本文详细介绍了如何使用Wireshark工具抓取和分析NATHOME及NATISP端的网络数据包,特别是HTTP请求和响应。通过过滤器定位特定IP地址,找出客户端与Google服务器交互的IP地址、端口和时间点,以及状态码200的响应。同时,分析了在路由器和ISP之间的链路上捕获的跟踪文件,比较了两个不同位置的数据包差异。
第1关:NAT HOME分析
任务描述
本关任务:掌握抓取 NAT HOME 端和 NAT ISP 端的具体步骤,并且对已经收集到的 NAT HOME 进行分析。
相关知识
为了完成本关任务,你需要掌握:
- 简单了解实验抓包收集方案;
- NAT HOME的简单分析。
收集方案
用在家庭网络的一个客户端 PC 发送到 www.baidu.com 简单 HTTP 请求并且捕获它。在家庭网络中,家庭网络路由器会提供 NAT 服务。 下图显示我们的 Wireshark NAT 实验抓包收集方案。
在该客户端 PC 进行抓包,并存为NAT_home_side文件。同样我们因为需要研究 NAT 路由器发送到 ISP 网络的数据包,因此将会一个上图中的未展示 PC 收集从 NAT 路由到 ISP 网络的第二数据包。路由左侧连接 ISP 网络的集线器将会起到连接 NAT 路由器和 ISP 的第一跳路由(第一级路由的作用)。我们将位于 NAT 路由连 ISP 网络的 Wireshark 的抓包结果称为NAT_ISP_side。
NAT HOME分析
- 根据收集到的信息,我们可以找到客户端的 IP 地址:
客户端实际上与几个不同的 Google 服务器通信,以实现“安全浏览”。提供主要 Google 网页的服务器地址是64.233.169.104,为了仅仅显示客户端的请求和服务器的响应,请在 Wireshark 过滤器输入过滤式http && ip.addr == 64.233.169.104 。由此,我们可以知道在不同时间的客户端发送到 Google 服务器的 IP 数据报上的源 IP 地址、目标 IP 地址、TCP 源和目标端口。
例如:选择在 7.109267s 时间的客户端发送到 Google 服务器(其 IP 地址为64.233.169.104)的 HTTP GET。承载此 HTTP GET 的 IP 数据报上的源 IP 地址192.168.1.100;端口 4335。目的 IP64.233.169.104;端口 80。
- 找到 Google 服务器收到相应状态码的时间,以及其他信息:
例如:7.158797s 时从 Google 服务器收到相应的状态码 200、状态 OK 的 HTTP 响应消息。 携带状态码200、状态 OK 的 HTTP 响应消息的 IP 数据报上的源和目标 IP 地址64.233.169.104,端口 80;以及 TCP 源 IP地址192.168.1.100,端口 4335。
操作要求
注意:由于你可能没有在 NAT 设备抓包的权限以及没有两台以上的电脑用以抓包,所以此实验抓包操作不能由你亲自完成,这里使用已提供的跟踪文件进行分析。
双击打开桌面上的工作区文件夹workspace,再打开实训文件夹myshixun,并打开文件message-1.txt,将查询的信息保存到文件message-1.txt。具体要求如下: (1)打开 Wireshark,加载实训文件夹中的NAT_home_side文件并筛选出其中的 HTTP 报文; (2)客户端的 IP 地址是多少?填写到文件中; (3)在 Wireshark 过滤器输入以下过滤式http && ip.addr == 64.233.169.104 ; (4)选择在 7.109267s 时间的客户端发送到 Google 服务器的 HTTP GET。请问此 HTTP GET 的 IP 数据报上的源 IP 地址和目标 IP 地址以及 TCP 源和目标端口是什么?填写到文件中(用;隔开); (5)什么时候从 Google 服务器收到相应的状态码 200、状态 OK 的 HTTP 响应消息?填写到文件中; (6)携带状态码200、状态 OK 的 HTTP 响应消息的 IP 数据报上的源和目标 IP 地址以及 TCP 源端口和目标端口是什么?填写到文件中(用;隔开,注意区分中英文);
测试说明
平台会对你回答的结果进行测试,如果与预期结果一致,则顺利通关。
开始你的任务吧,祝你成功!
第2关:NAT ISP分析
任务描述
本关任务:对已经收集到的 NAT ISP 进行分析,在路由器和 ISP 之间的链路上捕获的跟踪文件NAT_ISP_side中找到这两个 HTTP 消息和两个 TCP 报文。
相关知识
为了完成本关任务,你需要掌握:NAT ISP 的简单分析。
NAT ISP
- 根据打开收集到的跟踪文件,同样在 Wireshark 过滤器输入过滤式
http && ip.addr == 64.233.169.104,我们可以找到跟刚才客户端相应时间,同样目的地发送的 HTTP GET 消息出现在NAT_ISP_side跟踪文件中的时间。
例如:找到跟刚才客户端 7.109267s 同样目的地发送的 HTTP GET 消息,该消息出现在NAT_ISP_side跟踪文件中的时间是 6.069168s;承载此 HTTP GET 消息的 IP 数据报的源 IP71.192.34.104,端口 4335;目的 IP64.233.169.104,端口 80。
- 对比两个收集到的跟踪文件,可以发现 HTTP GET 消息中的任何字段都没有更改。
操作要求
双击打开桌面上的工作区文件夹workspace,再打开实训文件夹myshixun,并打开文件message-2.txt,将查询的信息保存到文件message-2.txt。具体要求如下: (1)打开 Wireshark,加载实训文件夹中的NAT_ISP_side文件,在过滤器输入过滤式http && ip.addr == 64.233.169.104 ; (2)找到跟刚才客户端 7.109267s 同样目的地发送的 HTTP GET 消息,请问该消息何时出现在NAT_ISP_side跟踪文件中?填写到文件中; (3)承载此 HTTP GET 消息的 IP 数据报的源和目的 IP 以及端口是多少?填写到文件中(用;隔开,注意区分中英文); (4)对比两个跟踪文件,回答 HTTP GET 消息中的任何字段是否已更改?(填写"是/否");
测试说明
平台会对你回答的结果进行测试,如果与预期结果一致,则顺利通关。
开始你的任务吧,祝你成功!
扫一扫
3626
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
