2. Wireshark 实验
本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark
进行,请根据简介部分自行下载安装。
准备
请自行查找或使用如下参考资料,了解 Wireshark
的基本使用:
- 选择对哪块网卡进行数据包捕获
- 开始/停止捕获
- 了解
Wireshark
主要窗口区域 - 设置数据包的过滤
- 跟踪数据流
🌏 参考
- Wireshark官方文档
- Wireshark抓包新手使用教程
- Troubleshooting with Wireshark
- The Official Wireshark Certified Network Analyst Study Guide
- Wireshark Network Security
数据链路层
实作一 熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
✎ 问题
你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
Wireshark 抓取的包会自动丢弃掉校验字段
实作二 了解子网内/外通信时的 MAC 地址
ping
你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?均为AzureWay_0d:d7:a5 (dc:f5:05:0d:d7:a5)它是被ping的主机的MAC地址- 然后
ping qige.io
(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?网关的MAC地址 - 再次
ping www.cqjtu.edu.cn
(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
这个 地址是子网网关的MAC地址
✎ 问题
通过以上的实验,你会发现:
- 访问本子网的计算机时,目的 MAC 就是该主机的
- 访问非本子网的计算机时,目的 MAC 是网关的
请问原因是什么?
因为访问外网地址时,都是通过MAC地址送到网关处,然后再通过IP地址进行搜寻,收到了来自外网的数据时,是先到网关,网关再根据MAC地址报送到本机。
实作三 掌握 ARP 解析过程
- 为防止干扰,先使用
arp -d *
命令清空 arp 缓存 ping
你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。- 再次使用
arp -d *
命令清空 arp 缓存 - 然后
ping qige.io
(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
✎ 问题
通过以上的实验,你应该会发现,
- ARP 请求都是使用广播方式发送的
- 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?
ARP解析的过程就是先ARP中查询是否有目标地址,如果有就不会再次建立联系,直接获得MAC地址,如果没有就通过ARP请求来获得目的MAC地址,如果出处于同一子网,则不需要经过网关就能实现通讯,不在同一子网则需要经过网关。
网络层
实作一 熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
✎ 问题
为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
有头部长度字段和总长度字段是为了方便上层将 IP 包中的数据提取出来,如果只有其中一个长度字段,显然上层协议不知道从哪到哪是数据。
实作二 IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping
命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000
命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16
进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
✎ 问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
转发到支持该数据传输的路由上或者丢弃该数据包
实作三 考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert
命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com
命令进行追踪,此时使用 Wireshark 抓包(用 icmp
过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
✎ 问题
在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
14跳
传输层
实作一 熟悉 TCP 和 UDP 段结构
- 用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
- 用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
✎ 问题
由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
源端口即为发出的程序,目的端口结为接收的程序,可以实现应用之间的通信。
实作二 分析 TCP 建立和释放连接
- 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上
Fowoll
TCP Stream
),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。 - 请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。Ack为0,Syn为1,为请求建立tcp连接Ack为1,Syn为1,为收到请求,同意建立tcp连接Ack为1,Syn为0,为收到对方同意请求,建立tcp连接
- 请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
Fin为1,请求断开连接
Ack为1,确认断开请求
Ack为1,Fin为1 收到确认消息,请求断开
Ack为1,确认断开
✎ 问题一
去掉 Follow TCP Stream
,即不跟踪一个 TCP 流,你可能会看到访问 qige.io
时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
这属于短连接,这为了实现多个用户进行访问,对业务频率不高的场合,不让其长期占用通道。
✎ 问题二
我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
答:服务器向客户端发送断开连接和回复同意断开连接合成一次挥手。
应用层
应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。
实作一 了解 DNS 解析
- 先使用
ipconfig /flushdns
命令清除缓存,再使用nslookup qige.io
命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。 - 你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
- 可了解一下 DNS 查询和应答的相关字段的含义
✎ 问题
你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
DNS不止一个。可能是因为。 DNS解析时,首先是从浏览器缓存中寻找映射关系,如果有,就通过这个完成域名解析,如果没有,则通过本地的host文件进行域名解析,如果没能完成域名解析,则向本地的DNS服务器发起请求,如果还未能完成域名解析,那么则由本地更服其,根据配置文件找到根DNS服务器,并向其中一台发起请求,直到完成域名解析为止。
实作二 了解 HTTP 的请求和应答
- 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上
Follow TCP Stream
),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。 - 请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:
GET, POST
。并仔细了解请求的头部有哪些字段及其意义。 - 请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:
200, 304, 404
等。并仔细了解应答的头部有哪些字段及其意义。
✍ 建议:
HTTP 请求和应答的头部字段值得大家认真的学习,因为基于 Web 的编程中我们将会大量使用。如:将用户认证的令牌信息放到头部,或者把 cookie 放到头部等。
✎ 问题
刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304
代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304
应答而不是常见的 200
应答?
因为浏览器已经有网站的缓存了,可以通过这些缓存取得网站的内容。