本部分按照数据链路层、网络层、传输层以及应用层进行分类，共有 10 个实验。需要使用协议分析软件 Wireshark 进行，请根据简介部分自行下载安装。

一.Wireshark的基本使用

1.使用Wireshark进行第一次抓包

1.根据个人使用的网络进行选择

2.Wireshark界面介绍

3.处于抓包状态中

4.执行需要抓包的操作，如在cmd窗口下执行ping www.baidu.com

5.为避免其他无用的数据包影响分析，可以通过在过滤栏设置过滤条件进行数据包列表过滤
可以看到与baidu进行的数据交互

2.Wireshark过滤器设置

初使用Wireshark时，可能得到大量的冗余数据包列表，难以找到自己需要抓取的数据包部分
可以使用wireshark工具中自带的两种类型过滤器，这两种过滤器会帮助我们在大量的数据中迅速找到需要的信息。
1.抓包过滤器

添加新的过滤器设置

例如ip host 14.215.177.39 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包
2.显示过滤器
显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。

二.数据链路层实验

实作一、熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。

实作二 了解子网内/外通信时的 MAC 地址

1.ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

是98:83:89:49:2a:17，是旁边计算机的mac地址

2.然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

是00:74:9c:9f:40:13，是网关的mac地址。因为本机接收到的信息必定经由网关发送给我，同理本机发送信息的下个地址必定是网关的mac地址。
3.再次 ping www.cqjtu.edu.cn （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？

收不到返回消息

00:74:9c:9f:40:13，是网关的mac地址

问题
通过以上的实验，你会发现：
访问本子网的计算机时，目的 MAC 就是该主机的
访问非本子网的计算机时，目的 MAC 是网关的
请问原因是什么？
因为本机接收到的本子网以外的信息必定经由网关发送给我，同理本机发送到本子往外信息的下个地址必定是网关的mac地址。而本子网内的可以直接到达。

实作三 掌握 ARP 解析过程

为防止干扰，先使用 arp -d * 命令清空 arp 缓存
ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。
再次使用 arp -d * 命令清空 arp 缓存
然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。