计算机网络实验二

最新推荐文章于 2024-07-10 18:47:37 发布

流年。921

最新推荐文章于 2024-07-10 18:47:37 发布

阅读量1.1k

点赞数

文章标签： macos 网络网络协议

本文链接：https://blog.csdn.net/qq_56182763/article/details/122288536

版权

计算机网络实验二

一、实验概述：
二、实验内容

一、实验概述：

【实验目的】

了解 Wireshark 的基本使用
【实施环境】（使用的材料、设备、软件）
Windows操作系统环境，Wireshark软件

二、实验内容

数据链路层：

第1题熟悉 Ethernet 帧结构

1、使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。
【实验过程】（步骤、记录、数据、程序等）
1、Ethernet II,
Destination: ASUSTekC_9a:a4:00 (00:1b:fc:9a:a4:00)
Source: Qualcomm_00:00:05 (00:a0:c6:00:00:05)
Type: IPv4 (0x0800)
其余为字段

第2题了解子网内/外通信时的 MAC 地址

1、ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？
2、然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？
3、再次 ping www.cqjtu.edu.cn （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？

【实验过程】（步骤、记录、数据、程序等）
1、发送帧的目的MAC地址为f4:d1:08:5e:40:89，和返回帧的源地址相同。这个MAC地址是对方主机的。
2、
在这里插入图片描述

发送帧的目的MAC地址为00:a0:c6:00:00:05，和返回帧的源地址相同。这个MAC地址是网关的MAC地址。
3、
在这里插入图片描述

发送帧的目的MAC地址为00:a0:c6:00:00:05，和返回帧的源地址相同。这个MAC地址是网关的MAC地址。

第3题掌握 ARP 解析过程

1、为防止干扰，先使用 arp -d * 命令清空 arp 缓存
2、ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。
3、再次使用 arp -d * 命令清空 arp 缓存
4、然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。
【实验过程】（步骤、记录、数据、程序等）
1、
在这里插入图片描述

源MAC是本机的MAC地址，目的MAC是接收方的MAC地址，与回应的源MAC地址和目的MAC地址刚好相反。
2、
在这里插入图片描述

ARP请求的是发送方的网关MAC地址，请求是发送方的网关在回应。

网络层：

第1题熟悉 IP 包结构

使用 Wireshark 任意进行抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。
【实验过程】（步骤、记录、数据、程序等）
在这里插入图片描述

Internet Protocol Version 4, Src: 100.128.35.188, Dst: 20.189.173.1
0100 … = Version: 4
… 0101 = Header Length: 20 bytes (5)
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
Total Length: 40
Identification: 0x05de (1502)
Flags: 0x40, Don’t fragment
Fragment Offset: 0
Time to Live: 64
Protocol: TCP (6)
Header Checksum: 0xeaf7 [validation disabled]
[Header checksum status: Unverified]
Source Address: 100.128.35.188
Destination Address: 20.189.173.1

第2题 IP 包的分段与重组

根据规定，一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。
缺省的，ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等
【实验过程】（步骤、记录、数据、程序等）
在这里插入图片描述

Identification: 0xe963 (59747)
Fragment Offset: 0
Total Length: 1500

第3题考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳（hops），一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪，此时使用 Wireshark 抓包（用 icmp 过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理。
【实验过程】（步骤、记录、数据、程序等）
在这里插入图片描述

TTL在经过一个路由时加一，直至到达目标位置。
在 IPv4 中，TTL 虽然定义为生命期即 Time To Live，但现实中我们都以跳数/节点数进行设置。如果你收到一个包，其 TTL 的值为 50，那么可以推断这个包从源点到你之间有多少跳？
50跳

传输层：

第1题熟悉 TCP 和 UDP 段结构

1、用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。
2、用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。

【实验过程】（步骤、记录、数据、程序等）
1、
在这里插入图片描述

源端口：57428，目的端口：443，序列号：474，确认号：47。
2、
在这里插入图片描述

源端口：1863，目的端口：8003，长度：39
由上大家可以看到 UDP 的头部比 TCP 简单得多，但两者都有源和目的端口号。请问源和目的端口号用来干什么？
用来明确是哪一个端口在和哪一个端口交互，因为端口是用来标识一个进程的。在两个端口的通信即是在两个进程之间的通信。

第2题分析 TCP 建立和释放连接

1、打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
2、请在你捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。
3、请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。
【实验过程】（步骤、记录、数据、程序等）
1、使用Wireshark捕获的包。
在这里插入图片描述

2、用于建立连接的包：
在这里插入图片描述

因为在连接建立时，SYN在前两次为1，而ACK只在第一次为0。
3、用于释放连接的包：
在这里插入图片描述

因为FIN置1时表示释放该连接。在双方都向对方发送释放连接的请求并得到回复后才会释放连接。
去掉 Follow TCP Stream，即不跟踪一个 TCP 流，你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接？作用是什么？
访问qige.io时需要建立多个连接，这些连接用于获取网页不同的内容。作用是加快页面的加载，并且使服务器的负载均衡。
我们上面提到了释放连接需要四次挥手，有时你可能会抓到只有三次挥手。原因是什么？
因为服务器向客户端发送的断开连接和回复同意断开连接合并为一次握手。

应用层：

第1题了解 DNS 解析

1、先使用 ipconfig /flushdns 命令清除缓存，再使用 nslookup qige.io 命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。
2、你应该可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。
3、可了解一下 DNS 查询和应答的相关字段的含义
【实验过程】（步骤、记录、数据、程序等）
1、抓包：
在这里插入图片描述

2、DNS服务器从53号端口返回结果
在这里插入图片描述

3、DNS相关字段：
16位的标志位
QR：查询/应答标志。0表示这是一个查询报文，1表示这是一个应答报文
opcode，定义查询和应答的类型。0表示标准查询，1表示反向查询（由IP地址获得主机域名），2表示请求服务器状态
AA，授权应答标志，仅由应答报文使用。1表示域名服务器是授权服务器
TC，截断标志，仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制，所以过长的DNS报文将被截断。1表示DNS报文超过512字节，并被截断
RD，递归查询标志。1表示执行递归查询，即如果目标DNS服务器无法解析某个主机名，则它将向其他DNS服务器继续查询，如此递归，直到获得结果并把该结果返回给客户端。0表示执行迭代查询，即如果目标DNS服务器无法解析某个主机名，则它将自己知道的其他DNS服务器的IP地址返回给客户端，以供客户端参考
RA，允许递归标志。仅由应答报文使用，1表示DNS服务器支持递归查询
zero，这3位未用，必须设置为0
rcode，4位返回码，表示应答的状态。常用值有0（无错误）和3（域名不存在）
应答字段
域名，类型，生命周期，数据长度，地址
你可能会发现对同一个站点，我们发出的 DNS 解析请求不止一个，思考一下是什么原因？
因为DNS解析时如果发现浏览器的DNS缓存和本地的hosts文件没有这个网址的ip，就会重新向本地DNS服务器发起请求，如果还没有，就会向配置文件的根DNS服务器发起请求，直到获取到ip为止。

第2题了解 HTTP 的请求和应答

1、打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。
2、请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。
3、请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
【实验过程】（步骤、记录、数据、程序等）
由于qige.io抓取http包失败（不知道为什么抓不到，因此换了其他网址抓取）
1、抓包如下
在这里插入图片描述

2、HTTP请求包：使用GET请求。
在这里插入图片描述

Accept:告诉WEB服务器自己接受什么介质类型
Content-Type:WEB 服务器告诉浏览器自己响应的对象的类型
Content-Length:WEB 服务器告诉浏览器自己响应的对象的长度
Cache-Control:用来指示缓存系统（服务器上的，或者浏览器上的）应该怎样
处理缓存
Host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
POST:请求的方式，其中包括URI和版本
3、HTTP应答包：应答代码：200（OK）
在这里插入图片描述

Server：服务器通过这个头告诉浏览器服务器的类型
Transfer-Encoding：告诉浏览器数据的传送格式
Date：当前的GMT时间
Content- Type：表示后面的文档属于什么MIME类型
Cache-Control：指定请求和响应遵循的缓存机制
刷新一次 qige.io 网站的页面同时进行抓包，你会发现不少的 304 代码的应答，这是所请求的对象没有更改的意思，让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答？
因为304应答指的是已缓存的数据，如css文件，在刷新时不需要再次请求。