一、实验准备
请自行查找或使用如下参考资料,了解 Wireshark 的基本使用:
- 选择对哪块网卡进行数据包捕获
- 开始/停止捕获
- 了解 Wireshark 主要窗口区域
- 跟踪数据流
🌏 参考
- 官方文档
https://www.wireshark.org/docs/wsug_html/ - Wireshark抓包新手使用教程
https://www.cnblogs.com/linyfeng/p/9496126.html - Troubleshooting with Wireshark
http://file.allitebooks.com/20160907/Troubleshooting%20with%20Wireshark.pdf - The Official Wireshark Certified Network Analyst Study Guide
http://file.allitebooks.com/20150724/Wireshark%20Network%20Analysis%20The%20Official%20Wireshark%20Certified%20Network%20Analyst%20Study%20Guide,%202nd%20Edition.pdf - Wireshark Network Security
http://file.allitebooks.com/20190315/Wireshark%20Network%20Security.pdf
在进行Wires hark抓包实验实验之前最好学习一下上面的链接的内容,对Wires hark的抓包的过程以及抓到的包有一个了解,这样才会对自己抓到的内容有一个了解。
二、数据链路层
实作
一、 熟悉 Ethernet 帧结构
- 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
- 最简单,我们在Cmder中ping一下baidu,同时开启抓包。
- 可以看到此时百度的IP为14.215.177.39,然后我们在Wire shark中抓到的包进ip.dst==14.215.177.39的地址过滤就可以只看地址为百度的抓取的内容;
- 此时就可以看到我们抓取的内容了。
Frame :物理层的数据帧
Ethernet II:数据链路层的以太网帧头部信息
Internet Protocol Version 6:网络层的IP包头部信息
Transmission Control Protocol:传输层的TCP协议信息
- 通过以太网帧我们就可以看到目的MAC地址,源MAC地址等种种信息;
二、了解子网内/外通信时的 MAC 地址
- ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用
icmp关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的? - 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
可以看到发出帧的目的MAC地址是网关的MAC地址,源MAC地址是我这个计算机的MAC地址 - 再次 ping www.baidu.com (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
✎ 问题
通过以上的实验,你会发现:
1. 访问本子网的计算机时,目的 MAC 就是该主机的
2. 访问非本子网的计算机时,目的 MAC 是网关的
3. 请问原因是什么?
在同一个子网的时候,子网内的计算机进行访问不需要经过网关就可以直接通信.
而当访问不是同一个子网的计算机的时候,信息传输出去首先就需要到达网关,再由网关进行外部网络的传输。
如果你的电脑是连接的手机热点,那么就会发现目的MAC地址就是手机热点的物理地址,而源MAC地址就是该主机的MAC地址。
三、掌握 ARP 解析过程
- 为防止干扰,先使用 arp -d*命令清空 arp 缓存(如果不能删除可以以管理员身份)
- ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看ARP请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC地址是什么。
可以看到当两个计算机在同一个子网,而且没有对方的MAC地址时,当我ping同一子网的计算机时,
首先在该子网中广播:Who has目的地址?Tell (我)源地址;
目的地址回复这个消息:我(目的地址)的MAC地址是,
之后在发送:Who has源地址的MAC地址,告诉我;
我(源地址)回复:我(源地址)的MAC地址是
请求的目的地址分别是我的MAC地址和旁边计算机的MAC地址
此时我和目的计算机里面都有了对方的MAC地址
- 再次使用 arp -d *命令清空 arp 缓存
- 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP请求的是什么,注意观察该请求是谁在回应。
此时可以看到请求和回复的目的地址分别自己和自己的网关的MAC地址
✎ 问题
通过以上的实验,你应该会发现,
- ARP 请求都是使用广播方式发送的
- 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;
- 如果访问的非本子网的 IP, 那么 ARP解析将得到网关的 MAC。
请问为什么?
访问本子网的计算机,由于此时的两计算机是直接通信,不需要网关进行连接,当访问外部计算机的时候,信息传输需要经过网关,才能与外部网络相连,那么就需要知道网关的MAC地址,之后网关在通过路由器的等等找到目的IP的网关,然后目的IP的网关在该子网内广播,找到此IP对应的MAC地址,进行连接。
三、网络层
实作
一、 熟悉 IP 包结构
- 使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
✎ 问题
- 为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
可以看到头部长度为20 ,总长度为60
二、 IP 包的分段与重组
- 根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过1500字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
当ping一个Ip的长度制定为2000是Wireshark抓包得到的4次收发的数据包如图;在这之中我们可以很清楚的看到2000长度的ip包被分为了两个ip包进行传输,第一个ip包的长度为1514,第二个长度为562;
此时可以看到第一个ip包的标识符(Identifier)为36018,标记(Flags)为1,片偏移(Fragment Offset)为0
第二个ip包的标识符(Identifier)为36018,标记(Flags)为0,片偏移(Fragment Offset)为1480;
- 两个ip包的标识符一样,表示这两个ip包是同一个ip包分割之后得到的,第一个的标记(Flags)为1表示后面还有一个相同ip的包,第二个ip包的标记为0表示后面没有相同ip的数据包,即此ip的数据包被分成了两个,根据片偏移量就可以知道当前两个ip包在该组分片包中的位置,接收端靠此来组装还原ip包
- IP以目的网络的MTU为IP包的最大包长,将本地生成的较大的IP数据包分成若干个分段,发往目的主机。当这些I分段数据包到达目的主机的IP时,目的主机的I发现到来的IP数据包不是一个完整的数据包,就会将这些IP数据包先缓冲起来,一旦这些P数据包全部到齐,IP就将这些IP数据包组合成一个完整的IP数据包,交给上层协议处理。IP头的标识域(ldentification field )、协议域(Protocol field、源地址域(Source addreee field、目的地址域(destination address field)这四个域可用来唯一标识同属于一个完整的IP数据包的所有IP分段数据包。IP头中的标志域(Flag field的DF位表示是否允许分段,MF位表示该IP数据包是否是一个I分段数据包。IP头的分段偏移域((Fragment offset field表示该分段在完整IP包中的位置。IP就是根据这六个域来对IP数据包进行分段和重新组合的。
✎ 问题
- 分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以IPv6已经不允许分段了。那么IPv6中,如果路由器遇到了一个大数据包该怎么办?
- 当遇到了一个大数据包,导致不能转发到链路上,则路由器会把该数
据包丢弃
三、 考察 TTL 事件
- 在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
- 在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1开始逐渐增加,直至到达最终目的主机。
- 请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
TTL随着跳数的增加而累加,每一个结点3次的TTL的数值不会改变,因此我们可以简单的用过TTL的数值来确定该从源点到自己计算机之间有多少个节点数。
✎ 问题
- 在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
- 50跳
四、传输层
实作
一、 熟悉 TCP 和 UDP 段结构
- 用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
- 用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
✎ 问题
- 由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
- 端口号:标识同一台计算机的不同应用进程
- 源端口号:源端口号和IP地址的作用是标示报文的返回地址
- 目的端口号:端口指明接收方计算机上的应用程序接口。
二、 分析 TCP 建立和释放连接
-
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
-
请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
通过观察抓包的文件可以看到在三次握手建立的过程中 -
第一次握手:客户端给服务端发一个 SYN 报文,并指明客户端的初始化序列号 ISN。此时客户端处于 SYN_SENT 状态
-
首部的同步位SYN=1,初始序号seq=x,SYN=1的报文段不能携带数据,但要消耗掉一个序号。
-
第二次握手:服务器收到客户端的 SYN 报文之后,会以自己的 SYN 报文作为应答,并且也是指定了自己的初始化序列号ISN(s)。同时会把客户端的 ISN + 1 作为ACK 的值,表示自己已经收到了客户端的 SYN,此时服务器处于 SYN_RCVD的状态。
-
在确认报文段中SYN=1,ACK=1,确认号ack=x+1,初始序号seq=y。
-
第三次握手:客户端收到 SYN 报文之后,会发送一个 ACK 报文,当然,也是一样把服务器的 ISN + 1 作为 ACK的值,表示已经收到了服务端的 SYN 报文,此时客户端处于 ESTABLISHED 状态。服务器收到 ACK 报文之后,也处于ESTABLISHED 状态,此时,双方已建立起了连接。
-
确认报文段ACK=1,确认号ack=y+1,序号seq=x+1(初始seq=x,第二个报文段所以要+1),ACK报文段可以携带数据,不携带数据则不消耗序号。
-
发送第一个SYN的一端将执行主动打开(active open),接收这个SYN并发回下一个SYN的另一端执行被动打开(passive open)。
-
在socket编程中,客户端执行connect()时,将触发三次握手。
-
请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
这里的释放连接只有三次握手,主要是ACK=1与FIN =1在同一个segement中。 -
第一次挥手:客户端发送一个 FIN 报文,报文中会指定一个序列号。此时客户端处于 FIN_WAIT1 状态。
-
即发出连接释放报文段(FIN=1,序号seq=u),并停止再发送数据,主动关闭TCP连接,进入FIN_WAIT1(终止等待1)状态,等待服务端的确认。
-
第二次挥手:服务端收到 FIN 之后,会发送 ACK 报文,且把客户端的序列号值 +1 作为 ACK报文的序列号值,表明已经收到客户端的报文了,此时服务端处于 CLOSE_WAIT 状态。
-
即服务端收到连接释放报文段后即发出确认报文段(ACK=1,确认号ack=u+1,序号seq=v),服务端进入CLOSE_WAIT(关闭等待)状态,此时的TCP处于半关闭状态,客户端到服务端的连接释放。客户端收到服务端的确认后,进入FIN_WAIT2(终止等待2)状态,等待服务端发出的连接释放报文段。
-
第三次挥手:如果服务端也想断开连接了,和客户端的第一次挥手一样,发给 FIN 报文,且指定一个序列号。此时服务端处于 LAST_ACK的状态
-
即服务端没有要向客户端发出的数据,服务端发出连接释放报文段(FIN=1,ACK=1,序号seq=w,确认号ack=u+1),服务端进入LAST_ACK(最后确认)状态,等待客户端的确认。
-
第四次挥手:客户端收到 FIN 之后,一样发送一个 ACK 报文作为应答,且把服务端的序列号值 +1 作为自己 ACK报文的序列号值,此时客户端处于TIME_WAIT 状态。需要过一阵子以确保服务端收到自己的 ACK 报文之后才会进入 CLOSED状态,服务端收到 ACK 报文之后,就处于关闭连接了,处于 CLOSED 状态。
-
即客户端收到服务端的连接释放报文段后,对此发出确认报文段(ACK=1,seq=u+1,ack=w+1),客户端进入TIME_WAIT(时间等待)状态。此时TCP未释放掉,需要经过时间等待计时器设置的时间2MSL后,客户端才进入CLOSED状态。
-
收到一个FIN只意味着在这一方向上没有数据流动。客户端执行主动关闭并进入TIME_WAIT是正常的,服务端通常执行被动关闭,不会进入TIME_WAIT状态。
-
在socket编程中,任何一方执行close()操作即可产生挥手操作。
✎ 问题
-
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
-
建立多个连接主要是浏览器为了优化打开网页的速度,会同时打开多个端口去访问同一个网页,打开多个端口同时接收数据,吧接收到的数据进行整合,这样就可以使得我们在浏览网页的时候感觉到很流畅
✎ 问题
- 我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
- 三次握手是因为在释放连接的时候,有一次返回的时候ACK=1确认释放连接的时候,同一个报文中FIN=1,即同时发出的释放连接的请求
五、应用层
- 应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。
实作
一 、了解 DNS 解析
-
先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用Wireshark 任意抓包(可用 dns 过滤)。
-
你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53号端口返回了结果。
可了解一下 DNS 查询和应答的相关字段的含义
发送端的端口号为58479
接收端的端口号为53
接收的时候,源端口号为58479
目的端口号为53
✎ 问题
- 你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
- 一个域名下面肯定不止一个服务器,发送DNS解析请求的时候不会一直连在一个服务器,连接不同的服务器就会有不同的服务器地址
二、 了解 HTTP 的请求和应答
-
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
-
请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
-
请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
✍ 建议:
- HTTP 请求和应答的头部字段值得大家认真的学习,因为基于 Web 的编程中我们将会大量使用。如:将用户认证的令牌信息放到头部,或者把cookie 放到头部等。
✎ 问题
- 刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的304代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的200应答?
- 因为服务器告诉浏览器当前请求的资源上一次修改的时间不是这个时间。浏览器第二次发送请求的时候,告诉浏览器上次请求的资源现在还在自己的缓存中,如果你那边这个资源还没有修改,就可以不用传送应答体给我了。服务器根据浏览器传来的时间对比发现和当前请求资源的修改时间一致,就应答304,表示不传应答体了,从之前的缓存里取。