文章目录
Wireshark 实验
数据链路层
实作一 熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 |
抓包结果如下
✎ 问题 |
实作二 了解子网内/外通信时的 MAC 地址
ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的? |
ping 结果如下
目的地址:00 74 9c 9f 40 13
源地址:dc:f5:98:db:a7
然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的? |
ping qige.io 结果如下
目的 MAC 地址:00:74:9c:40:13
返回帧的源 MAC 地址:dc:f5:05:98:db:a7
再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的? |
ping www.cqjtu.edu.cn 结果如下
目的 MAC 地址:00:74:9c:9f:40:13
返回帧的源 MAC 地址:dc:f5:05:98:db:a7
✎ 问题 |
实作三 掌握 ARP 解析过程
1. 为防止干扰,先使用 arp -d * 命令清空 arp 缓存 |
arp -d 结果如下
2.ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。 |
ping 结果如下
<回应的源 MAC地址: a0:a4:c5:ba:7f:de
目的 MAC 地址:dc:f5:05:98:db:a7
3. 再次使用 arp -d * 命令清空 arp 缓存。 |
arp -d 结果如下
4. 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。 |
ping qige.io 结果如下
✎ 问题 |
网络层
实作一 熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。 |
抓包结果如下
✎ 问题 |
实作二 IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。 |
ping 202.202.240.16 -l 2000 命令结果
✎ 问题 |
实作三 考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。 |
tracert www.baidu.com 命令结果
Tracert 命令确定两台主机的路由主要是通过 IP 生存时间 (TTL) 字段和 ICMP 错误消息。 在工作环境中有多条链路出口时,可以通过该命令查询数据是经过的哪一条链路出口。
由于路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1,因此 Tracert 先发送 TTL 为 1 的回应数据包,并在随后的每次发送过程将 TTL 递增 1,直到目标响应或 TTL 达到最大值,从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由
✎ 问题 |
传输层
实作一 熟悉 TCP 和 UDP 段结构
1.用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。 |
TCP
UDP
✎ 问题 |
实作二 分析 TCP 建立和释放连接
1.打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。 |
结果如下
2.请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。 |
答:
它们的长度都很短。通过发出 SYN 信号请求连接,然后服务器端回应 ACK 确认收到请求,然后主机再发出一个确认信号。第一次握手时除了 SYN = 1 外其余的标志都为 0 ,第二次握手时除了 SYN = 1 且 ACK = 1 外其余的标志都为 0 ,第三次握手时除了 ACK = 1 外其余的标志都为 0
3.请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。 |
答:
它们的长度都很短。这里四次挥手为什么只抓到了三个包呢?原始是将第二次、第三次挥手合并成了一个包,所以只看到了三个包。首先发出 FIN 信号请求断开,然后服务器端回应一个 ACK 确认信号,然后又发出一个 FIN 信号(这里将 ACK 和 FIN 合并成立一个包),然后主机回应一个 ACK 确认信号,即可断开连接。
✎ 问题一 |
✎ 问题二 |
应用层
实作一 了解 DNS 解析
1.先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。 |
结果如下
2. 你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。 |
结果如下
3. 可了解一下 DNS 查询和应答的相关字段的含义。 |
- QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文
- opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态
- AA,授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器
- TC,截断标志,仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制,所以过长的DNS报文将被截断。1表示DNS报文超过512字节,并被截断
- RD,递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。0表示执行迭代查询,即如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供客户端参考
- RA,允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询
- zero,这3位未用,必须设置为0
✎ 问题 |
实作二 了解 HTTP 的请求和应答
1.打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。 |
结果如下
2.请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。 |
结果如下
2.请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。 |
结果如下
200:交易成功;
304:客户端已经执行了GET,但文件未变化;
404:没有发现文件、查询或URl;
✎ 问题 |