计算机实验(wireshark)

最新推荐文章于 2023-07-21 00:18:58 发布
最新推荐文章于 2023-07-21 00:18:58 发布
阅读量1.2k 收藏 19
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51039112/article/details/111600773
版权

目录

一、实验内容

1.数据链路层

实作一

熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
在这里插入图片描述
Frame: 物理层的数据帧概括
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 网络层IP包头部信息
Transmission Control Protocol: 传输层数据段头部信息
Hypertext Transfer Protocol: 应用层的信息
在这里插入图片描述
上图可以看出
源MAC:00:74:9c:9f:40:13
目的MAC:8c:16:45🇩🇪a6:33
类型:IPV4(0x0800)
字段:15121
字节长度:66 bytes(528bits)

问题:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
答:Wireshark 抓包前,在物理层网卡已经去掉了一些之前几层加的东西,比如前导同步码,FCS等等,之后利用校验码CRC校验,正确时才会进行下一步操作,这时wireshark抓到的本机发送的数据包的校验和都是错误的,所以默认关闭了WireShark自己的校验。

实作二

了解子网内/外通信时的 MAC 地址
1.ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
在这里插入图片描述从上图可以看出本机的mac地址为8c-16-45-DE-A6-33,ip地址为10.61.64.181。

ping 10.61.169.186
在这里插入图片描述
用wireshark抓包
在这里插入图片描述
从上面可以看出 发出帧源MAC地址 :8c:16:45🇩🇪a6:33 返回帧源MAC地址:30:9c:23:d8:8e:4a 30:9c:23:d8:8e:4a这个MAC地址是处在同一子网里的该计算机的MAC地址

2.然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
ping qige.io
在这里插入图片描述
wireshark抓包
在这里插入图片描述
从上图可以看出发出帧源MAC地址:8c:16:45🇩🇪a6:33返回帧源MAC地址:00:74:9c:9f:40:13 00:74:9c:9f:40:13这个MAC地址是此子网网关的MAC地址。

3.再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
ping www.baidu.com
在这里插入图片描述
用wireshark抓包
在这里插入图片描述从上图可以看出发出帧源MAC地址:8c:16:45🇩🇪a6:33返回帧源MAC地址:00:74:9c:9f:40:13 00:74:9c:9f:40:13 这个MAC地址是此子网网关的MAC地址。

问题:通过以上的实验,你会发现:访问本子网的计算机时,目的 MAC 就是该主机的访问非本子网的计算机时,目的 MAC
是网关的。请问原因是什么?
答:这是因为数据包在两个通信子网的进行传输,本机接收到的本子网以外的信息必定经由网关发送给我,同理本机发送到本子网外信息的下个MAC地址必定是网关的MAC地址。而本子网内的可以直接到达,无需离开本子网。

实作三

掌握 ARP 解析过程
1.为防止干扰,先使用 arp -d * 命令清空 arp 缓存
以管理员身份运行
在这里插入图片描述
2.ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
ping 10.61.169.186
在这里插入图片描述
用wireshark抓包
在这里插入图片描述
ARP 请求都是使用广播方式发送的如,果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;
发出帧,广播地址:ff:ff:ff:ff:ff:ff
回复时,是对方的MAC物理地址。
3.再次使用 arp -d * 命令清空 arp 缓存
在这里插入图片描述
4.然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
ping qige.io
在这里插入图片描述
用wireshark抓包
在这里插入图片描述
回复的是子网的网关MAC地址。

问题:通过以上的实验,你应该会发现,ARP 请求都是使用广播方式发送的 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP
对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。请问为什么?
答:这是因为ARP代理,访问非子网IP时是通过路由器访问的,路由器再把发出去,目标IP收到请求后,再通过路由器端口IP返回去,那么ARP解析将会得到网关的MAC。

2.网络层

实作一

熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
在这里插入图片描述
从上图可以看出
版本: IPV4
头部长度:20bytes
总体长度:60
TTL:64s
协议类型:ICMP
其他的:
Identification为标识;
Flags为标识字段;
Differentiated Services Field为服务类型;
Fragment offset为分片偏移;
Header checksum status为头部校验和;

问题:为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
答:头部长度是来表明该包头部的长度,可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度是为了接收方的网络层了解到传输的数据包含哪些,如果没有该部分,当数据链路层在传输时,对数据进行了填充,对应的网络层不会把填充的部分给去掉。

实作二

IP 包的分段与重组 根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
ping 202.202.240.16 -l 2000
在这里插入图片描述
用wireshark抓包

从上图可以知道分段标志是0x2000
后面其中一位是DF(不分段位),0表示允许分段,1则表示不允许分段,还有一位就是MF(更多段位),0表示后面没有包,1则表示后面还有其他包。偏移量:Fragment Offset=0,表明该包位于数据流的0号位置。每个包的大小是用Total Length来表示,它包含IP包头部及数据两个部分。从上面可得出2000字节被分为了两个包进行发送,IP包1的总长度为1500,IP包2的总长度为548。这里的包长度为1500。

问题:分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6中,如果路由器遇到了一个大数据包该怎么办?
答:直接丢弃再通知发送端进行重传。

实作三

考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
在这里插入图片描述
用wireshark抓包
在这里插入图片描述
由图可知,TTL字段指定IP包被路由器丢弃之前允许通过的最大网段数量,Tracert 先发送 TTL 为 1 的回应数据包,并随后的每次发送过程将 TTL 递增 1,直到目标响应或 TTL 达到最大值,从而确定路由。

问题:在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其
TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
答:ICMP 回显应答的 TTL 字段值为 128;TTL为返回值,跳数为128-50=78跳。

3.传输层

实作一

熟悉 TCP 和 UDP 段结构
1.用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
在这里插入图片描述
Source Port为源端口号
Destination Port为目的端口号
Sequence number为序号
Acknowledgment number为确认号
Header Length为报头长度
ACK为标识位
Window size value为窗口大小
checksum status为校验和
2.用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
在这里插入图片描述Source Port为源端口号
Destination Port为目的端口号
Length为UDP长度
Checksum为UDP校验和

问题:由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
答:源端口就是指本地端口,目的端口就是远程端口。源端口就是本机程序用来发送数据的端口,目的端口就是对方主机用哪个端口接收。

实作二

分析 TCP 建立和释放连接
1.打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
在这里插入图片描述
2.请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
在这里插入图片描述
第一次握手的标志位为SYN,代表客户端请求建立连接: Sep= 0
第二次握手由对方发回确认包,标志位为SYN,ACK,服务器返回SYN标志位为ACK为1,Sep=0
第三次握手客户端发送确认号ACK为1,Sep=1
3.请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
在这里插入图片描述服务端停止提出终端链接请求 。
客户端收到请求并回复。
客户端提出中断连接请求。
服务器收到请求并回复。
后一次挥手传输报文中的序号Seq值等于前一次握手传输报文中的确认号Ack值;后一次挥手传输报文中的确认号Ack值等于前一次握手传输报文中的序号Seq值。

问题一:去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io
时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
答:它们之间的连接是属于短连接,一旦数据发送完成后,就会断开连接。虽然,断开连接,但是页面还是存在,由于页面已经被缓存下来。一旦需要重新进行发送数据,就要再次进行连接。这样的连接,是为了实现多个用户进行访问,对业务频率不高的场合,节省通道的使用,不让其长期占用通道。
问题二:我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
答:因为第二次握手和第三次挥手合并了,FIN报文用在本端没有数据发送给对方时,关闭从本端到对端的连接。但是并不影响从对方到本端的连接,也就是说本端仍然可以接收对方的数据。即发送通道关闭,接收通道正常。如果对方收到本端FIN报文时,对方的接收通道就会关闭。此时,如果对方也没有数据发给本端,那么对方也会发送FIN给本端,用于关闭从对方到本端的连接,这时候就可能出现ACK和FIN合在一起的情况。当然,如果对方仍然有数据发送,那么就等数据发完,再发FIN来关闭连接,这时候就是四次挥手了。

4.网络层

应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。

实作一

1.了解 DNS 解析先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。可了解一下 DNS 查询和应答的相关字段的含义
在这里插入图片描述

问题:你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
答:一个域名并不只有一台服务器主机,虽然域名相同,但每一台服务器的IP地址不同。将负载均衡的工作交给DNS,省去了网站管理维护负载均衡服务器的麻烦。对于部署在服务器上的应用来说不需要进行任何的代码修改即可实现不同机器上的应用访问。

实作二

了解 HTTP 的请求和应答
1.打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
2.请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。在这里插入图片描述
Content-Type:WEB 服务器告诉浏览器自己响应的对象的类型
Content-Length:WEB 服务器告诉浏览器自己响应的对象的长度
POST:请求的方式,其中包括URI和版本
Cache-Control:指定请求和响应遵循的缓存机制
Host:指定请求的服务器的域名和端口号
Pragma:用来包含实现特定的指令
Accept:指定客户端能够接收的内容类型
User-Agent:User-Agent的内容包含发出请求的用户信息
3.请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
在这里插入图片描述
这里应答代码是200成功请求
Content-Length:内容长度
Content-Type:内容类型
Server:服务器
Date:时间
Connection:连接类型

问题:刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
答:因为浏览器中有了缓存,可以直接在缓存区获取到需要的内容,不需要服务器在回复对应的内容。因为有了缓存,浏览器第二次发送请求的时候,直接在缓存区获取到需要的内容减少服务器的一些工作,减小开销,所以应答304。

头发越少学习越好
关注
  • 0
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
计算机实验
qq_50828712的博客
12-24 641
计算机操作系统的基本命令ipconfigpingtracert 在开始菜单的windows系统中打开命令提示符执行以下命令(也可自行下载cmder软件代替) ipconfig 利用ipconfig/all命令查看电脑的网络配置 通过观察其他pc端得子网掩码相同,默认网关不相同,ip地址不相同,不处于同一子网。 ping 1.查看与百度的连通性 2.利用ping/?了解各命令使用 tracert 路由追踪,用于跟踪 Internet 协议 (IP) 数据包传送到目标地址时经过的路径。 ...
Wireshark实验
qq_45650846的博客
01-04 9819
数据链路层 实作一 熟悉 Ethernet 帧结构 设置过滤器 ip.addr == 10.161.52.226 and icmp -> ping www.baidu.com -> 选取任一数据包 发现Wireshark中Ethernet帧由目的mac(00 74 9c 9f 40 13)、mac(a4 fc 77 40 fe 07)和IP类型(0800)组成。 问题: 你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 Wireshark中Etherne
Wireshark取的MAC地址
冷芝士鸭的学习笔记
10-01 1万+
计算机系统基础实验 BombLab
凌阳的博客
06-18 5383
实验通过要求你使用课程所学知识拆除一个“binary bombs”来增强对程序的机器级表示、汇编语言、调试器和逆向工程等方面原理与技能的掌握。一个“binary bombs”(32位二进制炸弹,下文将简称为炸弹)是一个Linux可执行程序,包含了7个阶段(或层次、关卡)。炸弹运行的每个阶段要求你输入一个特定字符串,你的输入符合程序预期的输入,该阶段的炸弹就被拆除引信即解除了,否则炸弹“爆炸”打印输出 “BOOM!!!”。实验的目标是拆除尽可能多的炸弹层次。 每个炸弹阶段考察了机器级程序语言的一个不同方面,
Wireshark使用方法(学习笔记二——查询统计)
genefhang的专栏
06-06 1721
wireshark包方法上一相关博文已经详细做了介绍,其实关于wireshark来说,比较重要的还是数对包之后的“查询统计分析”,如何在海量的数据包中,取出自己关注的数据包是处理问题的第一步,今天这篇博文主要讲解如何进行“简单”的包筛选。 为了直观,本篇博文以一次实例进行,我在本地对网卡进行了包,登录了一次QQ,与网友聊天,并且,访问了一次我的博客www.zike.me,那我就从海量
Wireshark 实验
dandan23___的博客
12-26 429
Wireshark 实验Wireshark 的基本使用一、数据链路层1.熟悉 Ethernet 帧结构2.子网内/外通信时的 MAC 地址3.ARP 解析过程二、网络层1.熟悉 IP 包结构2.IP 包的分段与重组3.考察 TTL 事件三、传输层1.熟悉 TCP 和 UDP 段结构2.分析 TCP 建立和释放连接三、应用层1.DNS 解析2.HTTP 的请求和应答总结 本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark 进行。 Wires
计算机网络实验2-Wireshark.pdf
12-17
计算机网络实验报告 - Wireshark 网络封包分析 计算机网络实验报告是计算机网络课程中的一个重要组成部分,它要求学生对计算机网络的基本概念和协议有深入的理解和掌握。Wireshark 是一个功能强大的网络封包分析...
wireshark计算机网络实验报告.doc
05-14
计算机网络实验中,Wireshark被用来取并分析网络中的数据包,以理解网络通信的过程。以下是对各实验内容的详细解释: 1. **ARP包的取**: ARP(Address Resolution Protocol)是将IP地址转换为物理(MAC)...
wireshark 实验报告
02-23
"Wireshark 实验报告详解" Wireshark 是一款功能强大的网络协议分析工具,广泛应用于网络安全、网络管理和网络优化等领域。本实验报告旨在对 Wireshark 的基本使用和包技术进行详细的讲解和实验,帮助读者更...
计算机网络实验Wireshark.pdf
03-29
Wireshark 是一款强大的网络封包分析软件,被广泛应用于计算机网络实验中,用于教学和研究网络协议。通过Wireshark,用户可以深入了解网络通信的细节,包括数据在网络中的传输方式、协议的交互过程以及各种协议的...
计算机网络实验(Wireshark)
08-29
了解网络协议实体间进行交互以及报文交换的情况。熟悉并掌握Wireshark的基本使用
wireshark包工具的使用
qq_42477665的博客
07-28 4019
wireshark包工具的使用概述使用 概述 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换 使用 1、 查看自己的IP地址和MAC地址。Windows系统用命令提示符查看,在运行中输入CMD,或在开始菜单“Windows附件”/“Windows系统”中打开命令提示符。在命令提示符中输入ipconfig -all,查看本机物理地址和I
实验Wireshark 包软件的使用及MAC协议分析
热门推荐
qq_45140146的博客
04-11 1万+
实验目的 1、理解包软件的工作原理; 2、掌握Wireshark软件的安装和使用方法。 3、掌握MAC协议分析的技术与方法 实验任务 1、安装和运行Wireshark软件; 2、使用Wireshark软件取网络报文; 3、选取两个以上的以太网报文进行深入对比分析。 实验环境及工具 硬件:连接互联网的PC机; 软件:Wireshark 3.6.2。 实验记录(尽可能详细记录每个实验任务的过程与现象) 1、安装和运行Wireshark软件; 到官网下载网络包工具Wireshark,可以从https://w
交换机MAC地址漂移--检测方法总结
tating0的博客
10-26 3055
MAC地址漂移,交换机环路,端口镜像,python实时包,python实施巡检
Wireshark
云满笔记
04-25 5214
标题1. Wireshark1.1. 过滤器命令1.1.1. 过滤 ip、目的 ip。1.1.2. 端口过滤。1.1.3. 协议过滤比较简单, 直接在 Filter 框中直接输入协议名即可, 如过滤 `HTTP` 的协议;1.1.4. http 模式过滤。1.1.5. 连接符 and 的使用。 1. Wireshark 1.1. 过滤器命令 1.1.1. 过滤 ip、目的 ip。 在 Wireshark 的过滤规则框 Filter 中输入过滤条件。如查找目的地址为 192.168.101.8 的包, i
计算机网络 实验三 数据包取与分析
LZM_SZU的博客
07-21 4128
DNS(Domain Name System,域名系统)协议是一个分布式的命名系统,它用于将域名转换为IP地址。DNS协议在网络协议栈中位于应用层,一般使用UDP协议在传输层进行通信。当返回的数据量较大时,为确保数据的可靠性,就需要使用TCP协议进行通信。DNS在应用层添加DNS头部,使其成为DNS消息进行传输,头部长度一般为12字节,包括以下字段:1、标识(16 bit):用于标识查询消息和响应消息之间的关系。2、标志(16 bit):包括查询/响应标志、操作码、授权回答标志、递归查询标志等。
mac地址漂移导致呼叫失败问题处理过程
wj31932的博客
02-07 886
本文介绍一次,语音设备呼叫失败的排查过程,涉及sip协议,arp协议,linux的探查,mac地址表的更新方式等知识。通过本文可以了解mac地址漂移的现象和排查方法。
Wireshark 使用技巧
weixin_44767040的博客
06-27 1127
Wireshark 使用技巧
计算机网络实验wireshark
最新发布
12-09
Wireshark是一款开的网络协议分析工具,可以帮助用户捕获和分析网络数据包。计算机网络实验Wireshark通常是指使用Wireshark进行网络协议分析的实验。通过Wireshark,用户可以深入了解网络通信过程中的各种协议,包括但不限于ARP、IP、ICMP、TCP、UDP等。在实验中,用户可以通过捕获网络数据包并对其进行分析,来了解网络通信的细节和问题。同时,Wireshark也提供了丰富的过滤和统计功能,方便用户对网络数据包进行筛选和分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值