《wireshark网络分析就这么简单》第一个试题的分析

例题如下所示

拓扑搭建

拓扑信息如下所示

PC1 ping PC2的抓包分析

PC1 接口1上的wireshark抓包

1. PC1向PC2 发送ICMP请求包前，发现自己没有PC2的MAC地址，于是向本局域网发送ARP的请求报文【广播】，这就是下图的步骤1。

2. PC1的子网掩码是255.255.255.0，所以当ping IP地址为192.168.26.3的PC2时，认为PC2处于自己的交付范围的。于是直接向PC2发送ICMP请求包

3. PC2 的子网掩码是255.255.255.224，发现IP地址为192.168.26.129的PC1不再自己的交付范围内，所以想把这个“烫手山芋”发送给自己的网关–192.168.26.2，“委托”让网关间接转发。于是有了第三步的：PC2广播请求PC1的MAC地址。
   

4. PC1向PC2 发送的第一个ICMP请求报文没有得到ICMP回复【因为PC2请求网关MAC而“耽误”了】，所以又发送了一个ICMP的请求报文，如步骤1所示

5. PC2上次已经获得了网关的MAC地址，所以这次就把 ICMP回复报文 发给网关了。这个回复报文的IP为：192.168.26.3 - - > 192.168.26.129 ,MAC为：PC2的MAC - - > 网关的MAC。网关接受这个“委托”后，发现自己没有PC1 的MAC地址，于是有了第二步：网关请求PC1的MAC地址

6. 网关收到 了PC2的MAC地址后，万事具备，东风【ARP回复】也来了，然后就把 ICMP回复报文 发送给了PC1
   
   接下来的数据包就好分析多了：PC1 直接 向PC2发送ICMP请求报文
   
   PC2通过网关向PC1 == 间接发送== ICMP回复报文。
   

PC2 ping PC1的抓包分析

【重启设备】PC2 接口1上的 wireshark抓包

1. 当PC2 ping PC1的时候，由于PC2的子网掩码为：255.255.255.224，发现IP地址为：192.168.26.129的PC1不在自己的交付范围里，所以就网关“代理”。由于没有网关的MAC地址，就有了第一步的ARP请求和相应的报文。
2. 第二步就是发送ICMP请求报文，这个报文的源和目的IP为：192.168.26.3 - - >192.16.26.129 。但MAC是：PC2的MAC - - > PC1的MAC。
3. 网关接到委托后，广播请求PC1的MAC地址，从而转发 ICMP请求报文
   
   细心的同学会发现有个ICMP redirect 报文
   
   出现的原因如下：看第一个
   

资料

百度网盘链接: ensp拓扑和wireshark抓包
提取码：hu90