Wireshark 实验
实验目录
- Wireshark 实验
- 前言
- 一、数据链路层
- 1.1 熟悉 Ethernet 帧结构
- 1.2 了解子网内/外通信时的 MAC 地址
- 1.2.1 ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?(由于旁边没有别的计算机就自己ping自己一下吧)
- 1.2.2. 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
- 1.2.3. 再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
- 1.3 掌握 ARP 解析过程
- 1.3.1 为防止干扰,先使用 arp -d * 命令清空 arp 缓存
- 1.3.2 ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。(旁边没有其余电脑,自己ping自己)
- 1.3.3再次使用 arp -d * 命令清空 arp 缓存
- 1.3.4 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
- 二、网络层
- 三、传输层
- 四、应用层
前言
本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark 进行,请根据简介部分自行下载安装。
提示:以下是本篇文章正文内容,下面案例可供参考
一、数据链路层
1.1 熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
| 名称 | 解释 |
|---|---|
| Destination | 目的MAC |
| Source | 源MAC |
| Type | 类型 |
问题
你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
Wireshark 展现给我们的帧中没有校验字段,帧已经被校验了,校验字段被wireshark去掉了。
1.2 了解子网内/外通信时的 MAC 地址
1.2.1 ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?(由于旁边没有别的计算机就自己ping自己一下吧)
我们使用tcp关键字进行过滤,发现自己(192.168.2.5)ping自己会中转到183.2.143.108再转回来。帧的目的 MAC 地址以及返回帧的源 MAC 地址都为f8:ac:65:82:d7:73, 这个地址是要访问计算机的mac物理地址。
1.2.2. 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
ping qige.io
发出帧的目的mac地址以及返回帧的源mac地址,都为:f8:ac:65:82:d7:73, 这个mac地址是网关的mac物理地址
1.2.3. 再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
ping www.cqjtu.cn
抓包
发出帧的目的mac地址以及返回帧的源mac地址,都为:f8:ac:65:82:d7:73 这个mac地址是网关的mac物理地址
问题
通过以上的实验,你会发现: 1.访问本子网的计算机时,目的 MAC 就是该主机的 2. 访问非本子网的计算机时,目的 MAC 是网关的 请问原因是什么?
因为访问本子网的计算机时,通过Address Rsolution Protocol,能获取到目的 主机的mac地址。但是访问非本子网的计算机时,发送的帧通过ARP没法获取到目的ip的 mac地址。此时需要借助路由器网关来获取目的主机的mac地址。所以此时我发送的帧, 里面目的mac地址只能填网关的mac地址。
1.3 掌握 ARP 解析过程
1.3.1 为防止干扰,先使用 arp -d * 命令清空 arp 缓存
我们发现权限不够,使用管理员模式再继续使用该命令
查看arp
管理员模式下清空arp, "arp -d * "
1.3.2 ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。(旁边没有其余电脑,自己ping自己)
请求的目的 MAC 地址是:00:00:00:00:00:00
回应
该回应的源 MAC是:f8:ac:65:82:d7:73 目的 MAC 地址是:20:89:8a:64:cf:05
1.3.3再次使用 arp -d * 命令清空 arp 缓存
1.3.4 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
** ping qige.io **
抓包
该回应的源 MAC是:20:89:8a:64:cf:05(即网关) ,目的 MAC 地址是:f8:ac:65:82:d7:73(即我自己)
问题
- ARP 请求都是使用广播方式发送的
- 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?
因为访问本子网的计算机时,通过Address Rsolution Protocol,能获取到目的 主机的mac地址。但是访问非本子网的计算机时,发送的帧通过ARP没法获取到目的ip的 mac地址。此时需要借助路由器网关来获取目的主机的mac地址。所以此时我发送的帧, 里面目的mac地址只能填网关的mac地址。
二、网络层
2.1 熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
从这里可以看出:版本version=4,头部长度为20,总长度为95,TTL为128,协议类型为HTTP
问题
为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
因为 数据报中有数据。如果只有首部长度,就不知道数据在哪里结束,如果只有总长度,就不知道数据在哪里开始。
2.2 IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
ip.addr == 202.202.240.16
**ping 202.202.240.16 -l 2000 **
抓包
分段标志为0x20,偏移量为0,该图片所展示的包大小为1500B
问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
转发到支持该数据传输的路由上或者丢弃。
2.3 考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
** tracert www.baidu.com **
抓包过程
每经过一跳TTL都会-1,tracert的原理:通过向目标发送不同 IP 生存时间 (TTL) 值的“Internet 控制消息协议 (ICMP)”回应数据包,Tracert 诊断程序确定到目标所采取的路由。
问题
在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
因为源点的TTL是最接近所接收的TTL的2的n次方,所以源点的TTL为64,那么从源点到我之间就有64-50=14跳
三、传输层
3.1 传输层
3.1.1用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
源端口:59871 目的端口:443 序列号:1 确认号:1
各标记位如下
3.1.2用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
源端口号:65179 目的端口号:8000 长度:313
问题
由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
找到对方主机对应的交互进程
3.2 分析 TCP 建立和释放连接
3.2.1打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
3.2.2 请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
第一次握手,SYN为1,ACK为0
第二次握手,SYN为1,ACK为1
第三次握手,SYN为0,ACK为1
3.2.3 请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
第一次挥手,FIN为1,ACK为1
第二次挥手,ACK为1
第三次挥手,FIN为1,ACK为1
第四次挥手 ACK为1
问题一
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
因为这个连接属于短连接,这为了实现多个用户进行访问,对业务频率不高的场合,不让其长期占用通道。
问题二
我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
服务器向客户端发送断开连接和回复同意断开连接合成一次挥手。
四、应用层
4.1 了解 DNS 解析
4.1.1先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)
ipconfig /flushdns
nslookup qige.io
我们惊奇地发现找不到这个网站,于是采用了重启大法,再试一看成功了!
4.1.2你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果
向53号端口发出请求
53号端口返回结果
4.1.3 可了解一下 DNS 查询和应答的相关字段的含义
DNS查询和应答报文的格式如下:
16位标识字段用于标记一对DNS查询和应答,以此区分一个DNS应答是哪个DNS查询的回应,16位标志字段用于协商具体的通信方式和反馈通信状态。DNS报文头部的16位标志字段的细节如图
查询问题的格式:
应答字段,授权字段和额外信息字段都使用资源记录格式(Resource Record,RR)
问题
你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
将负载均衡的工作交给DNS,省去了网站管理维护负载均衡服务器的麻烦。
对于部署在服务器上的应用来说不需要进行任何的代码修改即可实现不同机器上的应用访问。
4.2 了解 HTTP 的请求和应答
4.2.1 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获
4.2.2 请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义
可以发现为GET
请求头
部分请求头字段的具体含义
| 名称 | 含义 |
|---|---|
| Accept | 浏览器可接受的MIME类型。 Accept-Charset:浏览器可接受的字符集 |
| Accept-Encoding | 浏览器能够进行解码的数据编码方式 |
| Accept-Language | 授权信息,通常出现在对服务器发送的WWW-Authenticate头的应答中 |
| Connection | 表示是否需要持久连接。如果Servlet看到这里的值为“Keep-Alive”,或者看到请求使用的是HTTP1.1(HTTP 1.1默认进行持久连接),它就可以利用持久连接的优点,当页面包含多个元素时(例如Applet,图片),显著地减少下载所需要的时间 |
| Content-Length | 表示请求消息正文的长度。 Cookie:设置cookie,这是最重要的请求头信息之一 |
| From | 请求发送者的email地址,由一些特殊的Web客户程序使用,浏览器不会用到它。 Host:初始URL中的主机和端口 |
4.2.3 请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义
我们可以发现其中存在200 OK ,也有304 Not Modified
常见的应答头如下
| 名称 | 含义 |
|---|---|
| 200 OK | 一切正常,对GET和POST请求的应答文档跟在后面 |
| 201 Created | 服务器已经创建了文档,Location头给出了它的URL |
| 301 Moved Permanently | 客户请求的文档在其他地方,新的URL在Location头中给出,浏览器应该自动地访问新的URL |
| 403 Forbidden | 资源不可用。服务器理解客户的请求,但拒绝处理它。通常由于服务器上文件或目录的权限设置导致。 |
| 304 Not Modified | 在客户端向服务端发送http请求时,若返回状态码为304 Not Modified 则表明此次请求为条件请求 |
| 404 Not Found | 无法找到指定位置的资源。这也是一个常用的应答 |
| 500 Internal Server Error | 服务器遇到了意料不到的情况,不能完成客户的请求 |
建议
HTTP 请求和应答的头部字段值得大家认真的学习,因为基于 Web 的编程中我们将会大量使用。如:将用户认证的令牌信息放到头部,或者把 cookie 放到头部等。
问题
刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
因为浏览器会先在本地检查一次,是否有更改,再在请求头中标注相应的信息,发给服务器。服务器再返回相应的应答代码。
3500
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
