wiresharkftp找mac地址 wireshark查看mac地址

转载

boyboy 2024-05-08 19:25:39

文章标签 wiresharkftp找mac地址计算机网络 IP Wireshark 请求报文 文章分类 架构后端开发

四、实验步骤

4.1 WireShark 基本使用

4.2 观察 MAC 地址

启动 Wireshark 捕捉数据包，在命令行窗口ping 网关，分析本机发出的数据包。重点观察以太网帧的 Destination 和 Source 的 MAC 地址，辨识 MAC 地址，解读 OUI 信息、I/G 和 G/L 位。

ping网关的作用是用来测试电脑到局域网的出口位置是否畅通，以便进行网络状态的判断

wiresharkftp找mac地址 wireshark查看mac地址_请求报文

wiresharkftp找mac地址 wireshark查看mac地址_计算机网络_02

使用ip.addr==10.68.0.1作为显示过滤条件进行过滤

wiresharkftp找mac地址 wireshark查看mac地址_计算机网络_03

Destination：44:1a:fa:d4:70:02 0x44=（01000100）2

Source：dc:71:96🆎75:66 0xdc=（11011100）2

MAC地址前3个字节称为组织唯一标识符OUI，是由 IEEE 的注册管理机构给不同厂家分配的代码，区分了不同的厂家；后3个字节是由厂家自己分配的，称为扩展标识符。每个字节的高位在前，低位在后，I/G位和G/L分别在第一个字节中的最低位和次低位。

如果G/L=0，则是全局管理地址，由IEEE分配；如果G/L=1，则是本地管理地址，是网络管理员为了加强自己对网络管理而指定的地址。

如果I/G=0，则是某台设备的MAC地址，即单播地址；如果I/G=1，则是多播地址（组播+广播=多播）。

4.3 分析以太网的帧结构

wiresharkftp找mac地址 wireshark查看mac地址_IP_04

Frame: 物理层的数据帧情况。

Ethernet II , Src: 数据链路层以太网帧头部信息。上面分析过了。

0x08 00: 帧包含的是IPv4数据报。

Internet Protocol Version 4, Src: 互联网层IP包头信息。

wiresharkftp找mac地址 wireshark查看mac地址_计算机网络_05

wiresharkftp找mac地址 wireshark查看mac地址_Wireshark_06

wiresharkftp找mac地址 wireshark查看mac地址_请求报文_07

wiresharkftp找mac地址 wireshark查看mac地址_计算机网络_08

0x4版本

0x5首部长度

0x00区分服务

0x3c总长度

0x8d af标识

0标志（3位，不看，不分段，是否有更多段）

0位偏移（13位）

0x80生存时间（IP包被路由器丢弃之前允许通过的最大网段数量）

0x01ICMP协议

0x00 00首部检验和[validation disabled]有时候TCP和UDP校验和会由网卡计算，因此wireshark抓到的本机发送的TCP/UDP数据包的校验和都是错误的，这样检验校验和没有意义，所以Wireshark不自动做TCP和UDP校验和的校验。

0x0a 45 ae 34源 IP 地址

0x0a 44 00 01目的 IP 地址

Internet Control Message Protocol: 互联网控制信息协议。

wiresharkftp找mac地址 wireshark查看mac地址_计算机网络_09

Type:ICMP的类型
Code:进一步划分ICMP的类型
Checksum:检验和
ID值
Sequence序号
Data:填充的数据紧接在ICMP报头的后面（以8位为一组）
4.4 ARP 协议分析

使用 CTR –F命令，清空本机的ARP 缓存，开启 Wireshark，ping 本机的同网段地址。

①主机A首先查看自己的ARP表，如果找到了主机B的MAC地址，则利用这个地址对IP 数据报进行帧封装，并将数据报发送给主机B。

②如果主机A在ARP表中找不到主机B的MAC地址，则以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址，目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。

③主机B比较自己的IP地址和ARP请求报文中的目标IP地址，当两者相同时将ARP请求报文中的发送端（即主机A）的IP地址和MAC地址存入自己的ARP表中。然后以单播方式发送ARP响应报文给主机A，其中包含了自己的MAC地址。

④主机A收到ARP响应报文后，将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发，同时将IP数据报进行封装后发送出去。

请求报文：

wiresharkftp找mac地址 wireshark查看mac地址_请求报文_10

wiresharkftp找mac地址 wireshark查看mac地址_IP_11

应答报文：

wiresharkftp找mac地址 wireshark查看mac地址_计算机网络_12

wiresharkftp找mac地址 wireshark查看mac地址_wiresharkftp找mac地址_13

使用 CTR –F命令，清空本机的 ARP 缓存。开启Wireshark，ping与本机网段不同的 IP 地址或域名。

五、思考题（六选二进行作答即可）
Q使用了显示过滤器后，Wireshark 的抓包工作量会减少吗？
A不会减少，过滤只是查找只显示的信息，不会减少任何抓包工作量。

Q什么是免费 ARP（Gratuitous ARP）？它的作用是什么？

A免费ARP指主机发送ARP查找自己的IP地址，通常发生在系统引导期间进行接口配置时。与标准ARP的区别就是免费ARP分组的目的IP地址字段封装的是自己的IP地址，即向所在网络请求自己的MAC地址。

1起到一个宣告作用，它以广播的形式将数据包发送出去，不需要得到回应，只为了告诉其他计算机自己的 IP 地址和 MAC 地址。

2可用于检测 IP 地址冲突，当一台主机发送了免费 ARP 请求报文后，如果收到了 ARP 响应报文，则说明网络内已经存在使用该 IP 地址的主机。

3可用于更新其他主机的 ARP 缓存表。如果该主机更换了网卡，而其他主机的 ARP 缓存表仍然保留着原来的 MAC 地址，这时，可以发送免费的 ARP 数据包。其他主机收到该数据包后，将更新 ARP 缓存表，将原来的 MAC 地址替换为新的 MAC 地址。

wiresharkftp找mac地址 wireshark查看mac地址_计算机网络_14

wiresharkftp找mac地址 wireshark查看mac地址_请求报文_15

硬件类型功能：以太网
IPV4类型
Mac地址长度
IP地址长度
Gratuitous：免费
六、实验心得与不足
心得：
通过本次实验，我学习了使用 Wireshark 抓取局域网的数据包并使用显示过滤器进行分析，观察 MAC 地址以及分析以太网帧结构，抓取 ARP 请求和应答报文并分析其工作过程。
不足：
不够熟悉ping的操作；ping手机一直出现问题，连接usb才解决了这个问题，耽误较长时间。没有理解透请求和响应的过程。