文章目录

• APR协议
• • 分析APR数据包
  • • 分析APR请求数据包
    • 分析APR响应数据包
  • 分析免费ARP数据包
• IP协议
• • wireshark分析捕获文件的存活时间TTL和IP分片
  • 捕获IP数据包方法

APR协议

原理:ARP（Address Resolution Protocol，地址解析协议）用于将IP地址解析为物理地址（MAC地址）的一个TCP/IP协议。

ARP协议的由来：

ARP协议的基本功能

分析APR数据包

ARP协议的解析过程只使用了两种数据包：一个ARP请求和一个ARP响应

ARP协议工作原理

查看ARP缓存表：可以打开cmd，输入arp -a
本地的缓存是有生命周期的，默认的ARP缓存表的有效期是120秒，过期后，需要重复上述过程。

分析APR请求数据包

打开wireshark,找到ARP请求的数据包。我们可以通过Packet Details面板，检查以太网头部信息来确定这个数据包是不是一个真的广播数据包。

第一个数据包，来看看ARP的请求：

分析APR响应数据包

第二个数据包，来看看ARP的响应：

分析免费ARP数据包

关于免费ARP（gratuitous ARP）的例子。

IP协议

原理：IP协议（Internet Protocol，互联网协议），是TCP/IP协议栈中最核心的协议之一，通过IP地址，保证了联网设备的唯一性，实现了网络通信的面向无连接和不可靠的传输功能。
IOS第三层网络层主要实现跨网络间的通信。

wireshark分析捕获文件的存活时间TTL和IP分片

存活时间（TTL，Time to Live）

• 用于定义数据包的生存周期，也就是在该数据包被丢弃之前，所能够经历的时间，或者能够经过的最大路由数目。
• 这个值是在数据包被创建的时候设置的，而且通常在每次发往一个路由器的时候会实现自减一的操作。一旦TTL的值变为了0，那么这个数据包就会被丢弃。
• 由于TTL的值在技术上是基于时间的，那么一个非常繁忙的路由器可能会将TTL的值减去不止1，但是一般来说，我们还是可以认为一个路由设备在多数情况下只会将TTL的值减去1。

IP分片

• IP数据包的分片指的是将一个数据流分为更小的片段，是IP用于解决跨越不同类型的网络时可靠传输的一个特性。
• 数据包的分片主要基于OSI模型第二层的数据链路层协议所使用的最大传输单元（MTU，Maximum Transmission Unit）的大小，以及使用这些第二层协议的设备配置情况。
• 在多数情况下，第二层所使用的数据链路层协议是以太网。而以太网的默认MTU是1500，那么以太网的网络上所能传输的最大数据包的大小就是1500字节。！注意这里面并不包括14字节大小的以太网头部本身。

应用场景：当一个设备准备传输一个IP数据包时，会首先将这个数据包的大小和将要把这个数据包传出去的网络接口的MTU进行比较，从而确定是否需要将这个数据包分片。如果数据包的大小大于MTU，那么这个数据包就会被分片。

应用步骤：
（1）设备将数据分为若干个可以成功进行传输的数据包。
（2）每个IP头的总长度域（Total Length）会被设置为每个分片的片段长度。 （3）更多分片标志（More fragments）将会在数据流的所有数据包中设置为1，最后一个数据包则为0。
（4）IP头中分片部分的分片偏移将会被设置。
（5）数据包被发送出去。

判断数据包是否来自同一个数据序列，看Identification中的值是否一致！

捕获IP数据包方法

使用ping
原因：能精确查找数据包。因为捕获到IP数据包有很多，比如我们打开一个网站，直接使用Wireshark会捕获到非常多的IP数据包。但也会捕获到非常多的诸如DNS、HTTP、TCP等协议的数据包，就不方便于我们的分析。但使用ping，这样就只会获取到ICMP协议的数据包。
使用步骤：
1、首先我们可以在想要进行捕获的系统（如:虚拟机）上打开Wireshark，选择菜单栏的“Capture”->“Options”，进行如下相应的设置——最后start

2、在虚拟机上打开cmd，ping主机的IP地址，然后查看捕获结果

捕获IP分片数据包

以上是我观看《Wireshark零基础入门到实战/网络抓包/流量分析必备》视频的笔记，记录下来温故知新，希望对你也有用！