综合题第四题考点总结:
1.DSN域名解析
2.ICMP控制报文协议
3.TCP三次握手
4.HTTP超文本传输协议
5.FTP文件传输协议
DNS域名解析
域名系统(英文:Domain Name system,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。
域名解析过程:
①客户机提出域名解析请求,并将该请求发送给本地的域名服务器。
②当本地的域名服务器收到请求后,就先查询本地的缓存,如果有该记录项,则本地的域名服务器就直接把查询的结果返回。
③如果本地的缓存中没有该记录,则本地域名服务器就直接把请求发送给根域名服务器,然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。
④本地服务器再向上一步返回的域名服务器发送请求,然后接受请求的服务器查询自己的缓存,如果没有该记录,则返回相关的下级的域名服务器的地址。
⑤重复第四步,直到找到正确的记录。
⑥本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时还将结果返回给客户机。
常用协议及其端口号
| 端口号码 | 名称 | 注释 |
|---|---|---|
| 7 | echo | Echo服务 |
| 20 | ftp-data | FTP数据端口 |
| 21 | ftp | 文件传输协议(FTP)端口;有时被文件服务协议(FSP)使用 |
| 22 | ssh | 安全 Shell(SSH)服务 |
| 23 | telnet | Telnet 服务 |
| 25 | sntp | 简单邮件传输协议(SMTP) |
| 27 | bootps | 引导协议(BOOTP)服务;还被动态主机配置协议(DHCP)服务使用 |
| 80 | http | 用于万维网(www)服务的超文本传输协议(HTTP) |
| 109 | pop2 | 邮局协议版本2 |
| 110 | pop3 | 邮局协议版本3 |
| 161 | snmp | 简单网络管理协议(SNMP) |
| 443 | https | 安全超文本传输协议(HTTP) |
第一题
下图是校园网某台主机在命令行模式下执行某个命令时用sniffer捕获的数据包。
请根据图中信息回答下列问题。
(1)该主机上配置的IP地址的网络号长度最多是28。
202.113.64.137–> 11001010.01110001.01000000.100 01001
202.113.64.129–> 11001010.01110001.01000000.110 01001
主机的IP地址和第一个路由器的IP地址同处校园网内,由于它们前28位相同,故该主机IP地址的网络号长度最多28位。
(2)图中的①和②删除了部分显示信息,其中①处的信息应该是ICMP,②处的信息应该是 mail.tj.edu.cn。
(3)本机的IP地址应该是202.113.64.137,该主机上配置的域名服务器的IP地址是202.113.64.3。
(4)该主机上执行的命令是tracert mail.tj.edu.cn。
出现Time-to-live和Echo时,执行的命令为:“tracert 域名”
(5)IP地址为202.113.77.253的设备应具备的功能是路由。
(6)该主机上配置的网关是202.112.64.129。
(7)使用IP地址211.81.20.208的主机对应的主机名是mail.tj.edu.cn。
(8)从该主机发送给mail.tj.edu.cn的数据包经过的第二个路由器的IP地址是202.113.77.253。
(9)本机访问其所配置的DNS服务器时需要经过的路由跳数至少是1。
(10)本机所在子网可能容纳主机数最多是126。
DNS域名解析过程中,客户机和DNS服务器一般不在同一个子网内(网络地址一定不同)
客户机:202.113.64.137–> 11001010.01110001.01000000. 10001001
服务器:202.113.64.3 --> 11001010.01110001.01000000. 00000011
前24位完全一样,要保证二者在不同的子网内,至少有一位是要不同的,因此网络地址确定为25位。此时主机位还剩7位,可容纳主机数为 2 7 − 2 − 126 2^7-2-126 27−2−126位。
总结
①No.5~No.8——源主机202.113.64.137与域名服务器202.113.64.3进行了第一次DNS域名解析,解析的域名为:mail.tj.edu.cn。
②No.9~No.14——通过tracert命令发送包含不同TTL的ICMP报文并监听回应报文,来探测到达目的计算机的路径,此过程中202.113.64.129为路径中第一个路由器的IP地址(第一个路由器的IP地址为)。
③No.15~No.16——源主机202.113.64.137与域名服务器202.113.64.3进行了第二次DNS域名解析,解析成功后才与202.113.77.253进行通信(第二个路由器的IP地址为202.113.77.253)。
④主机的IP地址为:202.113.64.137,域名服务器的IP地址为:202.113.64.3。
⑤不同协议号对应的协议:
1——ICMP
6——TCP
17——UDP
第二题
下图是一台主机在命令行模式下执行某个命令时用sniffer捕获的数据包。
(1) 该主机上执行的命令完整内容是ping www.bupt.edu.cn。
出现Echo(ping)和echo reply时,执行的命令为:“ping 域名”
(2) 主机59.67.148.5的功能是DNS,其提供服务的缺省端口是53。
(3) 图中①处删除了部分显示信息,该信息应该是Echo。
(4) 如果用Sniffer统计网络流量中各种应用的分布情况,应打开的窗口是Protocol Distribution。
Sniffer的网络监听模块提供的主要功能包括:
①Dashboard:实时显示网络的数据传输率、宽带利用率和出错率,并可以提供各种统计数据的图形化显示。
②Host Table:以表格或图形方式显示网络中各节点的数据传输情况。
③Matrix:实时显示网络各节点的连接信息,并提供统计功能。
④Protocol Distribution:统计网络流量中各种协议和应用的分布情况,统计信息可以通过表格或图形方式显示。
⑤Application Response Time:实时监测客户端与服务器的应用连接响应时间。当发现响应超时,就会发出报警。
总结:
①DNS缺省端口是53
HTTP协议通信源端口是80。
FTP的服务器提供的端口:21用于数据连接;20数据传送
Email的访问:
SMTP:TCP端口25
POP3:TCP端口110
IMAP4:TCP端口143
②ICMP报文类型:
0——Echo-reply
8——Echo
11——Time Exceeded
第三题
下图所示的是用sniffer捕获一台主机用浏览器访问某网站时的数据包。
请根据图中信息回答下列问题:
(1)IP地址为211.81.20.200的主机功能是域名(或DNS或域名解析),被浏览网站的IP地址是202.113.64.2。
(2)图中的①-⑥删除了部分显示信息,其中②处应该是3056467584,④处应该是www.tjut.edu.cn,⑥处应该是143086952。
(3)该主机的IP地址是202.113.64.166,该主机采用HTTP协议进行通信时使用的端口是1101;该主机设置的域名服务器的IP地址是211.81.20.200,被访问网站的服务端口是8080。
(4)根据图中"No."栏中的信息,标示TCP连接三次握手过程完成的数据包的标号是7。
TCP/IP三次握手的过程:
第一步——客户端发送请求:
客户端向服务器发送一个带有SYN(同步)标志的数据包,表示请求建立连接。客户端选择一个初始序列号(ISN),用于后续的数据传输。
第二步——服务器响应并确认请求:
服务器收到客户端的SYN请求后,如果同意建立连接,会回复一个带有SYN和ACK(确认)标志的数据包。
服务器也选择一个自己的初始序列号(ISN)。
此时,服务器进入SYN_RECEIVED状态。
第三步——客户端确认连接:
客户端收到服务器的响应后,向服务器发送一个带有ACK标志的数据包,表示确认连接。
此时,客户端和服务器都已经建立了可靠的连接,可以开始进行数据传输。
服务器在收到这个ACK之后,也进入ESTABLISHED状态。
第四题
(1)该主机使用的DNS服务器的域名是dns.tjut.edu.cn,DNS服务器的IP地址是202.113.64.3。
第5-6行是进行域名解析的过程,由第5行代码中的"Dest Address”的值为"dns.tjut.edu.cn”的信息
可知,该DNS服务器的IP地址为dns.tjut.edu.cn。由“NAME=3.64.113.202”的信息可知,DNS服务器
对应的IP地址是202.113.64.3。
(2)如果上图显示的是在该机上执行某个操作过程中捕获的所有数据包,那么该操作是域名解析。
(3)如果Sniffer启用了如下图所示的过滤器"example"后,在该主机上使用浏览器成功地访问了,那么Sniffer是否可以捕获到该操作的数据包(请回答是或否)否。
当启用题中所示example过滤器(模式为“exclude(排除))”后,sniffer将按源IP地址和目的IP地址捕
获网络中的数据包,但不捕获IP地址202.113.64.168的主机与其他任意主机基于端口号80的数据
包。地址为202.113.64.168的主机上使用浏览器成功地访问了“http:/lit.nankai.edu.cn”,但基于
“example”过滤器所设置的捕获原则,该主机sniffer软件将捕获不到与HTTP协议相关的任问数据
包。
(4)如果想要捕获在载荷的某个固定位置上具有指定特征的数据包,那么需要使用的过滤器选项是Data Pattern。
在"sniffer包过滤器定义窗”图中所示的【Data Pattern】选项卡中,可以通过【Add AND/OR】 【Toggle AND/OR】、【Add NOT】【Add Pattern】和【Edit Pattem】等按钮编辑任意捕获条件。
如果想要捕获在载荷的某个固定位置上具有指定特征值的数据包,则可以在过滤器的【Data Pattern】选项卡中进行相关配置。
第五题
请根据图中信息回答下列问题。
(1)该主机上配置的域名服务器的IP地址是202.113.64.3。
(2)图中的①和②删除了部分显示信息,其中①处的信息应该是ACK,②处的信息应该是SEQ。
【解析】第18~20行是TCP三次握手过程。对照第19、20行可以发现,19行“②=”后面所接的数值恰好比20行“ACK=”后面所接的数值少1。①是源IP地址发送的包的序号,②是希望收到的回复包的序号。故应填入:SEQ。
(3)主机202.38.97.197是ftp服务器,其提供服务的端口是21。
(4)该主机上执行的命令是ftp ftp.pku.edu.cn。
(5)ftp.pku.edu.cn对应的IP地址是202.38.97.197。
【解析】第16~17行是DNS域名解析的过程,首先客户机(IP地址为202.113.64.137)向DNS服务器(IP地址为202.113.64.3)发送域名解析的请求,需要解析的域名是ftp.pku.edu.cn,域名解析结束之后,客户机与服务器用FTP建立TCP连接,其IP地址为202.38.97.197,ftp.pku.edu.cn对应的IP地址为202.38.97.197。故应填入:202.38.97.197。
(6)主机202.113.64.3的功能是DNS。
【解析】第16~17行是DNS域名解析的过程,首先客户机(IP地址为202.113.64.137)向DNS服务器(IP地址为202.113.64.3)发送域名解析的请求,需要解析的域名是ftp.pku.edu.cn。所以主机202.113.64.3的功能是DNS。故应填入:DNS.
(7)当需要回放捕获的数据包时,可以使用Sniffer内置的数据包生成器。
第18~20行是TCP三次握手。数据电生成"sniffer pro"内置了一个数据包生成器,可以向网络发送定制的数据包来测试网络,使用数据包生成器也可以回放捕获的数据包。
第六题
请根据图中信息回答下列问题。
(1)该URL是https://mail.lb.pku.edu。
(2)该主机配置的DNS服务器的IP地址是59.67.148.5。
(3)图中的①②③删除了部分显示信息,其中②应该是1327742113,③应该是6。
(4)该主机的IP地址是202 113 78.111。
【56】【解析】第25-26行是DNS域名解析过程,需要解析的域名为mail.lb.pku.edu.cn。解析完成之后,客户机需要与访问的网站建立TCP三次握手。由端口号D=443可知,使用的是加密的超文本传输协议。主机要访问的Web地址应为"https://mail.lb.pku.edu.cn”。故【56】处应填入:https://mail.lb.pku.edu.cn。
【57】第25~26行是DNS域名解析过程,是由客户机向DNS服务器发送进行域名解析的请求。所以目的!P地址即为DNS服务器地址。故【57】处应填入:59.67.148.5。
【58】【解析】第27~29行是客户机与服务器建立TCP三次握手的过程,其中第三次握手ACK值应为第二次握手SEQ值加1,ack值为1327742114,故seq值为1327742113。故【58】处应填入:1327742113。
【59】【解析】TCP协议所使用的协议号为6,故【59】处应填入:6。
【60】【解析】从第27行的报文详情中“IP:source address=[202.113.78.111],JACKSON”可得出本机IP地址为202.113.78.111。故【60】处应填入:202.113.78.111.
第六题
下图是校园网某台主机在浏览器地址栏中输入某个URL时用sniffer捕获的数据包。请根据图中信息回答下列问题。
(1)该主机的IP地址是202.113.64.168,IP地址202.113.64.2对应的主机名是www.tjut.edu.cn。
(2)图中的①~③删除了部分显示信息,其中①处应该是www.tjut.edu.cn,②处应该是202.113.64.168,③处应该是ACK。
【56】【解析】由第32~33行知,这2行主要进行域名解析的过程。202.113.64.168主机发送请求(OP=Query),而dns.tjut.edu.cn负责回答(OP=Query,STAT=OK)。因此可以确定202.113.64.168为主机IP地址,dns.tjut.edu.cn是域名服务器。故【56】处应填写202.113.64.168。
【57】【解析】从第32行的"Summary"中知NAME=2.64.113.202,NAME表示当前区域的名字,即域名,有特定格式,IP反过来写,而且要加特定后缀,如:192.168.1.2的记录应该写成2.1.168.192.in-addr.arpa。当未告知域名时也可以使用DNS服务器名称,故202.113.64.2对应域名网站地址,第37~39客户机与网站服务器使用HTTP协议进行交互的过程,第37行客户机使用GET命令发起清求,源地址为客户机地址202.113.64.168,目的地址为网站www.tiut.edu.cn。故【57】处应填入:www.tjut.edu.cn。
【58】【解析】第37~39客户机与网站服务器使用HTTP协议进行交互的过程,第37行客户机使用GET命令发起请求,源地址为客户机地址202.113.64.168目的地址为网www.tjut.edu.cn,第38行是网站回应客户机的过程,源地址为网站www.tjut.edu.cn,目的地址为客户机地址202.113.64.168,故58处应填入:www.tjut.edu.cn。
【59】【解析】由【58】处解析可知,第38行是网站回应客户机的过程,源地址为网站www.tjut.edu.cn,目的地址为客户机地址202.113.64.168,故【59】处应填入:202.113.64.168。
【60】【解析】第37~40行为HTTP请求和响应的过程,在此过程中客户机会向网站发送ACK应答消息,通过报文中win的大小表明当前客户机还能够接收多少数据,网站下次发送的数据大小不能超过回应中win的大小,否则无法接收。故【60】处应填入:ACK。
第七题
下图是校园网某台主机使用浏览器访问某个网站时用wireshark捕获的数据包。
请根据图中信息回答下列问题。
(5)IP地址111.206.62.164对应的主机域名是qurl.f.360.cn。
(6)图中标号为①至⑥的位置删除了一些信息,其中①处应为DNS,⑤处应为53。
(7)主机qurl.f.360.cn对应的IP地址是111.206.62.164 / 111.206.62.169。
(1)【解析】从3-10行中Protocol内容DNS知,这8行是进行域名解析过程,即对用户输入浏览器中的网站进行域名解析,在结合3-10行中的info信息 "www.enorth.com.cn”可以推断出用户在浏览器中输入的是"www,enorth.com.cn”网址。故【56】处应填入:www.enorth.com.cn或http://www.enorth.com.cn或http://www.enorth.com.cn/
(2)【解析】由3-7行中info信息 "standard query"和8-10中info信息 "standard response”可以推测地址“59.67.152.250”向地址“8.8.8.8”发出域名解析请求,而“8.8.8.8”做出相应,给予地址解析。故【57】处应填入:8.8.8.8。
(3)【解析】由【57】解析知,该处应填入:59.67.152.250。
【解析】从Internet Protocol version 4 src:8.8.8.8 Dst:59.67.152.250和 Ethernet ll, src: Hangzhou Sa:66:84(58:6a:b1:5a:66:84,Dst:Dell_9d”27:05(48:4d:7e:9d:27:05)和第8行信息可以推斯出 48:4d:7e;9d:27:05对应的1P地址应该是59.67.152.250,故【59】空应
填写48:4d:7e:9d:27:05。
(4)【解析】域名解析完毕后,本地主机就可以通过http协议访问目标网址,从11行Destination“220.194.79.33"和info"Get HTTP/1.1”可以推断出处目标网站的地址是220.194.79.33,除此之外,从报文解析Answers(Name: www.enorth.com.cn #请求的域名Type: CNAME #别名的规范名称#
Type: A (Host Address)(1)#域名类型#
Class: IN(0x0001)#地址类型#
Addr: 220.194.79.33,220.194.79.34,125.39.132.236#主机地址#)最后三行可以看出,还有220.194.79.34和125.39.132.236对应于www.enorth.com.cn,故【60】处应填入:220.194.79.33或220.194.79.34或125.39.132.236(只填写其中一个即可)。
(5)【解析】第3~10行是DNS域名解析的过程,解析的域名分别为qurl.f.360.cn和www.enorth.com.cn,由第7行报文的信息可知,qurl.f.360.cn对应的IP地址为111.206.62.164和111.206.62.169,故【61】处应填入:qurl.f.360.cn。
(6)【解析】由第3~10行知,这8行主要进行域名解析的过程。故【62】处应填入:DNS。
【解析】第3~10是DNS域名解析的过程,59.67.152.250发送请求(Query),而8.8.8.8负责回答(Query Response),因此可以确定59.67.152.250为主机的IP地址,8.8.8.8是域名服务器的IP地址,UDP端口号53为DNS服务器所开放,主要用于域名解析,选中的报文中,源地址为服务器地址,则对应的UDP源端口为服务器端口。故【63】处应填入:53。
(7)【解析】第3~10是DNS域名解析的过程,解析的域名分别为qurl.360.cn和www.enorth.com.cn,由第7行报文的信息可知,qurl.f.360.cn对应的IP
地址为111.206.62.164和111.206.62.169。故【60】处应填入:111.206.62.164或111.206.62.169。
第八题
(1)该主机上执行的命令是=ping www.12306.cn==。
(2)主机www.12306.cn对应的IP地址是43.226.162.67。
第九题
已知某网络中DHCP服务和DNS服务均由同一路由器提供,下图是该网络中DHCPV6客户机上请求配置信息时,使用Wireshark捕获报文中的其中2条报文,图中对编号为895的报文进行了解析。分析图中的信息并补全图中①~⑤空白处的内容。
【参考答案】 【51】【解析】根据题意,图中对编号为895的报文进行了解析,该条报文是DHCPV6 reply报文,源地址为DHCPV6服务器地址,目的地址为DHCPV6客户机地址;由“Intenet protocol version6,src:fe80:1,dst:fe80:cd43:abf9:f96a:e733”可知,DHCPv6reply报文源地址为DHCPV6服务器地址fe80:1,目的地址为DHCPV6客户机地址fe80:cd43:abf9:196a:e733。故【51】处应填入:fe80::cd43:abf9:f96a:e733。
【52】【解析】由【51】空解析可知,DHCPv6 reply报文源地址为DHCPV6服务器地址fe80:1,目的地址为DHCPV6客户机地址fe80::cd43:abf9:f96a:e733。故【52】处应填入:fe80::1。
【53】【解析】由DHCPV6展开信息中client identifer的“link-layer address:e4:54:e8:55:5d:7d"可知,DHCPV6客户机数据链路层的地址即DHCPV6客户机MAC地址为e4:54:e8:55:5d:7d。故【53】处应填入:e4:54:e8:55:5d:7d。
link-layer address:链路层地址
【54】【解析】DHCP工作过程中消息传输使用UDP协议,DHCPV6客户机端口号为546,DHCPV6服务器端口号为547。故【54】处应填入:UDP或user datagram protocol。
【55】【解析】根据题意,网络中DHCP服务和DNS服务均由同一路由器提供,由【51】空可知,DHCPV6服务器地址为fe80::1,即该路由器地址为fe80::1,则DNS server address为fe80:1。故【55】处应填入:fe80::1。
960
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
