计网——验证性实验

dddd滴滴

已于 2023-01-08 15:21:00 修改

阅读量296

点赞数

分类专栏：计网文章标签：网络学习

于 2022-12-18 21:30:15 首次发布

本文链接：https://blog.csdn.net/m0_62034141/article/details/128320818

版权

计网专栏收录该内容

2 篇文章 0 订阅

订阅专栏

1.ipconfig

实作一

使用 ipconfig/all 查看自己计算机的网络配置，尽可能明白每行的意思，特别注意 IP 地址、子网掩码 Subnet Mask、网关 Gateway。
截图：
我的计算机网络配置

IP地址（IPv4和IPv6地址）：

IP地址=网络地址+主机地址，IP是32位二进制数据，通常以十进制，并以“.”分隔。IP地址是逻辑地址，用于标识主机，具有唯一性。
IP地址以圆点分隔号的四个十进制数字（0~255）表示，一般内网的IP地址是以192.168开头。

子网掩码 Subnet Mask:

子网掩码又叫做网络掩码、地址掩码，必须结合IP地址一起使用：子网掩码和IP地址做“与”运算，分离出IP地址中的网络地址和主机地址，用于判断该IP地址是在本地网络上，还是在远程网络网上。通过子网掩码，才能表明一台主机所在子网与其他子网的关系，使网络正常工作，将网络进一步划分为若干子网，以避免主机过多而拥堵或过少而IP浪费。

网关Gateway：

默认网关：默认网关ip地址，意思是一台主机如果找不到可用的网关，就把数据包发给默认指定的网关，由这个网关来处理数据包。也就是你的路由器的地址
网关在网络层以上实现网络互连，是最复杂的网络互连设备，仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连，也可以用于局域网互连。网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，网关是一个翻译器，与网桥只是简单地传达信息不同，网关对收到的信息要重新打包，以适应目的系统的需求。

实作二

使用 ipconfig/all 查看旁边计算机的网络配置，看看有什么异同。
在这里插入图片描述

你的计算机和旁边的计算机是否处于同一子网，为什么？

由于旁边无计算机，给出判断是否处于同一子网的方法：将两台计算机的IP地址与子网掩码进行与运算，ip地址若相同，就属于同一子网。

2.ping

实作一

要测试到某计算机如重庆交通大学 Web 服务器的连通性，可以使用 ping www.cqjtu.edu.cn 命令，也可直接使用 IP 地址。请掌握使用该命令后屏幕显示的反馈回来信息的意思，如：TTL、时间等。
这里使用ping www.baidu.com命令：
在这里插入图片描述

TTL:TTL是指定数据报被路由器丢弃之前允许通过的网段数量，如果同一服务器不同的ip,你ping这些 ip得到的ttl越高(经过转发的路由器少)，延时越小，说明直连该ip会更快。
时间：响应时间，这个时间越小，说明你连接这个地址速度越快。

实作二

使用 ping/? 命令了解该命令的各种选项并实际使用。
在这里插入图片描述

1. 假设你不能 ping 通某计算机或 IP，但你确定该计算机和你之间的网络是连通的，那么可能的原因是什么？该如何处理能保证 ping 通？

当你的网络出现故障不能访问某计算机如 14.215.177.39 (百度的 IP 地址之一 ) 时，我们一般可采用由近及远的连通性测试来确定问题所在。现假设你的 IP 是 192.168.1.89，你旁边计算机的 IP 是 192.168.1.64，网关的 IP 是 192.168.1.1 ，那么过程如下：
ping 127.0.0.1 ，测试自己计算机的状态，如果 OK，那么说明本机网络软件硬件工作正常，否则，问题在本机，检查本机 TCP/IP 配置即网卡状态等
ping 192.168.1.64 ，测试到旁边计算机的连通性，如果OK，那么说明本子网内部工作正常，否则，问题在本机网络出口到交换机之间，检查本机网卡到交换机的连线等
ping 192.168.1.1，测试到网关的连通性，如果 OK，那么说明本子网出口工作正常，否则，问题在网关，这是你无能为力的事情，报告给网管
ping 14.215.177.39，测试到百度的连通性，如果 OK，那就 OK，否则，问题在网关以外

2. 假设在秘籍中进行的网络排查中，ping 百度的 IP 即 ping 14.215.177.39 没问题，但 ping 百度的域名即 ping www.baidu.com 不行，那么可能的原因是什么？如何进行验证和解决？
另外，经常有同学问到的：“能上 QQ，但不能上网” 跟这个问题的原因是相似的。

原因：ping IP 能够成功表明链路是畅通的，但是ping 不通域名是由于域名解析出现了问题。在计算机的使用过程中，我们很多时候都是自动获取DNS服务器，但是有时使用默认的DNS服务器是 ping 不通域名的。
解决办法：清理计算机之前的DNS缓存，再手动设置一个新的DNS服务器；如果还是不行，则需要联系运营商。而能上 QQ，但不能上网是因为QQ不需要DNS解析域名，DNS出问题不会影响QQ

课外浏览: ping 这个程序曾经是有 bug 的，比如使对方缓冲区溢出导致死机，或死 ping 对方以达到耗费对方主机的系统和网络资源等，请查阅相关资料了解。

Ping攻击就是不断向指定的IP地址发送不接收回复的数据包，这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃。在ping程序发展初期，并未对ICMP包的大小进行限制，导致接收方缓冲区溢出，现在此bug已被修复，所以通常不可能发送大于65536个字节的ICMP包，但如果把报文分割成片段，然后在目标主机上重组，最终会导致被攻击目标缓冲区溢出，直至目标主机有限系统资源被消耗殆尽。

3. tracert

实作一

要了解到某计算机如 www.baidu.com 中间经过了哪些节点（路由器）及其它状态，可使用 tracert www.baidu.com 命令，查看反馈的信息，了解节点的个数。
在这里插入图片描述
可通过网站 http://ip.cn 查看这些节点位于何处，是哪个公司的，大致清楚本机到百度服务器之间的路径。

在这里插入图片描述

实作二

ping.pe 这个网站可以探测从全球主要的 ISP 到某站点如 https://qige.io 的线路状态，当然也包括各线路到该主机的路由情况。请使用浏览器访问 http://ping.pe/qige.io 进行了解。
在这里插入图片描述

✎ 问题一
tracert 能告诉我们路径上的节点以及大致的延迟等信息，那么它背后的原理是什么？本问题可结合第二部分的 Wireshark 实验进行验证。

Tracert命令通过向目标发送不同 IP 生存时间 (TTL) 值的 “Internet 控制消息协议 (ICMP)” 回应数据包，Tracert 诊断程序先确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1。数据包上的 TTL 减为 0 时，路由器应该将“ICMP 已超时”的消息发回源系统。
Tracert 先发送 TTL 为 1 的回应数据包，并在随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。

✎ 问题二
在以上两个实作中，如果你留意路径中的节点，你会发现无论是访问百度还是棋歌教学网，路径中的第一跳都是相同的，甚至你应该发现似乎前几个节点都是相同的，你的解释是什么？

路径中的第一跳都是相同的，也就是说无论目的地址是哪里，数据从本机发送出去后，到达的都是同一个交换机，然后才通过不同的子网到达不同的目的地址。

✎ 问题三
在追踪过程中，你可能会看到路径中某些节点显示为 * 号，这是发生了什么？

进行tracert命令时这些节点出于安全或网络原因没有回应，所以显示为 * 号。

4.ARP

✍ ARP（Address Resolution Protocol）即地址解析协议，是用于根据给定网络层地址即 IP 地址，查找并得到其对应的数据链路层地址即 MAC地址的协议。 ARP 协议定义在 1982 年的 RFC 826。

实作一

运行 arp -a 命令查看当前的 arp 缓存，请留意缓存了些什么。
在这里插入图片描述
然后 ping 一下你旁边的计算机 IP（注意，需保证该计算机的 IP 没有出现在 arp 缓存中，或者使用 arp -d * 先删除全部缓存），再次查看缓存，你会发现一些改变，请作出解释。

直接使用arp -d*命令提示
在这里插入图片描述

改用cmd管理员权限进行arp -d*操作
在这里插入图片描述

实作二

请使用 arp /? 命令了解该命令的各种选项。
在这里插入图片描述

实作三

一般而言，arp 缓存里常常会有网关的缓存，并且是动态类型的。

假设当前网关的 IP 地址是 192.168.0.1，MAC 地址是 5c-d9-98-f1-89-64，请使用 arp -s 192.168.0.1 5c-d9-98-f1-89-64 命令设置其为静态类型的。
在这里插入图片描述

🗣 TroubleShooting
你可能会在实作三的操作中得到 “ARP 项添加失败: 请求的操作需要提升” 这样的信息，表示命令没能执行成功，你该如何解决？

经查阅，有两种办法：

使用管理员身份打开cmder
使用命令 netsh i i show in 找到所连接的网络Idx。
使用命令netsh -c “i i” add neighbors (Idx) (ip地址) (Mac地址)。

✎ 问题
在实作三中，为何缓存中常常有网关的信息？
我们将网关或其它计算机的 arp 信息设置为静态有什么优缺点？

ARP缓存记录着访问过的pc网卡MAC物理地址。
静态分配IP地址是指给每一台计算机都分配一个固定的IP地址。

优点：便于管理，以固定的IP地址或IP地址分组产生的流量为依据管理，可以免除在按用户方式计费时用户每次上网都必须进行的身份认证的繁琐过程，同时也避免了用户经常忘记密码的尴尬。
缺点：合法用户分配的地址可能被非法盗用，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也容易给合法用户造成损失和潜在的安全隐患。

课外浏览
ARP 协议在制定之初是没有考虑安全性的，导致现在广泛提及的"网络扫描"、“内网渗透”、“中间人拦截”、“局域网流控”、"流量欺骗"等等其实都跟 ARP 欺骗有关。那么什么是 ARP 欺骗，发生ARP 欺骗后会有什么后果，我们该如何进行防范？

什么是ARP?
ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。
什么是ARP欺骗?
从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。
如何防范？
先保证网络正常运行，找到感染ARP病毒的机器

5.DHCP

一般地，我们自动获取的网络配置信息包括：IP 地址、子网掩码、网关 IP 以及 DNS 服务器 IP 等。使用 ipconfig/release 命令释放自动获取的网络配置，并用 ipconfig/renew 命令重新获取，了解 DHCP 工作过程和原理。

实作一

ipconfig/release
ipconfig/renew

🗣 TroubleShooting
如果你没能成功的释放，请思考有哪些可能的原因并着手进行解决？

将 DHCP Service 重启，重新下载 TCP/IP或者重新安装驱动网卡。

在Windows系统下，如果由于某种原因计算机不能获取 DHCP 服务器的配置数据，那么Windows将会根据某种算法自动配置为 169.254.x.x 这样的 IP 地址。显然，这样的 IP 以及相关的配置信息是不能让我们真正接入 Internet 的，为什么？既然不能接入 Internet，那么Winodws系统采用这样的方案有什么意义?

自动配置的IP地址和信息只是短暂性的解决计算机不能获取 DHCP 服务器的配置数据的问题，若要真正的接入Internet，需要本身计算机的正确IP地址。

📬 秘籍
在我校不少地方如教室，计算机都采用了 DHCP 来获得网络配置。假如某天因 DHCP 服务器问题从而不能获得网络配置，那么我们可以查看隔壁教室计算机的配置信息来手动进行网络配置，从而使该计算机能够接入 Internet。
经常的，在一个固定地方的网络配置我都喜欢采用静态/手动配置，而不是动态 DHCP 来进行。你能想到是什么原因吗？

静态ip是一个固定的IP地址，可以用作自己的网站和服务器，因此静态IP更稳定，更便于用户管理静态ip。

6.netstat

实作一

Windows 系统将一些常用的端口与服务记录在 C:\WINDOWS\system32\drivers\etc\services 文件中，请查看该文件了解常用的端口号分配。
在这里插入图片描述

实作二

使用 netstat -an 命令，查看计算机当前的网络连接状况。更多的 netstat 命令选项，可参考上面链接 4 和 5 。
在这里插入图片描述

7.DNS

实作一

Windows 系统将一些固定的/静态的 DNS 信息记录在 C:\WINDOWS\system32\drivers\etc\hosts 文件中，如我们常用的 localhost 就对应 127.0.0.1 。请查看该文件看看有什么记录在该文件中。
在这里插入图片描述

实作二

解析过的 DNS 记录将会被缓存，以利于加快解析速度。请使用 ipconfig /displaydns 命令查看。我们也可以使用 ipconfig /flushdns 命令来清除所有的 DNS 缓存。

ipconfig/displaydns
ipconfig/flushdns

实作三

使用 nslookup qige.io 命令，将使用默认的 DNS 服务器查询该域名。当然你也可以指定使用 CloudFlare（1.1.1.1）或 Google（8.8.8.8）的全球 DNS 服务器来解析，如：nslookup qige.io 8.8.8.8，当然，由于你懂的原因，这不一定会得到正确的答案。
在这里插入图片描述

🗣 TroubleShooting
上面秘籍中我们提到了使用插件或自己修改 hosts 文件来屏蔽广告，思考一下这种方式为何能过滤广告？如果某些广告拦截失效，那么是什么原因？你应该怎样进行分析从而能够成功屏蔽它？

我们一般可以通过安装浏览器插件如 AdGuard、AdBlocker 等来拦截和过滤。这种方法简单方便有效，不过有一定安全或隐私问题，因为该插件实时知道你访问的 URL。如果不使用这种第三方的插件，希望自己完全控制，可以修改hosts文件是指将某个网站重定向到一个地址，使之无法访问达到屏蔽广告的效果。

8.cache

实作一

打开 Chrome 或 Firefox 浏览器，访问 https://qige.io ，接下来敲 F12 键或 Ctrl + Shift + I 组合键打开开发者工具，选择 Network 面板后刷新页面，你会在开发者工具底部看到加载该页面花费的时间。请进一步查看哪些文件被 cache了，哪些没有。
在这里插入图片描述

实作二

接下来仍在 Network 面板，选择 Disable cache 选项框，表明当前不使用 cache，页面数据全部来自于 Internet，刷新页面，再次在开发者工具底部查看加载该页面花费的时间。你可比对与有 cache 时的加载速度差异。
在这里插入图片描述

你的计算机可能还在使用 XX 管家，XX 卫士之类的垃圾软件，那么它可能就会在某些时候提示你计算机的垃圾文件有多少多少，请清理（其实是它本身应该被清理！）之类的弹窗。如果你查看一下它判断的所谓垃圾文件，你会发现大多都是浏览器的缓存，而你已经明白了这些缓存文件的作用。所以，清理吗？

选择性清理

本部分按照数据链路层、网络层、传输层以及应用层进行分类，共有 10 个实验。需要使用协议分析软件 Wireshark 进行，请根据简介部分自行下载安装。

1.数据链路层

实作一熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。
在这里插入图片描述

Ethernet 帧结构：
在以太网帧中，能被直观看到的就是目标MAC地址（6字节）、源MAC地址（6字节）、帧类型（2字节）以及IP数据包（1500字节）
以太网最大帧1519字节，最小帧64字节
其中
目的MAC地址、源MAC地址、帧类型如下图：
在这里插入图片描述

问题：你会发现 Wireshark 展现给我们的帧中没有校验字段，请了解一下原因

因为校验码是通过CRC校验判断帧是否有效或是否有错，当网卡可以收到数据帧并通过抓包抓到数据帧，该帧就是有效的，此时CRC就已经解析了，所以一般不显示校验字段。

实作二了解子网内/外通信时的 MAC 地址

ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

旁边无计算机，理论分析一下，发出帧的目的MAC地址应该是我ping的主机的MAC地址，源MAC地址是我的计算机的MAC地址。
然后ping qige.io（或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

在这里插入图片描述
发出帧源MAC地址：9e:30:5a:0c:06:46
返回帧源MAC地址：5c:80:b6:c4:b3:32
这个地址是本主机所在子网的网关MAC地址

再次 ping www.cqjtu.edu.cn （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？

发出帧源MAC地址：9e:30:5a:0c:06:46
返回帧源MAC地址：5c:80:b6:c4:b3:32
这个地址是本主机所在子网的网关MAC地址

问题：通过以上的实验，你会发现：
访问本子网的计算机时，目的 MAC 就是该主机的
访问非本子网的计算机时，目的 MAC 是网关的
请问原因是什么？

原因是访问本子网的计算机是在子网内部进行通信，而访问非本子网的计算机需要跨域通信，需要经过网关。

实作三掌握 ARP 解析过程

为防止干扰，先使用 arp -d * 命令清空 arp 缓存
ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。
旁边无计算机，理论上分析arp请求格式为Who has xxx? Tell yyy，回复的为本机的MAC地址
再次使用 arp -d * 命令清空 arp 缓存
然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。

回复为本机的MAC地址

问题：通过以上的实验，你应该会发现，
ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP，那么 ARP 解析将直接得到该 IP 对应的 MAC；如果访问的非本子网的 IP，那么 ARP 解析将得到网关的 MAC。
请问为什么？
如果访问的是本子网的 IP ，现在 ARP 缓存找该 IP的mac 地址，若没有，就广播在子网中寻找这个ip ，得到该ip的对应MAC地址；如果访问的是非子网的 IP ，因为发送数据到外网都是通过网关这个端口，所以得到的是网关的 MAC地址

网络层

实作一熟悉 IP 包结构

使用 Wireshark 任意进行抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。
在这里插入图片描述
版本：IPv4
头部长度：20
总长度：40
TTL：128

问题：为提高效率，我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段，也有总长度字段。请问为什么？
便于传输时的识别IP总长度

实作二 IP 包的分段与重组

根据规定，一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。

缺省的，ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等在这里插入图片描述
如何进行分段：
分段标志：Flags
偏移量：Fragment Offset
当icmp发送的数据包大于MTU（以太网中，该值一般为1500字节）时，就会在ip层发生分片。

问题: 分段与重组是一个耗费资源的操作，特别是当分段由传送路径上的节点即路由器来完成的时候，所以 IPv6 已经不允许分段了。那么 IPv6 中，如果路由器遇到了一个大数据包该怎么办？
将其直接丢弃

实作三考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳（hops），一般该值设置为 64、128等。

在验证性实验部分我们使用了tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。

请使用 tracert www.baidu.com 命令进行追踪，此时使用 Wireshark 抓包（用 icmp 过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理。
在这里插入图片描述

Tracert 先发送 TTL 为 1 的回应数据包，并随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。

问题：在 IPv4 中，TTL 虽然定义为生命期即 Time To Live，但现实中我们都以跳数/节点数进行设置。如果你收到一个包，其 TTL 的值为 50，那么可以推断这个包从源点到你之间有多少跳？
64-50=14跳

传输层

实作一熟悉 TCP 和 UDP 段结构

用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。
在这里插入图片描述
源端口：

用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。在这里插入图片描述

问题:由上大家可以看到 UDP 的头部比 TCP 简单得多，但两者都有源和目的端口号。请问源和目的端口号用来干什么？

源端口就是本机程序用来发送数据的端口，目的端口就是对方主机用哪个端口接收

实作二分析 TCP 建立和释放连接

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
请在你捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。

TCP的三次握手过程：
1.第一次握手：客户端主动向服务器发送SYN包，服务端收到连接请求根据办理按揭队列的状态改变连接状态，若半连接队列未满，服务器就把连接信息放在半连接队列里面，若半连接队列满了，服务器就会将该连接丢弃。
2.第二次握手：服务器返回SYN+ACK包应答到客户端，客户端收到SYN+ACK包应答。
3.第三次握手：客户端发送ACK包给服务器，服务器收到包，TCP握手成功。
3. 请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。
在这里插入图片描述

第一次挥手：本机向学校服务器TCP发送连接释放包，并停止发送数据，主动关闭TCP连接。
第二次挥手：学校服务器收到连接释放包后，立即发出确认。
第三次挥手：若服务器已经没有要向本机发送的数据，就通知TCP释放连接。
第四次挥手：本机收到连接释放包后必须发出确认

问题: 去掉 Follow TCP Stream，即不跟踪一个 TCP 流，你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接？作用是什么？

提高速度，开辟了多个传输通道，实现了多个用户进行访问

问题：我们上面提到了释放连接需要四次挥手，有时你可能会抓到只有三次挥手。原因是什么？

因为将第二次、第三次挥手发出的包合并为了一个

应用层

应用层的协议非常的多，我们只对 DNS 和 HTTP 进行相关的分析。

实作一了解 DNS 解析

先使用 ipconfig /flushdns 命令清除缓存，再使用 nslookup qige.io 命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。
你应该可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。
可了解一下 DNS 查询和应答的相关字段的含义

实作二了解 HTTP 的请求和应答

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。

请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。在这里插入图片描述

              ![在这里插入图片描述](https://img-blog.csdnimg.cn/8f2ccf8842124f4a8b95d02b907dd687.png)
              请求头（Request）：

Accept：text/html application/xml 告诉服务器客户端浏览器这边可以出里什么数据；
Accept-Encodeing：gzip 告诉服务器我能支持什么样的压缩格式
accept-language：告诉服务器浏览器支持的语言
Cache-control：告诉服务器是否缓存
Connection:keep-alive 告诉服务器当前保持活跃（与服务器处于链接状态）
Host：远程服务器的域名
User-agent：客户端的一些信息，浏览器信息版本
referer：当前页面上一个页面地址。一般用于服务器判断是否为同一个域名下的请求

请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

connection:keep-live; 服务器同意保持连接
Date：时间
server：ngnix 服务器类型
set-Cookie:服务器向客户端设置cookie 第一次访问服务器会下发cookie当作身份认证信息，第二次访问服务器再把cookie送给服务器，可以当作认证信息
last-modified: 时间戳文档的最后改动时间。客户可以通过If-Modified-Since请求头提供一个日期，该请求将被视为一个条件GET，只有改动时间迟于指定时间的文档才会返回，否则返回一个304(Not Modified)状态。Last-Modified也可用setDateHeader方法来设置。
expires 告诉浏览器把回送的资源缓存多长时间 -1或0则是不缓存
etag:版本专有的加密指纹。（有的网站不用，并非必须）优先检查etag再检查last-modified的时间戳。向服务器请求带if-none-match,服务器判断是否过期未过期返回304，过期返回200