设为首页收藏本站
开启辅助访问
[计算机网络][Wireshark]抓包分析tracerouter命令的流程 您所在的位置:网站首页 ping命令使用了哪种icmp报文 [计算机网络][Wireshark]抓包分析tracerouter命令的流程

[计算机网络][Wireshark]抓包分析tracerouter命令的流程

2023-11-26 01:47| 来源: 网络整理| 查看: 265

在tracerouter命令的原理的文章中,我们分析了traceroute命令的流程,本文我们通过wireshark抓包来验证traceroute的流程是不是跟理论的一样。

1.Wireshark抓包分析traceroute命令

我们的步骤是:

1.我们打开Wireshark开始抓包2.打开控制台,使用traceroute命令,wireshark会将得到的包记录下来3.当traceroute命令执行介绍自动退出的时候,停止抓包4.wireshark过滤更traceroute流程相关的包5.对比控制台和抓包的结果

最后控制台大概是这个样子的:

1.1 使用traceroute命令的结果 traceroute 223.87.26.49 traceroute to 223.87.26.49 (223.87.26.49), 64 hops max, 52 byte packets 1 117.174.122.1 (117.174.122.1) 4.005 ms 4.929 ms 4.498 ms 2 221.182.42.129 (221.182.42.129) 4.088 ms 5.518 ms 5.312 ms 3 223.87.26.33 (223.87.26.33) 5.985 ms 5.732 ms 6.568 ms 4 223.87.26.49 (223.87.26.49) 5.941 ms 4.790 ms 6.514 ms 1.2 wireshark抓包的结果

在这里插入图片描述

1.3 wireshark过滤有用的信息

短短的时间就得到了这么多包,下一步就是进行过滤,我们只需要自己想要的包,这里有个过滤的很好的办法,一个是根据协议类型过滤,比如我们只筛选ICMP和UDP报文 在这里插入图片描述 以上红色的是UDP,深绿色的是ICMP,当然wireshark很智能,你也可以通过udp.possible_traceroute进行过滤,得到了wireshark帮你分析出来的可能会是tracerout命令的结果。 在这里插入图片描述

1.4 比对控制台和wireshark的信息 1.第一个路由节点: 1.控制台信息 traceroute 223.87.26.49 traceroute to 223.87.26.49 (223.87.26.49), 64 hops max, 52 byte packets 1 117.174.122.1 (117.174.122.1) 4.005 ms 4.929 ms 4.498 ms

117.174.122.1是指Router1的IP地址,后面的三个时间是包从本机到达Router1所需的时间,之所以有三个是因为traceroute命令默认一次发三个包,这是三个分别是它们回来的时间,包的个数可以根据参数设置。

2.wireshark的信息: 在这里插入图片描述 确实发出去3个UDP包之后,117.174.122.1给本机(172.20.5.31)分别发回了三个ICMP报文,它们是串行发送的,而且我们可以发现117.174.122.1就是控制台中traceroute命令到达的第一个路由器Router1。3.UDP的详情 在这里插入图片描述 这里也可以印证,在IP层,查看IP地址我们可以确认本机向目的主机发了一个数据包,而且Time To Live (TTL)=1,也确实是封装成UDP报文,而UDP报文的目标端口是一个很大的不可达的端口。4.ICMP报文的详情在这里插入图片描述 可以看到Type=11,Code=0,当然这个报文下面也可以看到IP层和UDP层的包,因为它们是一种封装的关系。 2.第二个路由节点: 1.控制台信息 traceroute 223.87.26.49 traceroute to 223.87.26.49 (223.87.26.49), 64 hops max, 52 byte packets 1 117.174.122.1 (117.174.122.1) 4.005 ms 4.929 ms 4.498 ms 2 221.182.42.129 (221.182.42.129) 4.088 ms 5.518 ms 5.312 ms

221.182.42.129是指Router2的IP地址,后面的三个时间是包从本机到达Router2所需的时间,说明这次三个包也是走了一样的路线。

2.wireshark的信息: 在这里插入图片描述 可以看到从31-36的这几条都属于第二个路由节点跟源主机的交互,一共是3个包,加上回复就是6条3.UDP信息 在这里插入图片描述 类似的,我们可以看到UDP的信息,IP层的TTL是24.ICMP详情 在这里插入图片描述 而ICMP依然是type=11,code=0的报文 3. 第三第四个路由节点:

类似的可以看到Router3和Router4的信息 -1.控制台信息

traceroute 223.87.26.49 traceroute to 223.87.26.49 (223.87.26.49), 64 hops max, 52 byte packets 1 117.174.122.1 (117.174.122.1) 4.005 ms 4.929 ms 4.498 ms 2 221.182.42.129 (221.182.42.129) 4.088 ms 5.518 ms 5.312 ms 3 223.87.26.33 (223.87.26.33) 5.985 ms 5.732 ms 6.568 ms 4 223.87.26.49 (223.87.26.49) 5.941 ms 4.790 ms 6.514 ms

我们可以看到Router4是最后一个路由器了

2.Wireshark的信息 在这里插入图片描述3.UDP的详情。 在这里插入图片描述 此时我们也可以发现Router4刚好就是目标主机,根据我们的理论,它收到包之后直接就打开了,发现UDP的端口太大,于是会丢弃。但是这个包的信息我们看不到这些信息,所以我们继续往下看 -4.ICMP报文详情 在这里插入图片描述

这里的ICMP包Type=3,Code=3,说明确实是端口不可达,因此可以证明理论是对的,目标主机会发一个ICMP报文回到源主机,告诉它端口不可达。 源主机收到ICMP之后就知道了,端口不可达但是主机的可达的(否则就会发送报文Type=3,Code=1代表主机不可达),因此源主机知道了到达目标主机的路线。 以上就是wireshark抓包验证traceroute的内容,理论联系实际到此结束。



【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

      专题文章
        CopyRight 2018-2019 实验室设备网 版权所有