Sniffer与Wireshark抓包实验:揭秘ICMP与TCP协议

原创 已于 2025-05-20 20:14:14 修改 · 906 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sniffer #wireshark #tcp/ip

于 2025-05-14 12:25:52 首次发布

目录

实验原理

实验步骤

使用Sniffer抓取百度的ICMP包头

使用Wireshark抓取TCP包头

解析后的TCP数据包信息如下:

数据包1(No.57857)

数据包2(No.58138)

数据包3(No.58139)

总结

实验总结

注意事项

使用Sniffer和Wireshark抓取网络包头的实验可以帮助你理解网络协议的工作原理,特别是ICMP和TCP协议。以下是实验的原理、过程和步骤:

实验原理

  1. ICMP协议:ICMP(Internet Control Message Protocol)是网络层协议,主要用于在IP网络中传递控制消息,如ping命令使用的就是ICMP协议。
  2. TCP协议:TCP(Transmission Control Protocol)是传输层协议,提供可靠的、面向连接的通信服务。TCP包头包含源端口、目的端口、序列号、确认号等信息。
  3. Sniffer和Wireshark:Sniffer和Wireshark都是网络抓包工具,可以捕获和分析网络流量。Sniffer通常用于抓取特定类型的包(如ICMP),而Wireshark则是一个功能更强大的网络协议分析工具,支持多种协议的抓包和分析。

实验步骤

使用Sniffer抓取百度的ICMP包头

  • 准备工作

    • 确保你的计算机连接到互联网。
    • 安装Sniffer工具(如Microsoft Network Monitor或类似工具)。
    • Sniffer工具在Win7以上系统会有兼容性错误,建议在XP系统上安装使用。

安装sniffer pro网络监听工具的完整教程https://blog.csdn.net/2301_77001831/article/details/138806130

  • 启动Sniffer

    • 打开Sniffer工具,选择要监听的网络接口(通常是你的网卡)。

  • 设置过滤器

    • 在Sniffer中设置监视器与捕获的过滤器,只捕获ICMP协议的数据包。
    • 通常可以在过滤器中输入 icmp 或 protocol == icmp

设置步骤同上 

  • 开始抓包

    • 点击“开始”按钮,开始捕获网络流量。

  • 发送ICMP请求

    • 打开命令提示符(Windows)或终端(Linux/Mac),输入 ping www.baidu.com,向百度发送ICMP请求。

  • 停止抓包

    • 在Sniffer中点击“停止”按钮,停止捕获。

  • 分析ICMP包头

    • 在捕获的数据包列表中,找到与百度相关的ICMP包,查看其包头信息,包括类型、代码、校验和等。

使用Wireshark抓取TCP包头

  • 准备工作

    • 确保你的计算机连接到互联网。
    • 安装Wireshark工具。

  • 启动Wireshark

    • 打开Wireshark,选择要监听的网络接口(通常是你的网卡)。

  • 设置过滤器

    • 在Wireshark的过滤器中输入 tcp,只捕获TCP协议的数据包。

  • 开始抓包

    • 点击“开始”按钮,开始捕获网络流量。

  •  建立TCP连接

    • 打开浏览器,访问一个使用TCP协议的网站(如 blog.csdn.net),建立TCP连接。
    • 通过F12进入控制台,选择网络查看请求获取到网站的IP地址(或者通过PIN​G域名的方式获取)

  • 停止抓包

    • 点击“结束”按钮,停止捕获网络流量。

  • 再次设置过滤器

    • 在Wireshark的过滤器中输入 追加网站的IP地址,只捕获TCP协议+该地址的的数据包。

  • 分析TCP包头

    • 在捕获的数据包列表中,找到与该网址三次握手相关的TCP包,查看其包头信息,包括源端口、目的端口、序列号、确认号、标志位等。

解析后的TCP数据包信息如下:

数据包1(No.57857)
  • 时间: 19.216344秒
  • 源IP10.1.28.129
  • 目标IP220.185.184.40
  • 协议: TCP
  • 源端口15782 → 目标端口443
  • 标志SYN(发起连接请求)
  • 关键字段:
    • Seq=0(初始序列号)
    • Win=64240(窗口大小)
    • MSS=1460(最大报文段长度)
    • SACK_PERM=1(支持选择性确认)
    • 时间戳选项:
      • TSval=7594330(本地时间戳值)
      • TSecr=0(回传时间戳值)
数据包2(No.58138)
  • 时间: 19.236515秒
  • 源IP220.185.184.40
  • 目标IP10.1.28.129
  • 协议: TCP
  • 源端口443 → 目标端口15781疑似OCR错误,应为15782
  • 标志[SYN, ACK](同步确认)
  • 关键字段:
    • Seq=0(服务器初始序列号)
    • Ack=1(确认客户端SYN的下一个序列号)
    • Win=1448(窗口大小,可能受窗口缩放影响)
    • SACK_PERM=1(支持选择性确认)
    • 时间戳选项:
      • TSval=1483713837(本地时间戳值)
      • TSecr=7594320(回传时间戳值)
数据包3(No.58139)
  • 时间: 19.236585秒
  • 源IP10.1.28.129
  • 目标IP220.185.184.40
  • 协议: TCP
  • 源端口15781 → 目标端口443
  • 标志[ACK](确认连接建立)
  • 关键字段:
    • Seq=1(确认服务器SYN+ACK后的序列号)
    • Ack=1(确认服务器序列号)
    • Win=262656(窗口大小)
    • 时间戳选项:
      • TSval=7594351(本地时间戳值)
      • TSecr=1483713837(回传时间戳值)

总结

  1. 客户端(10.1.28.129:15782)发送SYN到服务器(220.185.184.40:443)。
  2. 服务器回应SYN+ACK(443→15782),携带时间戳和SACK选项。
  3. 客户端发送ACK(15782→443),确认连接建立。

实验总结

通过使用Sniffer和Wireshark抓取ICMP和TCP包头,你可以深入了解这两种协议的工作原理和包头结构。实验过程中,注意观察和分析包头中的各个字段,理解它们在网络通信中的作用。

注意事项

  • 确保你有权限在网络上进行抓包操作,避免违反网络安全政策。
  • 在抓包过程中,尽量减少其他网络活动,以避免捕获到无关的数据包。
  • 分析数据包时,注意区分不同协议的数据包,避免混淆。

通过这个实验,你将能够更好地理解网络协议的工作原理,并掌握使用抓包工具进行网络分析的基本技能。

网络抓包解包实战指南:工具用法、过滤技巧及场景应用
学无止境
05-07 1871
网络抓包解包是网络诊断的核心技术。抓包工具(如WiresharkTcpdump)捕获原始数据包,解包则逐层解析协议字段。文章系统介绍了抓包工具选择、基础操作(包括命令行和GUI工具使用)、RTP/TCP协议分析技巧,以及精准过滤方法(协议/IP/端口等条件组合)。还提供了网络参数配置、IP管控等辅助操作,并针对音视频传输、接口通信等典型场景给出问题定位方法。通过抓包获取数据和解包分析内容的结合,可有效解决各类网络问题,实现从数据捕获到问题诊断的完整链路。
sniffer的应用
10-28
抓包用的,其实并没抓下来,只是复制了下来而已 //不是我写的,一起学习一下
第八:Wireshark抓包-WiresharkTCP包详解(下篇)
欢迎来到本博客!
06-19 665
TCP连接的三次握手四次挥手过程解析 三次握手过程: 第一次握手:客户端发送SYN=1和随机序列号seq=J,进入SYN_SENT状态。 第二次握手:服务器响应SYN=1、ACK=1、ack=J+1及随机seq=K,进入SYN_RCVD状态。 第三次握手:客户端确认ACK=1、ack=K+1,双方进入ESTABLISHED状态,完成连接建立。 四次挥手过程: 第一次挥手:客户端发送FIN=1请求断开,进入FIN-WAIT-1状态。 第二次挥手:服务器回复ACK=1,进入CLOSE-WAIT状态,客户端进入
从入门到精通:TCPdump抓包实战秘籍
最新发布
大雨的博客
07-06 754
TCPdump是一款基于命令行的网络数据包分析工具,能够捕获和分析网络接口传输的数据包。本文全面介绍了TCPdump的使用方法:从Linux/MacOS系统的安装配置,到基础抓包操作;详细解析了过滤器语法和输出内容结构,包括Flags标识符(SYN/ACK等)的深层含义;展示了高级选项(-s/-X/-w等)和典型应用场景(故障排查、安全审计等);最后提供了权限不足、抓包失败等常见问题的解决方案。作为轻量级工具TCPdump在服务器环境、自动化脚本等方面具有独特优势
抓包工具 sniffer
05-18
[menu_102] 70001=文件(&F) 40024=开始捕获(&S) 40025=停止捕获(&T) 40045=保存配置(&C) 40046=载入配置(&O) 40034=保存数据包数据到文件 40035=载入数据包数据文件 40039=导出 TCP/IP 流报告(&E) 40001=保存数据包摘要(&A) 40009=属性(&P) 40002=退出(&X) 70002=编辑(&E) 40031=复制(&C) 40007=全选(&A) 40015=全部取消选定(&D) 40032=下一项(&N) 40033=上一项(&P) 70003=查看(&V) 40005=显示网格线(&G) 40028=显示气球提示(&T) 40010=HTML 报告 - TCP/IP 流(&H) 40011=栏位设定(&N) 40012=自动调整栏的宽度(&A) 70004=选项(&O) 71001=显示模式(&M) 41101=自动(&A) 41102=ASCII(&S) 41103=16进制(&H) 71002=显示协议(&P) 41201=&TCP 41202=&UDP 41203=&ICMP 40027=显示 ASCII 码大于 127 的字符(&C) 40041=显示捕获时间(&T) 40042=将 IP 地址解析为主机名 40044=显示过滤设置 40040=高级选项(&A) 40043=捕获过滤设置 40026=选择设备(&O) 70005=帮助(&H) 40003=关于(&A) 41104=&URL 列表 [menu_104] 70001=Popup1 40010=生成 TCP/IP 流的 HTML 报告(&H) 40039=保存 TCP/IP 流报告(&E) 40001=保存数据包摘要(&A) 40011=栏位设定(&N) 40012=栏位自动宽度(&A) 40007=选择全部(&A) 40015=取消已选定(&D) 40031=复制(&C) 40032=下一项(&N) 40033=上一项(&P) 70002=Popup2 [dialog_105] caption=属性 1=确定 [dialog_108] caption=捕获选项 1007=原始套接字 (仅Windows 2000/XP) 1008=使用 WinPcap 包捕获驱动 1005=List1 1=确定 2=取消 1006=捕获方式 1009=选择网卡: 1045=选择网卡: [dialog_112] 1=确定 [dialog_113] caption=高级选项 1035=即时显示模式 - 捕获的同时列出 TCP/IP 会话 1011=每行字符数: 1013=显示时,在每 1025=显示 ASCII 字符 1026=在每行开头显示偏移量 1014=自动决定显示模式时要检查的字符数: 1032=不可显示的 ASCII 字符替换为: 1036=自动模式中, 若数据长度大于此限制则不显示16进制数据 1038=在下部面板中不显示数据长度大于此限制的项 1019=选择 1022=选择 1029=选择 1=确定 2=取消 1010=16进制显示选项 1015=个字符后插入额外的空格 1016=文字颜色 1017=源于本地主机的 TCP/IP 流的文字颜色: 1020=源于远程主机的 TCP/IP 流的文字颜色: 1030=捕获时间的文字颜色: 1031=常规显示选项 1034=捕获 1039=KB 1041=KB 1042=捕获同时显示 TCP/IP 会话内容开始的部分 1043=仅显示 TCP/IP 统计数据, 不在文件中保存捕获数据 1044=捕获时亦获取进程信息 1045=摘要模式 (每个连接之间不换行) [dialog_114] 1=确定 2=取消 3=清除 1037=输入一条或多条过滤规则, 以空格或回车分隔。以下是过滤字规则的几个例子: [dialog_1096] caption=栏位设定 1003=上移(&U) 1004=下移(&D) 1006=显示(&S) 1007=隐藏(&H) 1008=默认 1=确定 2=取消 1000=钩选要显示的内容, 用上移或下移按钮排列显示顺序 1002=栏位宽度(像素): [strings] 4=%d 个 TCP/IP 会话 5=, 选定 %d 个 6=创建本文件使用的是 7=选择保存文件的名称 8=数据包摘要 9=无法启动选定网卡上的包捕获。 10=该项所含数据长度超过 %d KB 限制。 11=可使用导出选项将此项保存到文件中。 12=此 TCP/IP 会话太大,无法在捕获同时显示。 13=停止捕获后将显示会话的完整内容。 14=正在加载... %d 15=已捕获 %d 个数据包 16=错误: 无法创建数据包文件! 17=正在捕获... 18=选择用于保存已捕获数据的文件名 19=载入存有数据包数据的文件 20=确定要停止捕获并退出 SmartSniff 吗? 21=选择用于保存已捕获的数据包流的文件名称 22=数据包流报告 23=当前操作含有非常大的数据包流,载入过程可能很慢,要继续吗? 24=选择要保存的配置文件名 25=选择要载入的配置文件 51=捕获过滤选项 52=显示过滤选项 101=字节 501=文本文件 502=制表符分隔的文本文件 503=空格分隔的表格化文本文件 504=HTML 文件 - 水平方式 505=HTML 文件 - 垂直方式 506=XML 文件 521=ICMP 522=TCP 523=UDP 541=文本文件 542=HTML 文件 543=原始数据文件 601=SmartSniff 数据包文件 602=tcpdump/libpcap 文件 621=SmartSniff 配置文件 1001=编号 1002=协议 1003=本地地址 1004=远程地址 1005=本地端口 1006=远程端口 1007=数据包数量 1008=包含封装信息的总数据量 1009=捕获时间 1010=不含封装信息的数据量 1011=服务名称 1012=本地主机 1013=远程主机 1014=进程号 1015=进程文件名 1051=IP 地址 1052=设备名称
Sniffer抓包教程
weixin_30251829的博客
09-26 1994
上网络信息安全的时候用了下,中途出现了一堆奇葩的事,这里就不提了。。。 上教程: 先把虚拟机里面的防火墙给关了,主机防火墙也关了 之前由于ip自己设置了,然后一直ping不通,后面把ip改成自动获取就行了 这是主机ip:192.168.229.1 虚拟机ip:192.168.229.131 这是当时ping不通的原因 这是主机...
Sniffer抓包工具
11-03
抓数据包软件,配合wireshark可以对蓝牙设备进行抓包
sniffer抓包工具(中文版)
04-11
最常用、功能最强大的抓包工具下载,有中文安装包。可用于监测和扫描本地程序访问网络的小工具,绿色版,可用于查找MT4服务器地址。
sniffer 网络抓包工具
05-15
Sniffer,中文可以翻译为嗅探器,也叫抓数据包软件,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
  WireShark 抓包使用教程--详细
热门推荐
HarveyH的博客
02-06 12万+
WireShark 抓包使用教程--详细 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及Wireshark主界面介绍。 2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。 Wires...
绿色免安装版Wireshark抓包工具支持SIP协议
它的名称来源于一种网络设备“分组捕获器”(Packet Sniffer),Wireshark允许用户查看网络上实时传输的数据包,同时可以对这些数据包进行解码和分析,便于网络管理员和工程师诊断网络问题、学习网络协议以及进行...
Sniffer工具使用实验报告.doc
06-24
Sniffer工具使用实验报告
自己制作的Sniffer实验报告
05-03
使用Winpcap实现数据包的捕获,分析数据包:处理捕获的数据包,解析出其协议类型、源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口和数据部分,然后将这些信息保存在文件中。最终根据文件内容统计以下协议的数据流量:网络层:IP,ICMP;传输层:TCP,UDP。将捕获的信息存放在数据库中,根据捕获的信息进行流量统计,ARP欺骗:截获网络上的数据包,对其进行分析,获取源和目的地址,用该数据包的目的IP地址来伪装自己的IP地址,并按照ARP报文格式,对该数据包的发送者发送ARP欺骗包,并验收ARP欺骗成功。界面化:利用MFC构建图形界面,便于用户操作。
网络抓包工具(Sniffer)
08-31
没什么好介绍的,就是网络抓包,挺实用的。软件名:Sniffer 想用就下吧
网络抓包工具sniffer
01-01
用于抓取网络资源,sniffer 一种基于被动侦听原理的网络分析方式.
Sniffer抓包数据包分析的专业指导
文件的标签“Sniffer抓包分数据包分析手册.pdf”标题相同,表明这是一份专门针对Sniffer工具的详细教程。压缩包中的其他文件(java虚拟机第二版.pdf、架构之美.pdf)虽然在此处不进行展开,但可以推测压缩包内容...
sniffer实验1
weixin_30326515的博客
08-01 404
网关实质上是一个网络通向其他网络的IP地址。比如有主机A和主机B,主机A的IP地址为“192.168.1.1”,子网掩码为255.255.255.0;主机B的IP地址为“192.168.2.1”,子网掩码为255.255.255.0。在没有路由器的情况下,两个主机之间是不能进行TCP/IP通信的,因为两者之间的网络是不同的,即使是两个主机连接在同一台交换机(或集线器)上,TCP/IP协议也会根据子...
nRF52笔记(5)sniffer 抓包
剑影的博客
11-27 5133
转载: https://blog.csdn.net/liurunjiang/article/details/102744341
sniffer(Wireshark)抓包
m1287578441的博客
12-22 1704
这次我们选择的虚拟机是kali(作为攻击方)和metasploitable2(被攻击方) 首先,我们先查一下ip地址:
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渣渣盟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值