首先收集每台設備的MAC地址以備分析:
服務器A:00-0c-29-bb-bb-7f
服務器B:00-0C-29-8C-BF-6D
默認網關:00-50-56-fe-c8-98
在服務器B上啟動Wireshark,然后執行ping命令與A通信,此時Wireshark會將通信過程進行抓包。ping命令結束之后,停止抓包,我們首先來熟悉一下Wireshark的主界面。
Wireshark的界面非常直觀,從上到下分為三個窗口。
最上面的窗口列出了抓到的所有數據包,主要包含的信息有:數據包序號、數據包被捕獲的相對時間、數據包的源地址、數據包的目的地址、數據包的協議、數據包的大小、數據包的概況信息。
選中某個數據包之后,會在中間窗口中分層次地顯示出這個包的詳細信息,並且可以通過展開或是收縮來顯示這個數據包中所捕獲到的全部內容。
最底下的窗口會顯示數據包未經處理的原始樣子,也就是其在鏈路上傳播時的樣子,這個一般用的不多。
比如我們選中1號包,在上方的窗口中會看到這是一個ARP廣播包,這個包是由服務器B發出去的,目的是詢問網關192.168.80.2的MAC地址。在下方的窗口中,第一行顯示這個包的基本信息,Frame1表示這個是1號包。第二行顯示的是數據幀的封裝信息,第三行顯示的是ARP協議的封裝信息。
在服務器B上ping服務器A,B首先會去解析網關的地址,這與我們之前的分析一致。
2號包是默認網關返回的響應信息,告訴服務器B自己的MAC地址。注意這些MAC地址的開頭都被替換成了Vmware,這是由於MAC地址的前3個字節表示廠商。
3號包是服務器B發出的ping包,指定的目的IP為A(192.168.80.129),但目的MAC卻是默認網關的00-50-56-fe-c8-98,這表明B希望網關把包轉發給A。
5號包是A發出的ARP廣播,查詢B的MAC地址。這是因為在A看來,B屬於相同網絡,因而無需借助於網關。
接下來6號包是B直接回復了A的ARP請求,把自己的MAC地址告訴A,這說明B在執行ARP回復時並不考慮同一網絡問題,雖然ARP請求來自於其它網絡,但也照樣回復。
再接下來就是一些重復的ping請求和ping回復。
因而,通過Wireshark抓包,也驗證了我們之前所做的理論分析。
原文地址:
https://blog.51cto.com/yttitan/1734010