利用hex 對數據包進行標注

• 實驗原理：
• • 一、用WINHEX進行數據包的標注，對ARP的請求和回復包每個字段進行標注和找出兩個包之間字段的對應關系

實驗原理：

1、用winhex進行數據包的標注，對ARP的請求和回復包每個字段進行標注，和找出兩個包之間字段的對應關系
2、選一個IP數據包和一個ICMP數據包的包頭信息進行每個字段的標注并且說明它的含義。

一、用WINHEX進行數據包的標注，對ARP的請求和回復包每個字段進行標注和找出兩個包之間字段的對應關系

1、使用Wireshark 捕獲數據包選出ARP數據包，查看本機IP和網關，可以看見后面的信息部分有who has 192.168.31.133？是本機的IP地址，該條信息為我們的請求包
Tell 192.168.31.1為我們的網關，下面自然是回復包

選出這兩個ARP的請求包和回復包，導出為特定分組。并將文件名的后綴保存為。pacp的文件格式
我們將ARP請求包和回復包分別保存進行分析

用hex打開ARP請求包

1.該表中紅色部分表示文件格式為pcap的文件類型，黃色部分表示時間戳，綠色部分表示的是長度。

2.1圖中方框選擇部分
綠色表示的是目標MAC地址ff:ff:ff:ff:ff:ff (廣播地址)
紅色部分表示我們的源MAC地址為 40:31:3c:2d:b0:97
黑色部分表示幀的類型 0x0806 代表為ARP packet
藍色部分表示網絡類型 0x0001 以太網的取值為1
紫色部分表示要映射的協議地址類型0x0800 表示根據IP地址來進行映射
2.2圖中劃線選擇部分
黑色表示硬件地址長度0x06 以太網中表示MAC地址長度為6個字節
紅色部分表示協議地址長度 0x04 以太網中表示IP地址長度為4個字節
黃色部分表示ARP報文的種類 0x0001 取值為1 表示ARP請求報文。
2.3圖中橢圓選擇部分
紅色表示發送端的MAC地址（信息體的發起端） 40:31:3c:2d:b0:97
紫色表示發送端的IP地址 c0:a8:1f:01 (轉換即為192.168.31.1)即我們的網關
黑色表示目的端的MAC地址00:00:00:00
藍色表示目的端的IP地址c0:a8:1f:85(傳換即為192.168.31.133)即本機IP地址

1.該表中紅色部分表示文件格式為pcap的文件類型，黃色部分表示時間戳，綠色部分表示的是長度。
2.1圖中方框選擇部分
綠色表示的是目標MAC地址40:31:3c:2d:b0:97
紅色部分表示我們的源MAC地址為 38🇩🇪ad:d8:91:36
黑色部分表示幀的類型 0x0806 代表為ARP packet
藍色部分表示網絡類型 0x0001 以太網的取值為1
紫色部分表示要映射的協議地址類型0x0800 表示根據IP地址來進行映射
2.2圖中劃線選擇部分
黑色表示硬件地址長度0x06 以太網中表示MAC地址長度為6個字節
紅色部分表示協議地址長度 0x04 以太網中表示IP地址長度為4個字節
黃色部分表示ARP報文的種類 0x0002 取值為2 表示ARP應答報文。
2.3圖中橢圓選擇部分
紅色表示發送端的MAC地址（信息體的發起端） 38🇩🇪ad:d8:91:36
紫色表示發送端的IP地址 c0:a8:1f:85 (轉換即為192.168.31.133)即我們的本機IP地址
黑色表示目的端的MAC地址40:31:3c:2d:b0:97
藍色表示目的端的IP地址c0:a8:1f:01(傳換即為192.168.31.1)即網關IP地址

#對ARP的請求包和應答包字段之間的對應關系進行分析

1.請求包的源MAC地址是回復包的目的MAC地址(反之易然)
2.請求包和回復包的幀的類型都是0x0806(ARP)
3.請求包和回復包網絡類型都是1(以太網)
4.請求包和回復包映射的協議地址類型都是0x0800(根據IP地址進行映射)
5.請求包和回復包硬件地址長度都是0x06(以太網中表示MAC地址長度為6個字節)
6.請求包和回復包協議地址長度都是0x04(以太網中表示IP地址長度為4個字節)
7.請求包和回復包的OP分別為1和2(ARP報文的種類，取值為1表示請求報文；當取值為2表示ARP應答報文)
8.請求包的發送端MAC地址是回復包的目的端的MAC地址
9.請求包的發送端IP地址是應答包的目的端的IP地址(反之易然)
10.請求包的前24個字節和應答包的相同表示文件類型為PACP
11.請求包的時間戳和應答包的時間戳相差不大
12.請求包和應答包的長度相同

二、選一個IP數據包和一個ICMP數據包的包頭信息進行每個字段的標注并且說明他們的含義。
查看本機的網關

打開wireshark捕獲ICMP數據包
選擇一個ICMP數據包，并保存為一個后綴為.pacp的文件

使用HEX打開該ICMP的數據包

前24個字節為文件的標識(.pcap)、緊接著的8個字節為時間戳、災后的8個字節為長度

圖中選中部分為以太網幀頭，緊接著20個字節為IP幀頭，然后是ICMP信息頭，最后為ICMP數據。

對IP的報頭分析
圖中，橫線部分
紅色表示版本和首部長度 4 表示報文是IPV4報文 、5表示首部長度為5*4字節=20字節
黑色表示服務類型(00)表示普通服務，無特殊需求。
綠色表示總長度003c(60)
黃色表示標識58fc(數據報標號為22780）
圖中，方框部分
紅色表示片偏移為0個字節
黃色表示生存時間為40(生存時間為64跳)
藍色表示協議類型(協議01，表示由ICMP協議處理)
黑色表示首部校驗和(0x61ee)
圖中，橢圓部分
紅色表示源IP地址 c0:a8:1f:01(192.168.31.1)
藍色表示目標IP地址c0:a8:1f:85(192.168.31.133)

對ICMP報頭分析
圖中，
紅色表示類型和代碼為00/00表示是一個回顯報文
黑色表示校驗和5487(整個ICMP部分的校驗和)
黃色表示標識符0001(表示上層進程的ID號)
藍色表示序列號00d4(包的序列號，該包是212號)
剩下部分為ICMP數據包的數據部分

實驗結論：
對于ARP
請求包的源MAC地址是回復包的目的MAC地址(反之易然)
請求包和回復包的幀的類型都是0x0806(ARP)
請求包和回復包網絡類型都是1(以太網)
請求包和回復包映射的協議地址類型都是0x0800(根據IP地址進行映射)
請求包和回復包硬件地址長度都是0x06(以太網中表示MAC地址長度為6個字節)
請求包和回復包協議地址長度都是0x04(以太網中表示IP地址長度為4個字節)
請求包和回復包的OP分別為1和2(ARP報文的種類，取值為1表示請求報文；當取值為2表示ARP應答報文)
請求包的發送端MAC地址是回復包的目的端的MAC地址
對于IP和ICMP
Ipv4首部一般都是20個字節長度。
ICMP是TCP/IP協議族的一個子協議，用于在IP主機、路由器之間傳遞控制消息?？刂葡⑹侵妇W絡不通、主機能否到達、路由是否可用等網絡本身的消息
ICMP協議通過IP協議發送的，IP協議是一中無連接的、不可靠的數據包協議，屬于網絡層協議
ICMP報文是在IP數據報內被傳輸的。在實際傳輸中的數據包結構：20字節的IP首部+8字節ICMP首部

總結

以上是生活随笔為你收集整理的hex对ARP和IP、ICMP数据包的分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。