Wireshark抓包实验

最新推荐文章于 2024-05-30 17:18:50 发布
最新推荐文章于 2024-05-30 17:18:50 发布
阅读量1k 收藏 11
点赞数 1
文章标签: wireshark macos 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46054760/article/details/122349886
版权

Wireshark

一、数据链路层

实作一 熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。

在这里插入图片描述

问题一

你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。

== 因为有时校验和会由网卡计算,这时wireshark抓到的本机发送的数据包的校验和都是错误的,所以默认关闭了WireShark自己的校验,就不会出现校验字段。==

实作二 了解子网内/外通信时的 MAC 地址

1、ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

发送请求
在这里插入图片描述
接收回应
在这里插入图片描述
目的MAC是主机的

2、然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

发送请求

在这里插入图片描述接收回应
在这里插入图片描述
目的 MAC 是网关的

3、再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?

发送请求
在这里插入图片描述
接收回应
在这里插入图片描述
目的MAC是网关

问题

通过以上的实验,你会发现:
访问本子网的计算机时,目的 MAC 就是该主机的
访问非本子网的计算机时,目的 MAC 是网关的
请问原因是什么?

1、访问本子网的计算机时,可以直接到达,所以目的MAC就是该主机
2、访问非本子网的计算机时,要经过网关到达外面,所以目的MAC是网关

实作三 掌握 ARP 解析过程

1、为防止干扰,先使用 arp -d * 命令清空 arp 缓存

在这里插入图片描述

2、ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
目的MAC:ac:12:03:3a:98:78
源MAC:82:91:31:58:13:4e

3、再次使用 arp -d * 命令清空 arp 缓存

在这里插入图片描述

4、然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

问题

通过以上的实验,你应该会发现,
ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?

ARP代理,访问非子网IP时是通过路由器访问的,路由器再把发出去,目标IP收到请求后,再通过路由器端口IP返回去,那么ARP解析将会得到网关的MAC。

二、网络层

实作一 熟悉 IP 包结构

1、使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。

在这里插入图片描述

问题

为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?

头部长度是来表明该包头部的长度,可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度是为了接收方的网络层了解到传输的数据包含哪些,如果没有该部分,当数据链路层在传输时,对数据进行了填充,对应的网络层不会把填充的部分给去掉。

实作二 IP 包的分段与重组

根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

问题

分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?

直接丢弃再通知发送端进行重传。
由于在 IPv6中分段只能在源与目的地上执行,不能在路由器上进行。因此当数据包过大时,路由器就会直接丢弃该数据包包,并向发送端发回一个"分组太大"的ICMP差错报文,之后发送端就会使用较小长度的IP数据报重发数据。

实作三 考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。

在这里插入图片描述
在这里插入图片描述
可以看出,TTL每次增加1来进行追踪,因为TTL每次到达一个节点,就会减少1,所以通过TTL的递增,来追踪路途中的每一个节点。

问题

在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?

14跳。因为TTL的原始值是离得最近的2的整次幂,为64,64-50=14。

三、传输层

实作一(熟悉 TCP 和 UDP 段结构)

1、用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。

在这里插入图片描述

2、用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。

在这里插入图片描述

问题

由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?

源端口来表示发送终端的某个应用程序,目的端口来表示接收终端的某个应用程序。端口号就是来标识终端的应用程序,从而实现应用程序之间的通信。

实作二 分析 TCP 建立和释放连接

1、打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。

在这里插入图片描述

2、请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。

1、注意到”第一次握手”客户端发送的TCP报文中以[SYN]作为标志位,并且客户端序号Seq=0;

2、接下来”第二次握手”服务器返回的TCP报文中以[SYN,ACK]作为标志位;并且服务器端序号Seq=0;确认号Ack=1(“第一次握手”中客户端序号Seq的值+1);

3、最后”第三次握手”客户端再向服务器端发送的TCP报文中以[ACK]作为标志位;其中客户端序号Seq=1(“第二次握手”中服务器端确认号Ack的值);确认号Ack=1(“第二次握手”中服务器端序号Seq的值+1)。

这就完成了”三次握手”的过程

3、请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。

在这里插入图片描述
1、”第一次挥手”客户端发送的FIN请求释放连接报文以[FIN,ACK]作为标志位,其中报文序号Seq=218;确认号Ack=224;

2、”第二次挥手”服务器端继续返回的FIN同意释放连接报文以[FIN,ACK]作为标志位;其中报文序号Seq=224;确认号Ack=219;

3、”第三次挥手”客户端发出的ACK确认接收报文以[ACK]作为标志位;其中报文序号Seq=219;确认号Ack=225;

后一次“挥手”传输报文中的序号Seq值等于前一次"握手"传输报文中的确认号Ack值;

后一次“挥手”传输报文中的确认号Ack值等于前一次"握手"传输报文中的序号Seq值;

问题一

去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?

它们之间的连接是属于短连接,一旦数据发送完成后,就会断开连接。虽然,断开连接,但是页面还是存在,由于页面已经被缓存下来。一旦需要重新进行发送数据,就要再次进行连接。这样的连接,是为了实现多个用户进行访问,对业务频率不高的场合,节省通道的使用,不让其长期占用通道。

问题二

我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?

客户端向服务端发送断开连接的请求为第一次挥手,服务端向客户端回复同意断开为第二次,然后服务端向客户端发送断开的请求为第三次挥手,客户端向服务端回复同意断开连接为第四次挥手。三次挥手是将服务器向客户端发送断开连接和回复同意断开连接合成一次挥手,其他两次挥手不变。也就是说,如果对方也没有数据发给本端,那么对方也会发送FIN给本端,使得二三次挥手合并为一次。

四、应用层

应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。

实作一 了解 DNS 解析

1、先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。

在这里插入图片描述
在这里插入图片描述

2、你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。

在这里插入图片描述

在这里插入图片描述

3、可了解一下 DNS 查询和应答的相关字段的含义

DNS查询和应答报文的格式如下:
在这里插入图片描述

16位标识字段用于标记一对DNS查询和应答,以此区分一个DNS应答是哪个DNS查询的回应

16位标志字段用于协商具体的通信方式和反馈通信状态。DNS报文头部的16位标志字段的细节如图
在这里插入图片描述

QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文
opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态
AA,授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器
TC,截断标志,仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制,所以过长的DNS报文将被截断。1表示DNS报文超过512字节,并被截断
RD,递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。0表示执行迭代查询,即如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供客户端参考
RA,允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询
zero,这3位未用,必须设置为0
rcode,4位返回码,表示应答的状态。常用值有0(无错误)和3(域名不存在)
接下来的4个字段则分别指出DNS报文的最后4个字段的资源记录数目。对查询报文而言,它一般包含1个查询问题,而应答资源记录数,授权资源记录数和额外资源记录数则为0.应答报文的应答资源记录数则至少为1,而授权资源记录数和额外资源记录数可为0或非0

查询问题的格式:
在这里插入图片描述

如图所示,查询名以一定的格式封装了要查询的主机域名。16位查询类型表示如何执行查询操作,常见的类型有如下几种:

类型A,值是1,表示获取目标主机的IP地址
类型CNAME,值是5,表示获得目标主机的别名
类型PTR,值是12,表示反向查询
应答字段,授权字段和额外信息字段都使用资源记录(Resource Record,RR)格式。

资源记录格式:
在这里插入图片描述

32位域名是该记录中与资源对应的名字,其格式和查询问题中的查询名字段相同。16位类型和16位类字段的含义也与DNS查询问题的对应字段相同。
32位生存时间表示该查询记录结果可被本地客户端程序缓存多长时间,单位是秒
16位资源数据长度字段和资源数据字段的内容取决于类型字段。对类型A而言。资源数据是32位的IPv4地址,而资源数据长度则为4(以字节为单位)

参考地址:https://blog.csdn.net/qq_41091373/article/details/90384705

问题

你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?

因为我们访问的网址只有一个域名,但是并不只有一台服务器主机,因此每一台服务器的IP地址不同,但他们的域名都是相同的。因此发出的解析请求是分散给不同服务器。

实作二:了解 HTTP 的请求和应答

1、打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。

在这里插入图片描述

2、请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。

在这里插入图片描述
Accept:告诉WEB服务器自己接受什么介质类型
Content-Type:WEB 服务器告诉浏览器自己响应的对象的类型
Content-Length:WEB 服务器告诉浏览器自己响应的对象的长度
Cache-Control:用来指示缓存系统(服务器上的,或者浏览器上的)应该怎样处理缓存
Host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
POST:请求的方式,其中包括URI和版本

3、请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

在这里插入图片描述
200:交易成功;
304:客户端已经执行了GET,但文件未变化;
404:没有发现文件、查询或URl;

问题

刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?

浏览器中的缓存,可以直接在缓存区获取到需要的内容,不需要服务器在回复对应的内容,可以减少服务器的一些工作,减小开销。采用200应答就是要完全的将内容发送给客服端,这个会增加服务器的一些开销等。

weixin_46054760
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
计算机网络实验-Wireshark实验
NateRival的博客
12-19 1898
数据链路层 实作一:熟悉 Ethernet 帧结构 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 问题: 你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。 在物理层上网卡要先去掉前导同步码和帧开始定界符,然后对帧进行CRC检验,如果帧校验和错,就丢弃此帧。如果校验和正确,就判断帧的目的硬件地址是否符合自己的接收条件(目的地址是自己的物理硬件地址、广播地址、可接收的多播硬件地址等),如果符合,就将帧交
Wireshark实验
weixin_48720671的博客
12-22 1561
Wireshark实验实验准备数据链路层实作 实验准备 请自行查找或使用如下参考资料,了解 Wireshark 的基本使用: - 选择对哪块网卡进行数据包捕获 - 开始/停止捕获 - 了解 Wireshark 主要窗口区域 - 设置数据包的过滤 - 跟踪数据流 ???? 参考 1. 官方文档 https://www.wireshark.org/docs/wsug_html/ 2. Wireshark抓包新手使用教程 https://www.cnblogs.com/linyfeng/p/949612
Wireshark抓包后的报文太大,如何拆分?
最新发布
agang1986的博客
05-30 779
*背景:**抓包获取到一个400多兆的网络数据包.pcapng文件,使用wireshark软件可以正常打开。使用wireshark自带的导出功能导出后发现生成的.json文件大小为2G多,使用notepad++根本打不开。就想着先把网络数据包文件.pcapng拆分成小的数据包后再导出为多个.json文件。说明:其中参数-c指定拆分成的文件的大小,单位是KB,如上面是10000KB,即大约10M大小的文件。命令执行后原始文件会被查封成多个文件,文件按序号命名。
Wireshark网络抓包实验
小捷同学的博客
11-08 7698
Wireshark网络抓包实验 首先通过ipconfig命令查得 本机IP:192.168.43.214 子网掩码:225.225.225.0 子网划分 A类:0.0.0.0~127.255.255.255 B类:128.0.0.0~191.255.255.255 C类:192.0.0.0~223.255.255.255 D类:224.0.0.0~239.255.255.255 E类:240.0.0.0~247.255.255.255 对比可以看出本机属于C类网段 对C类网段划分四个子网:一个C类网络有2
wireshark抓包实验
07-09
wireshark网络抓包,TCP,UDP的抓包,包括三次握手,四次挥手。
wireshark 抓包 实验报告
02-23
"Wireshark 抓包实验报告详解" Wireshark 是一款功能强大的网络协议分析工具,广泛应用于网络安全、网络管理和网络优化等领域。本实验报告旨在对 Wireshark 的基本使用和抓包技术进行详细的讲解和实验,帮助读者更...
wireshark抓包实验分析
05-06
本篇文章将深入探讨Wireshark抓包实验及其分析方法,帮助你掌握这个不可或缺的IT工具。 首先,理解Wireshark的基础操作至关重要。启动Wireshark后,你需要选择一个网络接口来捕获数据包。这通常是你计算机上连接到...
合肥工业大学 Wireshark抓包实验.docx
05-02
"Wireshark 抓包实验" Wireshark 是一个功能强大且广泛应用的网络封包分析软件。它可以撷取网络封包,并尽可能显示出最为详细的网络封包资料。在实验中,我们将使用 Wireshark 进行抓包分析,了解 Wireshark 的基本...
wireshark实验抓包分析
06-15
wireshark实验抓包分析..........................................
wireshark抓包实验之ICMP
10-24
计算机网络wireshark抓包实验之ICMP,实验内容有下: 1.What is the IP address of your host? What is the IP address of the destination host? 2. Why is it that an ICMP packet does not have source and destination port numbers? 3.Examine one of the ping request packets sent by your host. What are the 3.ICMP type and code numbers? What other fields does this ICMP packet have? How many bytes are the checksum, sequence number and identifier fields?
wireshark抓包实验之HTTP
10-24
计网wiresharkHTTP抓包实验。内容有下: 1. Is your browser running HTTP version 1.0 or 1.1? What version of HTTP is the server running? 我的浏览器运行的HTTP版本是1.1
计算机网络实验Wireshark网络抓包实验
gui_bjyxszd的博客
11-07 5694
计算机网络实验Wireshark网络抓包实验
计算机网络实验Wireshark 抓包工具使用、WinPcap 编程、协议分析&流量统计程序的编写)
热门推荐
毕业作品网站
02-14 1万+
WinPcap 是一个基于 Win32 平台的,用于捕获网络数据包并进行分析的开源库;在 Linux 上也有对应的 LibPcap;目前 WinPcap 已经处于无人维护的状态,对于 Windows 10 有更新的且目前有人维护的开源项目 NpCap。大多数网络应用程序通过被广泛使用的操作系统元件来访问网络,比如 sockets——这是一种简单的实现方式,因为操作系统已经妥善处理了底层具体实现细节(比如协议处理,封装数据包等等工作),并且提供了一个与读写文件类似的,令人熟悉的接口;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值