计算机网络实验之Wireshark 实验

数据链路层

实作一（熟悉 Ethernet 帧结构）

  使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。
  答：打开wireshark软件，进行任意抓包，可以得到如下的截图，截图中可以清晰地看到目的 MAC、源 MAC、类型、字段等一些基本的信息。

答：原因：wireshark软件会自动地将校验字段给过滤掉，所以这里没有显示该字段。

实作二（了解子网内/外通信时的 MAC 地址）

1. ping你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？
    答：ping同一子网下的计算机，抓包情况如下：
   

下图展示了发出帧的详情，截图如下：

可以看到源mac是(b0:68:e6:93: 5b: cb)，而目的mac是(92: e8:72 :d3:f2: c2)。
回复帧的详情截图如下：

可以看到源mac是(92: e8:72 :d3:f2: c2)，而目的mac是(b0:68:e6:93: 5b: cb)。可以看出发出帧的目的mac就是返回帧的源mac，经验证，这个mac地址就是目的主机的物理地址（注：当前连接的不是校园网，而是手机热点，下面两问都是在连接校园网的情况下进行的）。

2. 然后 ping qige.io（或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？
    答：同上一题的操作一样，这里就直接给出结果截图，如下：
   
   发出帧的详细信息截图如下：
   
   返回帧的详细信息截图如下：
   
   发出帧的目的 MAC 地址以及返回帧的源 MAC 地址都是00:74:9c:9f:40:13，而这个地址是子网网关的物理地址。

3. 再次 ping www.cqjtu.edu.cn（或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？
    答：具体操作和上两题的一样，这里就直接给出结果截图，如下：
   
   发出帧的详细信息截图如下：
   
   返回帧的详细信息截图如下：
   
   发出帧的目的 MAC 地址以及返回帧的源 MAC 地址都是00:74:9c:9f:40:13，而这个地址就是子网网关的物理地址。

答：因为访问非本子网要出网关，这时就需要将mac 地址先送到网关处，然后出了网关再通过 IP 地址进行查找，也就是说，这时在跨子网通信，是需要通过网关的；而在同一子网下不需要通过网关，这时候就将目的mac设置为该主机的即可。

实作三（掌握 ARP 解析过程）

1. 为防止干扰，先使用 arp -d *命令清空 arp 缓存
    答：在命令行中输入命令 arp -d *，结果截图如下：
   

2. ping你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。
    答：截图如下：
   
   
   
   
   请求的目的 MAC 地址是一个全1的地址。该回应的源 MAC 为(92:e8:72:d3:f2:c2)、目的 MAC 地址是( b0:68:e6:93: 5b:cb)。

3. 再次使用 arp -d *命令清空 arp 缓存
    答：截图如下：
   

4. 然后 ping qige.io（或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。
    答：截图如下：
   
   广播帧的mac详情如下：
   
   请求回应的包的mac信息如下：
   

 答：这是因为访问非本子网的IP时只能通过路由器访问，路由器再将数据发出去，这时ARP解析出来的就是网关的MAC地址；而访问本子网IP就不用经过网关，ARP可以直接解析出对应的MAC地址。

网络层

实作一（熟悉 IP 包结构）

使用 Wireshark 任意进行抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。
 答：抓包结果如下：

分析其中一个包，截图如下：

 答：因为通过头部长度和总长度才能完全定位到IP包的数据，方便上层提取，不然就无法正确得到IP包中的数据，且这样也能节省中途消耗的时间。

实作二 （IP 包的分段与重组）

  根据规定，一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。
  缺省的，ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等
 答：在cmd中输入 ping 202.202.240.16 -l 2000 ，并使用Wireshark 抓包，得到如下的截图：


分析抓到的其中一个包，截图如下：

从图中可以看到，当前分段的ip包总长度为548，分片位移量为1480，意思是分段ip包以第1480字节为分隔的节点。

分片偏移的意义为：较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对用户数据字段的起点，该片从何处开始。片偏移以8个字节为偏移单位。这就是说，每个分片的长度一定是8字节（64位）的整数倍。

 答：这时候要么直接丢弃，要么就转发到其他能支持这种大数据包的路由上。

实作三 （考察 TTL 事件）

  在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳（hops），一般该值设置为 64、128等。
  在验证性实验部分我们使用了 tracert命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。
  请使用 tracert www.baidu.com 命令进行追踪，此时使用 Wireshark 抓包（用 icmp 过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理。
 答：根据所示操作有下面的截图：


,接下来再看两跳，截图如下：




可以从上面的截图看到，跳数的增加就会随着TTL的增加，也就是说，Tracert 先发送 TTL 为 1 的回应数据包，并随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。

1.TTL是 Time To Live的缩写，该字段指定IP包被路由器丢弃之前允许通过的最大网段数量。
2. Tracert 命令确定两台主机的路由主要是通过 IP 生存时间 (TTL) 字段和 ICMP 错误消息。 在工作环境中有多条链路出口时，可以通过该命令查询数据是经过的哪一条链路出口。由于路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1，因此 Tracert 先发送 TTL 为 1 的回应数据包，并在随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。

 答：可以分两种情况讨论，如果TTL设置的值为64，又由于TTL可以看成是一个“返回值”，那么这时跳数为64-50=14跳，如果TTL设置的值为128，那么这时候跳数就是128-50=78跳

传输层

实作一 （熟悉 TCP 和 UDP 段结构）

1. 用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。
    答：根据上面所示操作，有以下截图：
   
   

2. 用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。
    答：根据题示操作，抓包后有以下截图：
   
   
   

 答：端口号也叫“端口地址”，一个端口可以标识一个进程，通过源端口号和目的端口号，可以确定两台主机之间是哪两个进程在通信，从而实现数据的发送与接收。

实作二 （分析 TCP 建立和释放连接）

1. 打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
    答：操作截图如下：
   

2. 请在你捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。
    答：根据上面所提到的操作，下面是三次握手建立的捕获的包的截图：
   
   第一次握手时，客户端会发送一个SYN=1，ACK=0的标志的数据包给服务端，请求连接；第二次握手时，服务端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1的标志数据包返送给发送端，并告诉它，我已经确认了，并且需要客户端发送一个确认数据包；第三次握手时，客户端发送一个SYN=0，ACK=1的数据包给服务端，告诉它连接已被确认，TCP连接已经建立了，可以开始通讯了。
   

3. 请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。
    答：抓获的四次挥手释放连接的包记录截图如下：
   
   从上图中可以看出，断开连接时首先由一方发出FIN报文，然后另外一方接收并返回ACK报文；并且它也会发送一个FIN报文表示断开连接，最开始发送的一方也接收并发送ACK报文，至此，TCP连接断开。

 答：多个连接应该是为了数据传输更加的稳定，速度更快，可以实现多个用户并发访问，提供更好的服务。

 答：应该是第二次和第三次合并了，比如：客户端向服务端发送断开连接的请求为第一次挥手，服务端向客户端回复同意断开连接为第二次挥手，接着服务端向客户端发送断开连接的请求为第三次挥手，客户端向服务端回复同意断开连接为第四次挥手。三次挥手是将服务器向客户端发送断开连接和回复同意断开连接合成一次挥手，其他两次挥手不变。

应用层

实作一 (了解 DNS 解析)

1. 先使用 ipconfig /flushdns 命令清除缓存，再使用 nslookup qige.io 命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。
    答：结果截图如下：
   
   

2. 你应该可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。
    答：请求查询结果截图如下：

返回结果截图如下：

3. 可了解一下 DNS 查询和应答的相关字段的含义
 答：DNS查询和应答报文的格式如下：


具体解释如下：

1.QR：查询/应答标志。0表示这是一个查询报文，1表示这是一个应答报文。
2.opcode，定义查询和应答的类型。0表示标准查询，1表示反向查询（由IP地址获得主机域名），2表示请求服务器状态。
3.AA，授权应答标志，仅由应答报文使用。1表示域名服务器是授权服务器。
4.TC，截断标志，仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制，所以过长的DNS报文将被截断。1表示DNS报文超过512字节，并被截断。
5.RD，递归查询标志。1表示执行递归查询，即如果目标DNS服务器无法解析某个主机名，则它将向其他DNS服务器继续查询，如此递归，直到获得结果并把该结果返回给客户端。0表示执行迭代查询，即如果目标DNS服务器无法解析某个主机名，则它将自己知道的其他DNS服务器的IP地址返回给客户端，以供客户端参考。
6.RA，允许递归标志。仅由应答报文使用，1表示DNS服务器支持递归查询。
7.zero，这3位未用，必须设置为0
8.rcode，4位返回码，表示应答的状态。常用值有0（无错误）和3（域名不存在）

 答：应该是为了减轻服务器的访问负载，每个网站都设置了多个计算机，这些计算机都运行着相同的服务器软件。这些计算机的IP地址不一样，但是它们的域名却是相同的，所以同一个站点会存在多个IP地址，这时我们发出的DNS解析请求就不止一个。

实作二 (了解 HTTP 的请求和应答)

1. 打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。
    答：过程操作截图如下：
   
   

2. 请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。
    答：POST请求截图如下：
   GET请求截图如下：
   

部分请求字段的具体意义如下：
Accept：浏览器可接受的MIME类型。
Accept-Charset：浏览器可接受的字符集。
Accept-Encoding：浏览器能够进行解码的数据编码方式，比如gzip。
Accept-Language：浏览器所希望的语言种类，当服务器能够提供一种以上的语言版本时要用到。
Authorization：授权信息，通常出现在对服务器发送的WWW-Authenticate头的应答中。
Connection：表示是否需要持久连接。如果Servlet看到这里的值为“Keep-Alive”，或者看到请求使用的是HTTP1.1（HTTP 1.1默认进行持久连接），它就可以利用持久连接的优点，当页面包含多个元素时（例如Applet，图片），显著地减少下载所需要的时间。
Content-Length：表示请求消息正文的长度。
Cookie：设置cookie,这是最重要的请求头信息之一
From：请求发送者的email地址，由一些特殊的Web客户程序使用，浏览器不会用到它。
Host：初始URL中的主机和端口。
If-Modified-Since：只有当所请求的内容在指定的日期之后又经过修改才返回它，否则返回304“Not Modified”应答。
Pragma：指定“no-cache”值表示服务器必须返回一个刷新后的文档，即使它是代理服务器而且已经有了页面的本地拷贝。
Referer：包含一个URL，用户从该URL代表的页面出发访问当前请求的页面。
User-Agent：浏览器类型，如果Servlet返回的内容与浏览器类型有关则该值非常有用。
UA-Pixels，UA-Color，UA-OS，UA-CPU：由某些版本的IE浏览器所发送的非标准的请求头，表示屏幕大小、颜色深度、操作系统和CPU

3. 请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
    答：结果截图如下：
   
   由上图可以看到，应答代码就是200.
   下面给出了部分状态代码、状态信息对的具体含义：

100 Continue 初始的请求已经接受，客户应当继续发送请求的其余部分。（HTTP 1.1新）
200 OK 一切正常，对GET和POST请求的应答文档跟在后面。
201 Created服务器已经创建了文档，Location头给出了它的URL。
204 No Content没有新文档，浏览器应该继续显示原来的文档。
301 Moved Permanently 客户请求的文档在其他地方，新的URL在Location头中给出，浏览器应该自动地访问新的URL。
302 Moved Temporatily类似于301，但新的URL应该被视为临时性的替代，而不是永久性的。
400 Bad Request 请求出现语法错误。
401 Unauthorized客户试图未经授权访问受密码保护的页面。应答中会包含一个WWW-Authenticate头，浏览器据此显示用户名字/密码对话框，然后在填写合适的Authorization头后再次发出请求。
403 Forbidde资源不可用。服务器理解客户的请求，但拒绝处理它。通常由于服务器上文件或目录的权限设置导致。
404 Not Found无法找到指定位置的资源。这也是一个常用的应答
500 Internal Server Error服务器遇到了意料不到的情况，不能完成客户的请求。
501 Not Implemented服务器不支持实现请求所需要的功能。例如，客户发出了一个服务器不支持的PUT请求。
502 Bad Gateway服务器作为网关或者代理时，为了完成请求访问下一个服务器，但该服务器返回了非法的应答。

 答：因为此时浏览器中有缓存，且请求的资源内容没有改变，这时就直接到浏览器缓存中提取即可，不需要服务器再回复对应的内容，所以，浏览器在二次请求时，它会直接在缓存中拿数据，故应答码为304。