1. 測試機器,源 IP 地址為 10.21.28.110,目的 IP 地址為 10.6.0.24。
2. 使用 "ip.addr == 10.6.0.24 and icmp" 過濾規則定位數據封包。
如上圖所示,Windows 中 ping 命令默認執行 4 次 ping 程序,所以 Wireshark 會抓到 8 個 ICMP 報文。
3. 觀察第一個編號為 2066 的 Echo (ping) request 數據幀。
如上圖所示,可以看到這個數據幀的結構是:
| Ethernet II |
| IP |
| ICMP |
4. 觀察 Ethernet II 數據幀的內容。
Ethernet II 數據幀的格式如下:
| DA | SA | Type | Data | FCS |
DA: 該字段有 6 個字節,表示目的 MAC 地址。如上圖所示,目的 MAC 地址為 30:37:a6:f6:5a:4f。
SA: 該字段有 6 個字節,表示源 MAC 地址。如上圖所示,源 MAC 地址為 54:ee:75:25:33:fd。
Type: 該字段有 2 個字節,表示數據包的類型。如上圖所示,類型的值為 0x0800,表示 Internet Protocol(IP)。
Data: 數據載荷。
FCS: 該字段有 4 個字節,表示幀校驗序列,用於校驗幀是否出錯。該字段內容已被網絡設備濾去,抓包軟件已無法獲取。
5. 觀察 IP 數據包的內容。
如上圖所示,可以看到 IP 數據包的信息:
Version: 4,表示 IPv4。
Header Length: 5, 表示 5 個以 32 bit 為單位的 word,即 20 bytes。
Time to live: 64, 生存時間。
Protocol: 1,表示 ICMP。
Source: 10.21.28.110,源 IP 地址。
Destination: 10.6.0.24,目的 IP 地址。
6. 觀察 ICMP 數據包內容。
ICMP 數據包的格式如下:
| Type | Code | Checksum |
| Identifier | Seq Num | |
| Data | ||
Type: 該字段有 1 個字節,表示特定類型的 ICMP 報文。
Code: 該字段有 1 個字節,進一步細分 ICMP 的類型。如上圖所示,Type 的值為 8,Code 的值為 0,表示回顯請求。
Checksum: 該字段有 2 個字節,表示校驗和。
Identifier: 該字段有 2 個字節,用於匹配 Request/Reply 的標識符。
Seq Num: 該字段有 2 個字節,用於匹配 Request/Reply 的序列號。
Data: 數據載荷。