【计算机网络实验二-wireshark实验】

最新推荐文章于 2024-06-03 09:51:25 发布

lijiatu10086

最新推荐文章于 2024-06-03 09:51:25 发布

阅读量2.1k

点赞数 5

文章标签： wireshark

本文链接：https://blog.csdn.net/qq_53175673/article/details/128301629

版权

计算机网络实验二

数据链路层

实作一熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。

打开cmder,ping一下百度，产生网络活动，并用wireshark对imcp类型抓包
在这里插入图片描述

可以看出
目的mac是80:ea:07:50:72:c1
源mac是：d8:12:65:6c:93:27
类型是IPv4
字段是Destination, Source, Type；

问题

你会发现 Wireshark 展现给我们的帧中没有校验字段，请了解一下原因。

答：wireshark在抓包的时候会自动把这些字段给去掉。

实作二了解子网内/外通信时的 MAC 地址

1.ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

这个是我的ip
在这里插入图片描述
这是我手机的ip

我们都连到同一wifi下。现在开始ping,且抓包

这是发出的帧,其中的目的mac是1a:56:38:7d:ba:20。显然这个就是我手机的mac地址

在这里插入图片描述
然后再来看看接收帧

显然这个mac也是我手机的mac地址。

2.然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

这里我ping的是baidu，我的ip是192.168.0.102
在这里插入图片描述
发出帧目的mac是80:ea:07:50:72:c1

返回帧目的mac是80:ea:07:50:72:c1
二者都是我的网关192.168.0.1的mac地址
在这里插入图片描述

3.再次 ping www.cqjtu.edu.cn （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？

在这里插入图片描述
wireshark 对其抓包

发出帧的目的mac:80:ea:07:50:72:c1

在这里插入图片描述
返回帧的目的mac:80:ea:07:50:72:c1

二者都是我的网关的mac

问题

通过以上的实验，你会发现：

访问本子网的计算机时，目的 MAC 就是该主机的
访问非本子网的计算机时，目的 MAC 是网关的
请问原因是什么？

答：访问同一子网下的计算机，不需要经过网关。访问不同子网就必须要经过网关，再由网关进行数据传输。

实作三掌握 ARP 解析过程

1.为防止干扰，先使用 arp -d * 命令清空 arp 缓存
2.ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。
3.再次使用 arp -d * 命令清空 arp 缓存
4.然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。

这里还是先说一下我的ip情况。
我电脑主机ip:192.168.43.83
mac:d8:12:65:6c:93:27
我手机的ip:192.168.43.67
mac:1a:56:38:7d:ba:20
都已连在同一wifi下。我在电脑上ping我的手机，并抓包

请求帧：
在这里插入图片描述
其目的mac是ff:ff:ff:ff:ff:ff

返回帧:

![在这里插入图片描述](https://img-blog.csdnimg.cn/fc7a638ae1a24c2bacb74f06fa96702d.png
该回应的源MAC：1a:56:38:7d:ba:20
目的 MAC 地址： d8:12:65:6c:93:27

其中arp请求的内容是：
请求帧：
Who has 192.168.43.67? Tell 192.168.43.83
192.168.43.67的mac地址是什么，请告诉192.168.43.83
返回帧：
192.168.43.67 is at 1a:56:38:7d:ba:20
192.168.43.67的mac地址是 1a:56:38:7d:ba:20

下面开始ping www.baidu.com
在这里插入图片描述

请求帧的目的mac是ff:ff:ff:ff:ff:ff。请求的内容是网关的mac是多少。
因为这里访问的非同一子网的计算机。所以回应的就是网关。

问题

通过以上的实验，你应该会发现，

ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP，那么 ARP 解析将直接得到该 IP 对应的 MAC；如果访问的非本子网的 IP，那么 ARP 解析将得到网关的 MAC。
请问为什么？

答：因为同一子网下的计算机，不需要出网关我们就可以访问到对方。如果访问非同一子网下的计算机，我们就必须通过网关，先把数据给网关，再由网关来处理数据。

网络层

实作一熟悉 IP 包结构

使用 Wireshark 任意进行抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。
在这里插入图片描述
其结构有：
版本：4
头部长度：20B
区分服务字段：0
总长：115
识别码（identification）:0x1380
flags：0x40
TTL：64
Protocal：UDP
Header CheckSum:0xa4d8
Source Address:192.168.0.106
Destination Address:192.168.0.103

问题

为提高效率，我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段，也有总长度字段。请问为什么？

答：因为ip包的头部有些部分是可变的，所以必须有头部长度字段。因为数链层在发送数据时，可能会填充数据，如果不加该总长度字段，接收方就不知道哪些数据是填充，进而也不知道该不该舍去。

实作二 IP 包的分段与重组

根据规定，一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。

缺省的，ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等

在这里插入图片描述
分段标志为0x20,偏移量为0，该图片所展示的包大小为1500B

该图片所展示的包大小为548B
IP包分段：在IP包头部有flag标志位，其中DF为0表示该包允许分割，1代表不允许。MF为0时该段是最后一段，1代表后面还有段。
上面两张图片中：(DF,MF) 为（0，1）（0，0）这里第二张图片的MF 为 0 就代表了它是最后一段

问题

分段与重组是一个耗费资源的操作，特别是当分段由传送路径上的节点即路由器来完成的时候，所以 IPv6 已经不允许分段了。那么 IPv6 中，如果路由器遇到了一个大数据包该怎么办？

答：首先会去找可以转发这种大的数据包的链路，如果有，就转发到那里去。如果没有，就直接丢弃

实作三考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳（hops），一般该值设置为 64、128等。

在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。

请使用 tracert www.baidu.com 命令进行追踪，此时使用 Wireshark 抓包（用 icmp 过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理

在这里插入图片描述

从以上两张图片可以看到右边的TTL是从1开始的，然后逐一地增加，其中我和百度隔了好几个中间节点。所以TTL设为1跳肯定是不够的，逐一增加，最后知道增加到百度可以接收到啦。它才停止增加。然后就将TTL设为64.（因为这里10跳左右就够啦，所以TTL就会被设置为64）

问题

在 IPv4 中，TTL 虽然定义为生命期即 Time To Live，但现实中我们都以跳数/节点数进行设置。如果你收到一个包，其 TTL 的值为 50，那么可以推断这个包从源点到你之间有多少跳？

答：首先TTL的初始值为接到这个包时的值(也就是50)往上数到64，如果本身比64大，就再翻一倍，为128。所以这里TTL初始值为64,64-50=14，所以是14跳。

传输层

实作一熟悉 TCP 和 UDP 段结构

用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。
用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。

tcp:
在这里插入图片描述
源端口(Source Port):5228
目的端口(Destination Post):59338
序列号（Sequence Number）：6734
确认号（Acknowledgment Number）：792

其中比较重要的几个是
SYN同步位：三次握手的前两次为1
ACK确认位：从三次握手的第一次之后都为1.
FIN结束位：置为1时用于释放连接。
RST恢复位：置1,用来关闭异常的连接。

udp:
在这里插入图片描述
udp协议的头部格式设计得非常简单
源端口(Source Port):62031
目的端口(Destination Post):53
长度（length）：44
校验和（checksum）：0x0bca

实作二分析 TCP 建立和释放连接

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
请在你捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。
请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。
在这里插入图片描述

三次握手：最上面的三个包就是三次握手的包。特征是这三个包都没有发数据所以长度len短，以及他们对应的标志位
建立连接：我的主机发出一个syn同步位为1的包，然后qige.io接收到后，发一个syn同步位，ack确认位为1给我的主机。最后我的主机再回复一个ack确认位为1的包。这样就可以建立连接啦
在这里插入图片描述

四次挥手，下面那三个被圈起来的包，就是啦。特征是他们的标志位以及长度len短。
释放连接：首先由我的主机发出一个FIN包，告诉qige.io我要断开连接啦。qige.io接收到后，应该要回复一个ack包，同时，它为了断开与我的连接，也要发一个FIN包，所以这里二三两次挥手被合在一起了。最后我的主机再回复一个ACK包。

问题一

去掉 Follow TCP Stream，即不跟踪一个 TCP 流，你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接？作用是什么？

答：首先qige.io的80端口是可以被我主机的多个端口连接的。这就是为什么可以有多个连接。然后，作用是，增加一条数据传输线路，加快数据传输速度。

问题二

我们上面提到了释放连接需要四次挥手，有时你可能会抓到只有三次挥手。原因是什么？

答：wireshark帮我们把中间两次给合并啦

应用层

实作一了解 DNS 解析

1.先使用 ipconfig /flushdns 命令清除缓存，再使用 nslookup qige.io 命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。
2.你应该可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。
3.可了解一下 DNS 查询和应答的相关字段的含义

在这里插入图片描述
通过UDP中目标port,可以看到DNS服务器的端口是53

如图可看到我的主机192.168.0.103向我的DNS服务器发送查询。然后在下面一个包中DNS服务器就回复了我的主机。

DNS应答字段含义：
QR：查询/应答标志。0表示这是一个查询报文，1表示这是一个应答报文
opcode，定义查询和应答的类型。0表示标准查询，1表示反向查询（由IP地址获得主机域名），2表示请求服务器状态
AA，授权应答标志，仅由应答报文使用。1表示域名服务器是授权服务器
TC，截断标志，仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制，所以过长的DNS报文将被截断。1表示DNS报文超过512字节，并被截断
RD，递归查询标志。1表示执行递归查询，即如果目标DNS服务器无法解析某个主机名，则它将向其他DNS服务器继续查询，如此递归，直到获得结果并把该结果返回给客户端。0表示执行迭代查询，即如果目标DNS服务器无法解析某个主机名，则它将自己知道的其他DNS服务器的IP地址返回给客户端，以供客户端参考
RA，允许递归标志。仅由应答报文使用，1表示DNS服务器支持递归查询
zero，这3位未用，必须设置为0

问题

你可能会发现对同一个站点，我们发出的 DNS 解析请求不止一个，思考一下是什么原因？

答：因为一个站点可能为了分担压力，设有多台DNS服务器来回答各处发来的DNS解析请求。所以最后我们发出的请求，就可能同时被不同的DNS服务器给解析啦

实作二了解 HTTP 的请求和应答

1.打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。
2.请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。
3.请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

在这里插入图片描述
这个是 get请求。
字段：
User-Agent：在请求中使用，表示客户端的情况。
Host:在请求中使用，用于表示请求URL的主机和端口信息。当端口为当前url使用的协议http/https的默认端口时，浏览器会省略端口部分。
Content-Type:在请求和响应中都可使用，用于表示体部数据的类型。
Cookie:在请求中使用，只能有一个该字段，用于携带cookie的值对。name和value之间使用=连接，键值对之间使用;分隔。
Set-Cookie:在响应中使用，可以有多个该字段，用于cookie设置。
Content-Length:在请求或响应中使用，按字节计数，仅限请求或响应的体部。
Date:在响应中使用，表示当前时间，为GMT格式。
Origin:在请求中使用，用于表示发起该请求的页面。
下面是我抓的其他网站的（里面有post请求，以及对应的回复）
在这里插入图片描述
从图片上看，抓到的http回复包大多状态是200成功

其中和上面哪些请求包不同的机构字段：
Connection：这个是表示连接状态的。keep-alive就代表处在连接中
然后就是回应信息：
status code:200(状态码：表示成功)
response version:响应版本
response phrase:状态响应码