Wireshark 实验

1.数据链路层

(1)熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。

下图是抓取的一个http的数据包

  • Frame: 物理层的数据帧概况

  • Ethernet II: 数据链路层以太网帧头部信息

  • Internet Protocol Version 4: 互联网层IP包头部信息

  • Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP

  • Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
    在这里插入图片描述
    Ethernet 帧结构如图,图中是Ethernet II:
    它由6个字节的目的MAC地址,6个字节的源MAC地址,2个字节的类型域,如图所示:
    在这里插入图片描述

  • Destination:目的 MAC

  • source:源 MAC

  • type:类型

Q:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。

A:这是因为有时校验和会由网卡计算,这时wireshark抓到的本机发送的数据包的校验和都是错误的,所以默认关闭了WireShark自己的校验

(2)了解子网内/外通信时的 MAC 地址

ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp
关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

  • 本机物理地址如下:
    在这里插入图片描述
  • ping 旁边的计算机:
    在这里插入图片描述
  • 通过目的ip过滤:(ip.dst==172.20.10.13,过滤目的地址为172.20.10.13)
    在这里插入图片描述
  • 查看发出包的mac地址:
    在这里插入图片描述
    上图中source是本机的mac地址,而destination是旁边计算机的地址
  • 查看返回包的mac地址
    在这里插入图片描述
    与上一幅图的地址刚好相反

然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

在这里插入图片描述
在这里插入图片描述

  • 发送包:
    在这里插入图片描述
  • 返回包:
    在这里插入图片描述

再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?

在这里插入图片描述

  • 发送包:
    在这里插入图片描述
  • 返回包:
    在这里插入图片描述
    通过以上三个实验,可以发现:
    访问本子网的计算机时,目的 MAC 就是该主机的,访问非本子网的计算机时,目的 MAC 是网关的(实验2和3的目的mac相同)
    原因:因为本机想要发送信息给非本子网的计算机,需要经过的第一个节点就是网关,接收时也是一样。

3.掌握 ARP 解析过程

为防止干扰,先使用 arp -d * 命令清空 arp 缓存

第一次遇到:ARP 项删除失败: 请求的操作需要提升。的问题
退出,用管理员身份运行cmder即可
在这里插入图片描述

ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP
请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。

在这里插入图片描述
在这里插入图片描述
源地址是本机的mac地址,目的 MAC 地址是广播
回复的是目的主机的mac地址

再次使用 arp -d * ·命令清空 arp 缓存

在这里插入图片描述

然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP请求的是什么,注意观察该请求是谁在回应。

在这里插入图片描述
在这里插入图片描述
如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。

网络层

1.熟悉 IP 包结构

  • 使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段
    在这里插入图片描述

  • ip结构如图:
    在这里插入图片描述

  • 版本号(Version):长度4比特。标识目前采用的IP协议的版本号。一般的值为0100(IPv4),IPv6的值(0110)

  • 服务类型(Type of Service):长度8比特。这个子段可以拆分成两个部分:Precedence和TOS。T

  • 头部长度(Header Length):长度4比特。这个字段的作用是为了描述IP包头的长度,因为在IP包头中有变长的可选部分。

  • IP包总长(Total Length):长度16比特。IP包最大长度65535字节。

  • 标识符(Identifier):长度16比特。

  • 分段偏移(Fragment Offset):长度13比特。该字段对包含分段的上层数据包的IP包赋予序号。由于IP包在网络上传送的时候不一定能按顺序到达,这个字段保证了目标路由器在接受到IP包之后能够还原分段的上层数据包。

  • 生存时间(TTL):长度8比特。当IP包进行传送时,先会对该字段赋予某个特定的值。当IP包经过每一个沿途的路由器的时候,每个沿途的路由器会将IP包的TTL值减少1。如果TTL减少为0,则该IP包会被丢弃。这个字段可以防止由于故障而导致IP包在网络中不停被转发。

  • 协议(Protocol):长度8比特。标识了上层所使用的协议。

  • 头部校验(Header Checksum):长度16位,由于IP包头是变长的,所以提供一个头部校验来保证IP包头中信息的正确性。

  • 起源和目标地址(Source and Destination Addresses ):这两个地段都是32比特。标识了这个IP包的起源和目标地址。

Q:为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?

A:因为ip的包传输时,要进行分组,大于1500字节的需要被分段,在头部写出ip包总长度,可以减少验证的时间。

2.IP 包的分段与重组

根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。缺省的,ping 命令只会向对方发送 32 个字节的数据。

我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等

  • 当发送大小为500的包(发送给了14.215.177.39)
    在这里插入图片描述
    在这里插入图片描述

在这里插入图片描述
如上,当IP包大小为500,未分片。

  • 当发送大小为2000的IP包

在这里插入图片描述
在这里插入图片描述
IP包1:
在这里插入图片描述
IP包2:
在这里插入图片描述
如图,一个ip包被分成了一个1500字节,一个548字节的IP包,且分段标志不为0,说明存在分段,第二个IP包分段偏移为1480。

Q:分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?

A:路由器会将其丢弃
IPv6的数据只在源端分片,目的端重组,中间路由器收到超过它MTU的数据会发送ICMPv6告诉源主机它的MTU大小,并把数据抛弃。

(3)考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。

请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
在这里插入图片描述

  • TTl=1
    在这里插入图片描述
  • TTl=2
    在这里插入图片描述
  • TTl=3
    在这里插入图片描述
  • TTl=11
    在这里插入图片描述
  • TTl =2时回复
    在这里插入图片描述
  • TTl=4时的回复
    在这里插入图片描述
    查看回复的IP地址,可以看出他们都是在相应的跳数进行回复,发送IP包时,也是以百度的IP为目的地址,只是TTl不同。

Q:在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?

A:需要知道发送端TTL的值,若中间跳数=最初TTL-接收TTL,推测可能为:14或78。

3.传输层

(1)熟悉 TCP 和 UDP 段结构

用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。

在这里插入图片描述

  • 源地址端口:16位字段,发送该报文段的主机中应用程序的端口号
  • 目的端口地址:
  • 序号:32位字段。指派给本报文段第一个数据字节的编号,TCP传输保证连接性,发送的每个字节都要编上号。序号就是告诉终点,报文段中的第一个字节是序列中的哪个。建立连接时,发收双发使用各自的随机数产生器产生一个初始序号(ISN),通常,两个方向的ISN是不同的。
  • 确认号:32位字段定义了接收方期望从对方接受的字节编号。如果报文段的接收方成功的接受了对方发过来的编号x的字节,那么返回x+1作为确认号,确认号可以和数据捎带一起发送。
  • HLEN(首部长度):4位,指出TCP首部一共有多少个4字节,所以范围是5~15
  • 控制:定义了6中不同的控制位或者标志位。如图
    URG:紧急数据标志位
    ACK:确认标志位
    PSH:请求推送位,接收端应尽快把数据传送给应用层
    RST:连接复位,通常,如果TCP收到的一个分段明显不属于该主机的任何一个连接,则向远程发送一个复位包
    SYN:建立连接,让连接双方同步序列号
    FIN:释放连接
  • 检验和:TCP的使用检验和是强制性的,UDP使用检验和是可选的。在计算检验和是报文段要附加相同的伪首部,对于TCP来说伪首部的协议字段的值是6.

用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。

在这里插入图片描述

-UDP的分组称用户数据报,它有8字节的固定首部:

  • 源端口
  • 目的端口
  • 总长度:16位字段,定义了用户数据报的总长度为0~65535字节。
  • 检验和:增加一个伪首部,对于UDP协议来说协议字段的值为17。

Q:由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?

A:源端口就是本机程序用来发送数据的端口,目的端口就是对方主机用哪个端口接收

(2)分析 TCP 建立和释放连接

打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
在这里插入图片描述

请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。

  • 第一次握手:客户端发送的TCP报文中以[SYN]作为标志位,客户端序号Seq=0;
  • 第二次握手:服务器返回的TCP报文中以[SYN,ACK]作为标志位;并且服务器端序号Seq=0;确认号Ack=1;
  • 第三次握手:客户端再向服务器端发送的TCP报文中以[ACK]作为标志位;其中客户端序号Seq=1,确认号Ack=1

-

Q:去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?

A:运用多个端口同时与qige.io建立连接,同时加载数据,提高速度

Q;我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?

A:是因为第二次握手和第三次挥手合并了,FIN报文用在本端没有数据发送给对方时,关闭从本端到对端的连接。但是并不影响从对方到本端的连接,也就是说本端仍然可以接收对方的数据。即发送通道关闭,接收通道正常。

4.应用层

应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。

(1) 了解 DNS 解析

先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析

  • ipconfig /flushdns清除DNS缓存
    在这里插入图片描述
  • 使用 nslookup qige.io 命令进行解析
    在这里插入图片描述

用Wireshark 任意抓包(可用 dns 过滤)。 你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。 可了解一下 DNS 查询和应答的相关字段的含义

  • 服务器ip为61.128.128.68
    在这里插入图片描述
  • 主机发给DNS 服务器的包
    在这里插入图片描述
  • DNS返回的包
    在这里插入图片描述
    当主机给DNS服务器发送域名解析请求,服务器会返回相应IP,如下图:
    在这里插入图片描述

Q:你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?

A:因为同一个域名可能有几个不同的IP,如上面的qige.io,就有 104.18.41.82 ,172.67.143.53, 104.18.40.82这几个IP。产生这样的结果是为了使网站服务器的负载得到平衡(因为每天访问这个站点的次数非常多)。因此这个网站就设有好几个计算机,每一个计算机都运行同样的服务器软件。这些计算机的IP地址当然都是不一样的,但它们的域名却是相同的。这样,第一个访问该网址的就得到第一个计算机的IP地址,而第二个访问者就得到第二个计算机的IP地址等等。这样可使每一个计算机的负荷不会太大。

(2)了解 HTTP 的请求和应答

打开浏览器访问 qige.io 网站(这里我没抓到qige的包,抓了其它网站的http请求),用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
在这里插入图片描述

请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。

在这里插入图片描述

它使用的是POST请求,和上图一 一对应:

  • User-agent:客户端的一些信息,浏览器信息 版本
  • host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
  • Accept:告诉WEB服务器自己接受什么介质类型
  • Accept-Encoding:浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法 (gzip deflate)
  • content-length:内容长度
  • Content-Type WEB 服务器告诉浏览器自己响应的对象的类型。

请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

在这里插入图片描述

  • 200:服务器成功返回网页
  • 304:未修改,自从上次请求后,请求的网页未修改过。服务器返回此响应时,不会返回网页内容。
  • 404 – 请求的网页不存在
    其它常见HTTP状态码:
  • 100:这个状态码是告诉客户端应该继续发送请求,这个临时响应是用来通知客户端的,部分的请求服务器已经接受,但是客户端应继续发送求请求的剩余部分,如果请求已经完成,就忽略这个响应,而且服务器会在请求完成后向客户发送一个最终的结果
  • 200:这个是最常见的http状态码,表示服务器已经成功接受请求,并将返回客户端所请求的最终结果
  • 202:表示服务器已经接受了请求,但是还没有处理,而且这个请求最终会不会处理还不确定
  • 204:服务器成功处理了请求,但没有返回任何实体内容 ,可能会返回新的头部元信息
  • 301:客户端请求的网页已经永久移动到新的位置,当链接发生变化时,返回301代码告诉客户端链接的变化,客户端保存新的链接,并向新的链接发出请求,已返回请求结果
  • 500:服务器遇到未知的错误,导致无法完成客户端当前的请求。
  • 503:服务器由于临时的服务器过载或者是维护,无法解决当前的请求,

Q:刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?

A:刷新时,浏览器直接对本地的缓存文件过期,但是会带上If-Modifed-Since,If-None-Match,这就意味着服务器会对文件检查新鲜度,这时如果网页未修改,返回结果可能是304。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值