Wireshark 查看 ARP 與 ICMP 封包

這次我們要試著使用 Wireshark 擷取查看 ARP 與 ICMP 的封包，ICMP 聽來有點陌生，但相信你一定使用過 ping 的指令，其中就是使用 ICMP 的 Echo Request 與 Echo Response。

1. 查看 ARP 封包

我的電腦是使用 DHCP 的方式取得區域網路的 IP，我嘗試在網路設定的介面 renew 它，查看一下過程中在他會發出哪些 ARP 的請求與得到怎樣的回應
因為我想要看 Protocol 是使用 ARP 與 ICMP 的封包，所以我直接在 Wireshark 的 expression 寫 arp or icmp 來過濾出我們感興趣的封包。

我們可以看到我的電腦對目標詢問誰持有 192.168.52.1 的 IP，並使用 ARP 的 Gratuitous 詢問誰持有 192.168.52.2

2. 查看 ICMP 封包

我們嘗試使用 ping 的指令來對目標 IP 192.168.52.1 發出 ICMP 的 Echo request，得到相應的回應。

1
2
3

$ ping 192.168.52.1
PING 192.168.51.1 (192.168.51.1): 56 data bytes
64 bytes from 192.168.51.1: icmp_seq=0 ttl=64 time=1.886 ms

如果我們今天使用 ping 指令對一個區域網路沒有人持有的 IP 會發生什麼事情？

1
2
3
4
5
6
7
8

$ ping 192.168.52.45
PING 192.168.51.45 (192.168.51.45): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
ping: sendto: No route to host
Request timeout for icmp_seq 4

我們可以看到他詢問區網內是否有人持有 192.168.52.45 這個 IP

使用 Wireshark 查看封包，能夠幫助我們更加的理解網路的運作，並且實實在在的看到目前正在傳遞的封包。