GNS3的抓包分析
开始抓包分析啦~
首先接着昨天的工作,在我再次打开项目时,发现配置都丢失了,所以首先先保存Router和主机的配置:
对于R1:
使用命令:
write 保存配置
使用命令show ip int brief查看路由器中接口的ip配置
对于PC:
使用save 保存设置
使用个命令ip show 查看ip配置
保存后就开始今天的抓包工作啦~~~
选择vlan 1到vlan2之间的数据包
右击选择start capture【前提是已经配置好了wireshark的运行目录】
wireshark自动运行,选择使用PC1去pingPC2
下面来看看数据包都经历了哪些协议叭,O(∩_∩)O
仅自己理解的,不对若有大佬看到这篇文章请帮忙指出来,共同学习!!!
首先看到了一个协议CDP:这是思科的设备发现协议,运行在思科设备上,思科设备能够在与它们直连的设备之间分享有关操作系统软件版本,以及IP地址,硬件平台等相关信息。
格式为
参数为:
这里说的是:mac地址为cc:01:3f:60:00:01(PC1),向(01:00:0c:cc:cc:cc)组播地址发送一次通告
表明与其相连的设备是R1,接口为f0/1;
接着为地址解析协议:
地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
PC1向局域网的所有主机广播,问谁管着PC2呢?发现了R1的f0/1接口连接着PC2,找到了网关:172.16.2.254;ARP返回他的答复:PC2在这里(00:50:79:68:01),找到了PC2的物理地址!!!
接着就开始发送ICMP报文了,用于主机与路由器之间传送控制信息
一个请求一个回应
报文的具体内容为:
报头中的信息:MAC层:源物理地址,目的物理地址
IP报头:目的IP,源IP,等等
ICMP报头:
ICMP报文包含在IP数据报中,属于IP的一个用户,IP头部就在ICMP报文的前面,所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文,IP头部的Protocol值为1就说明这是一个ICMP报文,ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式,此外还有一个代码(Code)域用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。。
type:8 code:0表示:Echo request——回显请求(Ping请求)
控制信息(数据部分)
发送设备随后可根据ICMP报文确定发生错误的类型,并确定如何才能更好地重发失败的数据包。但是ICMP唯一的功能是报告问题而不是纠正错误,纠正错误的任务由发送方完成。我们在网络中经常会使用到ICMP协议,比如我们经常使用的用于检查网络通不通的Ping命令,这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。
总的过程就是:
发现设备–>找到目的方的地址–>发动数据包【三部分,以太网包头,IP报头,ICMP报文】–>解析ICMP报文。
