计网实验笔记(一)

前言

总算有时间把计网实验的学习过程记录一下了。也当做是一个复习的过程，过程太长，分两篇博客写吧。

正文

这一篇是对协议报文的分析，这里面有对Wireshark的使用，只能说我对于Wireshark这款软件的使用还是渣。各种ip地址的过滤以及如何去利用Wireshark强大的搜索功能这里就不多说了。个人感觉最好的方法就是在CTF里面的流量分析题目里学，在CTF的流量分析题目里面你会经常触碰到那种要导出文件图片，导进秘钥解密https的各种类型题，感觉学的会更快。

不多说废话下面上课实验的内容

（1） 运用抓包工具，分别获取不同互联网访问情形下的本机网卡数据包；过滤捕获和过滤显示不同条件的数据包。
（2）分别对不同互联网访问情形下的数据包进行逐层分析，给出各层协议的主要参数及意义；要求分别获取WWW服务、Email服务、QQ通信和迅雷文件下载四种不同网络服务过程中的数据包。
（3）运用抓包工具，连续获取面向连接的互联网访问情形下的本机网卡数据包；对连续获取的数据包找到执行面向连接过程的报文，给出实现面向连接过程（TCP三次握手）的详细分析。

实验内容第一点

http协议
关于这个协议，个人理解是万维网的服务协议，默认端口是80端口，运输层使用的是可靠的TCP，不过现在也有它的加密版本https，也就是在http的基础上增加了ssl去加密，默认端口是443，所以在我们需要解密含有https的报文的时候，想查看更多的信息，应该追踪http流而不应该追踪tcp，到运输层的时候已经加密了，看不出啥东西的，我记得DDCTF里面有一道流量分析的题目就是这样的，里面可以导出一个图片然后运用的是ocr把秘钥提取出来。确实有点烦，ocr这东西不准。对于Wireshark里面的分组，我们可以直接过滤http就可以获得啦，前提是记得访问http的页面，别访问https的页面，233333，不然你只能顾虑的是https了。

UDP协议
UDP协议是面向报文的一种协议，如果你观察他的封装，你会发现客户给他什么数据他就直接封装网下层IP层送去，不像TCP一样会有时候会对报文的进行分组处理，所以一般UDP都是不可靠，无连接的，除非上层的应用程序承担了检错的任务，所以UDP协议追求的是效率，一般都用在视频语音上了。我们在抓包的时候直接使用udp就可以过滤网络中的udp用户数据报文了。

TCP协议
TCP协议是是一种面向字节流，可靠，面向连接的协议，他对于用户传送的报文可以进行分组形成报文段，其中协议中如何保证传输的正确性，如何进行拥塞控制，如何进行连接的建立以及释放都是重点，为了复习，还是回顾一下吧，其中保证传输的正确性窗口(窗口的概念就不多讲了)的作用至关重要，其中最为重要的是其中的ARQ协议(自动重传协议)，对于拥塞控制，最重要的还是那四个算法，慢开始，拥塞避免，快重传，快恢复，关键点就在拥塞窗口值以及门限值的变化并且在不同情况下使用的算法也不一样，