利用Wireshark截取數據包，並對數據包進行解析

利用Wireshark截取ICMP數據包，並對數據包進行解析

wireshark安裝文件下載地址：http://yunpan.cn/QiHGK5sPtWRyN （提取碼：0bbc）

安裝步驟：

解壓文件之后，在\wireshark-win32-1.4.9中文版\文件夾中找到安裝文件，雙擊即可安裝。

安裝完成之后，雙擊wireshark圖標即可啟動，界面如下：

抓包步驟：

1、點擊開始按鈕列出可以抓包的接口：

2、點擊選項可以配置抓包參數：

3、配置完成點擊開始，即可開始抓包：

4、點擊停止完成抓包。

抓包界面分析：

抓包結果整個窗口被分成三部分：

1、最上面為數據包列表，用來顯示截獲的每個數據包的總結性信息；

2、中間為協議樹，用來顯示選定的數據包所屬的協議信息；

3、最下邊是以十六進制形式表示的數據包內容，用來顯示數據包在物理層上傳輸時的最終形式。

數據包列表中，第一列是編號（如第1個包），第二列是截取時間（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是這個包使用的協議（這里是UDP協議），第六列info是一些其它的信息，包括源端口號和目的端口號（源端口：58459，目的端口：54062）。

協議樹可以得到被截獲數據包的更多信息，如主機的MAC地址（Ethernet II）、IP地址（Internet
protocol）、UDP端口號（user datagram protocol）以及UDP協議的具體內容（data）。

 

分析ICMP協議數據包

實驗原理： 
ping是用來測試網絡連通性的命令，一旦發出ping命令，主機會發出連續的測試數據包到網絡中，在通常的情況下，主機會收到回應數據包，ping采用的是ICMP協議。

實驗步驟：

點擊開始抓包,為了抓取使用ICMP的包，我們要設置過濾條件，點擊“選項”：

再點擊“抓包過濾”按鈕：

因此初始狀態下沒有只抓取ICMP協議包的過濾條件，因此我們點擊新建按鈕：

在過濾名字和過濾條件中分別輸入“ICMP only”（自定義），“icmp”,點擊確定：

這是可以看到抓包過濾按鈕后面的文本框出現了ICMP字樣，說明過濾條件設置成功：

點擊開始，發現現在抓取不到任何包：

打開命令行窗口，執行命令：ping www.baidu.com:

這時可以看到數據包抓取頁面抓取到了8包，與命令行顯示的已發送和已接受的包的數量是一致的：

選擇任意一個包查看詳細信息：

可以看到ICMP報文的格式為：

在這個試驗中，可以發現，icmp的報文就只有兩種，請求和應答：

請求：

應答：

這兩個報文的type不一樣，8代表請求，0代表應答；code都為0，表示為回顯應答；標示符和序列號都是一樣的，表示這兩個報文是配對的

TCP

協議，所以此次實驗選取

FTP

 

DHCP數據包分析           

使用DHCP獲取IP地址：

（1）打開命令窗口,啟動Wireshark。 

（2）輸入“ipconfig  /release”。這條命令會釋放主機目前的IP地址，此時，主機IP地址會變為0.0.0.0 

 

（3）然后輸入“ipconfig  /renew”命令。這條命令讓主機獲得一個網絡配置，包括新的IP地址。 

 

（4）等待，直到“ipconfig  /renew”終止。然后再次輸入“ipconfig  /renew” 命令。 

 

（5）當第二個命令“ipconfig  /renew” 終止時，輸入命令“ipconfig /release” 釋放原來的已經分配的IP地址 

 

（6）停止分組俘獲。如下圖：

 

五．實驗分析

 

由截圖可知，本機發起DHCP Discover包，用來尋找DHCP服務器，源ip是0.0.0.0，因為剛開始還不知道，目的地址是255.255.255.255的廣播地址，廣播到整個網段。

Message type為1表明是請求包，由客戶端發出。

Hardware address length為6表示本機的網絡硬件地址長度為6bytes

Hops為0表示跳數，此處為0 表示沒有經過網關。

 

此字段表示DHCP報文類型：

 

此字段表示DHCP客戶端的報文類型。

 

這是UDP上的DHCP，本機發起的端口是68，目標端口是67.

2.提供

 

DHCP服務器收到客戶端發的DHCP Discover之后，會在自己的地址池中拿出一個沒有分配的地址以及配套的參數（如：掩碼、DNS、網關、域名、租期……），然后以一個DHCP Offer包發送出去。

此時源IP是DHCP服務器的IP，目的IP是255.255.255.255的廣播。這時候本機還無法獲得IP，所以DHCP服務器只能用廣播來回應。

 

此截圖表明通過UDP傳輸，客戶端端口號68，服務器是67。

Message type為2表明是回復包。

Hops為1不標明經過了一個中繼。

表明給客戶端的IP地址，但是現在還沒有確認。

這是中斷的地址，就是網關

DHCP服務器地址

3.選擇

 

 

客戶端收到這個DHCP Offer后，會再發出一個DHCP Request給服務器來申請這個Offer中包含的地址。
這個時候，客戶端還沒有正式拿到地址，所以還需要向DHCP服務器申請。

此時客戶端的源IP還是0.0.0.0，目的IP還是255.255.255.255。

將這些都廣播出去，告訴其他DHCP服務器和分配給本機的服務器。

4.確認

 

被客戶機選擇的DHCP服務器在收到DHCPREQUEST廣播后，會廣播返回給客戶機一個DHCPACK消息包，表明已經接受客戶機的選擇，並將這一IP地址的合法租用以及其他的配置信息都放入該廣播包發給客戶機。

服務，

 

本次抓包過程將采用顯示過濾器的方法來過濾數據包。