实验2、使用 Wireshark 查看网络流量

2024年6月1日发(作者：)

实验二 使用 Wireshark 查看网络流量

背景/场景

Wireshark 是一种协议分析器软件，即“数据包嗅探器”应用程序，适用于网络故障排除、分析、软件和协议

开发以及教学。当数据流通过网络来回传输时，嗅探器可以“捕获”每个协议数据单元 (PDU)，并根据适当的

RFC 或其它规范对其内容进行解码和分析。

对于任何从事网络工作的人而言，Wireshark 都是一款实用工具，而且可以在 网络 课程的大部分实验中用于数

据分析和故障排除。本实验提供下载和安装 Wireshark 的说明，即使可能已安装了 Wireshark。在本实验中，

您将使用 Wireshark 捕获 ICMP 数据包 IP 地址和以太网帧 MAC 地址。

拓扑

目标

第 1 部分：（可选）下载并安装 Wireshark

第 2 部分：在 Wireshark 中捕获和分析本地 ICMP 数据

•

•

开始和停止 ping 流量到本地主机的数据捕获。

在捕获到的 PDU 中查找 IP 和 MAC 地址信息。

第 3 部分：在 Wireshark 中捕获和分析远程 ICMP 数据

•

•

•

开始和停止 ping 流量到远程主机的数据捕获。

在捕获到的 PDU 中查找 IP 和 MAC 地址信息。

解释远程主机的 MAC 地址为什么与本地主机的 MAC 地址不同。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 1 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

所需资源

•

•

1 台 PC（采用 Windows 7、Vista 或 XP 且可访问 Internet）

局域网 (LAN) 上的附加 PC 将用于响应 ping 请求。

第 1 部分：（可选）下载并安装 wireshark

Wireshark 已成为网络工程师使用的数据包嗅探器程序的行业标准。此开源软件可用于许多不同的操作系统，

包括 Windows、Mac 和 Linux。在本实验的第 1 部分，您将在 PC 上下载并安装 Wireshark 软件程序。

注意：如果 Wireshark 在您的 PC 上已安装，则您可以跳过第 1 部分，直接进入第 2 部分。如果 Wireshark 尚

未在您的 PC 上安装，则请向您的教师询问有关学院软件的下载策略。

第 1 步： 下载 Wireshark。

a. Wireshark 可从下载。

b. 单击“下载 Wireshark”。

c. 根据 PC 的体系结构和操作系统选择需要的软件版本。例如，如果您拥有运行 Windows 的 64 位 PC，则

请选择Windows Installer（64 位）。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 2 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

选择完成后，将开始下载。下载文件的位置取决于您使用的浏览器和操作系统。对于 Windows 用户，默认

位置是Downloads文件夹。

第 2 步： 安装 Wireshark。

. 下载文件名为 Wireshark win64 ，其中 x表示版本号。双击该文件，开始安装过程。

d. 对屏幕上可能会显示的所有安全消息做出响应。如果您在 PC 上已经有 Wireshark 副本，则系统会提示您

在安装新版本之前卸载旧版本。建议您在安装另一个版本之前删除 Wireshark 的旧版本。单击“是”，卸

载 Wireshark 的旧版本。

e. 如果是首次安装 Wireshark，或者已完成卸载过程，则您将会导航至 Wireshark 设置向导。单击Next（下

一步）。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 3 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

f. 继续进行安装过程。“许可协议”窗口显示时，单击“我同意”。

g. 保留在“选择组件”窗口上的默认设置，并单击“下一步”。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 4 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

h. 选择所需的快捷方式选项并单击“下一步”。

i. 您可以更改 Wireshark 安装位置，但除非磁盘空间有限，否则我们建议您保留默认位置。

j. 要捕获实时网络数据，您的 PC 上必须安装 WinPcap。如果 WinPcap 已安装在您的计算机上，“安装”复

选框将处于非选中状态。如果安装的 WinPcap 版本比 Wireshark 附带的版本旧，建议您单击“安装

（版本号）”复选框，安装更新的版本。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 5 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

k. 如果安装 WinPcap，请完成 WinPcap 设置向导。

l. Wireshark 随即开始安装其文件，并在单独的窗口中显示其安装状态。完成安装后单击“下一步”。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 6 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

m. 单击“完成”，完成 Wireshark 安装过程。

第 2 部分：在 Wireshark 中捕获并分析本地 ICMP 数据

在本实验的第 2 部分，您将对局域网中的另一台 PC 执行 ping 操作并在 Wireshark 中捕获 ICMP 请求和应答。

您还将在捕获的帧中深入了解具体信息。该分析将帮助确定如何使用数据包报头将数据传输到目的地。

第 3 步： 检索 PC 的接口地址。

对于本实验，您将需要检索 PC 的 IP 地址及其网络接口卡 (NIC) 物理地址（也称为 MAC 地址）。

. 打开命令窗口，键入 ipconfig /all，然后按下 Enter 键。

n. 注意 PC 接口的 IP 地址和 MAC（物理）地址。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 7 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

o. 向团队成员请求其 PC 的 IP 地址，并向他们提供自己 PC 的 IP 地址。请勿在此时向他们提供您的 MAC 地

址。

第 4 步： 启动 Wireshark 并开始捕获数据。

. 在您的 PC 上，单击 Windows 的“开始”按钮，使 Wireshark 程序显示在在弹出菜单中。双击

Wireshark。

p. 在 Wireshark 启动之后，单击“接口列表”。

注意：单击图标行中的第一个接口图标也会打开“接口列表”。

q. 在 Wireshark 的“捕获接口”窗口上，单击连接到您的 LAN 的接口旁的复选框。

注意：如果列出了多个接口，而您不确定需要检查哪个接口，请单击“详细信息”按钮，然后单击“802.3（以

太网）”选项卡。检验 MAC 地址与您在步骤 1b 中的说明是否匹配。在验证接口正确无误之后关闭“接口详

细信息”窗口。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 8 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

r. 在检查接口正确无误后，单击“启动”开始捕获数据。

信息将在 Wireshark 的顶部开始向下滚动。数据行将根据协议以不同的颜色显示。

s. 可根据通过 PC 和 LAN 之间进行的通信快速滚动此信息。我们可以应用过滤器来更轻松地查看和处理

Wireshark 捕获的数据。在本实验中，我们只对显示 ICMP (ping) PDU 感兴趣。在 Wireshark 顶部的“过

滤器”框中键入 icmp，然后按下 Enter 键或单击“应用”按钮，可以仅查看 ICMP (ping) PDU。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 9 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

t. 此过滤器会导致顶部窗口中的所有数据不显示，但是您仍在捕获接口上的流量。弹出之前打开过的命令提

示符窗口并对您从团队成员接收的 IP 地址执行 ping 操作。注意：您会看到数据显示在 Wireshark 的顶部

窗口。

注意：如果您的团队成员的 PC 没有应答您的 ping 操作，则原因可能是其 PC 防火墙阻止了这些请求。

有关如何使用 Windows 7 通过防火墙允许 ICMP 流量的信息，请参阅附录 A：允许 ICMP 流量通过防火

墙。

u. 通过单击“停止捕获”停止捕获数据。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 10 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

第 5 步： 检查捕获的数据。

在第 3 步中，通过对团队成员的 PC 进行 ping 请求来检查生成的数据。Wireshark 数据显示为三个部分：1) 顶

部显示捕获的 PDU 帧列表和 IP 数据包信息摘要，2) 中间部分列出了屏幕顶部所选帧的 PDU 信息并由其协议

层隔开一个捕获的 PDU 帧，而 3) 底部显示每层的原始数据。原始数据以十六进制和十进制两种形式显示。

. 单击 Wireshark 顶部的第一个 ICMP 请求 PDU 帧。注意：“源”列包含 PC 的 IP 地址，而“目的”列包

含您对其执行 ping 操作的团队成员 PC 的 IP 地址。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 11 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

v. 在此 PDU 帧仍在顶部处于选中状态时，导航至中间部分。单击“以太网 II”行左侧的加号，查看“目的”

和“源”MAC 地址。

“源”MAC 地址是否与您的 PC 接口相匹配？______

Wireshark 中的“目的”MAC 地址是否与团队成员的 MAC 地址相匹配？_____

您的 PC 如何获取执行过 ping 操作的 PC 的 MAC 地址？

___________________________________________________________________________________

注意：在前面关于捕获的 ICMP 请求的示例中，ICMP 数据封装在 IPv4 数据包 PDU（IPv4 报头）内，然

后再封装在以太网 II 帧 PDU 中，用于在 LAN 上进行传输。

第 3 部分：在 Wireshark 中捕获并分析远程 ICMP 数据

在第 3 部分，您将对远程主机（LAN 之外的主机）执行 ping 操作，并检查从这些 ping 操作生成的数据。然后

您将确定此数据与第 2 部分中检查的数据有何不同。

第 6 步： 开始捕获接口上的数据。

. 单击“接口列表”图标再次启动列表 PC 接口。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 12 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

w. 确保 LAN 接口旁的复选框已选中，然后单击“开始”。

x. 系统会显示一个窗口，提示您在开始另一个捕获之前保存以前捕获的数据。无需保存此数据。单击“不保

存继续”。

y. 在捕获激活时，对以下三个网站 URL 执行 ping 操作：

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 13 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

注意：当对列出的 URL 执行 ping 操作时，请注意域名服务器 (DNS) 会将 URL 转换为 IP 地址。注意从每

个 URL 接收的 IP 地址。

z. 通过单击“停止捕获”停止捕获数据。

第 7 步： 检查并分析来自远程主机的数据。

. 查看 Wireshark 中捕获的数据，检查您执行 ping 操作的三个位置的 IP 和 MAC 地址。在提供的空白处列出

所有三个位置的目的 IP 地址和 MAC 地址。

第1 个位置： IP：_____._____._____._____ MAC：____:____:____:____:____:____

第2 个位置： IP：_____._____._____._____ MAC：____:____:____:____:____:____

第3 个位置： IP：_____._____._____._____ MAC：____:____:____:____:____:____

aa. 此信息重要之处是什么？

____________________________________________________________________________________

bb. 此信息与您在第 2 部分接收的本地 ping 信息有何不同？

____________________________________________________________________________________

____________________________________________________________________________________

思考

Wireshark 为什么显示本地主机的实际 MAC 地址，而不是远程主机的实际 MAC 地址？

_______________________________________________________________________________________

_______________________________________________________________________________________

附录 A：允许 ICMP 流量通过防火墙

如果团队成员无法对您的 PC 执行 ping 操作，可能是防火墙阻止了这些请求。本附录介绍如何在防火墙中创建

一条规则以允许 ping 请求。同时还介绍了完成实验后如何禁用这条 ICMP 新规则。

第 8 步： 创建一条新的入站规则以允许 ICMP 流量通过防火墙。

. 在“控制面板”上，单击“系统和安全”选项。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 14 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

cc. 在“系统和安全”窗口，单击“Windows 防火墙”。

dd. 在“Windows 防火墙”窗口的左侧窗格中，单击“高级设置”。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 15 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

ee. 在“高级安全”窗口，从左侧工具条选择“入站规则”选项，然后在右侧工具条上单击“新建规则…”。

ff. 这将启动新建入站规则向导。在“规则类型”屏幕上，单击“自定义”单选按钮，然后单击“下一步”。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 16 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

gg. 在左侧窗格中，单击“协议和端口”选项，在“协议类型”下拉菜单中选择“ICMPv4”，然后单击“下一

步”。

hh. 在左侧窗格中单击“名称”选项，并在“名称”字段中键入“允许 ICMP 请求”。单击“完成”。

这条新规则可以使团队成员接收来自您的 PC 的 ping 应答。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 17 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

第 9 步： 禁用或删除这条 ICMP 新规则。

实验完成后，您可能希望禁用或者删除您在步骤 1 中创建的新规则。“禁用规则”选项允许您以后再次启用这

条规则。“删除规则”选项会将这条规则从“入站规则”列表中永久删除。

. 在“高级安全”窗口，从左侧窗格中单击“入站规则”，查找您在步骤 1 中创建的规则。

ii. 要禁用这条规则，请单击“禁用规则”选项。选择该选项后，您会看到该选项变成了“启用规则”。您可

以在“禁用规则”和“启用规则”之间来回切换，规则的状态也会显示在“入站规则”列表的“启用”列

中。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 18 页，共 19 页

实验 - 使用 Wireshark 查看网络流量

jj. 要永久删除 ICMP 规则，请单击“删除”。如果选择该选项，您必须重新创建规则以允许 ICMP 应答。

© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 19 页，共 19 页