Wireshark实验

最新推荐文章于 2023-10-10 10:31:10 发布

犹豫就会败北ldk

最新推荐文章于 2023-10-10 10:31:10 发布

阅读量212

点赞数

分类专栏：计算机网络实验

本文链接：https://blog.csdn.net/li_de_kun/article/details/110000763

版权

计算机网络实验专栏收录该内容

2 篇文章 0 订阅

订阅专栏

计算机网络实验二----Wireshark实验

一.数据链路层

实作1.熟悉Ethernet帧结构。

在这里插入图片描述
该条记录的源MAC地址c4:9f:4c:db:51:2e目的MAC地址是我的电脑网卡地址80:c5:f2:d3:d5:f7类型是IPv4。

问题
你会发现 Wireshark 展现给我们的帧中没有校验字段，请了解一下原因。
答：这是因为有时校验和会由网卡计算，这时wireshark抓到的本机发送的数据包的校验和都是错误的，所以默认关闭了WireShark自己的校验。

实作二了解子网内/外通信时的 MAC 地址

1.ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？
在这里插入图片描述
该条记录的目的MAC地址b8:27:eb:ad:e8:a3是旁边计算机的（这里我使用的是树莓派），源MAC地址是我的电脑网卡地址80:c5:f2:d3:d5:f7
2.然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

在这里插入图片描述
该条记录的目的MAC地址c4:9f:4c:db:51:2e是网关的，源MAC地址是我的电脑网卡地址80:c5:f2:d3:d5:f7
3.再次 ping www.cqjtu.edu.cn （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？
在这里插入图片描述
该条记录的目的MAC地址c4:9f:4c:db:51:2e是网关的，源MAC地址是我的电脑网卡地址80:c5:f2:d3:d5:f7

问题
通过以上的实验，你会发现：
访问本子网的计算机时，目的 MAC 就是该主机的
访问非本子网的计算机时，目的 MAC 是网关的
请问原因是什么？
答：因为在本子网中的计算机我们能够通过广播方式知晓它的MAC，而访问非子网的计算机时，我们不能通过广播方式知道目标的MAC地址，只能知道本子网与公网的“接口”的MAC地址

实作三掌握 ARP 解析过程

1.为防止干扰，先使用 arp -d * 命令清空 arp 缓存
2.ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。
在这里插入图片描述
该条记录的目的MAC地址ff:ff:ff:ff:ff:ff是广播地址，源MAC地址是我的电脑网卡地址80:c5:f2:d3:d5:f7

该条记录的源MAC地址b8:27:eb:ad:e8:a3是旁边计算机的，目的MAC地址是我的电脑网卡地址80:c5:f2:d3:d5:f7
3.再次使用 arp -d * 命令清空 arp 缓存
4.然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。
在这里插入图片描述
该条记录的目的MAC地址ff:ff:ff:ff:ff:ff是广播地址，源MAC地址是我的电脑网卡地址80:c5:f2:d3:d5:f7

该条记录的源MAC地址c4:9f:4c:db:51:2e是网关的，目的MAC地址是我的电脑网卡地址80:c5:f2:d3:d5:f7

问题
通过以上的实验，你应该会发现，
ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP，那么 ARP 解析将直接得到该 IP 对应的 MAC；如果访问的非本子网的 IP，那么 ARP 解析将得到网关的 MAC。
请问为什么？
答：因为广播方式只能在子网内部进行。

网络层

实作一熟悉 IP 包结构

使用 Wireshark 任意进行抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。
在这里插入图片描述
版本:IPv4、头部长度:20 bytes、总长度: 1400、TTL:49、协议类型:TCP

问题
为提高效率，我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段，也有总长度字段。请问为什么？
答：为了给上层提供更好的服务，利于上层提取数据

实作二 IP 包的分段与重组

根据规定，一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。

缺省的，ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等
在这里插入图片描述
这里我ping的是搜狗，命令ping sogou.com -l 2000，分段标志是More fragments,该包的大小1239位

问题
分段与重组是一个耗费资源的操作，特别是当分段由传送路径上的节点即路由器来完成的时候，所以 IPv6 已经不允许分段了。那么 IPv6 中，如果路由器遇到了一个大数据包该怎么办？
答：转发到支持该数据包传输的路上或者由路由器丢弃这个大数据包

实作三考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳（hops），一般该值设置为 64、128等。

在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。

请使用 tracert www.baidu.com 命令进行追踪，此时使用 Wireshark 抓包（用 icmp 过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理。
在这里插入图片描述

✎ 问题
在 IPv4 中，TTL 虽然定义为生命期即 Time To Live，但现实中我们都以跳数/节点数进行设置。如果你收到一个包，其 TTL 的值为 50，那么可以推断这个包从源点到你之间有多少跳？
答：这个包从源点到我之间有50跳。

传输层

实作一熟悉 TCP 和 UDP 段结构

1.用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。
在这里插入图片描述
源端口：443、目的端口:51470、序列号:2721、确认号:518、各种标志位0x010,只有ACK的标志位为1，其余为0
2.用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。

源端口：4028、目的端口：8000、长度:55等。

实作二分析 TCP 建立和释放连接

1.打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
在这里插入图片描述
2.请在你捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。

用于建立连接时会用到SYN这个标志位，这时它的值为1，在其余时间这个标志位是0。
3.请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。
在这里插入图片描述
用于释放连接时会用到FIN这个标志位，这时它的值为1，其余时间为0。

✎ 问题一
去掉 Follow TCP Stream，即不跟踪一个 TCP 流，你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接？作用是什么？
答：因为我们访问网页时，服务器端会提供多个服务，这些服务也需要建立TCP连接，另外，这时建立的TCP服务的端口其实是会被转接到另一个端口的，因为网页的默认端口会面对多个用户。

✎ 问题二
我们上面提到了释放连接需要四次挥手，有时你可能会抓到只有三次挥手。原因是什么？
答：第二次挥手中会包含第一次挥手的确认和服务器端的断开请求。

应用层

应用层的协议非常的多，我们只对 DNS 和 HTTP 进行相关的分析。

实作一了解 DNS 解析

1.先使用 ipconfig /flushdns 命令清除缓存，再使用 nslookup qige.io 命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。
在这里插入图片描述

2.你应该可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。
在这里插入图片描述

3.可了解一下 DNS 查询和应答的相关字段的含义

✎ 问题
你可能会发现对同一个站点，我们发出的 DNS 解析请求不止一个，思考一下是什么原因？
答：因为本地的域名服务器可能没有该站点的解析，你需要找根域名服务器

实作二了解 HTTP 的请求和应答

1.打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。
在这里插入图片描述

2.请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。
在这里插入图片描述

头部包括请求方式和请求的链接
3.请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
在这里插入图片描述

✎ 问题
刷新一次 qige.io 网站的页面同时进行抓包，你会发现不少的 304 代码的应答，这是所请求的对象没有更改的意思，让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答？
因为浏览器要判断文件有无修改，和cache结果是否一致。这要经过以下几个状态：
初始状态
第一次访问时，向服务器发送请求，成功收到响应，返回200，浏览器下载资源文件，并记录下response header和返回时间。
再次请求相同资源
再次访问相同资源时，本地先判断是否需要发送请求给服务端：比较当前时间和上一次返回200时的时间差，如果未超过过期时间，则命中强缓存，读取本地缓存资源。如果过期了，则向服务器发送header带有If-None-Match和If-Modified-Since的请求
服务器收到请求后，优先根据Etag的值判断被请求的文件有没有做修改，Etag值一致则没有修改，命中协商缓存，返回304；如果不一致则有改动，直接返回新的资源文件带上新的Etag值并返回200；
如果服务器收到的请求没有Etag值，则将If-Modified-Since和被请求文件的最后修改时间做比对，一致则命中协商缓存，返回304；不一致则返回新的last-modified和文件并返回200；
参考文档
服务器为什么会回答304而不是200