实验名称：利用Wireshark软件进行ICMP抓包实验

实验目的：1.掌握Wireshark的基本使用方法。

2.通过对Wireshark抓取的ICMP协议数据包分析，掌握ICMP的帧格式及运行原

理。

3.熟悉IP首部各字段的含义及以太网封装格式。

实验环境：1.硬件环境

a)网卡信息

Description:Realtek RTL8139 Family Fast Ethernet Adapter

@

Link speed:100MBits/s

Media supported:(Ethernet)

Media in use: (Ethernet)

Maximum Packet Size 1514

其它详细信息见附图1.

b)网络组成

实验电脑通过ADSL MODEM 接入互联网中联通ADSL服务器，ADSL MODEM

和ADSL服务器间通过PPP over Ethernet（PPPoE）协议转播以太网络中PPP

帧信息。电脑通过ADSL方式上网是通过以太网卡（Ethernet）与互联网相连

的。使用的还是普通的TCP/IP方式，并没有付加新的协议，对我们的抓包实

验是透明的。

2. 软件环境

a)￥

b)操作系统

Microsoft Windows XP Professional 版本2002 Service Pack 3

c)Wireshark 软件

通过系统命令systeminfo查看处理器类型为X86-based PC,为32位机，因此选

择32位的Wireshark软件（Version：Version 1.2.3 for win32）。

实验的主要步骤和内容：

1.理论基础

本实验的主要目的是通过软件进一步掌握ICMP协议，因此选用PING 命令来

产生ICMP包，通过对这些数据包的分析，达成实验目的。所以该部分必须

包括ICMP报文格式，PING命令运行机制等说明。

a)（

b)ICMP简述

ICMP(Internet Control Message Protocal)在网络中的主要作用是主机探

测、路由维护、路由选择、流量控制。运行于OSI的第三层，是IP协议

的一个附属协议。其报文封装在IP数据报内部。如下图。

【

ICMP报头结构如图0：

图0

各字段的含义：

1.类型：标识生成的错误报文，它是ICMP报文中的第一个字段；

2.代码：进一步地限定生成ICMP报文。该字段用来查找产生错误的原因；

3.校验和：存储了ICMP所使用的校验和值。

4.数据：包含了所有接受到的数据报的IP报头。还包含IP数据报中前8个字节的

数据；

c)'

d)PING命令简述

ping是DOS命令，一般用于检测网络通与不通，也叫时延，其值越大，速度越慢。PING (Packet Internet Grope)，因特网包探索器，用于测试网络连接量

的程序。Ping发送一个ICMP回声请求消息给目的地并报告是否收到所希望的IC

MP回声应答。基本命令格式为：ping host(主机名或IP都可以)。

例：ping [] with 32 bytes of data:

Reply from : bytes=32 time=31ms TTL=247

Reply from : bytes=32 time=28ms TTL=247

Reply from : bytes=32 time=28ms TTL=247

Reply from : bytes=32 time=29ms TTL=247

Ping statistics for :

—

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 28ms, Maximum = 31ms, Average = 29ms

2.

软件初始配置

该节主要是掌握数据包的过滤及相关设置和命令。Wireshark 主要有捕捉过滤器和显示过滤器两种，捕捉过滤器主要是在抓包前进行设置，而大多

数时候经地捕捉过滤器后的数据依然很复杂，所以需要显示过滤器进行筛选。

两者设置如下：

设置捕捉过滤器的步骤是：

- 选择capture -> options。

- 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字

并保存，以便在今后的捕捉中继续使用这个过滤器。

- 点击开始（Start）进行捕捉。

&

语法：Protocol Direction Host(s)。Value Logical Operations Other expression

例子：]

tcp

dst10.1.1.180@

and

tcp dst 10.2.2.2 3128显示过滤器主要是在数据包窗口中的Filter子窗口进行命令输入，命令格式

如下：

语法：Protocol|

.

String

1

.

String

2

Comparison

operator

Value…

Logical

Operations

Other

expression

例子：ftp^

passive

ip==10.2.3.4：

xor

此外，主要掌握会用协议名称及IP地址过滤数据包就可以完成该实验，如

ICMP and or等即可。

3.^

4.捕获数据包

a)开始抓包，设置Filter字段为ICMP,只抓网络接口中的ICMP数据包。

从上图可以看出，网卡的描述和接包统计等信息。本机IP为，是由DHCP服务器

动态分配的。点击start 按钮开始抓包。

b)在Windows系统中使用DOS命令ping .在Wireshark主窗口抓包如图1。