一、实验内容
1.数据链路层
实作一
熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
Frame: 物理层的数据帧概括
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 网络层IP包头部信息
Transmission Control Protocol: 传输层数据段头部信息
Hypertext Transfer Protocol: 应用层的信息
上图可以看出
源MAC:00:74:9c:9f:40:13
目的MAC:8c:16:45🇩🇪a6:33
类型:IPV4(0x0800)
字段:15121
字节长度:66 bytes(528bits)
问题:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
答:Wireshark 抓包前,在物理层网卡已经去掉了一些之前几层加的东西,比如前导同步码,FCS等等,之后利用校验码CRC校验,正确时才会进行下一步操作,这时wireshark抓到的本机发送的数据包的校验和都是错误的,所以默认关闭了WireShark自己的校验。
实作二
了解子网内/外通信时的 MAC 地址
1.ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
从上图可以看出本机的mac地址为8c-16-45-DE-A6-33,ip地址为10.61.64.181。
ping 10.61.169.186
用wireshark抓包
从上面可以看出 发出帧源MAC地址 :8c:16:45🇩🇪a6:33 返回帧源MAC地址:30:9c:23:d8:8e:4a 30:9c:23:d8:8e:4a这个MAC地址是处在同一子网里的该计算机的MAC地址
2.然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
ping qige.io
wireshark抓包
从上图可以看出发出帧源MAC地址:8c:16:45🇩🇪a6:33返回帧源MAC地址:00:74:9c:9f:40:13 00:74:9c:9f:40:13这个MAC地址是此子网网关的MAC地址。
3.再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
ping www.baidu.com
用wireshark抓包
从上图可以看出发出帧源MAC地址:8c:16:45🇩🇪a6:33返回帧源MAC地址:00:74:9c:9f:40:13 00:74:9c:9f:40:13 这个MAC地址是此子网网关的MAC地址。
问题:通过以上的实验,你会发现:访问本子网的计算机时,目的 MAC 就是该主机的访问非本子网的计算机时,目的 MAC
是网关的。请问原因是什么?
答:这是因为数据包在两个通信子网的进行传输,本机接收到的本子网以外的信息必定经由网关发送给我,同理本机发送到本子网外信息的下个MAC地址必定是网关的MAC地址。而本子网内的可以直接到达,无需离开本子网。
实作三
掌握 ARP 解析过程
1.为防止干扰,先使用 arp -d * 命令清空 arp 缓存
以管理员身份运行
2.ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
ping 10.61.169.186
用wireshark抓包
ARP 请求都是使用广播方式发送的如,果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;
发出帧,广播地址:ff:ff:ff:ff:ff:ff
回复时,是对方的MAC物理地址。
3.再次使用 arp -d * 命令清空 arp 缓存
4.然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
ping qige.io
用wireshark抓包
回复的是子网的网关MAC地址。
问题:通过以上的实验,你应该会发现,ARP 请求都是使用广播方式发送的 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP
对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。请问为什么?
答:这是因为ARP代理,访问非子网IP时是通过路由器访问的,路由器再把发出去,目标IP收到请求后,再通过路由器端口IP返回去,那么ARP解析将会得到网关的MAC。
2.网络层
实作一
熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
从上图可以看出
版本: IPV4
头部长度:20bytes
总体长度:60
TTL:64s
协议类型:ICMP
其他的:
Identification为标识;
Flags为标识字段;
Differentiated Services Field为服务类型;
Fragment offset为分片偏移;
Header checksum status为头部校验和;
问题:为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
答:头部长度是来表明该包头部的长度,可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度是为了接收方的网络层了解到传输的数据包含哪些,如果没有该部分,当数据链路层在传输时,对数据进行了填充,对应的网络层不会把填充的部分给去掉。
实作二
IP 包的分段与重组 根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
ping 202.202.240.16 -l 2000
用wireshark抓包
从上图可以知道分段标志是0x2000
后面其中一位是DF(不分段位),0表示允许分段,1则表示不允许分段,还有一位就是MF(更多段位),0表示后面没有包,1则表示后面还有其他包。偏移量:Fragment Offset=0,表明该包位于数据流的0号位置。每个包的大小是用Total Length来表示,它包含IP包头部及数据两个部分。从上面可得出2000字节被分为了两个包进行发送,IP包1的总长度为1500,IP包2的总长度为548。这里的包长度为1500。
问题:分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6中,如果路由器遇到了一个大数据包该怎么办?
答:直接丢弃再通知发送端进行重传。
实作三
考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
用wireshark抓包
由图可知,TTL字段指定IP包被路由器丢弃之前允许通过的最大网段数量,Tracert 先发送 TTL 为 1 的回应数据包,并随后的每次发送过程将 TTL 递增 1,直到目标响应或 TTL 达到最大值,从而确定路由。
问题:在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其
TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
答:ICMP 回显应答的 TTL 字段值为 128;TTL为返回值,跳数为128-50=78跳。
3.传输层
实作一
熟悉 TCP 和 UDP 段结构
1.用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
Source Port为源端口号
Destination Port为目的端口号
Sequence number为序号
Acknowledgment number为确认号
Header Length为报头长度
ACK为标识位
Window size value为窗口大小
checksum status为校验和
2.用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
Source Port为源端口号
Destination Port为目的端口号
Length为UDP长度
Checksum为UDP校验和
问题:由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
答:源端口就是指本地端口,目的端口就是远程端口。源端口就是本机程序用来发送数据的端口,目的端口就是对方主机用哪个端口接收。
实作二
分析 TCP 建立和释放连接
1.打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
2.请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
第一次握手的标志位为SYN,代表客户端请求建立连接: Sep= 0
第二次握手由对方发回确认包,标志位为SYN,ACK,服务器返回SYN标志位为ACK为1,Sep=0
第三次握手客户端发送确认号ACK为1,Sep=1
3.请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
服务端停止提出终端链接请求 。
客户端收到请求并回复。
客户端提出中断连接请求。
服务器收到请求并回复。
后一次挥手传输报文中的序号Seq值等于前一次握手传输报文中的确认号Ack值;后一次挥手传输报文中的确认号Ack值等于前一次握手传输报文中的序号Seq值。
问题一:去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io
时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
答:它们之间的连接是属于短连接,一旦数据发送完成后,就会断开连接。虽然,断开连接,但是页面还是存在,由于页面已经被缓存下来。一旦需要重新进行发送数据,就要再次进行连接。这样的连接,是为了实现多个用户进行访问,对业务频率不高的场合,节省通道的使用,不让其长期占用通道。
问题二:我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
答:因为第二次握手和第三次挥手合并了,FIN报文用在本端没有数据发送给对方时,关闭从本端到对端的连接。但是并不影响从对方到本端的连接,也就是说本端仍然可以接收对方的数据。即发送通道关闭,接收通道正常。如果对方收到本端FIN报文时,对方的接收通道就会关闭。此时,如果对方也没有数据发给本端,那么对方也会发送FIN给本端,用于关闭从对方到本端的连接,这时候就可能出现ACK和FIN合在一起的情况。当然,如果对方仍然有数据发送,那么就等数据发完,再发FIN来关闭连接,这时候就是四次挥手了。
4.网络层
应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。
实作一
1.了解 DNS 解析先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
2.你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。可了解一下 DNS 查询和应答的相关字段的含义
问题:你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
答:一个域名并不只有一台服务器主机,虽然域名相同,但每一台服务器的IP地址不同。将负载均衡的工作交给DNS,省去了网站管理维护负载均衡服务器的麻烦。对于部署在服务器上的应用来说不需要进行任何的代码修改即可实现不同机器上的应用访问。
实作二
了解 HTTP 的请求和应答
1.打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
2.请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
Content-Type:WEB 服务器告诉浏览器自己响应的对象的类型
Content-Length:WEB 服务器告诉浏览器自己响应的对象的长度
POST:请求的方式,其中包括URI和版本
Cache-Control:指定请求和响应遵循的缓存机制
Host:指定请求的服务器的域名和端口号
Pragma:用来包含实现特定的指令
Accept:指定客户端能够接收的内容类型
User-Agent:User-Agent的内容包含发出请求的用户信息
3.请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
这里应答代码是200成功请求
Content-Length:内容长度
Content-Type:内容类型
Server:服务器
Date:时间
Connection:连接类型
问题:刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
答:因为浏览器中有了缓存,可以直接在缓存区获取到需要的内容,不需要服务器在回复对应的内容。因为有了缓存,浏览器第二次发送请求的时候,直接在缓存区获取到需要的内容减少服务器的一些工作,减小开销,所以应答304。