计算机网络实验 —— Wireshark 实验

一、数据链路层

1. 实作一 熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。

ping www.baidu.com

使用Wireshark抓包，过滤条件 ip.addr == 14.215.177.38

目的 MAC：00:74:9c:9f:40:13
源 MAC：e0:0a:f6:4a:44:3b
类型：IPv4 (0x0800)
字段：Destination, Source, Type

1.1. 问题

你会发现 Wireshark 展现给我们的帧中没有校验字段，请了解一下原因。

原因：抓包软件抓到的是去掉前导同步码、帧开始分界符、FCS之外的数据，wireshark把8字节的前序和4字节的FCS都给过滤了。wireshark中所显示的报文长度是包含14字节以太类型头,但不计算尾部4字节校验FCS值的。

2. 实作二 了解子网内/外通信时的 MAC 地址

1. ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

2. 然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

3. 再次 ping www.cqjtu.edu.cn （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？

ping 192.168.0.13

发出帧的目的 MAC 地址：7c:67:a2:20:9d:10（旁边计算机的 MAC 地址）

返回帧的源 MAC 地址：7c:67:a2:20:9d:10（旁边计算机的 MAC 地址）

ping qige.io

发出帧的目的 MAC 地址：00:74:9c:9f:40:13（网关的 MAC 地址）

返回帧的源 MAC 地址：00:74:9c:9f:40:13（网关的 MAC 地址）

ping www.cqjtu.edu.cn

发出帧的目的 MAC 地址：00:74:9c:9f:40:13（网关的 MAC 地址）
返回帧的源 MAC 地址：00:74:9c:9f:40:13（网关的 MAC 地址）

2.1. 问题

通过以上的实验，你会发现：

1. 访问本子网的计算机时，目的 MAC 就是该主机的

2. 访问非本子网的计算机时，目的 MAC 是网关的

请问原因是什么？

1. 访问本子网的计算机时，可以直接到达，所以目的MAC就是该主机
2. 访问外网的时候，都是通过 mac 地址送到网关处，然后出了网关再通过 IP 地址进行查找；接收到非子网的计算机返回的数据都是先到网关，网关再根据目的 mac 送到本机。

3. 实作三 掌握 ARP 解析过程

1. 为防止干扰，先使用 arp -d * 命令清空 arp 缓存

2. ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。

3. 再次使用 arp -d * 命令清空 arp 缓存

4. 然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。

ping 192.168.0.13

请求的目的MAC是：ff:ff:ff:ff:ff:ff(广播)

请求的回应的源 MAC 地址 7c:67:a2:20:9d:10（旁边的计算机的 MAC 地址）
请求的回应的目的 MAC 地址 e0:0a:f6:4a:44:3b（本机的 MAC 地址）

ping baidu.com

请求是子网网关的MAC地址，是本机的子网网关在回应。

3.1. 问题

通过以上的实验，你应该会发现，

1. ARP 请求都是使用广播方式发送的

2. 如果访问的是本子网的 IP，那么 ARP 解析将直接得到该 IP 对应的 MAC；如果访问的非本子网的 IP， 那么 ARP 解析将得到网关的 MAC。

请问为什么？

1. 当本机访问的是本子网的计算机，数据包无需离开本通信子网， ARP 解析将也是在本子网里进行，所以ARP解析得到是对方主机的MAC物理地址；
2. 当本机访问的是非本子网的计算机，也就是说此时有两个不同通信子网的主机之间需要通信，数据包就需要离开本通信子网，这里就涉及到数据包在两个通信子网的传输，传输数据要离开本通信子网，ARP 解析就势必要经过网关，因此，该ARP 解析得到的目的MAC物理地址就是本网关的物理地址

二、网路层

1. 实作一 熟悉 IP 包结构

使用 Wireshark 任意进行抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。

1.1. 问题

为提高效率，我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段，也有总长度字段。请问为什么？

头部长度是来表明该包头部的长度，可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度是为了接收方的网络层了解到传输的数据包含哪些，如果没有该部分，当数据链路层在传输时，对数据进行了填充，对应的网络层不会把填充的部分给去掉。

2. 实作二 IP 包的分段与重组

根据规定，一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。
缺省的，ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等

Idertification（标识字段）：
源站每发送一个分组，标识值+1

Flag----标记（占3b）:
占3位，目前只有2位具有意义；
第一位没有被使用
第二位D时不分片为（DF），当DF位置为1时表示路由器不能对报文进行分片处理。
第三位M–More fragment—多分片（MF）

Fragmentation offset----分片偏移（13b）:
标识分片在分组中的位置。
片偏移以8个字节为偏移单位，分片的长度为8字节的整数倍；
以太网最大帧长为1518B，IP报文1500B（三层）+帧头18B（二层）。
注意：MTU不是固定1500，这要取决现场物理环境；MTU不包含帧头帧尾。

Total Length----总长度（占16b）:
标示此IP报头和数据的之和的总长度。
总长度16位，一个数据最大长度65535字节；
链路只允许1500字节，超过的话需要进行MTU分片。
一个数据包由IP报头和数据两部分组成，而IP报头为20—60字节，所以不会有一个数据包里纯数据超过1480字节的。

标识符是0x0303,标志是0x00。偏移量是用来标识数据包在数据流中的位置，也可以理解为同一个IP标识发送多个数据包时的顺序号。图片中偏移量为1480。每个包的大小是用Total Length来表示，它包含IP包头部及数据两个部分，这里是548。

2.1. 问题

分段与重组是一个耗费资源的操作，特别是当分段由传送路径上的节点即路由器来完成的时候，所以 IPv6 已经不允许分段了。那么 IPv6 中，如果路由器遇到了一个大数据包该怎么办？

由于在 IPv6中分段只能在源与目的地上执行，不能在路由器上进行。因此当数据包过大时，路由器就会直接丢弃该数据包包，并向发送端发回一个"分组太大"的ICMP差错报文，之后发送端就会使用较小长度的IP数据报重发数据。

3. 实作三 考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳（hops），一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪，此时使用 Wireshark 抓包（用 icmp 过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理。

TTL是从1开始，每经过一个路由，TTL的的设置就会增加1，直到到达目的地址。

3.1. 问题

在 IPv4 中，TTL 虽然定义为生命期即 Time To Live，但现实中我们都以跳数/节点数进行设置。如果你收到一个包，其 TTL 的值为 50，那么可以推断这个包从源点到你之间有多少跳？

TTL为返回值，跳数为 64 - 50 = 14 跳。

三、传输层

1. 实作一 熟悉 TCP 和 UDP 段结构

1. 用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。

URG标志：表示紧急指针（urgent pointer）是否有效。

ACK标志：表示确认号是否有效。我们称携带ACK标识的TCP报文段为确认报文段。

PSH标志：提示接收端应用程序应该立即从TCP接收缓冲区中读走数据，为接收后续数据腾出空间（如果应用程序不将接收到的数据读走，它们就会一直停留在TCP接收缓冲区中）。

RST标志：表示要求对方重新建立连接。我们称携带RST标志的TCP报文段为复位报文段。

SYN标志：表示请求建立一个连接。我们称携带SYN标志的TCP报文段为同步报文段。

FIN标志：表示通知对方本端要关闭连接了。我们称携带FIN标志的TCP报文段为结束报文段。

2. 用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。

1.1. 问题

由上大家可以看到 UDP 的头部比 TCP 简单得多，但两者都有源和目的端口号。请问源和目的端口号用来干什么？

源端口来表示发送终端的某个应用程序，目的端口来表示接收终端的某个应用程序。端口号就是来标识终端的应用程序，从而实现应用程序之间的通信

2. 实作二 分析 TCP 建立和释放连接

1. 打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。

2. 请在你捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。

3. 请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。

第一次握手：
同步位：Syn的值是1
意思是要和对方建立连接进行通信。

第二次握手：
Syn=1,Ack=1
对方收到我要建立连接的请求之后，发送一个确认(SYN+ACK)给我，意思是收到我的消息了，对方这里也是通的，表示可以建立连接。

第三次握手：
Syn=0,Ack=1
本机如果收到了对方的确认消息之后，再发出一个确认(ACK)消息，意思是告诉它，这边是通的，然后就可以建立连接相互通信了。

四次挥手：
Fin=1
通过发送FIN报文，来告诉对方数据已经发送完毕，断开连接


第一次挥手：客户端打算断开连接，向服务器发送FIN报文(FIN标记位被设置为1，1表示为FIN，0表示不是)，FIN报文中会指定一个序列号，之后客户端进入FIN_WAIT_1状态。
也就是客户端发出连接释放报文段(FIN报文)，指定序列号seq = u，主动关闭TCP连接，等待服务器的确认。

第二次挥手：服务器收到连接释放报文段(FIN报文)后，就向客户端发送ACK应答报文，以客户端的FIN报文的序列号 seq+1 作为ACK应答报文段的确认序列号ack = seq+1 = u + 1。
接着服务器进入CLOSE_WAIT(等待关闭)状态，此时的TCP处于半关闭状态(下面会说什么是半关闭状态)，客户端到服务器的连接释放。客户端收到来自服务器的ACK应答报文段后，进入FIN_WAIT_2状态。

第三次握手：服务器也打算断开连接，向客户端发送连接释放(FIN)报文段，之后服务器进入LASK_ACK(最后确认)状态，等待客户端的确认。
服务器的连接释放(FIN)报文段的FIN=1，ACK=1，序列号seq=m，确认序列号ack=u+1。

第四次握手：客户端收到来自服务器的连接释放(FIN)报文段后，会向服务器发送一个ACK应答报文段，以连接释放(FIN)报文段的确认序号 ack 作为ACK应答报文段的序列号 seq，以连接释放(FIN)报文段的序列号 seq+1作为确认序号ack。
之后客户端进入TIME_WAIT(时间等待)状态，服务器收到ACK应答报文段后，服务器就进入CLOSE(关闭)状态，到此服务器的连接已经完成关闭。

客户端处于TIME_WAIT状态时，此时的TCP还未释放掉，需要等待2MSL后，客户端才进入CLOSE状态。

2.1. 问题一

去掉 Follow TCP Stream，即不跟踪一个 TCP 流，你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接？作用是什么？

它们之间的连接是属于短连接，一旦数据发送完成后，就会断开连接。虽然，断开连接，但是页面还是存在，由于页面已经被缓存下来。一旦需要重新进行发送数据，就要再次进行连接。这样的连接，是为了实现多个用户进行访问，对业务频率不高的场合，节省通道的使用，不让其长期占用通道。

2.2. 问题二

我们上面提到了释放连接需要四次挥手，有时你可能会抓到只有三次挥手。原因是什么？

客户端向服务端发送断开连接的请求为第一次挥手，服务端向客户端回复同意断开为第二次，然后服务端向客户端发送断开的请求为第三次挥手，客户端向服务端回复同意断开连接为第四次挥手。三次挥手是将服务器向客户端发送断开连接和回复同意断开连接合成一次挥手，其他两次挥手不变。也就是说，如果对方也没有数据发给本端，那么对方也会发送FIN给本端，使得二三次挥手合并为一次。

四、应用层

1. 实作一 了解 DNS 解析

1. 先使用 ipconfig /flushdns 命令清除缓存，再使用 nslookup qige.io 命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。

2. 你应该可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。

Destination Port: 53

Source Port: 53

3. 可了解一下 DNS 查询和应答的相关字段的含义

DNS 分为查询请求和查询响应，请求和响应的报文结构基本相同。DNS 报文格式如图所示：

事务 ID：DNS 报文的 ID 标识。对于请求报文和其对应的应答报文，该字段的值是相同的。通过它可以区分 DNS 应答报文是对哪个请求进行响应的。
标志：DNS 报文中的标志字段。
问题计数：DNS 查询请求的数目。
回答资源记录数：DNS 响应的数目。
权威名称服务器计数：权威名称服务器的数目。
附加资源记录数：额外的记录数目（权威名称服务器对应 IP 地址的数目）。

其中标志字段中每个字段的含义如下：

QR（Response）：查询请求/响应的标志信息。查询请求时，值为 0；响应时，值为 1。
Opcode：操作码。其中，0 表示标准查询；1 表示反向查询；2 表示服务器状态请求。
AA（Authoritative）：授权应答，该字段在响应报文中有效。值为 1 时，表示名称服务器是权威服务器；值为 0 时，表示不是权威服务器。
TC（Truncated）：表示是否被截断。值为 1 时，表示响应已超过 512 字节并已被截断，只返回前 512 个字节。
RD（Recursion Desired）：期望递归。该字段能在一个查询中设置，并在响应中返回。该标志告诉名称服务器必须处理这个查询，这种方式被称为一个递归查询。如果该位为 0，且被请求的名称服务器没有一个授权回答，它将返回一个能解答该查询的其他名称服务器列表。这种方式被称为迭代查询。
RA（Recursion Available）：可用递归。该字段只出现在响应报文中。当值为 1 时，表示服务器支持递归查询。
Z：保留字段，在所有的请求和应答报文中，它的值必须为 0。
rcode（Reply code）：返回码字段，表示响应的差错状态。当值为 0 时，表示没有错误；当值为 1 时，表示报文格式错误（Format error），服务器不能理解请求的报文；当值为 2 时，表示域名服务器失败（Server failure），因为服务器的原因导致没办法处理这个请求；当值为 3 时，表示名字错误（Name Error），只有对授权域名解析服务器有意义，指出解析的域名不存在；当值为 4 时，表示查询类型不支持（Not Implemented），即域名服务器不支持查询类型；当值为 5 时，表示拒绝（Refused），一般是服务器由于设置的策略拒绝给出应答，如服务器不希望对某些请求者给出应答。

1.1. 问题

你可能会发现对同一个站点，我们发出的 DNS 解析请求不止一个，思考一下是什么原因？

为了使服务器的负载得到平衡(因为每天访问站点的次数非常多）网站就设有好几个计算机，每一个计算机都运行同样的服务器软件。这些计算机的IP地址不一样，但它们的域名却是相同的。这样，第一个访问该网址的就得到第一个计算机的IP地址，而第二个访问者就得到第二个计算机的IP地址等等。这样可使每一个计算机的负荷不会太大。

2. 实作二 了解 HTTP 的请求和应答

1. 打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。

2. 请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。

3. 请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

Accept：告诉WEB服务器自己接受什么介质类型
Content-Type：WEB 服务器告诉浏览器自己响应的对象的类型
Content-Length：WEB 服务器告诉浏览器自己响应的对象的长度
Cache-Control：用来指示缓存系统（服务器上的，或者浏览器上的）应该怎样处理缓存
Host：客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
POST：请求的方式，其中包括URI和版本

该应答的代码是200

Server：服务器通过这个头告诉浏览器服务器的类型
Transfer-Encoding：告诉浏览器数据的传送格式
Date：当前的GMT时间
Content- Type：表示后面的文档属于什么MIME类型
Cache-Control：指定请求和响应遵循的缓存机制

2.1. 问题

刷新一次 qige.io 网站的页面同时进行抓包，你会发现不少的 304 代码的应答，这是所请求的对象没有更改的意思，让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答？

浏览器中的缓存，可以直接在缓存区获取到需要的内容，不需要服务器在回复对应的内容，可以减少服务器的一些工作，减小开销。采用200应答就是要完全的将内容发送给客服端，这个会增加服务器的一些开销等。