背景：办公室有一台拆下后闲置的HuaweiS5720-28P-PWR-LI-AC二层交换机。昨天听闻同学说ping交换机管理地址时，长ping大包会有丢包现象（字节为8000时，每10个包左右丢包一个，字节为6000时，每15个包左右丢包一个，字节为5000时没有丢包现象）。尝试复原该现象并通过抓包分析相应原因。本篇文章仅笔者做记录参考，学术用意不大~清除设备现有配置：resetsaved-configuration//清除现有配置--------Warning:Theactionwilldeletethesavedconfigurationinthedevice.Theconfigurati

Wiresharklabs1实验文档：http://www-net.cs.umass.edu/wireshark-labs/Wireshark_Intro_v8.0.pdf介绍加深对网络协议的理解通常可以通过观察协议的运行和不断调试协议来大大加深，具体而言，就是观察两个协议实体之间交换的报文序列，深入了解协议操作的细节，执行某些动作，然后观察这些动作产生的结果。这可以在仿真环境中或在诸如因特网的真实网络环境中完成。您将在本课程中进行这些Wireshark实验，您将使用自己的电脑在不同的场景下运行各种网络应用程序（如果您无法h获得计算机，或无法安装/运行Wireshark，您可以借用朋友的电脑）

Wireshark简介和工具应用如何开始抓包？打开wireshark，显示如下网络连接。选择你正在使用的，（比如我正在使用无线网上网），双击 可以先看下自己的ip地址和网关ip地址（看抓包数据时候会用到）开始抓包红框状态就是已经开始抓包了混杂模式和普通模式选择过滤器过滤关心的协议查看TCP三次握手的第一次SYN 查看TCP数据传输完成后四次挥手第一次finarp相关的包如下图，一个典型的ARP报文，路由器问局域网中谁的主机(mac)ip地址是192.168.67.204？观察下面报文细节：此时目标MAC地址还是空的arp欺骗攻击者B伪造ARP报文（senderIP地址是网关的，senderMA

一般情况下wireshark是无法抓取密文的，我们通过谷歌浏览器得到配置密钥然后进行抓取window系统：1.关闭所有浏览器2.设置SSL密钥日志文件：cmd打开控制台，执行如下命令：setxSSLKEYLOGFILEE:\sslkey\keylog.txt3.指定GoogleChrome浏览器生成SSL密钥日志文件，到keylog.txt中"C:\ProgramFiles\Google\Chrome\Application\chrome.exe"--ssl-key-log-file=E:\sslkey\keylog.txt会自动打开谷歌浏览器，注意要将浏览器打开时设置为打开标签页，不然会默认

1|001.介绍网络安全流量分析领域中，wireshark和csnas是取证、安全分析的好工具，包括很多研究安全规则、APT及木马流量特征的小伙伴，也会常用到两个工具。这两款流量嗅探、分析软件，今天先介绍wireshark作为安全分析工具的基本使用。2|002.基本使用 Wireshark对pcap包分析过程中常用的功能基本上包括：数据包筛选、数据包搜索、流还原、流量提取等。本次的演示找到了CTF相关pcap包，如感兴趣可自己下载分析：链接：https://pan.baidu.com/s/1UlmTrXG-botu0M3c4W-lfA  提取码：k0y4 2.1数据包筛选海量数据中要想能察觉到

基本HTTPGET/response交互我们开始探索HTTP，方法是下载一个非常简单的HTML文件。非常短，并且不包含嵌入的对象。执行以下操作：启动您的浏览器。启动Wireshark数据包嗅探器，如Wireshark实验-入门所述（还没开始数据包捕获）。在display-filter-specification窗口中输入“http”（只是字母，不含引号标记），这样就在稍后的分组列表窗口中只捕获HTTP消息。（我们只对HTTP协议感兴趣，不想看到其他所有的混乱的数据包）。稍等一会儿（我们将会明白为什么不久），然后开始Wireshark数据包捕获。在浏览器中输入以下内容http://gaia.cs

一、实验目的（1）观察DHCP的运行（2）了解DHCP相关功能及作用（3）了解DHCP运行机制二、实验步骤与实验问题探讨(1)实验步骤为了观察DHCP的运行情况，我们将执行几个与DHCP相关的命令，并使用Wireshark捕获由于执行这些命令而交换的DHCP消息。执行以下操作:1.首先打开Windows命令提示符窗口。如图1所示，输入“ipconfig/release”。此命令释放当前IP地址。2.启动Wireshark数据包嗅探器，开始Wireshark数据包捕获。3.现在返回Windows命令提示符窗口，输入“ipconfig/renew”。该命令帮助主机获取新的一组网络配置，包括新的IP

数据链路层实作一熟悉Ethernet帧结构使用Wireshark任意进行抓包，熟悉Ethernet帧的结构，如：目的MAC、源MAC、类型、字段等。✎问题你会发现Wireshark展现给我们的帧中没有校验字段，请了解一下原因。尾部四个字节的校验字段都被wireshark过滤了实作二了解子网内/外通信时的MAC地址ping你旁边的计算机（同一子网），同时用Wireshark抓这些包（可使用icmp关键字进行过滤以利于分析），记录一下发出帧的目的MAC地址以及返回帧的源MAC地址是多少？这个MAC地址是谁的？发出帧的目的MAC地址和返回帧的源MAC地址是80:e8:2c:26:70:c5。该MAC

        ICMP（InternetControlMessageProtocol）网络控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。每个ICMP消息都是直接封装在一个IP数据包中的，因此，和UDP一样，ICMP是不可靠的。        ICMP（InternetControlMessageProtocol）网络控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消

前言TCP（传输控制协议）是一种面向连接的、可靠的传输层协议。在建立TCP连接时，需要进行三次握手，防止因为网络延迟、拥塞等原因导致的数据丢失或错误传输，确保双方都能够正常通信。TCP三次握手在Wireshark数据包中是如何体现的？在此之前，先熟悉TCP三次握手的流程。TCP三次握手流程1.客户端发送SYN请求报文：客户端选择一个初始序列号（seq）并将SYN标志位置为1，表示请求建立连接。客户端将该SYN报文发送给服务端，并进入SYN_SET状态，等待服务端的响应。2.服务端接收SYN请求报文：服务端接收到客户端发来的SYN请求报文。服务端将SYN标志位置为1，ACK标志位置为1，表示同意