您现在的位置是:首页 >技术交流 >wireshark抓包分析(ARP,IP,ICMP)网站首页技术交流
wireshark抓包分析(ARP,IP,ICMP)
ARP
介绍:
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
查看arp:
win+R打开,输入cmd,再输入arp-a
Ping 同一个局域网的主机:
本机地址:
抓到的arp如下:
发送请求:
Who has 10.242.61.244? tell 10..242.112.201
响应:
IP数据报:
介绍:
IP协议是TCP/IP协议的核心,所有的TCP,UDP,IMCP,IGMP的数据都以IP数据格式传输。要注意的是,IP不是可靠的协议,这是说,IP协议没有提供一种数据未传达以后的处理机制,这被认为是上层协议:TCP或UDP要做的事情。
Ping 百度官网:
百度官网的Ip地址为 120.232.145.185
加入过滤条件:ip.addr==120.232.145.185,结果为:
tcp报文正是基于ip协议的,tcp是传输层协议,而ip是它底下的网络层协议。不存在Protocol类型为IP的协议。
ICMP协议
介绍:
ICMP,即因特网控制报文协议,在主机和路由器之间起到沟通网络层信息的作用。最典型的用途就是差错报告,它允许主机或路由器报告查错情况和提交有关异常情况的报告。例如网络通不通、主机是否可达、路由是否可用等网络本身的消息,这些控制消息虽对于数据的传递起着重要的作用。ICMP 报文作为 IP 有效载荷承载的,因此虽然 ICMP 被认为是 IP 的一部分,但在体系结构上 ICMP 位于 IP 之上。当主机接收到指明上层协议为 ICMP 的 IP 数据报时,该数据报分解的内容应当交给 ICMP。
抓包如下:
windows下ping默认执行四次ping,因此,Wireshark抓到8个ICMP查询报文,具体为四次请求和应答过程。
分析其中一个: