利用hex 对数据包进行标注
实验原理:
1、用winhex进行数据包的标注,对ARP的请求和回复包每个字段进行标注,和找出两个包之间字段的对应关系
2、选一个IP数据包和一个ICMP数据包的包头信息进行每个字段的标注并且说明它的含义。
一、用WINHEX进行数据包的标注,对ARP的请求和回复包每个字段进行标注和找出两个包之间字段的对应关系
1、使用Wireshark 捕获数据包选出ARP数据包,查看本机IP和网关,可以看见后面的信息部分有who has 192.168.31.133?是本机的IP地址,该条信息为我们的请求包
Tell 192.168.31.1为我们的网关,下面自然是回复包
选出这两个ARP的请求包和回复包,导出为特定分组。并将文件名的后缀保存为。pacp的文件格式
我们将ARP请求包和回复包分别保存进行分析
用hex打开ARP请求包
1.该表中红色部分表示文件格式为pcap的文件类型,黄色部分表示时间戳,绿色部分表示的是长度。
2.1图中方框选择部分
绿色表示的是目标MAC地址ff:ff:ff:ff:ff:ff (广播地址)
红色部分表示我们的源MAC地址为 40:31:3c:2d:b0:97
黑色部分表示帧的类型 0x0806 代表为ARP packet
蓝色部分表示网络类型 0x0001 以太网的取值为1
紫色部分表示要映射的协议地址类型0x0800 表示根据IP地址来进行映射
2.2图中划线选择部分
黑色表示硬件地址长度0x06 以太网中表示MAC地址长度为6个字节
红色部分表示协议地址长度 0x04 以太网中表示IP地址长度为4个字节
黄色部分表示ARP报文的种类 0x0001 取值为1 表示ARP请求报文。
2.3图中椭圆选择部分
红色表示发送端的MAC地址(信息体的发起端) 40:31:3c:2d:b0:97
紫色表示发送端的IP地址 c0:a8:1f:01 (转换即为192.168.31.1)即我们的网关
黑色表示目的端的MAC地址00:00:00:00
蓝色表示目的端的IP地址c0:a8:1f:85(传换即为192.168.31.133)即本机IP地址
1.该表中红色部分表示文件格式为pcap的文件类型,黄色部分表示时间戳,绿色部分表示的是长度。2.1图中方框选择部分
绿色表示的是目标MAC地址40:31:3c:2d:b0:97
红色部分表示我们的源MAC地址为 38????????ad:d8:91:36
黑色部分表示帧的类型 0x0806 代表为ARP packet
蓝色部分表示网络类型 0x0001 以太网的取值为1
紫色部分表示要映射的协议地址类型0x0800 表示根据IP地址来进行映射
2.2图中划线选择部分
黑色表示硬件地址长度0x06 以太网中表示MAC地址长度为6个字节
红色部分表示协议地址长度 0x04 以太网中表示IP地址长度为4个字节
黄色部分表示ARP报文的种类 0x0002 取值为2 表示ARP应答报文。
2.3图中椭圆选择部分
红色表示发送端的MAC地址(信息体的发起端) 38????????ad:d8:91:36
紫色表示发送端的IP地址 c0:a8:1f:85 (转换即为192.168.31.133)即我们的本机IP地址
黑色表示目的端的MAC地址40:31:3c:2d:b0:97
蓝色表示目的端的IP地址c0:a8:1f:01(传换即为192.168.31.1)即网关IP地址
#对ARP的请求包和应答包字段之间的对应关系进行分析
1.请求包的源MAC地址是回复包的目的MAC地址(反之易然)
2.请求包和回复包的帧的类型都是0x0806(ARP)
3.请求包和回复包网络类型都是1(以太网)
4.请求包和回复包映射的协议地址类型都是0x0800(根据IP地址进行映射)
5.请求包和回复包硬件地址长度都是0x06(以太网中表示MAC地址长度为6个字节)
6.请求包和回复包协议地址长度都是0x04(以太网中表示IP地址长度为4个字节)
7.请求包和回复包的OP分别为1和2(ARP报文的种类,取值为1表示请求报文;当取值为2表示ARP应答报文)
8.请求包的发送端MAC地址是回复包的目的端的MAC地址
9.请求包的发送端IP地址是应答包的目的端的IP地址(反之易然)
10.请求包的前24个字节和应答包的相同表示文件类型为PACP
11.请求包的时间戳和应答包的时间戳相差不大
12.请求包和应答包的长度相同
二、选一个IP数据包和一个ICMP数据包的包头信息进行每个字段的标注并且说明他们的含义。
查看本机的网关
打开wireshark捕获ICMP数据包
选择一个ICMP数据包,并保存为一个后缀为.pacp的文件
使用HEX打开该ICMP的数据包
前24个字节为文件的标识(.pcap)、紧接着的8个字节为时间戳、灾后的8个字节为长度
图中选中部分为以太网帧头,紧接着20个字节为IP帧头,然后是ICMP信息头,最后为ICMP数据。
对IP的报头分析
图中,横线部分
红色表示版本和首部长度 4 表示报文是IPV4报文 、5表示首部长度为5*4字节=20字节
黑色表示服务类型(00)表示普通服务,无特殊需求。
绿色表示总长度003c(60)
黄色表示标识58fc(数据报标号为22780)
图中,方框部分
红色表示片偏移为0个字节
黄色表示生存时间为40(生存时间为64跳)
蓝色表示协议类型(协议01,表示由ICMP协议处理)
黑色表示首部校验和(0x61ee)
图中,椭圆部分
红色表示源IP地址 c0:a8:1f:01(192.168.31.1)
蓝色表示目标IP地址c0:a8:1f:85(192.168.31.133)
对ICMP报头分析
图中,
红色表示类型和代码为00/00表示是一个回显报文
黑色表示校验和5487(整个ICMP部分的校验和)
黄色表示标识符0001(表示上层进程的ID号)
蓝色表示***00d4(包的***,该包是212号)
剩下部分为ICMP数据包的数据部分
实验结论:
对于ARP
请求包的源MAC地址是回复包的目的MAC地址(反之易然)
请求包和回复包的帧的类型都是0x0806(ARP)
请求包和回复包网络类型都是1(以太网)
请求包和回复包映射的协议地址类型都是0x0800(根据IP地址进行映射)
请求包和回复包硬件地址长度都是0x06(以太网中表示MAC地址长度为6个字节)
请求包和回复包协议地址长度都是0x04(以太网中表示IP地址长度为4个字节)
请求包和回复包的OP分别为1和2(ARP报文的种类,取值为1表示请求报文;当取值为2表示ARP应答报文)
请求包的发送端MAC地址是回复包的目的端的MAC地址
对于IP和ICMP
Ipv4首部一般都是20个字节长度。
ICMP是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络不通、主机能否到达、路由是否可用等网络本身的消息
ICMP协议通过IP协议发送的,IP协议是一中无连接的、不可靠的数据包协议,属于网络层协议
ICMP报文是在IP数据报内被传输的。在实际传输中的数据包结构:20字节的IP首部+8字节ICMP首部