数据链路层
1 验证Ethernet的帧结构
1.1实验目的
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
1.2实验过程描述及分析
目的MAC、源MAC与类型:
1.3结论
抓包过程会发现 Wireshark 展现给我们的帧中没有校验字段,是因为Wireshark 抓取的包会自动丢弃掉校验字段。
2 了解子网内/外通信时的 MAC 地址
2.1实验目的
通过使用ping与wireshark 抓包,了解子网内、外通信时的MAC地址。
2.2实验过程描述及分析
-
ping你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
这个Mac地址是旁边同一子网的物理地址。 -
然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
由于四次发送都丢包了,无返回帧;
发出帧的目的MAC地址是子网网关的物理地址。 -
再次ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
发出帧的目的MAC地址以及返回帧的源MAC地址相同,这个MAC地址是子网网关的物理地址。
2.3结论
- 通过以上的实验可以发现:
1.访问本子网的计算机时,目的 MAC 就是该主机的
2.访问非本子网的计算机时,目的 MAC 是网关的 - 原因:
访问非本子网的计算机时,是通过MAC地址送到网关,然后出了网关再通过 IP 地址进行查找;接收到非子网的计算机返回的数据都是先到网关,网关再根据目的 MAC送到本机。
3 掌握 ARP 解析过程
3.1 实验目的
通过wireshark抓包并使用ARP过滤,掌握 ARP 解析过程。
3.2实验过程描述及分析
-
为防止干扰,先使用 arp -d * 命令清空 arp 缓存
-
ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
-
再次使用 arp -d * 命令清空 arp 缓存
-
然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
3.3结论
- 通过以上的实验可以发现:
1、ARP 请求都是使用广播方式发送的
2、如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。 - 原因:
如果访问的是本子网的 IP ,如果 ARP 缓存中没有该 IP——MAC绑定地址,那么就是发送一个广播,在子网中找寻这个 IP ,然后将这个 IP 与对应的 MAC进行绑定;如果访问的是非子网的 IP ,那么 APR 将会解析得到网关的MAC,因为发送数据到外网都是通过网关这个端口,所以得到的是网关的MAC。
网络层
4 熟悉IP包结构
4.1 实验目的
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
4.2实验过程描述及分析
IP包结构:
- 版本号(Version):
长度4比特。标识目前采用的IP协议的版本号。一般的值为0100(IPv4),0110(IPv6); - IP包头长度(Header Length):
长度4比特。描述IP包头的长度,因为在IP包头中有变长的可选部分。该部分占4个bit位,单位为32bit(4个字节),即本区域值= IP头部长度(单位为bit)/(84),因此,一个IP包头的长度最长为“1111”,即154=60个字节。IP包头最小长度为20字节; - IP包总长(Total Length):
长度16比特。以字节为单位计算的IP包的长度 (包括头部和数据),所以IP包最大长度65535字节。 - 标识符(Identifier):
长度16比特。该字段和Flags和Fragment Offest字段联合使用,对较大的上层数据包进行分段(fragment)操作。路由器将一个包拆分后,所有拆分开的小包被标记相同的值,以便目的端设备能够区分哪个包属于被拆分开的包的一部分。 - 标记(Flags):
长度3比特。该字段第一位不使用。第二位是DF(Don’t Fragment)位,DF位设为1时表明路由器不能对该上层数据包分段。如果一个上层数据包无法在不分段的情况下进行转发,则路由器会丢弃该上层数据包并返回一个错误信息。第三位是MF(More Fragments)位,当路由器对一个上层数据包分段,则路由器会在除了最后一个分段的IP包的包头中将MF位设为1。 - 片偏移(Fragment Offset):
长度13比特。表示该IP包在该组分片包中位置,接收端靠此来组装还原IP包。 - 生存时间(TTL):
长度8比特。当IP包进行传送时,先会对该字段赋予某个特定的值。当IP包经过每一个沿途的路由器的时候,每个沿途的路由器会将IP包的TTL值减少1。如果TTL减少为0,则该IP包会被丢弃。这个字段可以防止由于路由环路而导致IP包在网络中不停被转发。 - 协议(Protocol):
长度8比特。标识了上层所使用的协议。 - 头部校验(Header Checksum):
长度16位。用来做IP头部的正确性检测,但不包含数据部分。 因为每个路由器要改变TTL的值,所以路由器会为每个通过的数据包重新计算这个值。
4.3结论
- 为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。
- 原因:
为了便于上层将 IP 包中的数据提取出来,如果只有其中一个长度字段,显然上层协议不知道从哪到哪是数据。且当接收端需要读数据,接收数据当长度超过1500B时就会被返回链路层进行分段,有标明可以有效节省时间。
5 IP 包的分段与重组
5.1 实验目的
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等。
5.2 实验过程描述及分析
IP包分段:
- 分段标志:Flags
- 偏移量:Fragment Offset,为0
5.3结论
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。IPv6 中,如果路由器遇到了一个大数据包时,应该转发到支持该数据传输的路由上或者丢弃,并返回主机发送失败的信息。
6 考察TTL 事件
6.1 实验目的
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
6.2 实验过程描述及分析
- 先用tracert命令追踪:
- 再用 Wireshark 抓包(用 icmp 过滤):
TTL从1开始,每经过一个路由,TTL的的设置就会增加1,直到到达目的地址。发送包才将TTL设置为64或者128,将数据按照路由的顺序进行数据的发送。
6.3结论
在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到我之间有14跳,TTL的设置为与其最靠进的2的n次幂。
传输层
7 熟悉 TCP 和 UDP 段结构
7.1 实验目的
1.用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
2.用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
7.2实验过程描述及分析
- TCP:
-
TCP报文段:
报文段包括了20~60字节的首部,其中20字节是没有选项的,后面40字节可选。 -
源地址端口Source Port:
16位字段,发送该报文段的主机中应用程序的端口号。 -
目的端口号Destination Port:
表示目的主机接收数据的端口号 -
序列号Sequence number:
32位字段。指派给本报文段第一个数据字节的编号,TCP传输保证连接性,发送的每个字节都要编上号。序号就是告诉终点,报文段中的第一个字节是序列中的哪个。建立连接时,发收双发使用各自的随机数产生器产生一个初始序号(ISN),通常,两个方向的ISN是不同的。 -
确认号Acknowledgment number:
32位字段定义了接收方期望从对方接受的字节编号。如果报文段的接收方成功的接受了对方发过来的编号x的字节,那么返回x+1作为确认号,确认号可以和数据捎带一起发送。 -
各种标志位Flags:
只有ACK的标志位为1,其余为0。
URG - 紧急标识,表示TCP包的紧急指针域有效,用来保证TCP连接不被中断,并且督促中间层设备要尽快处理这些数据;
PSH - 推送标识,表示有data数据传输;
RST - 重置标识,复位产生错误的连接,拒绝错误和非法的数据包;
SYN - 同步序号,用于建立连接;
FIN - 终止连接,表示发送端已到达数据末尾,即双方数据传送完成;
ACK - 确认标识,表示应答域有效; -
首部长度Header Lenth:
4位,指出TCP首部一共有多少个4字节,所以范围是5~15。 -
紧急指针Urgent Pointer:
只有当紧急标志置位时URG,该16位的字段才有效。紧急指针定义了一个数值,把这个数值加到序号上就得到版文段数据部分中最后一个紧急字节的编号。 -
TCP各种状态:
LISTEN:
侦听来自远方的TCP端口的连接请求;
SYN-SENT:
再发送连接请求后等待匹配的连接请求(客户端);
SYN-RECEIVED:
再收到和发送一个连接请求后等待对方对连接请求的确认(服务器);
ESTABLISHED:
代表一个打开的连接;
FIN-WAIT-1:
等待远程TCP连接中断请求,或先前的连接中断请求的确认;
FIN-WAIT-2:
从远程TCP等待连接中断请求;
CLOSE-WAIT:
等待从本地用户发来的连接中断请求;
CLOSING:
等待远程TCP对连接中断的确认;
LAST-ACK:
等待原来的发向远程TCP的连接中断请求的确认;
TIME-WAIT:
等待足够的时间以确保远程TCP接收到连接中断请求的确认;
CLOSED:
没有任何连接状态;
- UDP:
- UDP的分组称用户数据报:
它有8字节的固定首部。 - 总长度:
16位字段,定义了用户数据报的总长度为0~65535字节。但实际长度肯定比65535小,因为用户数据报要放在总长度为65535的IP数据报中,封装在IP数据报中。因此UDP长度= IP长度- IP首部长度。 - 校验码:
增加一个伪首部,对于UDP协议来说协议字段的值为17。若在传输过程中这个值发生改变,接收端计算检验和就能检测出来。UDP使用检验和是可选的,如果不计算就将这16位全部填0.
7.3结论
由上可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。源端口来表示发送终端的某个应用程序,目的端口来表示接收终端的某个应用程序,端口号是达到主机上的某个应用程序,从而实现应用程序之间的通信。
8 分析 TCP 建立和释放连接
8.1 实验目的
打开浏览器访问 qige.io 网站,用 Wireshark 抓包,在捕获的包中寻找到三次、四次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
8.2实验过程描述及分析
-
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
-
请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
它们的长度都很短。通过发出 SYN 信号请求连接,然后服务器端回应 ACK 确认收到请求,然后主机再发出一个确认信号。第一次握手时除了 SYN = 1 外其余的标志都为 0 ,第二次握手时除了 SYN = 1 且 ACK = 1 外其余的标志都为 0 ,第三次握手时除了 ACK = 1 外其余的标志都为 0 。 -
请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
它们的长度都很短。但是这里四次挥手只抓到了三个包,原因是第二次、第三次挥手合并成了一个包,所以只看到了三个包。首先发出 FIN 信号请求断开,然后服务器端回应一个 ACK 确认信号,然后又发出一个 FIN 信号(这里将 ACK 和 FIN 合并成立一个包),然后主机回应一个 ACK 确认信号,即可断开连接。
8.3结论
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,可能会看到访问 qige.io 时我们建立的连接有多个。是因为浏览器在访问qige.io的时候,不止一个端口与qige.io建立连接,而是许多端口同时与它建立连接,这样同时进行加载数据,可以提高运行速度。
释放连接需要四次挥手,有时可能会抓到只有三次挥手,是由于时延,将第二次、第三次挥手发出的包合并为了一个。
应用层
9 了解DNS 解析
9.1 实验目的
通过用 Wireshark 任意抓包并用dns 过滤,了解DNS解析。
9.2实验过程描述及分析
-
先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
-
你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
-
可了解一下 DNS 查询和应答的相关字段的含义
DNS报文头部的16位标志字段的细节如图:
- QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文
opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态 - AA:授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器
- TC:截断标志,仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制,所以过长的DNS报文将被截断。1表示DNS报文超过512字节,并被截断
- RD:递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。0表示执行迭代查询,即如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供客户端参考
- RA:允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询
- zero:这3位未用,必须设置为0
- rcode:4位返回码,表示应答的状态。常用值有0(无错误)和3(域名不存在)
9.3结论
对同一个站点,发出的 DNS 解析请求不止一个,其原因可能是DNS解析过程是先从浏览器的DNS缓存中检查是否有这个网址的映射关系,如果有,就返回IP,完成域名解析;如果没有,操作系统会先检查自己本地的hosts文件是否有这个网址的映射关系,如果有,就返回IP,完成域名解析;如果还没有,电脑就要向本地DNS服务器发起请求查询域名;本地DNS服务器拿到请求后,先检查一下自己的缓存中有没有这个地址,有的话直接返回;没有的话本地DNS服务器会从配置文件中读取根DNS服务器的地址,然后向其中一台发起请求;直到获得对应的IP为止。
10 了解HTTP 的请求和应答
10.1 实验目的
通过用 Wireshark 任意抓包并用http 过滤,了解http的请求和应答。
10.2实验过程描述及分析
- 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
- 请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
- 请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
- 200:交易成功;
- 304:客户端已经执行了GET,但文件未变化;
- 404:没有发现文件、查询或URl;
10.3结论
刷新一次 qige.io 网站的页面同时进行抓包,会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。服务器会回答 304 应答而不是常见的 200 应答,原因是:
如果是用浏览器刷新的,那么浏览器不会去判断 max-age 了,直接去服务器拿,如果服务器判断资源没变过,则会返回304,让你自己读本地缓存即可;而返回200是指成功从服务器拿到了资源,二者意义是不一样的。
957
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
