type
status
date
slug
summary
tags
category
icon
password
1.筛选出arp查询的数据包
- ping 192.168.31.18
- 筛选条件:
arp
- 第一个是请求包、第二个是响应包
- 源mac地址 ,目标地址(Destination字段)是 Broadcast,就是广播地址
- info:who has 192.168.31.118?Tell 192.168.31.121(谁是192.168.31.118,告诉192.168.31.121)
第一个包的意思:我发送了一个广播,广播的内容是 “谁是192.168.31.118?告诉192.168.31.121” 192.168.31.121是我本机的IP,意思就是:呼叫192.168.31.118,收到请回复我。
第二个数据包的目的地址(Destination 字段)是我电脑的MAC地址
- 结合 Info 字段的信息,第二个包(响应包)表达的意思是192.168.31.118的mac地址是74:b5:87:db:06:ac
- arp数据分析
- 第一个包数据
- 第二个包数据
总结:arp协议的工作过程是会在局域网内广播一个 ARP 请求数据包。这个数据包的主要内容包括:发送方的 IP 地址和 MAC 地址,以及目标方的 IP 地址,而目标方 MAC 地址此时是未知的,所以设为全 0。局域网中的所有主机都会收到这个 ARP 请求,但只有目标主机会响应。目标主机会向源主机发送一个 ARP 响应数据包。这个数据包包含目标主机的IP和MAC地址。
2.创建捕获筛选器,只捕获访问80和443端口的数据包,并测试筛选器
使用
tcp port 80 or tcp port 443
3.ping baidu.com 长度为2048,查询数据分片情况
- IP 数据包有一个最大传输单元(MTU)的概念,它规定了在一个 IP 网络中,一个 IP 数据包能够承载的最大数据量。在以太网中,MTU 通常是 1500 字节。不过,IP 头和 ICMP 头也会占用一定的字节数。IP 头最小是 20 字节,ICMP 头最小是 8 字节。所以,ICMP 数据最大为1500-20-8=1472字节时,在以太网环境下不需要分片。
- 分片原理:当 ICMP 数据包的数据部分加上头部信息的大小超过了 MTU 时,就需要对数据包进行分片。分片是将一个大的数据包分割成多个较小的片段,每个片段都有自己的 IP 头,这些片段会在接收端被重新组装。
- 执行ping命令 ping 192.168.0.120 -l 3005
4.抓取基于MAC的数据流
- 如果您想捕获源 MAC 地址为
00:11:22:33:44:55的数据包,您可以输入ether src 00:11:22:33:44:55;
- 如果您想捕获目标 MAC 地址为
AA:BB:CC:DD:EE:FF的数据包,您可以输入ether dst AA:BB:CC:DD:EE:FF;
- 如果您想捕获源 MAC 地址为
00:11:22:33:44:55且目标 MAC 地址为AA:BB:CC:DD:EE:FF的数据包,您可以输入ether src 00:11:22:33:44:55 and ether dst AA:BB:CC:DD:EE:FF
- Author:Gweek
- URL:https://www.myla.eu.org/article/wireshark-test2
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!