【考前冲刺】计算机三级网络技术之综合题-sniffer抓包分析
此类型题目一般位于综合题第4题—sniffer报文分析。
命题方式
■ 给定一主机上或校园出口使用sniffer抓取的一段报文,分析抓取的报文,以填空题方式答题;抓取报文的内容主要有:客户端HTTP访问的报文、ping/tracert访问的ICMP报文、FTP访问的报文;
■ 抓取报文的主要考查的知识点有:DNS域名解析、TCP连接过程(三次握手)、tracert命令过程、FTP命令过程;
DNS
上图是Sniffer抓包中常见的图示;
主要参数解释:
No.:报文的编号;
Source Address:源IP地址;
Dest Address:目的IP地址;
Summary:报文的摘要;
Len(B报文的长度;
Rel Time报文抓取的时间。
上图的下半段指的是第18条报文的具体内容;
由上图我们可以看出表号5、6、7、8四条报文执行的是DNS域名解析的过程,域名为mail.tj.edu.cn;在域名解析的过程中,经常要判断的就是主机的IP地址和服务器的IP地址;第5条报文,肯定是主机向服务器发送请求,要求DNS进行解析,在这里我们可以看出主机的IP地址–Source Address是202.113.64.137,服务器IP地址Dest Address是202.113.64.3;第6条报文Summary摘要中参数STAT=OK(域名解析成功)是服务器返回的确认
Ping命令与Tracert命令
1. “Ping”命令
功能:通过发送ICMP报文,监听回应报文,从而检查与远程或本地计算机的连接,主要测试一个给定的目的是否可达。默认发送4个ICMP报文,每个报文包含64字节数据。
2. “Tracert”命令
功能:通过发送包含不同TTL的ICMP报文并监听回应报文,来检测到达目的计算机的路径,主要是跟踪通往给定目的地的路由器列表。
从第9到14条报文的摘要处我们可以看到“不同的 Time-to-live ”字眼,由此可以判断出第9到14条报文执行的是Tracert命令。
从上图“ICMP”报文来看,使用的是“ping”命令来探测目的主机是否可达;
TCP三次握手
TCP三次握手也是客户机和服务器的交互过程,在TCP三次握手过程中主要涉及的就是“seq”和“ack”这两个参数的计算。
第一次握手是客户机向服务器发送一个(SYN)报文,随机产生一个seq的number——seq=a;
第二次握手是服务器向客户机发送(SYN,ACK)报文,随机产生一个seq的number——seq=b,ack=a+1,ack=a中的a是第一次握手seq=a中的a;
第三次握手是客户机向服务器发送(ACK)报文,seq=a+1,ack=b+1,seq=a+1中的a就是第一次握手产生的值,ack=b+1中的b就是第二次握手seq=b中的b。
小结:①seq=a
②seq=b,ack=a+1
③seq=a+1,ack=b+1
由上图可看出,第5、6、7条报文是TCP三次握手的报文;
①空:第二次握手报文ACK值应该是第一次握手SEQ值加1,答案为143086952;
②空:第二次握手报文SEQ值是随机的,但是由第二次握手的详细报文内容可以看到:“Next expected Seq number=3056467585”;
FTP
如果报文Summary中显示有FTP字样,可以判断出是使用FTP这个命令负责将电脑上的数据与服务器数据进行交换;
610
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
