返回
使用wireshark捕获数据帧和ip数据包.doc

使用wireshark捕获数据帧和ip数据包.doc

ID:1234616

大小:4.43 MB

页数:14页

时间:2017-11-09

使用wireshark捕获数据帧和ip数据包.doc_第1页
使用wireshark捕获数据帧和ip数据包.doc_第2页
使用wireshark捕获数据帧和ip数据包.doc_第3页
使用wireshark捕获数据帧和ip数据包.doc_第4页
使用wireshark捕获数据帧和ip数据包.doc_第5页
资源描述:

《使用wireshark捕获数据帧和ip数据包.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、使用Wireshark捕获数据帧和IP数据包胡坤融hukunrong@gmail.com西南林学院计算机与信息科学系Wireshark是一个知名的数据包捕获工具,它的先前版本是Ethereal,是从事计算机网络工作的人众所周知的工具。更重要的是,它是开源的。如果希望知道更多关于它的信息,请访问:http://www.wireshark.com1、从下面的地址下载Wiresharkftp://202.203.132.243/胡坤融/100_教学用软件/Network/Wireshark/wireshark.exe当然,记得登陆这个FTP服务器。2、开始安装有一些需要注

2、意的地方,记得注意下面的图示。记得在上图中选择“InstallWinPcap3.1”。如果看到这个提示,说明WinPcap3.1已经安装了,点击确定,在下图中点击“Next”,继续安装。其他的部分按照提示即可完成安装。3、开始运行Wireshark在桌面上或者开始菜单中,能找到Wireshark的启动图标,它是这样的:看到了吧,是一个鲨鱼的图标。好吧,启动它。下面是启动界面:开始捕获数据吧。点击下图红色箭头所指的工具栏图标。在下图中的第二行“NDIS5.0driver”的一行上点击“start”,开始捕获。那么,它已经开始捕获数据了,界面如下图所示:一直是它处于数据

3、捕获的状态,然后开始做下面的操作。好了,为了能够看到一些特殊的数据,我们可以执行一下这些操作:(1)在Windows的命令行,执行:pingwww.swfc.edu.cn如下图所示:(2)使用浏览器访问http://cs2.swfc.edu.cn/如下图所示:(3)使用FTP访问ftp://202.203.132.243/,并登陆。如下图所示:不会使用命令行的FTP?到网上搜索一下,呵呵,这个可是小问题。在下图所示的图中,你看到捕获了,很多数据。好了,在上图中点击“STOP”,停止捕获,下面要开始分析数据了。4、数据帧和数据包分析如下图所示,你看到了很多捕获的数据。

4、第一列是捕获数据的编号;第二列是捕获数据的相对时间,从开始捕获算为0.000秒;第三列是源地址,第四列是目的地址;第五列是数据包的信息。好不容易捕获的数据,先保存一下吧,不然操作失误就得重新来了,而且保存的数据也可以在以后再次分析它们。“File->Save”可以保存。这个应该是不言自明的吧。如下图。4.1了解以太网的数据帧为了简单起见,我们来看看ARP协议是如何封装在以太网的数据帧中的。先看一看以太网的帧格式:上图以太网的帧格式见于《TCP/IP详解》卷一第二章第二页图2-1。记得我告诉过大家,在ftp://202.203.132.243/上可以找到该书的电子版。

5、下图,是ARP协议封装在以太网中的格式。见于《TCP/IP详解》卷一第四章第三页图4-3。好了,在继续做之前,你可能需要快速的阅读一下刚才这两个图涉及到的两个章节。否则的话,下面的事情就不容易看清楚了。4.1.1分析ARP封装在以太网数据帧中在下图中Filter后面的编辑框中输入:arp(注意是小写),然后回车或者点击“Apply”按钮(在下图的右边中间)结果如下图所示:你会看到只有ARP协议了。其他的协议数据包都被过滤掉了。好了,现在看看第一个数据包,或许你的结果和我的不一样,没有关系,基本道理是一样的。(1)选中第一个数据帧,然后从整体上看看你的Wireshar

6、k的窗口,主要被分成三部分。如上图,上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据。好了,注意到中间部分的三行前面都有一个“+”,点击它,这一行就会被展开。好了现在展开第一行。看到的结果如下:在上图中我们看到这个帧的一些基本信息:帧的编号:3(捕获时的编号)帧的大小:60字节。咦?课本上不是说最小64个字节吗,怎么少了?看看前面的帧结构图,应该是没有把四个字节的CRC计算在里面,加上它就刚好。帧被捕获的日期和时间:NOV29,2006……帧距离前一个帧的捕获时间差:0.1928……帧距离第一个帧的捕获时间差:0.1928……帧装载的协

7、议:ARP好了,现在迫不及待要展开第二行看看了吧?那就开始吧。在上图中,我们在上面一栏每选到一部分,在下面一栏就会显示对应的数据部分。我们可以看到:目的地址(Destination):ff:ff:ff:ff:ff:ff(这是个MAC地址,现在你要知道了,这个MAC地址是一个广播地址,就是局域网中的所有计算机都会接收这个数据帧)源地址(Source):Draytek_31:54:ab(00:50:7f:31:54:ab),那么我们知道,00:50:7f是以太网网卡厂商Draytek拥有的一个以太网地址块。帧中封装的协议类型:0x0806,注意,这个就是ARP协议的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。