高分求助wireshark 如何分析cap包!!!想知道MAC和IP啥的！！！

Posted 2023-04-28

1请告诉小弟具体的步骤不甚感谢！问题解决100分奉上！！！下

我这里理解你的cap包指的就是wireshark抓到的数据包，以后简称数据包。以此回答问题如下：

1、如何分析数据包这个问题要看你分析的是什么协议的包，不同的目的对应不同的分析方法，但是有一些是基础的，他们是通用的。

2、在用wireshark打开数据包后，默认界面一般分为上中下三部分，上面是数据包的列表集合，每一行代表一个交互消息。如果选中其中一条，则会在中间那一部分展开这一条的详细内容，分析主要就看这一部分。最下面的是原始消息的二进制表达法，我一般都不看，不分析，直接忽略的。

3、分析数据包先要有个基本的概念，就是OSI的7层数据模型，从低往高依次：物理层，数据链路层，网络层，传输层，（会话层，表示层），应用层。wireshark解析过的消息也是按照这个顺序展示的。不过具体应用时，会话层和表示层基本都不用，大多数都直接过渡到应用层，有的甚至没有应用层，没有传输层，网络层等，但是物理层和数据链路层一般都是有的。

4、MAC地址是数据链路层，也就是第二层的概念，如果要看他的信息，就需要在第二层找，也就是你上图图中间那部分，可以看到有2行，第一行是物理层信息，第二行就是数据链路层，MAC地址信息就在第二层查找，每一层都可以双击打开，查看更详细的信息。

5、IP地址是网络层，也就是第三层的概念，如果你的网卡根本就没获取到IP地址，那么你抓的数据包中是不可能有这些信息的。就像你图中展示的一样，根本就没有三层的信息，说明你网卡根本就没获取到IP地址，所以，不可能有IP地址信息。

6、我给你截了个相对完整的截图，如下：

先看图的上半部分，可以看到我选择的是一条DNS查询消息（灰色部分为选中的交互消息），再看该消息的详细部分，也就是图的下半部分，从图中可以看出共五条（行），分别对应OSI模型中的物理层，数据链路层（MAC地址所在层），网络层（IP地址所在层），传输层（确定是通过UDP传输还是TCP传输），和应用层（确定应用协议，在这里应用协议是DNS协议）。

7、不知道回答是不是你想要的，如果我理解有偏差可以追问。希望以上信息对你有用。

追问

谢谢你这么详细的回答不过我是用 BEINI 奶瓶抓到的包呵呵试了好几个都是图片上的这种情况。我想是我分析方法不对还是这软件根本就不能分析BEINI 抓的包！又或者直接用该软件去抓该无线网络的包来分析还请告诉我具体的抓包步骤谢谢！

参考技术A 求这中文版的wireshark是哪儿下的？

怎么在Linux上抓包分析

怎么在Linux上抓包分析

1、在Linux上抓包

例如在Ubuntu上，用命令抓包，

tcpdump tcp  -i any -s0 -w desk.cap

用  sz desk.cap  把数据包导入本地Windows

 

2、在windows上用wireshark分析

用wireshark打开desk.cap

wireshark筛选条件：tcp.port==5901

wireshark语法小结：https://www.cnblogs.com/andy9468/p/11544553.html

 

延伸：如何抓手机的包

1、在IP为IP1的Linux服务器（C）上安装代理软件

2、准备2台手机（手机A、手机B）

A做终端

B做路由器

（1）B打开流量，打开热点

（2）A连接上B的热点，同时在A上百度ip，记录A上午的公网IP地址IP2

3、在C上重新配置允许访问的代理软件的来源IP2，并重启代理软件服务

4、在A上配置热点的连接参数，配置手工代理，IP2，对应端口号（如：8888），保存

5、C上执行Linux抓包命令

6、在A上开发访问，形成数据流量供C抓包。

7、完成抓包后，用wireshark分析抓到的cap包。

 

几种情况的抓包分析

1、情况一：目标IP不存在

抓包分析，显示host 不可达。

 

 

 

2、情况二：目标IP存在，目标port不存在

抓包分析，显示目标IP回复RST重置tcp握手连接。

 

 

3、情况三：目标IP存在，目标port存在，目标port转发到新的port服务不存在。（rinetd转发的情形）

抓包分析，显示目标IP回复FIN关闭tcp握手连接。