启动图形界面并打开wireshark
wireshark简介
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件,Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其程式码,并拥有针对其源代码修改及客制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。这里从简单的ping中利用wireshark的功能来简单分析网络中协议。
wireshark安装
#yum install wireshark wireshark-gnome
#wireshark
Linux主机的IP地址为192.168.227.129,本地主机的IP地址为192.168.1.100,测试方法为从192.168.1.100主机上“ping192.168.227.129”,完成wireshark的截图如下所示:
在以太网协议中规定,同一局域网中的一台主机要和另一台主机进行直接通信,必须要知道目标主机的MAC地址。而在TCP/IP协议栈中,网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层IP协议提供的数据中,只包含目的主机的IP地址。于是需要一种方法,根据目的主机的IP地址,获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析(addressresolution)就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。而Ping的过程可以很好分析这一过程。如上图中的第一条记录显示的是ARP协议,而它的目标MAC地址却是FF:FF:FF:FF也就是广播地址,在中间部份只是记录了相应的源IP的MAC地址。
上图中为ping过程中的第一个数据包,在ARP协议中可以清楚看到源地址的Sender MACaddress为00:50:56:c0:00:08,Sender IPaddress为192.168.227.1,而目标地址的Mac地址为00:00:00:00:00:00广播地址,目标IP为192.168.227.129。由于这个包是广播包,所以同一网段中的所有主机都会把这个封包接下,不过大多数的主机看到这个封包的内容之后,都会把封包丢弃掉,因为这些主机从封包内容发现这个封包并不是要给它们的,而其中就只有一台主机会真正响应这个封包,那就是192.168.227.129。在经过以上的流程之后,主机192.168.227.129就可以从第一个封包那得知192.168.227.1主机的MAC地址为00:50:56:c0:00:08了。
在主机192.168.227.129得知主机192.168.227.1的MAC地址之后,主机192.168.227.129回应给主机192.168.227.1如上图所示的封包,从图中可以发现,这个包已不再是广播封包了,因为对主机192.168.227.129来说,主机192.168.227.1的MAC地址是已知的,所以在数据链路层上填入了接收端的MAC地址,而主机192.168.227.129将会把其中IP及MAC地址附在这个封包之内回传给主机192.168.227.1,这个经过ARP的请求及响应动作之后,就可以帮助两台主机完成MAC地址的交换动作了。
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
