wireshark 抓包实验

最新推荐文章于 2026-05-11 09:58:08 发布
原创 最新推荐文章于 2026-05-11 09:58:08 发布 · 4.2k 阅读 · 13 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#wireshark #windows #tcp/ip
本文详细介绍了网络通信过程,包括ARP、ICMP、DNS协议的工作原理和交互过程。通过实例解析了TCP三次握手和HTTP请求的方式,展示了数据包捕获和分析的关键步骤。

向局域网内的主机ping

捕获ARP包

在这里插入图片描述
可以看到第一行是请求包,第二行是响应包

捕获ICMP包

在这里插入图片描述
首先ping了一下同一个局域网之下的另一台主机

在这里插入图片描述
然后抓一下包
因为windows下ping命令默认执行4次,所以有8个ICMP报文
在这里插入图片描述
在这里插入图片描述

按照时间顺序,我们可以看一下第一个请求包

  • 源IP 192.168.0.195
  • 目的IP 192.168.0.196
  • 消息类型 回射请求(即ping命令的请求)
  • 序列号 21
  • 随机数

同样这里还有一个配对的应答包
在这里插入图片描述

公网上的ARP包

ARP:完成从IP地址到MAC地址的映射。
在这里插入图片描述
主机知道192.168.0.195这个IP地址,但不知道目标的MAC地址是啥,所以发个广播问一问。
在这里插入图片描述
然后接下来有个应答,人告诉我192.168.0.195的MAC地址是什么
在这里插入图片描述

ICMP包

以ping www.baidu.com 为例

1.现在过滤器里写好过滤要求
在这里插入图片描述

2.去cmd里ping百度
在这里插入图片描述

3.抓包
因为windows下ping命令默认执行4次,所以有8个ICMP报文**
在这里插入图片描述
4.分析数据
4.1报文由IP首部和ICMP报文组成,其中IP首部占据20字节

在这里插入图片描述
4.2 ICMP报文占据40字节
在这里插入图片描述
4.3 Type and code
可以看到type=8时,为回射请求(ping请求)
在这里插入图片描述
然后type=0为回射应答(ping应答)
在这里插入图片描述

DNS

查看本机IP

ipconfig
在这里插入图片描述

查看电脑的本地域名服务器地址

这个地方需要解释一下,因为连接了WIFI,且WIFI开启了DHCP功能,所以我的DNS服务器会变成路由器的DNS,然后在本机上显示
192.168.0.1
在这里插入图片描述

查看必应网站的IP地址

nslookup www.biying.com
在这里插入图片描述

DNS报文格式

在这里插入图片描述

开始抓包

先设置好过滤格式,然后点击开始
在这里插入图片描述
ping 一下目标网站
在这里插入图片描述
对抓包数据进行分析

DNS查询报文

在这里插入图片描述
标红的地方有两组DNS请求和响应配对
第一组DNS请求查询 www.biying.com 域名对应的IP4地址(A代表IP4)
第二组DNS请求查询 www.biying.com 域名对应的IP6地址(AAAA代表IP6)

对第一组进行一下分析
在这里插入图片描述
可以看到网络传输层用的是UDP协议,端口号是53

接下来分析一下报文的基础结构部分

在这里插入图片描述
1.transaction ID:事务ID,DNS报文的ID标识,一对DNS报文(请求和应答),这个ID是相同的
2.Flags:DNS报文中的标志字段
3.Questions:DNS请求的查询请求数目
4.Answers RPs:DNS响应的数目
5.Authority RPs:权威名称服务器的数目
6.Addition RPs:附加的资源记录数,(权威名称服务器对应的IP地址数目)

Flags的字段含义

QR(response):查询请求时,值=0;响应时,值=0;
Opcode:操作码.0->标准查询;1->反向查询;2->服务器状态请求
Truncated:表示是否被阶段,值=1,表示响应超过512字节并且截断;值=0,返回前512字节.
Recursion desired:期望递归.该字段能在一个查询中设置,并在响应中返回。该标志告诉名称服务器必须处理这个查询,这种方式被称为一个递归查询。如果该位为 0,且被请求的名称服务器没有一个授权回答,它将返回一个能解答该查询的其他名称服务器列表。这种方式被称为迭代查询

DNS响应报文

在这里插入图片描述
在这里插入图片描述
可以看到事务ID与请求报文相同都是0x56c4
在这里插入图片描述
且报文的基本结构相同,同时可以看到服务器支持递归查询(RA=1)

在这里插入图片描述
在这里插入图片描述

这里,Answer字段为DNS资源记录部分

  • name:DNS请求的域名
  • Type:资源记录的类型
  • class:地址类型
  • Time to live:生存时间,以秒为单位,表示资源记录的生命周期,一般用于当地址解析程序取出资源记录后决定保存及使用缓存数据的时间。它同时也可以表明该资源记录的稳定程度,稳定的信息会被分配一个很大的值。
  • Data length:资源数据的长度

那么,answers字段内容,翻译过来意思就是(从第一条开始按顺序翻译),

①,‘www.biying.com’域名的别名有’www-biying-com.cn.a-0001.a-msedge.net’;

②,‘www-biying-com.cn.a-0001.a-msedge.net’域名的别名为’china.bing123.com’;

③,‘china.bing123.com’域名对应的IP4地址有’202.89.233.101’;

④,‘china.bing123.com’域名对应的IP4地址有’202.89.233.100’;

TCP、HTTP

以新华网作为目标

在这里插入图片描述
ping一下,看看ip地址
在这里插入图片描述

图中所示的三条即为TCP三次握手的过程

在这里插入图片描述
在这里插入图片描述

由下图所得

  • 源端口号为28948
  • 目标端口号为80
  • 源IP为 192.168.0.195
  • 目标IP为 61.162.46.212

第一次握手

在这里插入图片描述
客户端发送一个TCP,标志位为SYN,序列号为0,表示想要建立连接。

第二次

在这里插入图片描述
服务器发回确认包,标志位为SYN,ACK,且将确认序号+1=1

第三次

在这里插入图片描述
客户端再次发送确认包ACK,SYN标志位为0,ACK确认位为1

HTTP

更改过滤条件之后获得http包
在这里插入图片描述
可以看出

  • 请求方式GET
  • 访问的具体页面
  • 在这里插入图片描述
    并且追踪HTTP流的话可以清晰的看到TCP包和HTTP的流程
    在这里插入图片描述
利用WireShark对抓取的数据包进行分析【100012544】
05-31
利用WireShark软件,抓取自己计算机在网络上传输的数据包,选取其中的内容进行分析。本项目分为两个阶段:阶段一,1. 针对3个报文完成细致的层次化封装分析; 2. 对TCP报文或其他具有多次交互特点的协议,完成交互时序分析; 3. 对抓取的至少5个不同类型报文查对应的协议及功能。阶段二:完成至少1000个报文抓包后,利用Wireshark软件内的工具,分析流量成分和变化,流量成分至少从三种不同角度。
wireshark抓包分析
xhoo 的博客
02-22 2182
首先我们使用抓包工具软件wireshark 进行流量包抓取, 那么首先对wireshark进行科普:可参考 http://jingyan.baidu.com/album/c35dbcb0866b698916fcbc81.html 首先我对自己的网卡进行抓取的一个界面: 看到图中有各种各样不同格式的流量包,那么我们将进行
Wireshark网络抓包实验
小捷同学的博客
11-08 8656
Wireshark网络抓包实验 首先通过ipconfig命令查得 本机IP:192.168.43.214 子网掩码:225.225.225.0 子网划分 A类:0.0.0.0~127.255.255.255 B类:128.0.0.0~191.255.255.255 C类:192.0.0.0~223.255.255.255 D类:224.0.0.0~239.255.255.255 E类:240.0.0.0~247.255.255.255 对比可以看出本机属于C类网段 对C类网段划分四个子网:一个C类网络有2
Wireshark 抓包看不懂?2026 零基础入门到精通,保姆级教程 + 实战案例,网工 / 运维 / 安全人手一份!
最新发布
m0_71746416的博客
05-11 496
本文介绍了Wireshark抓包分析的基本操作,包括初次抓包界面解析、捕获选项设置以及ARP、IP、TCP协议的抓包分析方法。通过双击网关启动抓包,界面分为数据包列表、详情和原始数据三个面板。在捕获选项中可取消混杂模式减少干扰。文章详细演示了使用ping命令触发ARP和IP协议包,并通过过滤器筛选特定协议进行分析的过程,展示了各协议层的详细信息解析方法。
计算机网络实验Wireshark网络抓包实验
gui_bjyxszd的博客
11-07 6611
计算机网络实验Wireshark网络抓包实验
Windows】微软Bing搜索引擎服务器国内落户
cnskylee的博客
02-10 1802
今晚,无意间发现微软的搜索引擎服务器已经落户北京的微软数据中心了。这下可以解决国内用户搜索数据的信息安全和个人隐私了。 C:\Users\cnskylee>ping cn.bing.com 正在 Ping cn.bing.com [202.89.233.100] 具有 32 字节的数据: 来自 202.89.233.100 的回复: 字节=32 时间=24ms TTL=118 来自 202.89.233.100 的回复: 字节=32 时间=24ms TTL=118 来自 202....
HTTP
Charsir的博客
06-14 402
Http 4.1、什么是HTTP HTTP是(超文本传输协议)一个简单的请求-响应协议,它通常运行在TCP之上。 文本:html,字符串,。。。 超文本:图片,音乐,视频,定位,地图… 端口:80 4.2、两个时代 http1.0 HTTP/1.0:客户端可以与web服务器连接后,只能获得一个web资源,断开连接 http2.0 HTTP/1.1:客户端可以与web服务器连接后,能获得多个web资源,断开连接 4.3、Http请求 客户端—发请求(Request)—服务器 bing:
利用wireshark进行抓包实验HTTP
热门推荐
susuper
07-09 2万+
基本的HTTPGET/响应交互启动网页浏览器 启动wareshark。在“显示筛选器规范”窗口中输入HTTP,以便只在分组列表窗口中显示捕获的HTTP消息。 等待一分钟多一点(我们马上就会明白),然后开始以太包捕获 向浏览器输入以下内容: http://gaia.cs.umass.edu/wireshark-labs/HTTP-wireshark-file1.html 问题: 1浏览器运行HTTP...
FTP实验wireshark抓包
weixin_43522969的博客
06-19 4046
1、实验环境 1.1 实验拓扑 2、被动模式 FTP被动方式工作过程: 2.1 客户端配置 2.2 服务器端配置 2.3抓包分析 2.3.1连接建立 客户端和服务器端主动发起连接请求,并用一个随机源端口号2057,和目的端口号21进行TCP三次握手建立控制通道的TCP连接。 控制通道建立成功后,需要进行身份认证,由于此处我设置的是匿名允许访问所以就是直接通过。 控制连接建立(此时我并未上传与下载任何数据),为了测试数据连接正常性,服务器对PASV命令回应,其中包含用于数据传输的临时
WireShark抓包实验
m0_61099257的博客
03-25 2957
第四次:客户端接收到服务端的TCP断开请求后,回复服务端的断开请求,包含随机生成的seq字段和ACK字段,ACK字段在服务端的TCP断开请求的seq基础上+1,最终发送报文(FIN=1,ACK=z+1,seq=h,h为客户端随机生成)第二次:服务端回复客户端发送的TCP断开请求报文,包含seq序列号(由服务端随机生成),产生ACK字段回复(在客户端发送过来的seq字段+1),最终发送信息(FIN=1,ACK=x+1,seq=y,y由服务端随机生成)在查找完文档后,我大概明白了SNMP是什么。
Wireshark抓包实验
lee_goi的博客
12-19 3177
摘要 本文是通过Wireshark抓包实验来学习数据链路层、网络层、传输层、应用层,了解帧、IP包、段等的结构,对网络有更深的认识。 文章目录摘要数据链路层实作一 熟悉 Ethernet 帧结构实作二 了解子网内/外通信时的 MAC 地址实作三 掌握 ARP 解析过程网络层实作一 熟悉 IP 包结构实作二 IP 包的分段与重组实作三 考察 TTL 事件传输层实作一 熟悉TCP UDP段结构实作二 分析TCP建立和释放连接应用层实作一 了解DNS解析实作二 了解HTTP的请求和应答 数据链路层 实作一
对 SSL协议进行wireshark抓包实验
qq965194745的博客
12-13 3878
SSL 配置实验对 SSL协议进行抓包实验为了简单,下面实验直接对(校园网) http://10.21.49.130进行抓包,因此要设置抓包的过虑规则为:ip.host==10.21.49.130 未使用SSL协议情况 用 ie 访问下面地址http://10.21.49.130:81/users/sign_in打开登录界面.. 输入用户名 westwood 口令 123456 重新开始抓包 点击
Wireshark实验
weixin_48720671的博客
12-22 2025
Wireshark实验实验准备数据链路层实作 实验准备 请自行查找或使用如下参考资料,了解 Wireshark 的基本使用: - 选择对哪块网卡进行数据包捕获 - 开始/停止捕获 - 了解 Wireshark 主要窗口区域 - 设置数据包的过滤 - 跟踪数据流 ???? 参考 1. 官方文档 https://www.wireshark.org/docs/wsug_html/ 2. Wireshark抓包新手使用教程 https://www.cnblogs.com/linyfeng/p/949612
再谈中间人攻击
weixin_34375233的博客
10-03 285
前言   上一篇ARP欺骗与中间人攻击讲到了MITM攻击的基础和原理,并且在实验中成功对网关和目标主机进行了ARP毒化,从而使得无论目标的外出数据或流入数据都会经过本机这个“中间人”。在上篇后记里也略为提及到,中间人可以做的事情有很多,但是没有详细介绍。因此本文就来谈谈如何截取目标流量以及如何对目标看似杂乱无章的数据进行提取,分析和修改。 流量分析   通常我们成功变成中间人之后,会一...
计算机网络实验 —— Wireshark 实验
weixin_44482008的博客
12-05 7682
计算机网络实验 —— Wireshark 实验
计算机网络实验Wireshark 抓包工具使用、WinPcap 编程、协议分析&流量统计程序的编写)
毕业作品网站
02-14 2万+
本文介绍了Wireshark抓包工具的使用和WinPcap编程两个实验。第一部分详细说明了Wireshark的安装、配置及抓包分析过程,包括TCP三次握手和HTTP报文分析;第二部分介绍了WinPcap/NpCap架构及其在网络编程中的应用,如原始数据包捕获、过滤和流量统计。实验旨在帮助学习者掌握网络协议分析工具的使用,理解网络通信原理,并为网络管理、安全检测和协议开发提供实践基础。通过实践操作,可加深对网络体系结构的理解,提升网络问题排查和安全隐患检测能力。
Wireshark搜索/查找字符串失败
崔杰城的博客
06-03 5367
wireshark里面我们经常使用“查找”功能去搜索包(Packets)里面的字符串,如下图所示:但很多时候我们会发现无论怎样设置都没办法搜索到我们想要的字符串。比如上图中的Unmasked data区域里面有"open"这个字符串,但是无论我们是设置"分组详情"还是"分组字节流"都没办法定位到这个Packet。要找到导致该问题的原因,我们要首先了解wireshark里面"分组列表"、"分组详情"和"分组字节流"分别表示什么。简单来讲,设置为"分组列表"后,就是只搜索下图所示的区域:设置为"分组详情"后,
实验六:Wireshark网络抓包实验
weixin_46698891的博客
06-25 1万+
实验Wireshark网络抓包实验 一、实验目的 使用Wireshark软件对网卡上的数据包进行抓取,分析数据包各字段的含义。 掌握数据链路层、网络层、运输层常用数据包的定义 掌握相关网络命令 二、实验要求 熟悉wireshark软件。 利用wireshark软件完成实验内容。 提交实验设计报告。 三、实验环境 Wireshark软件 四、实验内容 本机IP:10.1.36.48 网关:10.1.36.1 捕获ARP请求及应答包 要求:分析数据链路层协议中的:源MAC
计算机网络实验在虚拟机Linux系统用Wireshark抓包
2301_81080769的博客
07-01 2296
统一资源定位符(Uniform Resource Locator,URL)也称网页地址,是互联网上标准的资源地址,它的作用是让客户端查询不同的信息资源时有统一访问的方法,例如,用户在使用浏览器访问某个网站时,就需要输入该网站的URL,当服务器成功接收到浏览器发出的请求后,服务器返回的内容会通过浏览器呈现。port:表示端口号,通常可以省略,每一种传输协议都有默认的端口号,例如,HTTP的默认端口是80,HTTPS的默认端口是443,FTP的默认端口是21。”与资源路径分隔,多个参数之间使用“&”分隔。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值