分析ICMP協(xié)議數(shù)據(jù)包

實(shí)驗(yàn)原理

ping是用來(lái)測(cè)試網(wǎng)絡(luò)連通性的命令，一旦發(fā)出ping命令，主機(jī)會(huì)發(fā)出連續(xù)的測(cè)試數(shù)據(jù)包到網(wǎng)絡(luò)中，在通常的情況下，主機(jī)會(huì)收到回應(yīng)數(shù)據(jù)包，ping采用的是ICMP協(xié)議。

實(shí)驗(yàn)步驟

在過(guò)濾條件中分別輸入“icmp”

點(diǎn)擊開(kāi)始抓包,為了抓取使用ICMP的包，我們要設(shè)置過(guò)濾條件，點(diǎn)擊“選項(xiàng)”。

這是可以看到抓包過(guò)濾按鈕后面的文本框出現(xiàn)了ICMP字樣，說(shuō)明過(guò)濾條件設(shè)置成功：點(diǎn)擊開(kāi)始，發(fā)現(xiàn)現(xiàn)在抓取不到任何包：

打開(kāi)命令行窗口，執(zhí)行命令：ping www.baidu.com:

這時(shí)可以看到數(shù)據(jù)包抓取頁(yè)面抓取到了8包，與命令行顯示的已發(fā)送和已接受的包的數(shù)量是一致的：

ICMP報(bào)文的格式為：

在這個(gè)試驗(yàn)中，可以發(fā)現(xiàn)，icmp的報(bào)文就只有兩種，請(qǐng)求和應(yīng)答：

請(qǐng)求：

應(yīng)答：

這兩個(gè)報(bào)文的type不一樣，8代表請(qǐng)求，0代表應(yīng)答；code都為0，表示為回顯應(yīng)答；標(biāo)示符和序列號(hào)都是一樣的，表示這兩個(gè)報(bào)文是配對(duì)的 。

DHCP數(shù)據(jù)包分析

使用DHCP獲取IP地址：

• （1）打開(kāi)命令窗口,啟動(dòng)Wireshark。
• （2）輸入“ipconfig /release”。這條命令會(huì)釋放主機(jī)目前的IP地址，此時(shí)，主機(jī)IP地址會(huì)變?yōu)?.0.0.0

• （3）然后輸入“ipconfig /renew”命令。這條命令讓主機(jī)獲得一個(gè)網(wǎng)絡(luò)配置，包括新的IP地址。

• （4）等待，直到“ipconfig /renew”終止。然后再次輸入“ipconfig /renew” 命令。

• (5）當(dāng)?shù)诙€(gè)命令“ipconfig /renew” 終止時(shí)，輸入命令“ipconfig /release” 釋放原來(lái)的已經(jīng)分配的IP地址

• （6）停止分組俘獲。如下圖：

  分析

  • 由截圖可知，本機(jī)發(fā)起DHCP Discover包，用來(lái)尋找DHCP服務(wù)器，源ip是0.0.0.0，因?yàn)閯傞_(kāi)始還不知道，目的地址是255.255.255.255的廣播地址，廣播到整個(gè)網(wǎng)段。

  • 此字段表示DHCP客戶(hù)端的報(bào)文類(lèi)型：

    • 這是UDP上的DHCP，本機(jī)發(fā)起的端口是68，目標(biāo)端口是67。

  Offer（提供）

  • DHCP服務(wù)器收到客戶(hù)端發(fā)的DHCP Discover之后，會(huì)在自己的地址池中拿出一個(gè)沒(méi)有分配的地址以及配套的參數(shù)（如：掩碼、DNS、網(wǎng)關(guān)、域名、租期……），然后以一個(gè)DHCP Offer包發(fā)送出去。
  • 此時(shí)源IP是DHCP服務(wù)器的IP，目的IP是255.255.255.255的廣播。這時(shí)候本機(jī)還無(wú)法獲得IP，所以DHCP服務(wù)器只能用廣播來(lái)回應(yīng)。
  • Message type為2表明是回復(fù)包。
  • 給客戶(hù)端的IP地址：192.168.42.86，但是現(xiàn)在還沒(méi)有確認(rèn)。
  • 中斷地址（網(wǎng)關(guān)）：Relay agent IP address：0.0.0.0
  • 此截圖表明通過(guò)UDP傳輸，客戶(hù)端端口號(hào)68，服務(wù)器是67。

  DHCP服務(wù)器地址 ：

  Request（請(qǐng)求）

  • 客戶(hù)端收到這個(gè)DHCP Offer后，會(huì)再發(fā)出一個(gè)DHCP Request給服務(wù)器來(lái)申請(qǐng)這個(gè)Offer中包含的地址。這個(gè)時(shí)候，客戶(hù)端還沒(méi)有正式拿到地址，所以還需要向DHCP服務(wù)器申請(qǐng)。
  • 此時(shí)客戶(hù)端的源IP還是0.0.0.0，目的IP還是255.255.255.255。
  • 將這些都廣播出去，告訴其他DHCP服務(wù)器和分配給本機(jī)的服務(wù)器。

  確認(rèn)回復(fù)

  • 被客戶(hù)機(jī)選擇的DHCP服務(wù)器在收到DHCPREQUEST廣播后，會(huì)廣播返回給客戶(hù)機(jī)一個(gè)DHCPACK消息包，表明已經(jīng)接受客戶(hù)機(jī)的選擇，并將這一IP地址的合法租用以及其他的配置信息都放入該廣播包發(fā)給客戶(hù)機(jī)。

總結(jié)

以上是生活随笔為你收集整理的Wireshark抓取数据包的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。