（首先聲明一下我也是一名小白，初學(xué)wireshark沒(méi)多久，我也很愿意和大家一起討論wireshark的具體應(yīng)用。）

本實(shí)驗(yàn)使用的版本是wireshark2.4.7版，選擇“捕獲”-“選項(xiàng)”。

選擇當(dāng)前連的網(wǎng)，一般選擇流量“起起伏伏”的那個(gè)接口。

此時(shí)會(huì)有海量的數(shù)據(jù)包，為了便于分析，我們使用過(guò)濾器輸入“ip.src==192.168.1.1”以篩選出源地址為192.168.1.1的報(bào)文。

雙擊點(diǎn)擊一條tcp報(bào)文進(jìn)入詳細(xì)信息，為什么不選Protocol類(lèi)型為IP的協(xié)議呢？答案是沒(méi)有，tcp報(bào)文正是基于ip協(xié)議的，tcp是傳輸層協(xié)議，而ip是它底下的網(wǎng)絡(luò)層協(xié)議。

如下圖，框起來(lái)的部分是一個(gè)完整IPV4報(bào)文。

圖A

具體字段含義如下圖

??????????????????????????? 圖B

重點(diǎn)關(guān)注幾個(gè)字段：

Version:4 這里指的是IPv4，兩張圖都是一樣的。

Header Length:20 bytes:IPv4的首部是固定的，就是20字節(jié)。

Total Length:圖A的是895圖B的是60,代表IP報(bào)文總長(zhǎng)度，報(bào)文總長(zhǎng)度不能超過(guò)1500字節(jié)，否則需要分片。1500字節(jié)的限制是以太網(wǎng)在數(shù)據(jù)鏈路層帶來(lái)的。IP數(shù)據(jù)部分最大長(zhǎng)度1480，頭部20字節(jié)。

Don’t fragment:圖A為1表示不能被分割，圖B為0表示可以。

More fragments:圖A和圖B 均為0，表示沒(méi)有后一個(gè)分片。

Time to live:代表還剩余多少跳被丟棄，即還可以經(jīng)過(guò)多少個(gè)路由器，兩邊都是64。設(shè)置該字段的目的在于防止網(wǎng)絡(luò)環(huán)路。

Protocol:上層的協(xié)議，比如tcp,udp。

Source，Destination:源地址,目的地址。家里的網(wǎng)絡(luò)一般是192.168開(kāi)頭的，這是一個(gè)典型的本地地址。

這里有一個(gè)有趣的現(xiàn)象，很多的包都是源地址是192.168.1.1目的地址是192.168.1.12，這是為什么呢？我們可以先進(jìn)入cmd輸入一個(gè)熟悉的指令ipconfig。

發(fā)現(xiàn)源地址192.168.1.1的含義為本地默認(rèn)網(wǎng)關(guān)，也就是路由器在內(nèi)網(wǎng)的地址，而目的地址192.168.1.12為本地計(jì)算機(jī)在內(nèi)網(wǎng)的ip。說(shuō)明這個(gè)包是路由器發(fā)到本機(jī)上的，這是我們?cè)L問(wèn)互聯(lián)網(wǎng)時(shí)時(shí)路由器從互聯(lián)網(wǎng)上獲得IP報(bào)文再發(fā)到本機(jī)上的過(guò)程。