计算机网络
1.数据链路层
(1)熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
下图是抓取的一个http的数据包
-
Frame: 物理层的数据帧概况
-
Ethernet II: 数据链路层以太网帧头部信息
-
Internet Protocol Version 4: 互联网层IP包头部信息
-
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
-
Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
Ethernet 帧结构如图,图中是Ethernet II:
它由6个字节的目的MAC地址,6个字节的源MAC地址,2个字节的类型域,如图所示:
-
Destination:目的 MAC
-
source:源 MAC
-
type:类型
Q:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
A:这是因为有时校验和会由网卡计算,这时wireshark抓到的本机发送的数据包的校验和都是错误的,所以默认关闭了WireShark自己的校验
(2)了解子网内/外通信时的 MAC 地址
ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp
关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
- 本机物理地址如下:
- ping 旁边的计算机:
- 通过目的ip过滤:(ip.dst==172.20.10.13,过滤目的地址为172.20.10.13)
- 查看发出包的mac地址:
上图中source是本机的mac地址,而destination是旁边计算机的地址 - 查看返回包的mac地址
与上一幅图的地址刚好相反
然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
- 发送包:
- 返回包:
再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
- 发送包:
- 返回包:
通过以上三个实验,可以发现:
访问本子网的计算机时,目的 MAC 就是该主机的,访问非本子网的计算机时,目的 MAC 是网关的(实验2和3的目的mac相同)
原因:因为本机想要发送信息给非本子网的计算机,需要经过的第一个节点就是网关,接收时也是一样。
3.掌握 ARP 解析过程
为防止干扰,先使用 arp -d * 命令清空 arp 缓存
第一次遇到:ARP 项删除失败: 请求的操作需要提升。的问题
退出,用管理员身份运行cmder即可
ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP
请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
源地址是本机的mac地址,目的 MAC 地址是广播
回复的是目的主机的mac地址
再次使用 arp -d * ·命令清空 arp 缓存
然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP请求的是什么,注意观察该请求是谁在回应。
如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
网络层
1.熟悉 IP 包结构
-
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段
-
ip结构如图:
-
版本号(Version):长度4比特。标识目前采用的IP协议的版本号。一般的值为0100(IPv4),IPv6的值(0110)
-
服务类型(Type of Service):长度8比特。这个子段可以拆分成两个部分:Precedence和TOS。T
-
头部长度(Header Length):长度4比特。这个字段的作用是为了描述IP包头的长度,因为在IP包头中有变长的可选部分。
-
IP包总长(Total Length):长度16比特。IP包最大长度65535字节。
-
标识符(Identifier):长度16比特。
-
分段偏移(Fragment Offset):长度13比特。该字段对包含分段的上层数据包的IP包赋予序号。由于IP包在网络上传送的时候不一定能按顺序到达,这个字段保证了目标路由器在接受到IP包之后能够还原分段的上层数据包。
-
生存时间(TTL):长度8比特。当IP包进行传送时,先会对该字段赋予某个特定的值。当IP包经过每一个沿途的路由器的时候,每个沿途的路由器会将IP包的TTL值减少1。如果TTL减少为0,则该IP包会被丢弃。这个字段可以防止由于故障而导致IP包在网络中不停被转发。
-
协议(Protocol):长度8比特。标识了上层所使用的协议。
-
头部校验(Header Checksum):长度16位,由于IP包头是变长的,所以提供一个头部校验来保证IP包头中信息的正确性。
-
起源和目标地址(Source and Destination Addresses ):这两个地段都是32比特。标识了这个IP包的起源和目标地址。
Q:为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
A:因为ip的包传输时,要进行分组,大于1500字节的需要被分段,在头部写出ip包总长度,可以减少验证的时间。
2.IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。缺省的,ping 命令只会向对方发送 32 个字节的数据。
我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
- 当发送大小为500的包(发送给了14.215.177.39)
如上,当IP包大小为500,未分片。
- 当发送大小为2000的IP包
IP包1:
IP包2:
如图,一个ip包被分成了一个1500字节,一个548字节的IP包,且分段标志不为0,说明存在分段,第二个IP包分段偏移为1480。
Q:分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
A:路由器会将其丢弃
IPv6的数据只在源端分片,目的端重组,中间路由器收到超过它MTU的数据会发送ICMPv6告诉源主机它的MTU大小,并把数据抛弃。
(3)考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
- TTl=1
- TTl=2
- TTl=3
… - TTl=11
- TTl =2时回复
- TTl=4时的回复
查看回复的IP地址,可以看出他们都是在相应的跳数进行回复,发送IP包时,也是以百度的IP为目的地址,只是TTl不同。
Q:在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
A:需要知道发送端TTL的值,若中间跳数=最初TTL-接收TTL,推测可能为:14或78。
3.传输层
(1)熟悉 TCP 和 UDP 段结构
用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
- 源地址端口:16位字段,发送该报文段的主机中应用程序的端口号
- 目的端口地址:
- 序号:32位字段。指派给本报文段第一个数据字节的编号,TCP传输保证连接性,发送的每个字节都要编上号。序号就是告诉终点,报文段中的第一个字节是序列中的哪个。建立连接时,发收双发使用各自的随机数产生器产生一个初始序号(ISN),通常,两个方向的ISN是不同的。
- 确认号:32位字段定义了接收方期望从对方接受的字节编号。如果报文段的接收方成功的接受了对方发过来的编号x的字节,那么返回x+1作为确认号,确认号可以和数据捎带一起发送。
- HLEN(首部长度):4位,指出TCP首部一共有多少个4字节,所以范围是5~15
- 控制:定义了6中不同的控制位或者标志位。如图
URG:紧急数据标志位
ACK:确认标志位
PSH:请求推送位,接收端应尽快把数据传送给应用层
RST:连接复位,通常,如果TCP收到的一个分段明显不属于该主机的任何一个连接,则向远程发送一个复位包
SYN:建立连接,让连接双方同步序列号
FIN:释放连接 - 检验和:TCP的使用检验和是强制性的,UDP使用检验和是可选的。在计算检验和是报文段要附加相同的伪首部,对于TCP来说伪首部的协议字段的值是6.
用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
-UDP的分组称用户数据报,它有8字节的固定首部:
- 源端口
- 目的端口
- 总长度:16位字段,定义了用户数据报的总长度为0~65535字节。
- 检验和:增加一个伪首部,对于UDP协议来说协议字段的值为17。
Q:由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
A:源端口就是本机程序用来发送数据的端口,目的端口就是对方主机用哪个端口接收
(2)分析 TCP 建立和释放连接
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
- 第一次握手:客户端发送的TCP报文中以[SYN]作为标志位,客户端序号Seq=0;
- 第二次握手:服务器返回的TCP报文中以[SYN,ACK]作为标志位;并且服务器端序号Seq=0;确认号Ack=1;
- 第三次握手:客户端再向服务器端发送的TCP报文中以[ACK]作为标志位;其中客户端序号Seq=1,确认号Ack=1
Q:去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
A:运用多个端口同时与qige.io建立连接,同时加载数据,提高速度
Q;我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
A:是因为第二次握手和第三次挥手合并了,FIN报文用在本端没有数据发送给对方时,关闭从本端到对端的连接。但是并不影响从对方到本端的连接,也就是说本端仍然可以接收对方的数据。即发送通道关闭,接收通道正常。
4.应用层
应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。
(1) 了解 DNS 解析
先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析
- ipconfig /flushdns清除DNS缓存
- 使用 nslookup qige.io 命令进行解析
用Wireshark 任意抓包(可用 dns 过滤)。 你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。 可了解一下 DNS 查询和应答的相关字段的含义
- 服务器ip为61.128.128.68
- 主机发给DNS 服务器的包
- DNS返回的包
当主机给DNS服务器发送域名解析请求,服务器会返回相应IP,如下图:
Q:你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
A:因为同一个域名可能有几个不同的IP,如上面的qige.io,就有 104.18.41.82 ,172.67.143.53, 104.18.40.82这几个IP。产生这样的结果是为了使网站服务器的负载得到平衡(因为每天访问这个站点的次数非常多)。因此这个网站就设有好几个计算机,每一个计算机都运行同样的服务器软件。这些计算机的IP地址当然都是不一样的,但它们的域名却是相同的。这样,第一个访问该网址的就得到第一个计算机的IP地址,而第二个访问者就得到第二个计算机的IP地址等等。这样可使每一个计算机的负荷不会太大。
(2)了解 HTTP 的请求和应答
打开浏览器访问 qige.io 网站(这里我没抓到qige的包,抓了其它网站的http请求),用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
它使用的是POST请求,和上图一 一对应:
- User-agent:客户端的一些信息,浏览器信息 版本
- host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
- Accept:告诉WEB服务器自己接受什么介质类型
- Accept-Encoding:浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法 (gzip deflate)
- content-length:内容长度
- Content-Type WEB 服务器告诉浏览器自己响应的对象的类型。
请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
- 200:服务器成功返回网页
- 304:未修改,自从上次请求后,请求的网页未修改过。服务器返回此响应时,不会返回网页内容。
- 404 – 请求的网页不存在
其它常见HTTP状态码: - 100:这个状态码是告诉客户端应该继续发送请求,这个临时响应是用来通知客户端的,部分的请求服务器已经接受,但是客户端应继续发送求请求的剩余部分,如果请求已经完成,就忽略这个响应,而且服务器会在请求完成后向客户发送一个最终的结果
- 200:这个是最常见的http状态码,表示服务器已经成功接受请求,并将返回客户端所请求的最终结果
- 202:表示服务器已经接受了请求,但是还没有处理,而且这个请求最终会不会处理还不确定
- 204:服务器成功处理了请求,但没有返回任何实体内容 ,可能会返回新的头部元信息
- 301:客户端请求的网页已经永久移动到新的位置,当链接发生变化时,返回301代码告诉客户端链接的变化,客户端保存新的链接,并向新的链接发出请求,已返回请求结果
- 500:服务器遇到未知的错误,导致无法完成客户端当前的请求。
- 503:服务器由于临时的服务器过载或者是维护,无法解决当前的请求,
Q:刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
A:刷新时,浏览器直接对本地的缓存文件过期,但是会带上If-Modifed-Since,If-None-Match,这就意味着服务器会对文件检查新鲜度,这时如果网页未修改,返回结果可能是304。
2161
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
