计算机网络实验-Wireshark 实验

最新推荐文章于 2024-07-25 19:02:55 发布

qq_52649321

最新推荐文章于 2024-07-25 19:02:55 发布

阅读量454

点赞数 1

文章标签： wireshark macos 网络

本文链接：https://blog.csdn.net/qq_52649321/article/details/121747997

版权

Wireshark 实验

数据链路层

实作一熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。

在这里插入图片描述

问题

你会发现 Wireshark 展现给我们的帧中没有校验字段，请了解一下原因。

答：抓包软件抓到的是去掉前导同步码、帧开始分界符、FCS之外的数据，wireshark把8字节的前序和4字节的FCS都给过滤了。wireshark中所显示的报文长度是包含14字节以太类型头,但不计算尾部4字节校验FCS值的

实作二了解子网内/外通信时的 MAC 地址

ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h6ItGP4l-1638775476650)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211018151536170.png)]$
然后 ping qige.io` （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TN6dxgQz-1638775476652)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211018151917832.png)]$

在这里插入图片描述

访问本子网的计算机时，目的 MAC 就是该主机的
访问非本子网的计算机时，目的 MAC 是网关的

再次 ping www.cqjtu.edu.cn （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cMabz4AH-1638775476654)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211018153316025.png)]

在这里插入图片描述

问题

通过以上的实验，你会发现：访问本子网的计算机时，目的 MAC 就是该主机的，访问非本子网的计算机时，目的 MAC 是网关的，请问原因是什么？

答：网关是一个网络通向其他网络的IP地址，访问非本子网的计算机时，网关通过ARP映射MAC，所以目的MAC是网关的

实作三掌握 ARP 解析过程

为防止干扰，先使用 arp -d * 命令清空 arp 缓存

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7l4hdI10-1638775476655)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211018153557449.png)]$
ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-mgnrqVvx-1638775476656)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211018153924807.png)]$
再次使用 arp -d * 命令清空 arp 缓存
然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B5StTE4J-1638775476658)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027104209258.png)]$

问题

通过以上的实验，你应该会发现，ARP 请求都是使用广播方式发送的。如果访问的是本子网的 IP，那么 ARP 解析将直接得到该 IP 对应的 MAC；如果访问的非本子网的 IP，那么 ARP 解析将得到网关的 MAC。请问为什么？

答：当本机访问的是本子网的计算机，数据包无需离开本通信子网， ARP 解析将也是在本子网里进行，所以ARP解析得到是对方主机的MAC物理地址；
当本机访问的是非本子网的计算机，也就是说此时有两个不同通信子网的主机之间需要通信，数据包就需要离开本通信子网，这里就涉及到数据包在两个通信子网的传输，传输数据要离开本通信子网，ARP 解析就势必要经过网关，因此，该ARP 解析得到的目的MAC物理地址就是本网关的物理地址。

实作一熟悉 IP 包结构

使用 Wireshark 任意进行抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6b94DIu6-1638775476658)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027104615162.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ldIvXNT2-1638775476659)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027104902881.png)]$

问题

为提高效率，我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段，也有总长度字段。请问为什么？
答：头部长度是来表明该包头部的长度，可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度是为了接收方的网络层了解到传输的数据包含哪些，如果没有该部分，当数据链路层在传输时，对数据进行了填充，对应的网络层不会把填充的部分给去掉。

实作二 IP 包的分段与重组

根据规定，一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。

缺省的，ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MBJX319U-1638775476660)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027105441234.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zkCCXCDM-1638775476661)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027105610700.png)]$

问题

分段与重组是一个耗费资源的操作，特别是当分段由传送路径上的节点即路由器来完成的时候，所以 IPv6 已经不允许分段了。那么 IPv6 中，如果路由器遇到了一个大数据包该怎么办？
答：直接丢弃再通知发送端进行重传。
由于在 IPv6中分段只能在源与目的地上执行，不能在路由器上进行。因此当数据包过大时，路由器就会直接丢弃该数据包包，并向发送端发回一个"分组太大"的ICMP差错报文，之后发送端就会使用较小长度的IP数据报重发数据。

实作三考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳（hops），一般该值设置为 64、128等。

在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。

请使用 tracert www.baidu.com 命令进行追踪，此时使用 Wireshark 抓包（用 icmp 过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NFuaUJEM-1638775476662)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027110410762.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zDCMi7Qv-1638775476662)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027110129114.png)]$

问题

在 IPv4 中，TTL 虽然定义为生命期即 Time To Live，但现实中我们都以跳数/节点数进行设置。如果你收到一个包，其 TTL 的值为 50，那么可以推断这个包从源点到你之间有多少跳？
答：ICMP 回显应答的 TTL 字段值为 128；TTL为返回值，跳数就为128-50=78跳。

实作一熟悉 TCP 和 UDP 段结构

用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-joxVZIIv-1638775476663)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027110928613.png)]$
用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ndmUa2Zl-1638775476664)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027111018443.png)]$

问题

由上大家可以看到 UDP 的头部比 TCP 简单得多，但两者都有源和目的端口号。请问源和目的端口号用来干什么？
答：源端口来表示发送终端的某个应用程序，目的端口来表示接收终端的某个应用程序。端口号就是来标识终端的应用程序，从而实现应用程序之间的通信。

实作二分析 TCP 建立和释放连接

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vpRu283t-1638775476665)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027111606246.png)]$
请在你捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iaF8UeHY-1638775476666)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027111802487.png)]$

第一次握手：计算机发送的TCP报文中以[SYN]作为标志位，Seq=0
第二次握手：服务器返回的TCP报文中以[SYN，ACK]作为标志位，Seq=0，Ack=1
第三次握手：计算机再向服务器端发送的TCP报文中以[ACK]作为标志位，Seq=1，Ack=1
请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CVMUMqCy-1638775476667)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027112457725.png)]$

第一次挥手：服务器返回的TCP报文中以[SYN，ACK]作为标志位，Seq=1，Ack=1

第二次挥手：计算机发送的TCP报文中以[SYN]作为标志位，Seq=0

第三次挥手：服务器继续返回的TCP报文中以[SYN，ACK]作为标志位，Seq=2，Ack=7

第四次挥手：客户端发出的ACK确认接收报文以[ACK]作为标志位，Seq=79，Ack=3

问题一

去掉 Follow TCP Stream，即不跟踪一个 TCP 流，你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接？作用是什么？
答：它们之间的连接是属于短连接，一旦数据发送完成后，就会断开连接。虽然，断开连接，但是页面还是存在，由于页面已经被缓存下来。一旦需要重新进行发送数据，就要再次进行连接。这样的连接，是为了实现多个用户进行访问，对业务频率不高的场合，节省通道的使用，不让其长期占用通道。

问题二

答：我们上面提到了释放连接需要四次挥手，有时你可能会抓到只有三次挥手。原因是什么？
可能第二次和第三次合并了。如果对方也没有数据发给本端，那么对方也会发送FIN给本端，用于关闭从对方到本端的连接，这时候就可能出现ACK和FIN合在一起的情况。

应用层

应用层的协议非常的多，我们只对 DNS 和 HTTP 进行相关的分析。

实作一了解 DNS 解析

先使用 ipconfig /flushdns 命令清除缓存，再使用 nslookup qige.io 命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AF2aTmEV-1638775476667)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027113055549.png)]$

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hSitwmz9-1638775476668)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027113128925.png)]$
你应该可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4djnAggo-1638775476669)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027113306875.png)]$
可了解一下 DNS 查询和应答的相关字段的含义

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QFAA0sbD-1638775476669)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027113357433.png)]$

问题

你可能会发现对同一个站点，我们发出的 DNS 解析请求不止一个，思考一下是什么原因？
答：为了使服务器的负载得到平衡(因为每天访问站点的次数非常多）网站就设有好几个计算机，每一个计算机都运行同样的服务器软件。这些计算机的IP地址不一样，但它们的域名却是相同的。这样，第一个访问该网址的就得到第一个计算机的IP地址，而第二个访问者就得到第二个计算机的IP地址等等。这样可使每一个计算机的负荷不会太大。

实作二了解 HTTP 的请求和应答

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5BUhai2p-1638775476670)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027113814960.png)]$
请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aD2wdpr5-1638775476671)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211027114009479.png)]$
请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SNGQ0IxC-1638775476671)(C:\Users\杨厚林\AppData\Roaming\Typora\typora-user-images\image-20211110110357862.png)]$

应答代码是200
Server：服务器通过这个头告诉浏览器服务器的类型。Transfer-Encoding：告诉浏览器数据的传送格式。Content- Type：表示后面的文档属于什么MIME类型。Cache-Control：指定请求和响应遵循的缓存机制*

问题

刷新一次 qige.io 网站的页面同时进行抓包，你会发现不少的 304 代码的应答，这是所请求的对象没有更改的意思，让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答？
答：浏览器中的缓存，可以直接在缓存区获取到需要的内容，不需要服务器在回复对应的内容，可以减少服务器的一些工作，减小开销。采用200应答就是要完全的将内容发送给客服端，这个会增加服务器的一些开销等。

qq_52649321

关注

1
点赞
踩
7

收藏

觉得还不错? 一键收藏
1
评论
计算机网络实验-Wireshark 实验

Wireshark 实验数据链路层实作一熟悉 Ethernet 帧结构使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。问题你会发现 Wireshark 展现给我们的帧中没有校验字段，请了解一下原因。答：抓包软件抓到的是去掉前导同步码、帧开始分界符、FCS之外的数据，wireshark把8字节的前序和4字节的FCS都给过滤了。wireshark中所显示的报文长度是包含14字节以太类型头,但不计算尾部4字节校验FCS值的实作
复制链接

扫一扫