computer_network wireshark实验

最新推荐文章于 2024-07-27 14:51:42 发布
最新推荐文章于 2024-07-27 14:51:42 发布
阅读量135 收藏
点赞数
文章标签: wireshark 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51971553/article/details/121753224
版权

文章目录

一、数据链路层

实作一、熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
在这里插入图片描述
对此帧进行抓取,开始分析:
在这里插入图片描述
目的MAC: 00:1b:fc:9a:a4:00
源MAC: 00:a0:c6:00:00:14
类型:IPV4(0X0800)

问题:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
:由于wireshark对抓取的帧已经经过校验合格,被wireshark软件去掉了,所以不需要再进行展示。

实作二、了解子网内/外通信时的 MAC 地址

  1. ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
    ping旁边的计算机(IP:192.168.65.7),利用wireshark过滤分析后发现:
    在这里插入图片描述
    发出帧目的MAC地址是90:78:41:67:0a:4d,返回帧的源MAC也是90:78:41:67:0a:4d。这个MAC地址是同伴主机的物理地址。

  2. 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
    在这里插入图片描述
    发出帧目的MAC地址是50:3b🇩🇪bc:e7:df,返回帧的源MAC也是50:3b🇩🇪bc:e7:df。这个MAC地址是网关物理地址。

  3. 再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?

在这里插入图片描述
发出帧的目的MAC和返回帧的源MAC都是50:3b🇩🇪bc:e7:df,就是网关的物理地址。

问题:通过以上的实验,你会发现:

  1. 访问本子网的计算机时,目的 MAC 就是该主机的
  2. 访问非本子网的计算机时,目的 MAC 是网关的
    请问原因是什么?
    答:如果两个主机都位于同一子网之下,则相互访问无需经过网关,那么目的MAC就是该主机;如果访问非子网的计算机,信息传出去首先需要经过网关,然后再经过通信子网到达目的,所以该目的MAC应该是网关的。

二、网络层

实作一、熟悉 IP 包结构

使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
在这里插入图片描述
如此可见:版本是IPv4,头部长度20bytes,总长度704B,TTL是128跳,协议类型是TCP。

实作二、了解 IP 包如何进行分段

根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等。

在这里插入图片描述
如此,分段标志identification为0xef1c(61212),偏移量fragment offset为1480,包的大小为548B。

问题:分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?

:可以选择丢弃该数据包。

实作三、考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
在这里插入图片描述
我们可以知道TTL是每经过一次路由器就减一,所以每个发送包的TTL的TTL依次递增。由此我们可以知道该追踪原理就是:TTL从1开始发送,每到一个路由器就减一,TTL到0之后就返回时间超过的差错报文。
问题:在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
:一般的TTL初始为2的n次方,此时的TTL应该是与50相差最小的2的n次方数值,当收到的TTL为64时,则64-50=14,这个包从源点到我之间有14跳。

传输层

实作一 、熟悉 TCP 和 UDP 段结构

  1. 用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
    在这里插入图片描述
  2. 用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
    在这里插入图片描述

问题:由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?

:源和目的端口号用来区分不同的进程。就是主机收到了数据,该数据可能需要发送到不同的进程,所以区分不同的端口号。

实作二、分析 TCP 建立和释放连接

  1. 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。

  2. 请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。

在这里插入图片描述

从所抓取的包可以看到,第一次握手SYN=1,第二次握手SYN和ACK都为1,第三次握手ACK为1;
3. 请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。

在这里插入图片描述
当出现FIN为1时,则代表即将要释放连接。

问题一:去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?

:建立的连接有多个更方便图片文字等信息的同时传输,这样给用户的第一感受的浏览网页的速度更快,用户体验更佳。

问题二:我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?

:原因是wireshark将中间的两次挥手合并成一次挥手

传输层

实作一 了解 DNS 解析

  1. 先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)
    在这里插入图片描述
  2. 你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。在这里插入图片描述
  3. 可了解一下 DNS 查询和应答的相关字段的含义

QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文
opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态
AA,授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器
TC,截断标志,仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制,所以过长的DNS报文将被截断。1表示DNS报文超过512字节,并被截断
RD,递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。0表示执行迭代查询,即如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供客户端参考
RA,允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询
zero,这3位未用,必须设置为0
rcode,4位返回码,表示应答的状态。常用值有0(无错误)和3(域名不存在)

实作二 、了解 HTTP 的请求和应答

  1. 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。

在这里插入图片描述

  1. 请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。

在这里插入图片描述
采用的GET请求,请求的头部由三部分组成:开始行、首部行、实体主体。

  1. 请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

在这里插入图片描述
200(成功)
服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。如果是对您的 robots.txt 文件显示此状态码,则表示 Googlebot 已成功检索到该文件。
304(未修改)
自从上次请求后,请求的网页未修改过。服务器返回此响应时,不会返回网页内容。
如果网页自请求者上次请求后再也没有更改过,您应将服务器配置为返回此响应(称为 If-Modified-Since HTTP 标头)。服务器可以告诉 Googlebot 自从上次抓取后网页没有变更,进而节省带宽和开销。
404(未找到)
服务器找不到请求的网页。

总结

经过系统的学习wireshark,能够掌握抓包的基本方法,能够对所抓取的包进行拆分分析,通过一系列的学习,能够了解一些常见包的格式。

自信且谦卑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireshark tls_使用Wireshark进行调试:TLS
cumei1658的博客
07-12 1724
wireshark tlsSometimes in my darker moments I forget that not all programmers get to work with computer networks every day, like I do. This means that many of you don’t have a chance to experience som...
computer_network_project-master.zip
10-13
WireShark,作为网络分析领域的知名工具,被广泛用于网络封包的捕获与分析,我们的项目"Qt_network_project"则是在Qt基础上借鉴了WireShark的理念,旨在提供一个类似的强大功能,但更注重于用户友好性和定制性。...
计算机网络自顶向下方法 第一章 Wireshark实验:入门 答案
Coding home - 漂流瓶jz
05-19 5700
https://github.com/jzplp/Computer-Network-A-Top-Down-Approach-Answer Wireshark实验:入门 官方文档第六版第七版第六版翻译 Wireshark_Intro 实验答案 1. 列出上述步骤7中出现在未过滤的分组列表窗口的协议列中的3种不同的协议。 答案: HTTP协议,TCP协议,DNS协议 2. 从HTTP GET消息发送到HTTP OK回复需要多长时间? 答案: 用了0.250858s 3. gaia.cs.umas...
computer_network 验证性试验
m0_51971553的博客
12-06 511
computer_network 验证性试验1 文章目录computer_network 验证性试验1前言一、ipconfig二、ping三、tracert四、ARP五、DHCP六、netstat总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、ipconfig 通过ipconfig/all查看到本机的IP地址、子网掩码
HTTP_Wireshark
Zfming@ustc的博客
09-23 3076
HTTP 1. The Basic HTTP GET/response interaction Q&A Is your browser running HTTP version 1.0 or 1.1? What version of HTTP is the server running? 浏览器使用的是HTTP 1.1,因为浏览器发出的GET请求标识了HTTP 1.1协议;服务器使用的...
计算机网络实验lab,《计算机网络实验课-Lab1_Wireshark_INTRO.pdf
weixin_36368932的博客
06-20 431
Wireshark Lab: Getting StartedComputer Networking: A Top-thVersion: 2.0 down Approach, 4 edition.© 2007 J.F. Kurose, K.W. R...
计算机网络实验lab,《计算机网络实验课-Lab6_Wireshark_Ethernet.pdf
weixin_42299645的博客
06-20 455
Wireshark Lab: Ethernet and ARPComputer Networking: A Top-Version: 2.0 down Approach, 4th edition.© 2007 J.F. Kurose, K.W. Ross. ...
《计算机网络—自顶向下方法》 第二章Wireshark实验1:HTTP
热门推荐
东瓜blog
10-11 1万+
1.基本HTTP GET/response交互 我们开始探索HTTP,方法是下载一个非常简单的HTML文件 非常短,并且不包含嵌入的对象。执行以下操作: 启动您的浏览器。 启动Wireshark数据包嗅探器,如Wireshark实验-入门所述(还没开始数据包捕获)。在display-filter-specification窗口中输入“http”(只是字母,不含引号标记),这样就在稍后的分组列表窗...
计算机网络icmp实验,《计算机网络实验课-Lab4_Wireshark_ICMP.pdf
weixin_39829166的博客
06-16 388
Wireshark Lab: ICMPComputer Networking: A Top-thVersion: 2.0 down Approach, 4 edition.© 2007 J.F. Kurose, K.W. Ross. All Ri...
Wireshark Ethernet and ARP 实验Wireshark Lab: Ethernet and ARP v7.0
我们都是被分成两半的人,一边热爱生活,一边憎恨生活。面对生活,我们总是在矛盾的两端摇摆,在反复的矛盾和犹豫中,一边踉跄前行,一边重振旗鼓。我渴望改变,渴望变得更好,渴望找到出口……就像一个溺水人的挣扎,就像一个救生圈。我是一个矛盾集合体,想要变得快乐,但是
11-25 3338
清除浏览器缓存使用wireshark抓包并请求网页修改“捕获数据包列表”窗口,仅显示有关 IP 以下协议的信息。抓包干扰较多,故分析作者的数据包回答下列问题。
Computer_Network
03-13
在本项目中,我们关注的是"Computer_Network",这可能是一个关于计算机网络的项目或者学习资源,且与Python编程语言有紧密关联。Python在现代计算机网络编程中扮演着重要角色,因其简洁明了的语法和强大的库支持,如...
HIT-Computer-Network-master
12-30
计算机网络实验(含实验报告) HTTP 代理服务器的设计与实现 HTTP 分组收发实验 HTTP 分组转发实验 可靠数据传输协议——GBN协议的设计与实现 利用 Wireshark 进行协议分析 简单网络组建与配置
Computer-Networking-A-Top-Down-Approach-NOTES:《计算机网络-自顶向下方法(原书第6版)》编程作业,Wireshark实验文档的翻译和解答
05-11
《计算机网络-自顶向下方法》编程作业的解答和代码,Wireshark实验的官方文档的翻译。 套接字编程作业 第2章 - 应用层 作业 1:Web服务器 (Page120) 官方文档: 翻译: 解答: 作业 2:UDPping程序 (Page121) 官方...
802.11 wireshark 抓包
又见南风的博客
07-24 1287
本人习惯使用 Omnipeek 抓包分析,所以 wireshark实验只讲到抓包完成。Windows 环境采用 wireshark 抓包是比较麻烦的,因为支持在 Windows 环境中支持抓包的网卡并不多,所以本次直接用 Linux 环境来做试验。使用网卡为:RT3070L,70块钱一张的网卡。
WireShark 更改界面主题
xchenhao 的博客
07-25 245
WireShark 界面更改为白色主题
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 313
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 936
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
网络编程套接字socket
安权_code的博客
07-23 984
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
wireshark java_Wireshark使用
06-08
使用Java_Wireshark需要先安装Wireshark和Java,在Wireshark的插件管理中添加Java_Wireshark插件,然后在Java_Wireshark中编写自己的处理逻辑。 下面是一个简单的Java_Wireshark示例,用于计算HTTP请求的数量: ``...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值