Wireshark系列之3 路由过程抓包分析

简介:

首先收集每台设备的MAC地址以备分析:

服务器A:00-0c-29-bb-bb-7f

服务器B:00-0C-29-8C-BF-6D

默认网关:00-50-56-fe-c8-98

在服务器B上启动Wireshark,然后执行ping命令与A通信,此时Wireshark会将通信过程进行抓包。ping命令结束之后,停止抓包,我们首先来熟悉一下Wireshark的主界面。

Wireshark的界面非常直观,从上到下分为三个窗口。

image

最上面的窗口列出了抓到的所有数据包,主要包含的信息有:数据包序号、数据包被捕获的相对时间、数据包的源地址、数据包的目的地址、数据包的协议、数据包的大小、数据包的概况信息。

选中某个数据包之后,会在中间窗口中分层次地显示出这个包的详细信息,并且可以通过展开或是收缩来显示这个数据包中所捕获到的全部内容。

最底下的窗口会显示数据包未经处理的原始样子,也就是其在链路上传播时的样子,这个一般用的不多。

比如我们选中1号包,在上方的窗口中会看到这是一个ARP广播包,这个包是由服务器B发出去的,目的是询问网关192.168.80.2的MAC地址。在下方的窗口中,第一行显示这个包的基本信息,Frame1表示这个是1号包。第二行显示的是数据帧的封装信息,第三行显示的是ARP协议的封装信息。

在服务器B上ping服务器A,B首先会去解析网关的地址,这与我们之前的分析一致。

image

2号包是默认网关返回的响应信息,告诉服务器B自己的MAC地址。注意这些MAC地址的开头都被替换成了Vmware,这是由于MAC地址的前3个字节表示厂商。

image

3号包是服务器B发出的ping包,指定的目的IP为A(192.168.80.129),但目的MAC却是默认网关的00-50-56-fe-c8-98,这表明B希望网关把包转发给A。

image

5号包是A发出的ARP广播,查询B的MAC地址。这是因为在A看来,B属于相同网络,因而无需借助于网关。

image

接下来6号包是B直接回复了A的ARP请求,把自己的MAC地址告诉A,这说明B在执行ARP回复时并不考虑同一网络问题,虽然ARP请求来自于其它网络,但也照样回复。

image

再接下来就是一些重复的ping请求和ping回复。

image

因而,通过Wireshark抓包,也验证了我们之前所做的理论分析。

本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1734010

相关文章
|
Linux
利用wireshark抓包分析
利用wireshark抓包分析
107 0
|
6月前
|
网络协议
Wireshark 如何过滤抓到的网络包?
Wireshark 如何过滤抓到的网络包?
|
6月前
|
存储 网络协议 安全
详解抓包原理以及抓包工具whistle的用法
详解抓包原理以及抓包工具whistle的用法
394 1
|
网络协议
WireShark抓包分析
WireShark抓包分析
168 0
|
网络协议 虚拟化
WireShark抓包报文结构分析
WireShark抓包报文结构分析
WireShark抓包报文结构分析
|
缓存 监控 网络协议
Wireshark网络抓包(四)——工具
1. File:了解抓包文件的各种属性,例如抓包文件的名称、路径、文件所含数据包的规模等信息 2. Time:获悉抓包的开始、结束和持续时间 3. Capture:抓包文件由哪块网卡生成、OS版本、Wireshark版本等信息 4. Display:剩下的是汇总统计信息,数据包的总数、数量以及占比情况、网速等
Wireshark网络抓包(四)——工具
|
网络协议 Linux Windows
使用tcpdump+wireshark抓包分析网络数据包
最近和学弟在调试一个GPRS通信模块,需求是通过GPRS模块通过http协议发送数据到服务器,但是http协议一直失败,服务器返回400,通过查询http状态码得知,http400错误是请求无效,因为GPRS模块没有实现http协议的封装,需要在TCP协议的基础上,手动拼装http格式的报文.
3916 0