1.前言

由于目前面向领导编程，最近领导让我们抓包分析数据包，之前大学学习过计算机网络这门课程，但是上课老师是个无情的念PPT机器，导致现在一知半解，之前面试也看过B站的石家庄什么厂为例子的韩立刚老师的计算机网络课程视频计算机网络原理，感觉讲得很好，如果有这方面深入的可以推荐看一下B站视频，韩老师使用虚拟机之间发报文来分析报文，当时惊呆了我，原来可以这么玩。回到现在，现在分享一下wireshark这个软件的使用。

2.wireshark简介

wireshark（官网）（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。
在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的途径取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。

3.wireshark使用

3.1 主界面

1.菜单栏

这些菜单用到得会比较多，后续用到会比较多

2.工具栏

蓝色的鲨鱼鳍就是开始抓包。其他的可以慢慢尝试

3.抓包过滤器

抓到的包，可以通过进行过滤，比如通过ip.addr 协议类型等过滤

4.网卡过滤栏

主要用来过滤网卡类别（如果虚拟、蓝牙、有线网卡过多，可以先通过这个过滤一下）

5.网卡数据波动栏

这个很实用，可以看到途中除了本地连接2 vmware的两个以及以太网2这几个有网络波动，其他的都没有数据包交换，这样可以很直观的看到有没有数据波动。

3.2 抓包界面分析

ping百度获取百度地址

按win+R，输入cmd，然后ping baidu.com
得到百度此时的ip地址是39.156.66.10

![ping百度](https://img-blog.csdnimg.cn/9d6cf13fe51841e7b127e780fcd14329.png>
对应捕获的数据包如下

工具栏中可以停止捕获（见图中1）、重新捕获（见图中2）。
也可以根据ip进行过滤，这里我过滤了跟百度ip地址相关的报文；
每一笔报文分别为Time（时间）、Source（源地址）、Eestination（目的地址）、Protoco（协议类型）、Info（信息）（见图中3）
报文详细分析（见图中4）

报文详细分析

图中3部分第一个报文可以看到大概信息为：源地址是172.20.10.8（Source），目的地址是我们ping的地址39.156.66.10（Destination），协议类型是ICMP（Protocol），信息是请求（request）响应时间等；

图中4部分是报文的详细信息，点开可以看到各个层的内容
物理层（Frame）：物理层的数据帧情况
数据链路层（Ethernet II）：数据链路层以太网帧头部信息
网络层（Internet Protocol Version 4、Internet Control Message Protocol）: 互联网层IP包头部信息

网络层
Frame 3803: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface \Device\NPF_{9F92BDE3-FCD8-43C7-AEF8-D9F9AEAE1B86}, id 0 （3803号帧，线路74字节，实际捕获74字节）
Interface id: 0 (\Device\NPF_{9F92BDE3-FCD8-43C7-AEF8-D9F9AEAE1B86})
Encapsulation type: Ethernet (1)
Arrival Time: Aug 8, 2022 14:32:09.886159000 中国标准时间 （捕获日期和时间）
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1659940329.886159000 seconds
[Time delta from previous captured frame: 0.012021000 seconds] （此包与前一包时间间隔）
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 71.197538000 seconds] （此包与第一个帧的时间间隔）
Frame Number: 3803 （帧序号）
Frame Length: 74 bytes (592 bits) （帧长度）
Capture Length: 74 bytes (592 bits) （捕获帧长度）
[Frame is marked: False] （此帧是否做了标记：否）
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:ip:icmp:data] （帧内封装的协议层次结构）
[Coloring Rule Name: ICMP] （用不同颜色的染色标记的协议名称：ICMP）
[Coloring Rule String: icmp || icmpv6] （染色显示规则字符串）

数据链路层
Ethernet II, Src: IntelCor_32:36:ab (fc:b3:bc:32:36:ab), Dst: e2:92:5c:85:64:64 (e2:92:5c:85:64:64)（源mac地址、目的mac地址）
Destination: e2:92:5c:85:64:64 (e2:92:5c:85:64:64)
Address: e2:92:5c:85:64:64 (e2:92:5c:85:64:64)
… …1. … … … … = LG bit: Locally administered address (this is NOT the factory default)
… …0 … … … … = IG bit: Individual address (unicast)
Source: IntelCor_32:36:ab (fc:b3:bc:32:36:ab)
Address: IntelCor_32:36:ab (fc:b3:bc:32:36:ab)
… …0. … … … … = LG bit: Globally unique address (factory default)
… …0 … … … … = IG bit: Individual address (unicast)
Type: IPv4 (0x0800)

网络层
Internet Protocol Version 4, Src: 172.20.10.8, Dst: 39.156.66.10 (ipv4，源IP地址、目的ip地址)
0100 … = Version: 4 （版本：4）
… 0101 = Header Length: 20 bytes (5) （IP头的长度）
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
Total Length: 60 （总长度）
Identification: 0x2900 (10496) （一个唯一的标识数字，用来识别一个数据包或者被分片数据包的次序）
Flags: 0x00 （用来识别一个数据包是否是一组分片数据包的一部分）
…0 0000 0000 0000 = Fragment Offset: 0 （一个数据包是一个分片，这个域中的值就会被用来将数据包以正确的顺序重新组装）
Time to Live: 128 （用来定义数据包的生存周期，以经过路由器的跳数/秒数进行描述）
Protocol: ICMP (1) （用来识别在数据包序列中上层协议数据包的类型）
Header Checksum: 0x0000 [validation disabled] （一个错误检测机制，用来确认IP头的内容没有被损坏或者篡改）
[Header checksum status: Unverified]
Source Address: 172.20.10.8 （发出数据包的主机的IP地址）
Destination Address: 39.156.66.10 （数据包目的地的IP地址）
-----------------------------------------------------------------------------------------------
Internet Control Message Protocol
Type: 8 (Echo (ping) request)（ping请求）
Code: 0
Checksum: 0x4d50 [correct]
[Checksum Status: Good]
Identifier (BE): 1 (0x0001)
Identifier (LE): 256 (0x0100)
Sequence Number (BE): 11 (0x000b)
Sequence Number (LE): 2816 (0x0b00)
[Response frame: 3804]
Data (32 bytes) （使用IP传递的实际数据）
Data: 6162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
[Length: 32]

以上就是ping baidu的报文解析，接下来进行从百度下载图片操作并进行解析