一、数据抓包分析之IP协议01

任务描述：使用Wireshark抓取IP数据包以及IP分片数据包

1.使用Wireshark抓取IP数据包

启动Wireshark，Filter选择IP协议。用户可以通过很多种方法，来捕获 IP协议包，如访问一个网页，执行 ping 命令等。如果用户不是很清楚一些协议时，最好通过执行 ping 命令来捕获数据包。以免捕获大量的包，使用户无法很好的分析。下面分别使用这两种方法，捕获两个 IP 协议包的捕获文件。为方便查看，截图中均使用IP 的显示过滤器对数据包进行过滤

1.1访问一个网页

打开浏览器，访问 https://www.baidu.com 网站，将捕获到如下图所示的界面。(只作介绍，实验环境内访问不了baidu)

从该界面的 Protocol 列，可以看到捕获到有 TCP、HTTP 等协议的包。在这些包中，都包含由 IP 头部的详细信息。但是，这样可能会影响对 IP 协议包的分析。这里将该捕获文件保存为 ip-baidu.pcapng 中，有兴趣的同学，可以在后面通过学习了解了IP协议之后，再来自己动手分析此文件。

1.2 执行 ping 命令

为了不受很多协议的影响，这里通过执行 ping 命令仅捕获 ICMP 协议的数据包。此时在主机 PC1 上执行 ping 命令，分别 pingPC2 和 PC3。执行命令后，捕获到的数据包如下图所示

从该界面的 Protocol 列，可以看到都是 ICMP 协议的包，而且每个包的颜色也都是相同的。虽然从该界面看到捕获到的数据包很多，但是只需要分析其中两个包，就可以很清楚的理解 IP 协议包格式。

2 .使用Wireshark抓取IP分片数据包

在上面提到说，如果一个数据包超过 1500 个字节时，就需要将该包进行分片发送。通常情况下，是不会出现这种情况的。但是为了帮助用户更清晰的理解 IP 协议，下面通过使用 ICMP 包，来产生 IP 分片数据包。本节将介绍如何捕获到 IP 分片数据包。 使用 ICMP 包进行测试时，如果不指定包的大小可能无法查看到被分片的数据包。由于IP 首部占用 20 个字节，ICMP 首部占 8 个字节，所以捕获到 ICMP 包大小最大为 1472 字节。但是一般情况下，ping 命令默认的大小都不会超过 1472 个字节。这样，发送的 ICMP 报文就可以顺利通过，不需要经过分片后再传输。如果想要捕获到 IP 分片包，需要指定发送的ICMP 包必须大于 1472 字节。

启动Wireshark，Filter选择IP协议，此时在主机 PC1 上执行 ping 命令，以产生 ICMP 数据包。执行命令如下所示：在该命令中，使用-l 选项指定捕获包的大小为 3000 字节。

从以上输出信息中，可以看到捕获到每个包的大小都为 3000 字节。这时候，返回到Wireshark 界面停止捕获数据，如下所示的界面

从该界面可以很清楚的看到，和前面捕获到的数据包不同。在该界面 Protocol 列，显示了 IPv4 协议的包。这是因为发送的数据包过大，所以经过了分片后发送的。关于 IP 分片数据包，在后面将进行介绍。