本实验所采用的Wireshark软件版本为2.4.7,用户需进行“捕获”-“选项”的操作。
在选项中,选择当前连接的无线网络接口,通常选择流量波动明显的接口进行数据包捕获。
随后将展示海量的数据包。为了便于分析,我们利用过滤器输入“ip.src==192.168.1.1”来筛选出源地址为192.168.1.1的报文。
通过双击一条TCP报文,可以进入其详细信息界面。关于为何不选择Protocol类型为IP的协议,这是因为TCP报文正是在IP协议基础上的传输层协议的体现。
如以下图表所示,被框选的部分展示了一个完整的IPV4报文。
需重点关注的几个字段信息如下:
“Version:4”表明这是IPv4版本,两幅图中的信息一致。
“Header Length:20 bytes”表示IPv4的首度是固定的20字节。
“Total Length”字段在图A中显示为895,图B中显示为60,它代表IP报文的总长度。为了确保数据传输的顺畅,报文总长度不应超过1500字节,否则需要进行分片处理。这一限制主要是由以太网在数据链路层的规定所决定的,其中IP数据部分最大长度为1480字节,头部则为20字节。
“Don’t fragment”字段在图A中显示为1,表示该报文不能被分割,而在图B中为0,表示可以进行分割。
“More fragments”字段在两图中均为0,表示当前报文没有后续的分片。
“Time to live”字段表示报文经过的路由器跳数限制,两边数值均为64,这一设置是为了避免网络环路的出现。
“Protocol”表示上层协议,如TCP、UDP等。
“Source”和“Destination”分别指代源地址和目的地址。在家庭网络中,通常使用以192.168开头的地址,这是一种典型的本地地址。
值得一提的是,观察数据包时发现许多源地址和目的地址均为192.168.1.1和192.168.1.12的包。这引发了我们的好奇,通过进一步了解得知,源地址192.168.1.1通常是本地默认网关的地址,也就是路由器的内网地址。而目的地址192.168.1.12则是本地计算机的内网IP。这表明这些包是路由器发送到本机的,反映了我们在访问互联网时,路由器从互联网上获取IP报文再发送至本机的过程。