首先收集每臺裝置的MAC地址以備分析：

伺服器A：00-0c-29-bb-bb-7f

伺服器B：00-0C-29-8C-BF-6D

預設閘道器：00-50-56-fe-c8-98

在伺服器B上啟動Wireshark，然後執行ping命令與A通訊，此時Wireshark會將通訊過程進行抓包。ping命令結束之後，停止抓包，我們首先來熟悉一下Wireshark的主介面。

Wireshark的介面非常直觀，從上到下分為三個視窗。

最上面的視窗列出了抓到的所有資料包，主要包含的資訊有：資料包序號、資料包被捕獲的相對時間、資料包的源地址、資料包的目的地址、資料包的協議、資料包的大小、資料包的概況資訊。

選中某個資料包之後，會在中間視窗中分層次地顯示出這個包的詳細資訊，並且可以通過展開或是收縮來顯示這個資料包中所捕獲到的全部內容。

最底下的視窗會顯示資料包未經處理的原始樣子，也就是其在鏈路上傳播時的樣子，這個一般用的不多。

比如我們選中1號包，在上方的視窗中會看到這是一個ARP廣播包，這個包是由伺服器B發出去的，目的是詢問閘道器192.168.80.2的MAC地址。在下方的視窗中，第一行顯示這個包的基本資訊，Frame1表示這個是1號包。第二行顯示的是資料幀的封裝資訊，第三行顯示的是ARP協議的封裝資訊。

在伺服器B上ping伺服器A，B首先會去解析閘道器的地址，這與我們之前的分析一致。

2號包是預設閘道器返回的響應資訊，告訴伺服器B自己的MAC地址。注意這些MAC地址的開頭都被替換成了Vmware，這是由於MAC地址的前3個位元組表示廠商。

3號包是伺服器B發出的ping包，指定的目的IP為A（192.168.80.129），但目的MAC卻是預設閘道器的00-50-56-fe-c8-98，這表明B希望閘道器把包轉發給A。

5號包是A發出的ARP廣播，查詢B的MAC地址。這是因為在A看來，B屬於相同網路，因而無需藉助於閘道器。

接下來6號包是B直接回復了A的ARP請求，把自己的MAC地址告訴A，這說明B在執行ARP回覆時並不考慮同一網路問題，雖然ARP請求來自於其它網路，但也照樣回覆。

再接下來就是一些重複的ping請求和ping回覆。

因而，通過Wireshark抓包，也驗證了我們之前所做的理論分析。

原文地址：
https://blog.51cto.com/yttitan/1734010