Wireshark 实验
准备
请自行查找或使用如下参考资料,了解 Wireshark 的基本使用:
选择对哪块网卡进行数据包捕获
开始/停止捕获
了解 Wireshark 主要窗口区域
设置数据包的过滤
跟踪数据流
🌏 参考
官方文档 https://www.wireshark.org/docs/wsug_html/
Wireshark抓包新手使用教程https://www.cnblogs.com/linyfeng/p/9496126.html
Troubleshooting with Wireshark http://file.allitebooks.com/20160907/Troubleshooting%20with%20Wireshark.pdf
The Official Wireshark Certified Network Analyst Study Guide http://file.allitebooks.com/20150724/Wireshark%20Network%20Analysis-%20The%20Official%20Wireshark%20Certified%20Network%20Analyst%20Study%20Guide,%202nd%20Edition.pdf
Wireshark Network Security http://file.allitebooks.com/20190315/Wireshark%20Network%20Security.pdf
数据链路层
实作一 熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
Wireshark 抓取的包会自动丢弃掉校验字段。
实作二 了解子网内/外通信时的 MAC 地址
补充:
网络通信需要知道对方主机的ip地址,但是ip只存在于协议的第三层,而实际发送数据到网络上的另一台主机是由物理层负责的,那在物理层怎么把数据传递给对方,需要用MAC地址
1.ping
你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
ping 10.160.155.180
分析来看,同一子网下,ping通对方主机的MAC地址为默认网关地址。(连接的是同一校园WiFi)。但通过原理分析应该是对方主机MAC地址,这里提出问题接法,应该是有某种网络设备控制。
但是连接同一手机热点,同一子网内,ping得到的就是对方Mac地址,所以更加确定是校园网的网络设备控制了某些信息。
2.然后 ping qige.io
(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
- 目的帧MAC地址
- 返回帧MAC地址
通过查看可以得出访问外网时,请求帧目的地址的MAC地址和返回帧源地址的MAC地址皆为网关地址。
3.再次 ping www.cqjtu.edu.cn
(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
发出帧的目的 MAC 地址为网关地址。由于对方防火墙设置,没有收到回应。
✎ 问题
通过以上的实验,你会发现:
访问本子网的计算机时,目的 MAC 就是该主机的
访问非本子网的计算机时,目的 MAC 是网关的
请问原因是什么?
答:同一子网下,直接通过发送广播数据可以直接得到对方的MAC地址。
不同子网下,需要发送机将网关的MAC地址作为目的MAC地址进行数据传输,网关收到数据发现是自己的MAC地址便解析到网络层,但一看IP是不同子网的便转发出去,所有不同子网目的MAC地址是网关的MAC地址。
ARP协议,同一网段,不同网段的详细通信流程
实作三 掌握 ARP 解析过程
1.为防止干扰,先使用 arp -d *
命令清空 arp 缓存
2.ping
你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
![目的地址ff:ff:ff:ff
,源地址为本机Mac地址。
3.再次使用 arp -d *
命令清空 arp 缓存
4.然后 ping qige.io
(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
目的地址本机Mac地址,源地址为网关Mac地址。
通过以上的实验,你应该会发现,
ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?
由于ARP表被清空,所以首先是通过广播建立ARP表来得到对方的MAC地址。在同一子网内不需要通过路由器进行通信,所以得到是对方主机的Mac地址。访问外网时,也是通过广播的,需用路由器进行转发消息,所以得到网关Mac地址。
网络层
实作一 熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
版本:IPV4
头部长度:20 bytes
总长度:1480
TTL:55
协议类型:TCP
✎ 问题
为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
IP包的头部长度,保证了上层在进行处理时可以直接将IP头部去掉处理段内容。
实作二 IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000
命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16
进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
由于202.202.240.16
没有成功ping通,这里选择ping 10.160.255.254
(默认网关)
标识符(Identifier):长度16比特。该字段和Flags和Fragment Offest字段联合使用,对较大的上层数据包进行分段(fragment)操作。路由器将一个包拆分后,所有拆分开的小包被标记相同的值,以便目的端设备能够区分哪个包属于被拆分开的包的一部分。
标记(Flags):长度3比特。该字段第一位不使用。第二位是DF(Don’t Fragment)位,DF位设为1时表明路由器不能对该上层数据包分段。如果一个上层数据包无法在不分段的情况下进行转发,则路由器会丢弃该上层数据包并返回一个错误信息。第三位是MF(More Fragments)位,当路由器对一个上层数据包分段,则路由器会在除了最后一个分段的IP包的包头中将MF位设为1。
片偏移(Fragment Offset):长度13比特。表示该IP包在该组分片包中位置,接收端靠此来组装还原IP包。
以上三部分总共32bit,其中标识符进行分包操作。标记+片偏移共16个bit,标识占高3个bit,通过对2000(16进制)转换0010 0000 0000 0000 0000,DF=0,MF=1,则存在分段,片偏移为0。第二段的片偏移为1480
第一个包:1500-20=1480
第二个包:548-20-8=520(是ICMP花销了8个bit)
✎ 问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
IPv6的数据只在源端分片,目的端重组,中间路由器收到超过它MTU的数据会发送ICMPv6告诉源主机它的MTU大小,并把数据抛弃.
参考资料:IPv6数据包不会因为网络中的MTU分片?该怎么处理
实作三 考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了tracert
命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用tracert www.baidu.com
命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
从我们源主机发出去的数据包在到达目的主机的路上要经过许多个路由器的转发,在发送数据包的时候源主机会设置一个TTL的值,每经过一个路由器TTL就会被减去一,当TTL为0的时候该数据包会被直接丢弃(不再继续转发),并发送一个超时ICMP报文给源主机。
参考资料:Traceroute(路由追踪)的原理及实现
✎ 问题
在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
不同的操作系统的icmp包TTL值不同,Windows操作系统的ICMP回显应答的 TTL 字段值为 128。所以128-50=78,则经过78个路由器。
传输层
实作一 熟悉 TCP 和 UDP 段结构
- 用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
- TCP
参考资料:TCP协议详解(一):TCP头部结构
- 用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
- UDP
参考资料:IP头、TCP头、UDP头详解以及定义
✎ 问题
由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
标识进程的作用。在网络通信中,必须将IP地址和端口地址结合起来才能实现应用进程之间的通信。
参考资料:端口号在传输层起什么作用
实作二 分析 TCP 建立和释放连接
- 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
- 请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
1.客户端先向服务端80端口发送一个syn标志位,(sep=0)
2.服务端接收到请求,返回一个数据包syn标志位为1,ACK位置为客户端x+1,seq=y,通知客户端,80端口开放,为了保证数据传输可靠性,61568端口务必打开。(sep=0,ack=1)
3.客户端再一次向服务端发送一个数据包的ACK=y+1,Seq=x+1,5774->80,到此TCP链接建立完成。(sep=1 ack=1)
- 请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
1.服务端停止提出终端链接请求 。
2.客户端收到请求并回复。
3.客户端提出中断连接请求。
4. 服务器收到请求并回复。
✎ 问题一
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
因为在传输层的TCP三次握手建立完全之后,传输层还需要进行相关的数据传输和认证,所以存在其他连接。作用是对传输其他数据以及认证。
补充: Follow TCP Stream工作原理:对ip A port A和ip B port B的对应,加上src/dst的转换,对于udp来说没有问题,但是对于tcp而言,还要参考tcp报文的序号。
参考资料:wireshark的Follow Tcp stream功能原理是?
✎ 问题二
我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
因为某一方在收到对方中断的请求后将回复和自己的中断请求放在一个包里进行传输了。
应用层
应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。
实作一 了解 DNS 解析
- 先使用
ipconfig /flushdns
命令清除缓存,再使用nslookup qige.io
命令进行解析,同时用Wireshark 任意抓包(可用dns
过滤)。
解析qige.io出现了超时现象,用的是
nslookup www.baidu.com
- 你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53号端口返回了结果。
3.可了解一下 DNS 查询和应答的相关字段的含义
-
QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文
-
opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态
-
AA,授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器
-
TC,截断标志,仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制,所以过长的DNS报文将被截断。1表示DNS报文超过512字节,并被截断
-
RD,递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。0表示执行迭代查询,即如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供客户端参考
-
RA,允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询
-
zero,这3位未用,必须设置为0
-
rcode,4位返回码,表示应答的状态。常用值有0(无错误)和3(域名不存在)
参考资料:DNS查询和应答报文详解
✎ 问题
你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
因为同一个域名下有多个主机IP用来减少服务器的负荷。
参考资料:同一个站点,我们发出的 DNS 解析请求不止一个
实作二 了解 HTTP 的请求和应答
- 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
- 请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:
GET
,POST
。并仔细了解请求的头部有哪些字段及其意义。 - 请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:
200
,304
,404
等。并仔细了解应答的头部有哪些字段及其意义。
请求报文:包含请求行(请求的方法,URL、协议版本)、请求头部、空行和请求数据4部分
应答报文:包含状态行(协议版本、状态码、服务信息)、响应头部、空行和响应数据4部分
参考资料:HTTP 状态消息
✍ 建议:
HTTP 请求和应答的头部字段值得大家认真的学习,因为基于 Web 的编程中我们将会大量使用。如:将用户认证的令牌信息放到头部,或者把 cookie 放到头部等。
✎ 问题
刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
304状态信息是客户端有缓存情况下服务端的一种响应。
参考资料:HTTP 304状态码的详细讲解
总结
通过此次实验较为完整的实验了4层网络结构,数据链路层、网络层、传输层、应用层,对于各个层之间的抓包分析有了一定的学习,对对等层的协议以及相关抓包数据分析,对于之后的计算机网络原理学习打好了基础。