1） 首先运行Wireshark，在菜单Capture 下点击Interfaces，选取要抓包的网卡，然

后按“start”按钮。

2）之后进入操作系统命令行界面，使用“ping www.http://www.35331.cn/”来ping 百度网站。

图 1 ping 百度网址

16

3）如图2所示，Wireshark抓取了很多的网络数据包，其中包括SSDP广播包、ARP、DNS、ICMP等类型的数据包。按“stop”按钮中止此次抓包。

图 2 WireShark抓到的网络数据包

4）在刚才的Ping命令中主要包含了两种数据包：DNS、ICMP，为了分析刚才的ping命令，我们需要进一步对数据包进行过滤处理，以确定该命令所产生的具体的网络数据包，并对这些数据包进行进一步的分析。我们可以在图3所示的椭圆标记的输入框中输入合适的过滤条件就可以准确地将特定的网络数据包过滤出来，图3所过滤出来的就是，刚才Ping命令所产生的2个DNS数据包和8个ICMP数据包。

图 3 过滤WireShark所抓的网络数据包

17

2. 数据链路层帧格式分析

Ethernet II 的帧格式。如图4所示。

图 4 以太网MAC帧格式

802.3的MAC帧格式如图5所示。

图 5 802.3 MAC帧格式

对所抓到的包进行数据链路层分析，了解数据链路层通信的范围、使用的地址以及类型字段。

【Wireshark以太网帧分析】- 实验习题

利用Wireshark抓到的arp包或ICMP包，分析本机MAC地址与下一个结点的MAC地址。

18

由于我是在宿舍局域网情况下进行的，所以我的路由器Mac为cc:34:29:34:ba:96，本机Mac为b8:76:3f:f1:ba:41,以下是我的网络连接的详细信息验证了结果

19

3. ARP 报文分析

从图2的第12栏，可以看到一个ARP广播包。下面是ARP 请求和应答的帧格式，如图6。

图 6 携带ARP分组的以太网帧格式

从上图中我们了解到判断一个ARP 分组是ARP 请求还是应答的字段是“op”，当其值为0x0001 时是请求，为0x0002 时是应答。如图7、8。

图 7 ARP 请求

20