如何通过Wireshark抓包理解网络层
所用软件
wireshark
网络层
操作一
熟悉 ip 包结构。
使用 wireshark 任意进行抓包(可用 ip 过滤),熟悉 ip 包的结构,如:版本、头部长度、总长度、ttl、协议类型等字段。
ping 10.160.4.161
展开数据详细信息区间,抓到的数据如下:
版本:ipv4
头部长度:20 bytes
总体长度:60
存活时间ttl:64s
协议:icmp
操作一相关问题
为提高效率,我们应该让 ip 的头部尽可能的精简。但在如此珍贵的 ip 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
回答:
ip的头部长度可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度的字段是因为接收端需要读数据,接收数据。
操作二
ip 包的分段与重组。
据规定,一个 ip 包最大可以有 64k 字节。但由于 ethernet 帧的限制,当 ip 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。使用 ping 39.156.69.79 -l 1000 命令指定要发送的数据长度为1000。此时使用 wireshark 抓包(用 ip.addr ==39.156.69.79进行过滤),了解 ip 包如何进行分段,如:分段标志、偏移量以及每个包的大小等。
ping 10.160.255.254 -l 2000
展开数据详细信息区间,抓到的数据如下:
分段标志:flags
mf、df、未用。mf=1表示后面还有分段的数据包,mf=0表示没有更多分片(即最后一个分片)。df=1表示路由器不能对该数据包分段,df=0表示数据包可以被分段。
偏移量:fragment offset
1480
每个包的大小:
1480与528
操作二相关问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 ipv6 已经不允许分段了。那么 ipv6 中,如果路由器遇到了一个大数据包该怎么办?
回答:
直接丢弃再通知发送端进行重传。
由于在 ipv6中分段只能在源与目的地上执行,不能在路由器上进行。因此当数据包过大时,路由器就会直接丢弃该数据包包,并向发送端发回一个分组太大的icmp差错报文,之后发送端就会使用较小长度的ip数据报重发数据。
操作三
考察 ttl 事件。
在 ip 包头中有一个 ttl 字段用来限定该包可以在 internet上传输多少跳(hops),一般该值设置为 64、128等。
使用 tracert www.baidu.com 命令进行追踪,此时使用 wireshark 抓包(用 icmp 过滤),分析每个发送包的 ttl 是如何进行改变的,从而理解路由追踪原理。
展开数据详细信息区间,抓到的数据如下:
ttl的改变:
tracert 命令确定两台主机的路由主要是通过 ip 生存时间 (ttl) 字段和 icmp 错误消息。 在工作环境中有多条链路出口时,可以通过该命令查询数据是经过的哪一条链路出口。
由于路径上的每个路由器在转发数据包之前至少将数据包上的 ttl 递减 1,因此 tracert 先发送 ttl 为 1 的回应数据包,并在随后的每次发送过程将 ttl 递增 1,直到目标响应或 ttl 达到最大值,从而确定路由。通过检查中间路由器发回的“icmp 已超时”的消息确定路由。
操作三相关问题
在 ipv4 中,ttl 虽然定义为生命期即 time to live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 ttl 的值为 50,推断这个包从源点到你之间有多少跳?
回答:
微软 windows 操作系统 icmp 回显应答的 ttl 字段值为 128;ttl为返回值,跳数就为128-50=75跳。
什么是拉力试验机?如何挑选知名的制造商?
浅谈工业以太网四大主流实时接口
Recom LED驱动器可提供高达1050mA的恒定输出电流
镭神智能与AI边缘计算创新者Blaize达成战略合作
PLC—DIDO应用中的电机启停问题分析
如何通过Wireshark抓包理解网络层
小米11系列首发骁龙888:备货充足
6月25日中国移动将在上海举办“5G+ 共赢未来”发布会
中国工程院院士孙家广:国内外高端工业软件发展现状
千元手机也能有旗舰体验?中国电信这款新品有点意思
python中text的用法
笔记本宽屏失真有何解决方法?
对颗粒进行自动定位和化学分析的专用仪器-双激光窄光颗粒计数器面世
OPPOR9和R9Plus的区别有多大
用精准的PWM轻触你的绚烂多彩
Graphcore与神州数码建立合作伙伴关系,为实现爆炸性增长做准备
#深入浅出学习eTs#(八)“猜大小”小游戏
变频器的选型
实物即将到来!索尼发布会将推出智能腕表
分布式能源与充电站一体化解决办法分析以及共直流母线IGBT充电集如何助力
wireshark
网络层
操作一
熟悉 ip 包结构。
使用 wireshark 任意进行抓包(可用 ip 过滤),熟悉 ip 包的结构,如:版本、头部长度、总长度、ttl、协议类型等字段。
ping 10.160.4.161
展开数据详细信息区间,抓到的数据如下:
版本:ipv4
头部长度:20 bytes
总体长度:60
存活时间ttl:64s
协议:icmp
操作一相关问题
为提高效率,我们应该让 ip 的头部尽可能的精简。但在如此珍贵的 ip 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
回答:
ip的头部长度可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度的字段是因为接收端需要读数据,接收数据。
操作二
ip 包的分段与重组。
据规定,一个 ip 包最大可以有 64k 字节。但由于 ethernet 帧的限制,当 ip 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。使用 ping 39.156.69.79 -l 1000 命令指定要发送的数据长度为1000。此时使用 wireshark 抓包(用 ip.addr ==39.156.69.79进行过滤),了解 ip 包如何进行分段,如:分段标志、偏移量以及每个包的大小等。
ping 10.160.255.254 -l 2000
展开数据详细信息区间,抓到的数据如下:
分段标志:flags
mf、df、未用。mf=1表示后面还有分段的数据包,mf=0表示没有更多分片(即最后一个分片)。df=1表示路由器不能对该数据包分段,df=0表示数据包可以被分段。
偏移量:fragment offset
1480
每个包的大小:
1480与528
操作二相关问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 ipv6 已经不允许分段了。那么 ipv6 中,如果路由器遇到了一个大数据包该怎么办?
回答:
直接丢弃再通知发送端进行重传。
由于在 ipv6中分段只能在源与目的地上执行,不能在路由器上进行。因此当数据包过大时,路由器就会直接丢弃该数据包包,并向发送端发回一个分组太大的icmp差错报文,之后发送端就会使用较小长度的ip数据报重发数据。
操作三
考察 ttl 事件。
在 ip 包头中有一个 ttl 字段用来限定该包可以在 internet上传输多少跳(hops),一般该值设置为 64、128等。
使用 tracert www.baidu.com 命令进行追踪,此时使用 wireshark 抓包(用 icmp 过滤),分析每个发送包的 ttl 是如何进行改变的,从而理解路由追踪原理。
展开数据详细信息区间,抓到的数据如下:
ttl的改变:
tracert 命令确定两台主机的路由主要是通过 ip 生存时间 (ttl) 字段和 icmp 错误消息。 在工作环境中有多条链路出口时,可以通过该命令查询数据是经过的哪一条链路出口。
由于路径上的每个路由器在转发数据包之前至少将数据包上的 ttl 递减 1,因此 tracert 先发送 ttl 为 1 的回应数据包,并在随后的每次发送过程将 ttl 递增 1,直到目标响应或 ttl 达到最大值,从而确定路由。通过检查中间路由器发回的“icmp 已超时”的消息确定路由。
操作三相关问题
在 ipv4 中,ttl 虽然定义为生命期即 time to live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 ttl 的值为 50,推断这个包从源点到你之间有多少跳?
回答:
微软 windows 操作系统 icmp 回显应答的 ttl 字段值为 128;ttl为返回值,跳数就为128-50=75跳。
什么是拉力试验机?如何挑选知名的制造商?
浅谈工业以太网四大主流实时接口
Recom LED驱动器可提供高达1050mA的恒定输出电流
镭神智能与AI边缘计算创新者Blaize达成战略合作
PLC—DIDO应用中的电机启停问题分析
如何通过Wireshark抓包理解网络层
小米11系列首发骁龙888:备货充足
6月25日中国移动将在上海举办“5G+ 共赢未来”发布会
中国工程院院士孙家广:国内外高端工业软件发展现状
千元手机也能有旗舰体验?中国电信这款新品有点意思
python中text的用法
笔记本宽屏失真有何解决方法?
对颗粒进行自动定位和化学分析的专用仪器-双激光窄光颗粒计数器面世
OPPOR9和R9Plus的区别有多大
用精准的PWM轻触你的绚烂多彩
Graphcore与神州数码建立合作伙伴关系,为实现爆炸性增长做准备
#深入浅出学习eTs#(八)“猜大小”小游戏
变频器的选型
实物即将到来!索尼发布会将推出智能腕表
分布式能源与充电站一体化解决办法分析以及共直流母线IGBT充电集如何助力