计算机网络——Wireshark 实验

最新推荐文章于 2024-07-26 15:37:31 发布

DayDream_six

最新推荐文章于 2024-07-26 15:37:31 发布

阅读量1.1k

点赞数

分类专栏：计算机网络文章标签： wireshark 网络 macos

本文链接：https://blog.csdn.net/i__boy/article/details/122031671

版权

计算机网络专栏收录该内容

3 篇文章 0 订阅

订阅专栏

计算机网络——Wireshark 实验

本实验基于棋歌教学网完成

本部分按照数据链路层、网络层、传输层以及应用层进行分类，共有 10 个实验。需要使用协议分析软件 Wireshark 进行，请根据简介部分自行下载安装。

一、数据链路层

1. 实作一熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。
在这里插入图片描述

✎ 问题
你会发现 Wireshark 展现给我们的帧中没有校验字段，请了解一下原因。

答：Wireshark会自动丢弃掉校验字段。有时校验会由网卡计算，这时Wireshark抓到的本机发送的数据包的校验和都是错误的，所以默认关闭了Wireshark自己的校验。

实作二了解子网内/外通信时的 MAC 地址

ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？
然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？
再次 ping www.cqjtu.edu.cn （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？
ping 同一子网的计算机

发出帧的目的 MAC 地址：48:f1:7f:17:e3:73
返回帧的源 MAC 地址：98: 2c: bc:96:eb:87

本机MAC: 98-2C-BC-96-EB-87
ping qige.io

发出帧的目的 MAC 地址：e2:e5: 3e: 32:14:21
返回帧的源 MAC 地址：98: 2c: bc:96:eb:87
Ping www.cqjtu.edu.cn

发出帧的目的 MAC 地址：e2:e5:3e:32:14:21
返回帧的源 MAC 地址：98:2c:bc:96:eb:87

✎ 问题
通过以上的实验，你会发现：

访问本子网的计算机时，目的 MAC 就是该主机的
访问非本子网的计算机时，目的 MAC 是网关的
请问原因是什么？

答：MAC地址工作于局域网，局域网之间的互连一般通过现有的公用网或专用线路，需要进行网间协议转换。所以访问非本子网的计算机时，目的 MAC 是网关的。

实作三掌握 ARP 解析过程

为防止干扰，先使用 arp -d * 命令清空 arp 缓存
ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。
再次使用 arp -d * 命令清空 arp 缓存
然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。

Ping 192.168.43.94

回应的源 MAC：48:f1:7f:17:e3:73
目的 MAC 地址：98: 2c:bc:96:eb:87
ping qige.io

回应的源 MAC：e2:e5:3e: 32:14:21
目的 MAC 地址：98: 2c:bc:96:eb:87

✎ 问题

通过以上的实验，你应该会发现，

ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP，那么 ARP 解析将直接得到该 IP 对应的 MAC；如果访问的非本子网的IP，那么 ARP 解析将得到网关的 MAC。
请问为什么？

答：ARP代理，访问非子网IP时是通过路由器访问的，路由器再把发出去，目标IP收到请求后，再通过路由器端口IP返回去，那么ARP解析将会得到网关的MAC。

二、网络层

实作一熟悉 IP 包结构

使用 Wireshark 任意进行抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。
在这里插入图片描述

✎ 问题

为提高效率，我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段，也有总长度字段。请问为什么？

答：便于传输时的识别IP总长度，节省时间，当长度超过1500B时就会被返回链路层进行分段。

实作二 IP 包的分段与重组

根据规定，一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。

缺省的，ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等

在这里插入图片描述

✎ 问题
分段与重组是一个耗费资源的操作，特别是当分段由传送路径上的节点即路由器来完成的时候，所以 IPv6 已经不允许分段了。那么 IPv6 中，如果路由器遇到了一个大数据包该怎么办？

答：转发至能支持该数据报的出链路上。

实作三考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳（hops），一般该值设置为 64、128等。

在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。

请使用 tracert www.baidu.com 命令进行追踪，此时使用 Wireshark 抓包（用 icmp 过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理。

使用 tracert www.baidu.com 命令进行追踪。
在这里插入图片描述

路由追踪原理：
TTL字段指定IP包被路由器丢弃之前允许通过的最大网段数量。
Tracert 先发送 TTL 为 1 的回应数据包，并随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。

✎ 问题

在 IPv4 中，TTL 虽然定义为生命期即 Time To Live，但现实中我们都以跳数/节点数进行设置。如果你收到一个包，其 TTL
的值为 50，那么可以推断这个包从源点到你之间有多少跳？

答：14跳。

三、传输层

实作一熟悉 TCP 和 UDP 段结构

用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。
用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。

✎ 问题

由上大家可以看到 UDP 的头部比 TCP 简单得多，但两者都有源和目的端口号。请问源和目的端口号用来干什么？

答：源端口就是指本地端口，目的端口就是远程端口。

实作二分析 TCP 建立和释放连接

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
请在你捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。

第一次握手SYN为1；第二次握手SYN和ACK都为1；第三次握手SYN为0，ACK置为1。
请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。

”第一次挥手”客户端发送的FIN请求释放连接报文以[FIN，ACK]作为标志位，其中报文序号Seq=1；确认号Ack=348；
”第二次挥手”服务器端继续返回的FIN同意释放连接报文以[FIN，ACK]作为标志位；其中报文序号Seq=567；确认号Ack=924；
”第三次挥手”客户端发出的ACK确认接收报文以[ACK]作为标志位；其中报文序号Seq=110；确认号Ack=567。

✎ 问题一

去掉 Follow TCP Stream，即不跟踪一个 TCP 流，你可能会看到访问 qige.io时我们建立的连接有多个。请思考为什么会有多个连接？作用是什么？

答：因为当其数据传输完成后就会断开连接，一旦需要重新进行发送数据，就要再次进行连接。是为了实现多个用户进行访问，对业务频率不高的场合，节省通道的使用，不让其长期占用通道。

✎ 问题二

我们上面提到了释放连接需要四次挥手，有时你可能会抓到只有三次挥手。原因是什么？

答：可能第二次和第三次合并了。FIN报文用在本端没有数据发送给对方时，关闭从本端到对端的连接。但是并不影响从对方到本端的连接，也就是说本端仍然可以接收对方的数据。即发送通道关闭，接收通道正常。如果对方收到本端FIN报文时，对方的接收通道就会关闭。此时，如果对方也没有数据发给本端，那么对方也会发送FIN给本端，用于关闭从对方到本端的连接，这时候就可能出现ACK和FIN合在一起的情况。

四、应用层

应用层的协议非常的多，我们只对 DNS 和 HTTP 进行相关的分析。

实作一了解 DNS 解析

先使用 ipconfig /flushdns 命令清除缓存，再使用 nslookup qige.io 命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。
你应该可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。
可了解一下 DNS 查询和应答的相关字段的含义

✎ 问题

你可能会发现对同一个站点，我们发出的 DNS 解析请求不止一个，思考一下是什么原因？

答：为了使服务器的负载得到平衡(因为每天访问站点的次数非常多）网站就设有好几个计算机，每一个计算机都运行同样的服务器软件。这些计算机的IP地址不一样，但它们的域名却是相同的。这样，第一个访问该网址的就得到第一个计算机的IP地址，而第二个访问者就得到第二个计算机的IP地址等等。这样可使每一个计算机的负荷不会太大。

实作二了解 HTTP 的请求和应答

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。
请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。
请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

ccept:告诉WEB服务器自己接受什么介质类型
Content-Type:WEB 服务器告诉浏览器自己响应的对象的类型
Content-Length:WEB 服务器告诉浏览器自己响应的对象的长度
Cache-Control:用来指示缓存系统（服务器上的，或者浏览器上的）应该怎样处理缓存
Host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
POST:请求的方式，其中包括URI和版本
在这里插入图片描述
常用：
200 - 服务器成功返回网页
404 - 请求的网页不存在
503 - 服务器超时
其他：
1xx(临时响应)
100(继续)请求者应当继续提出请求。服务器返回此代码表示已收到请求的第一部分，正在等待其余部分。
101(切换协议)请求者已要求服务器切换协议，服务器已确认并准备切换。
2xx (成功)
201(已创建)请求成功并且服务器创建了新的资源。
202(已接受)服务器已接受请求，但尚未处理。
203(非授权信息)服务器已成功处理了请求，但返回的信息可能来自另一来源。
204(无内容)服务器成功处理了请求，但没有返回任何内容。
205(重置内容)服务器成功处理了请求，但没有返回任何内容。与 204响应不同，此响应要求请求者重置文档视图(例如，清除表单内容以输入新内容)。
206(部分内容)服务器成功处理了部分 GET 请求。
3xx (重定向)
300(多种选择)针对请求，服务器可执行多种操作。服务器可根据请求者 (user agent)
选择一项操作，或提供操作列表供请求者选择。
301(永久移动)请求的网页已永久移动到新位置。服务器返回此响应(对 GET 或 HEAD
请求的响应)时，会自动将请求者转到新位置。您应使用此代码告诉 Googlebot 某个网页或网站已永久移动到新位置。
302(临时移动)服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来响应以后的请求。此代码与响应 GET 和 HEAD
请求的 301 代码类似，会自动将请求者转到不同的位置，但您不应使用此代码来告诉 Googlebot 某个网页或网站已经移动，因为Googlebot 会继续抓取原有位置并编制索引。
303(查看其他位置)请求者应当对不同的位置使用单独的 GET 请求来检索响应时，服务器返回此代码。对于除 HEAD
之外的所有请求，服务器会自动转到其他位置。
304(未修改)自从上次请求后，请求的网页未修改过。服务器返回此响应时，不会返回网页内容。
305(使用代理)请求者只能使用代理访问请求的网页。如果服务器返回此响应，还表示请求者应使用代理。
307(临时重定向)服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来响应以后的请求。此代码与响应 GET 和 HEAD
4xx(请求错误)
400(错误请求)服务器不理解请求的语法。
401(未授权)请求要求身份验证。对于登录后请求的网页，服务器可能返回此响应。
403(禁止)服务器拒绝请求。如果您在 Googlebot 尝试抓取您网站上的有效网页时看到此状态码(您可以在 Google网站管理员工具诊断下的网络抓取页面上看到此信息)，可能是您的服务器或主机拒绝了 Googlebot 访问。
404(未找到)服务器找不到请求的网页。例如，对于服务器上不存在的网页经常会返回此代码。
500(服务器内部错误)服务器遇到错误，无法完成请求。
5xx(服务器错误)
501(尚未实施)服务器不具备完成请求的功能。例如，服务器无法识别请求方法时可能会返回此代码。
502(错误网关)服务器作为网关或代理，从上游服务器收到无效响应。
503(服务不可用)服务器目前无法使用(由于超载或停机维护)。通常，这只是暂时状态。
504(网关超时)服务器作为网关或代理，但是没有及时从上游服务器收到请求。
505(HTTP 版本不受支持)服务器不支持请求中所用的 HTTP 协议版本。

✎ 问题

刷新一次 qige.io 网站的页面同时进行抓包，你会发现不少的 304
代码的应答，这是所请求的对象没有更改的意思，让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答？

答：因为服务器告诉浏览器当前请求的资源上一次修改的时间是这个时间。浏览器第二次发送请求的时候，告诉浏览器上次请求的资源现在还在自己的缓存中，如果这个资源还没有修改，就可以不用传送应答体给本机了。服务器根据浏览器传来的时间发现和当前请求资源的修改时间一致，就应答304，表示不传应答体了，从之前的缓存里取。