搶包時(shí)如何分析數(shù)據(jù)問(wèn)題1:如何分析搶包抓到的數(shù)據(jù)？5分1分，Wireshark會(huì)進(jìn)入搶包的分析過(guò)程。問(wèn)題二:如何分析數(shù)據(jù)包捕獲wireshark的數(shù)據(jù)首先我們打開wireshark軟件的主界面，在主界面上選擇網(wǎng)卡，然后點(diǎn)擊開始，接下來(lái)，我們可以在界面中看到wireshark捕獲的實(shí)時(shí)數(shù)據(jù)包。

ARP的內(nèi)容和原理:ARP的全稱是:AddressResolutionProtocol，也是地址解析協(xié)議。顧名思義，它的主要功能是“地址解析”，即通過(guò)目標(biāo)設(shè)備的IP地址查詢目標(biāo)地址的MAC地址。在局域網(wǎng)中，如果你想在兩臺(tái)主機(jī)之間通信，你必須知道目標(biāo)主機(jī)的IP地址。而傳輸數(shù)據(jù)的物理設(shè)備網(wǎng)卡不能直接識(shí)別IP地址，只能識(shí)別其硬件地址，MAC地址，這是一個(gè)全球唯一的序列號(hào)，由12位十六進(jìn)制數(shù)字組成。

ARP協(xié)議是“AddressResolutionProtocol”的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖且粋€(gè)“幀”，其中包含了目標(biāo)主機(jī)的MAC地址。在以太網(wǎng)中，如果一臺(tái)主機(jī)直接與另一臺(tái)主機(jī)通信，就必須知道目標(biāo)主機(jī)的MAC地址。但是這個(gè)目標(biāo)MAC地址是怎么獲得的呢？它是通過(guò)地址解析協(xié)議獲得的。所謂“地址解析”，就是主機(jī)在發(fā)送幀之前，將目的IP地址轉(zhuǎn)換成目的MAC地址的過(guò)程。

使用地址解析協(xié)議，可以根據(jù)網(wǎng)絡(luò)層的IP包頭中的IP地址信息解析出目標(biāo)硬件地址(MAC地址)信息，保證通信暢通。地址解析協(xié)議是IPv4中必不可少的協(xié)議，IPv4是互聯(lián)網(wǎng)協(xié)議廣泛使用的版本(IPv6還處于部署的初級(jí)階段)。OSI模型將網(wǎng)絡(luò)工作分為七層，第三層是IP地址，第二層是MAC地址，它們之間不直接打交道。

首先，每臺(tái)主機(jī)都會(huì)在自己的ARP緩存中建立一個(gè)ARP表，以表示ip地址和MAC地址的對(duì)應(yīng)關(guān)系。當(dāng)源主機(jī)需要向目的主機(jī)發(fā)送數(shù)據(jù)包時(shí)，會(huì)先檢查其ARP表中是否有該IP地址對(duì)應(yīng)的MAC地址，如果有，則直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果不是，則向本地網(wǎng)段發(fā)送一個(gè)ARP請(qǐng)求廣播包，查詢?cè)撃康闹鳈C(jī)對(duì)應(yīng)的MAC地址。

網(wǎng)絡(luò)中的所有主機(jī)收到這個(gè)ARP請(qǐng)求后，都會(huì)檢查數(shù)據(jù)包中的目的IP是否與自己的IP地址一致。如果不是，則忽略該數(shù)據(jù)包；如果它們相同，主機(jī)首先將發(fā)送方的MAC地址和IP地址添加到自己的ARP列表中。如果該IP信息已經(jīng)存在于ARP列表中，就會(huì)被覆蓋，然后向源主機(jī)發(fā)送一個(gè)ARP響應(yīng)包，告訴對(duì)方這是它需要查找的MAC地址。源主機(jī)收到這個(gè)ARP響應(yīng)包后，會(huì)將目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用這些信息開始數(shù)據(jù)傳輸。

RP(地址解析協(xié)議)用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址(32位IP地址)轉(zhuǎn)換為物理地址(48位MAC地址)。1.ping之前可以檢查arpa，但是應(yīng)該沒有信息。并且沒有配置默認(rèn)網(wǎng)關(guān)。當(dāng)PC1 pinges PC2時(shí)，會(huì)丟失一個(gè)ping數(shù)據(jù)包。因?yàn)閜ing的時(shí)候會(huì)先查詢自己的路由表:routeprint。如果沒有，你會(huì)在出接口上發(fā)送一個(gè)arp廣播請(qǐng)求，這個(gè)出接口就是路由表中192.168.3.0對(duì)應(yīng)的接口(請(qǐng)參考arp廣播的格式)。

問(wèn)題1:如何分析包包抓取的數(shù)據(jù)？5分和1分取決于你抓包的水平。一般來(lái)說(shuō)，是與網(wǎng)站交換的無(wú)格式對(duì)比數(shù)據(jù)。你可以從網(wǎng)卡上抓取本機(jī)收發(fā)的數(shù)據(jù)，也有人把從瀏覽器或者其他工作在頂層的軟件上獲取的數(shù)據(jù)視為抓包。如果您的局域網(wǎng)很原始，您仍然可以嘗試從網(wǎng)卡獲取廣播數(shù)據(jù)。分析有現(xiàn)成的軟件，主要針對(duì)無(wú)法加密的部分，即發(fā)送、接收地址、時(shí)間、路徑、內(nèi)容量等等。

問(wèn)題二:如何分析數(shù)據(jù)包捕獲wireshark的數(shù)據(jù)首先我們打開wireshark軟件的主界面，在主界面上選擇網(wǎng)卡，然后點(diǎn)擊開始。Wireshark進(jìn)入抓包分析過(guò)程，在本文中，我們選擇以太網(wǎng)進(jìn)行數(shù)據(jù)包捕獲。接下來(lái)，我們可以在界面中看到wireshark捕獲的實(shí)時(shí)數(shù)據(jù)包，我們解釋數(shù)據(jù)包的字段。1.否:代表數(shù)據(jù)包標(biāo)簽，2.時(shí)間:抓軟件需要多長(zhǎng)時(shí)間。