Wireshark抓取以太网数据包

马谦马谦马谦 2017年11月19日15:00:54 发表评论
文章最后编辑于:2017-11-19 15:27:40

一、概述

几乎所有的数据包都是通过以太网来传输,所以使用wireshark抓取以太网数据包非常容易,这里我们以DNS数据包为例。

二、抓包

1. 准备数据

打开wireshark,在筛选栏输入dns,点击开始抓包,然后打开命令提示符,输入ping www.baidu.com,此时wireshark将会抓到以下数据:

Wireshark抓取以太网数据包

网卡信息如下:

Wireshark抓取以太网数据包

2. 数据分析

第一步是请求dns服务器地址解析www.baidu.com ,本机IP为192.168.123.181,为源IP地址,目的IP是两个dns服务器地址。由于设置了两个dns服务器,所以分别发送了两个数据包。

Wireshark抓取以太网数据包

这里是收到的返回数据包:

Wireshark抓取以太网数据包

随便点开一个数据包查看数据内容:

Wireshark抓取以太网数据包

这是一个完整的dns数据包,wireshark已经很清楚的帮我们分好类了。直接点击Ehternet II直接就能看到数据包了,源MAC地址,目的MAC地址都已经帮我们标识好了,不得不说很强大。

以太网中首先是目的MAC地址,对本次请求来说,目的MAC地址是我设置的网关即路由器的MAC地址,Phicomm是我用的斐讯路由器型号。

源MAC地址即是本机的网卡的物理地址,从上面的网卡信息可以看出来物理地址为B8-76-3F-95-F0-5F ,也可以使用ipconfig /all 命令查看。

然后随之而来的就是数据部分的以太类型,0x0800表示这是一个IPv4数据包。

接下来的就是数据部分,即为以太网帧中的有效载荷部分,这里是dns数据包,以后再讨论。

3. 为什么没有报头和校验字段

从数据中我们没有发现8个字节的前导头和4个字节的校验字段,为什么呢?

因为前导头是用来给物理链路层中的物理接口用来识别的,以此来定位数据包的开始。当它收到数据包后会进行校验码计算,如果数据没有错误会去掉前导部分和校验部分,再交给以太网卡驱动程序,当驱动程序收到数据包时就不存在有这两个字段了。

而wireshark抓包是位于网卡的驱动程序之内的,所以抓到的包就不存在有前导头和校验数据。

本文共执行43次查询,耗时0.269秒!
马谦马谦马谦

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: