8)6.2.2. 当对方ip存在，但打开防火墙时会出现time out的现象 (9)6.2.3. 没有回程路由，ping过去是time out (11)7. 结论： (12)8. 知识点： (12)Ping命令是我们常用的用来探查网络导通性的工具，ping命令执行结果往往能反应出网络的一些问题，下面我们用wireshark来分析一下内网中ping命令执行过程及几种常见结果和其原因？1.Ping的过程：ping属于icmp协议的探查消息，属于ip层协议，利用发出request消息携带一段字符串到目的ip，当收到目的ip返回的reply消息，携带同一段字符串返回时，认为网络层是导通的。

当cmd下输入ping命令后，操作系统首先查询路由表，看是否是符合直连路由，符合的话，要查询arp缓存里是否有对应目的ip的arp地址，没有的话，要发起arp广播request 消息，来获取目的ip的mac地址，获取成功后，ip层组成ping消息，二层进行mac层封装，发出二层单播消息出去到目的ip地址。

当发现不符合直连路由，就查缺省路由，这时要查询缺省网关的mac地址，当arp缓存里有缺省网关的ip的mac地址时，直接发包，没有的话，要发起二层广播arp请求消息，去请求网关的mac地址，获得到网关mac后，二层组包发出ping的request消息。

目的ip网段的网关收到ping的request消息后，检查对应arp缓存表，有的话，直接转发arp请求消息，没有的话，发起在本网段的arp查询请求二层广播消息，获得应答后，根据mac地址组包，对方目的ip收到ping的request消息后，查询自身的路由表，有回程路由的话组成ping的reply消息，携带request里携带探查字符串发回到源目的ip侧。

安徽农业大学计算机网络原理课程设计报告题目wireshark抓包分析了解相关协议工作原理姓名学号院系信息与计算机学院专业计算机科学与技术中国·合肥二零一一年12月Wireshark抓包分析了解相关协议工作原理学生：康谦班级：09计算机2班学号：09168168 指导教师：饶元（安徽农业大学信息与计算机学院合肥）摘要：本文首先ping同一网段和ping不同网段间的IP地址，通过分析用wireshark抓到的包，了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。

然后考虑访问抓到的包与访问抓到的包之间的区别，分析了访问二者网络之间的不同。

关键字：ping 同一网段不同网段 wireshark 协议域名服务器正文：一、ping隔壁计算机与ping 抓到的包有何不同，为什么？（1）、ping隔壁计算机ARP包：ping包：（2）ing ARP包：Ping包：（3）考虑如何过滤两种ping过程所交互的arp包、ping包；分析抓到的包有何不同。

答：ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题，如果要找的主机和源主机不在同一个局域网上，就会解析出网关的硬件地址。

二、访问，抓取收发到的数据包，分析整个访问过程。

（1）、访问ARP（网络层）：ARP用于解析IP地址与硬件地址的映射，本例中请求的是默认网关的硬件地址。

源主机进程在本局域网上广播发送一个ARP请求分组，询问IP地址为192.168.0.10的硬件地址，IP地址为192.168.0.100所在的主机见到自己的IP 地址，于是发送写有自己硬件地址的ARP响应分组。

并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。

DNS（应用层）：DNS用于将域名解析为IP地址，首先源主机发送请求报文询问 的IP地址，DNS服务器210.45.176.18给出的IP地址为210.45.176.3TCP（运输层）：TCP协议是面向连接的协议，运输连接用来传送TCP报文，运输连接有三个阶段，即连接建立、数据传送和连接释放。

wireshark抓包原理解析Wireshark是一款功能强大的网络协议分析软件，可以帮助用户查看和分析网络数据包。

它能够从网络接口上捕获数据包，还可以根据不同的协议对数据包进行解析和分析。

那么，Wireshark是如何实现抓包的呢？下面，我们就从网络以及软件两个方面来解析Wireshark的抓包原理。

一、网络方面那么，数据包是如何到达我们的计算机的呢？它是通过网络线路、路由器等物理设备传输到各个计算机的网络接口上的。

当计算机收到数据包时，它会通过网络接口把数据包交给操作系统进行处理。

这个时候，Wireshark就可以通过在操作系统的网络接口处进行数据包捕获，从而实现对网络数据包的抓包。

当数据包进入网络接口时，它首先会被操作系统进行缓存。

这时，Wireshark就可以通过网络接口的混杂模式来抓取数据包。

混杂模式是指，网络接口会将所有经过它的数据包都传递给操作系统的缓存区，不管这些数据包是否是针对这台机器的。

这就使得Wireshark可以捕获所有经过这个网络接口的数据包。

二、软件方面Wireshark实现抓包主要是通过软件技术来实现的。

它使用了一种叫做「WinPcap」的软件包来实现对网络接口的监控和数据包的捕获。

WinPcap是一种针对Windows平台的网络接口抓包工具，它可以实现对网络接口的数据包进行捕获和过滤。

而Wireshark则是通过对WinPcap进行二次开发，来实现了更加丰富和强大的抓包功能。

当Wireshark收到从WinPcap传递来的数据包时，它首先会对数据包进行解析和过滤。

这个过程实际上就是Wireshark进行抓包和分析的核心部分。

它会根据数据包的协议类型和格式来进行解析，还可以根据用户的需求进行数据包的过滤，从而确保只抓取到用户所关心的数据包。

经过这些处理之后，Wireshark就可以在界面上展示出这些数据包的详细信息。

总结：Wireshark的抓包原理是通过在网络接口处捕获数据包，使用软件进行解析和过滤，并将结果呈现在界面上的方式实现的。

wireshark抓包实验报告总结一、实验目的本次实验的主要目的是学习Wireshark抓包工具的使用方法，掌握网络通信过程中数据包的组成和解析方式，以及了解常见网络协议的运行机制。

二、实验环境本次实验使用的操作系统为Windows 10，使用Wireshark版本为3.4.6。

三、实验步骤1. 安装Wireshark软件并打开。

2. 选择需要抓包的网络接口，并开始抓包。

3. 进行相应的网络操作，例如访问网站、发送邮件等。

4. 停止抓包，并对捕获到的数据包进行分析和解析。

四、实验结果1. 抓取HTTP请求和响应数据包通过Wireshark抓取HTTP请求和响应数据包，可以轻松地了解HTTP协议在通信过程中所传输的信息。

例如，在访问一个网站时，可以看到浏览器向服务器发送GET请求，并获取到服务器返回的HTML 页面等信息。

同时还可以看到HTTP头部中所携带的信息，例如User-Agent、Cookie等。

2. 抓取TCP连接数据包通过Wireshark抓取TCP连接数据包，可以了解TCP协议在建立连接、传输数据和关闭连接时所涉及到的所有步骤。

例如，在进行FTP 文件传输时，可以看到TCP三次握手建立连接，以及文件传输过程中TCP的流量控制和拥塞控制等。

3. 抓取UDP数据包通过Wireshark抓取UDP数据包，可以了解UDP协议在通信过程中所涉及到的所有信息。

例如，在进行DNS域名解析时，可以看到DNS服务器返回的IP地址等信息。

五、实验总结通过本次实验，我学会了使用Wireshark抓包工具进行网络数据包分析的方法，并了解了常见网络协议的运行机制。

同时也发现，在网络通信过程中，数据包所携带的信息非常丰富，能够提供很多有用的参考和指导。

因此，在实际工作中，我们应该灵活运用Wireshark等工具进行网络数据包分析，并结合具体业务场景进行深入研究和分析。

Wireshark抓包实验报告第一次实验：利用Wireshark软件进行数据包抓取抓取一次完整的网络通信过程的数据包实验一，实验目的：通过本次实验，学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能，熟悉Wireshark软件的包过滤设置和数据显示功能的使用。

二，实验环境：操作系统为Windows 7,抓包工具为Wireshark.三，实验原理：ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

四，验步骤：2.配置过滤器：针对协议进行过滤设置，ping使用的是ICMP协议，抓包前使用捕捉过滤器，过滤设置为icmp,如图 1- 1图 1-1图 1-2停止抓包后，截取的数据如图 1-3图 1-34，分析数据包：选取一个数据包进行分析，如图1- 4图1-4每一个包都是通过数据链路层DLC协议，IP协议和ICMP协议共三层协议的封装。

DLC协议的目的和源是MAC，IP协议的目的和源是IP，这层主要负责将上层收到的信息发送出去，而ICMP协议主要是Type和Code来识别，“Type:8,Code：0”表示报文类型为诊断报文的请求测试包，“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。

ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈，报文类型可归纳如下：（1）诊断报文（类型：8，代码0；类型：0代码：0）；(2）目的不可达报文（类型：3，代码0-15）；（3）重定向报文（类型：5，代码：0--4）；（4）超时报文（类型：11，代码：0--1）；（5）信息报文（类型：12--18）。

一，实验目的：通过本次实验，掌握使用Wireshark抓取TCP协议的数据包的技能，能够在深入分析“TCP的三次握手”，TCP的四次挥手协议在网络数据流的基础上，进一步提高理论联系实践的能力。

1.Wireshark 数据包分析(1)1.用Wireshark查看并分析服务器场景PYsystem20191桌面下的capture1.1.pcap数据包文件，通过分析数据包capture1.1.pcap找出主机MAC地址最后两位为“ad”的经纬度信息，并将经纬度信息作为Flag值（之间以英文逗号分隔，例如39.906000,116.645000）提交；过滤规则:经纬度信息:2.继续分析数据包capture1.1.pcap，找出目标服务器操作系统的版本信息，并将服务器操作系统的版本号作为Flag值提交；步骤1：步骤2：找到对应的数据包追踪TCP流3.继续分析数据包capture1.1.pcap，找出黑客登录的用户名，并将用户名作为Flag值提交；（现在判断可能是SMB登录）步骤1：类似这种排序的数据包为登录成功的数据包4.继续分析数据包capture1.1.pcap，找出黑客登录使用的密码，并将密码作为Flag值提交；步骤1：拼接登录凭证`user::domain:NTLM Server Challenge:NTProofStr:NTLMv2 Response 中去除NTProofStr步骤2：拼接hash步骤3：hashcat破解登录凭证，可能是字典破解和暴力破解5.使用Wireshark查看并分析服务器场景PYsystem20191桌面下的capture1.2.pcap数据包文件，设置过滤规则，仅显示TCP协议且源端口为23的数据包，并将该过滤规则作为Flag值（提交的答案中不包含空格，例如：ip.dst == 172.16.1.1则Flag为ip.dst==172.16.1.1）提交；步骤1：tcp.srcport==236.继续分析数据包capture1.2.pcap，找出黑客暴力破解Telnet的数据包，将破解成功的用户名和密码作为Flag值（用户名与密码之间以英文逗号分隔，例如：root,toor）提交；步骤1：步骤2：登录成功特征，Telnet Server和C:搜索这两个关键词7.继续分析数据包capture1.2.pcap，找出黑客Telnet成功后输入的命令，并将命令作为Flag值提交；步骤1：追踪登录成功的TCP流步骤2：ping 192.168.56.129 –n 198.继续分析数据包capture1.2.pcap，找出黑客控制了目标靶机后通过靶机向攻击机发送了多少次ICMP请求，并将请求的次数作为Flag值提交。

Wireshark抓包实验⼀、实验名称利⽤Wireshark抓包并分析 TCP/IP 协议⼆、实验⽬的通过实验，了解和掌握报⽂捕获⼯具 Wireshark 的使⽤⽅法和基本特点，使⽤ Wireshark 捕获⽹络报⽂，并分析各种⽹络协议的报⽂格式和⼯作过程。

三、实验内容使⽤ Wireshark 捕获⽹络报⽂，分析以太⽹、ARP、IP、TCP、DNS 和 HTTP 等协议的报⽂格式和⼯作过程。

四、实验步骤DNS分析在 cmd 下运⾏：nslookup –type=Anslookup –type=NS nslookup –type=MX nslookup –type=A 然后⽤Wireshark捕获报⽂并分析DNS和UDP协议的报⽂格式和⼯作过程。

ICMP分析在cmd下运⾏pingtracert然后⽤Wireshark捕获报⽂并分析 ICMP 报⽂格式和⼯作过程。

TCP/IP分析a) 在浏览器输⼊ ⽹址后，然后⽤ Wireshark 捕获报⽂并分析HTTP，TCP，IP，ARP和以太⽹等协议的报⽂格式和⼯作过程。

b) 运⾏各⾃编写的 UDP 和 TCP 客户/服务器程序并进⾏抓包分析。

五、实验结果及分析（⼀）DNS分析通过ipconfig命令查看IP、⽹关地址IP地址192.168.43.217默认⽹关192.168.43.1DNS报⽂格式DNS分析⼤体相同，就选择其⼀进⾏分析1.在cmd下运⾏nslookup -type=A ⾮权威应答：110.53.188.133 113.247.230.248 202.197.9.133应答服务器地址为192.168.43.1，为默认⽹关地址利⽤wireshark进⾏抓包分析，筛选DNS报⽂，本次运⾏有4个DNS报⽂，可以看出对应请求包和响应包的源IP与⽬的IP刚好相反。

Query这是⼀个请求报⽂。

⾸先主机发送⼀个 DNS 报⽂。

DNS 采⽤ UDP 协议⽀持。