计算机三级（网络技术）——综合题（Sniffer抓包分析）

考点内容：

1. DNS域名解析
2. TCP三次握手
3. FTP(文件传输协议)
4. ICMP(Internet控制报文协议)：ping、tracert
5. HTTP(超文本传输协议)：get、post命令

例题一

下图是校园网某台主机在命令行模式下执行某个命令时用sniffer捕获的数据包。

抓包分析

5~8行为主机发出的DNS解析，源地址为202.113.64.137（主机的IP地址），目的IP地址为202.113.64.3(DNS服务器的IP地址)，请求的解释的域名为 mali.tj.edu.cn。C表示源到目的，R表示目的到源。

9~14行可以通过ICMP：Echo确定是ICMP报文，报文中的TTL（Time-to-live）: 表示报文的生存时间，可经过的最多路由数，即数据包在网络中可通过的路由器数的最大值。出现TTL值表示每经过一个路由器，TTL值就会减一，表明执行的是tracert命令，来显示数据报的路径。

第一条路由 202.113.64.129

第二条路由 202.113.77.253

请根据图中信息回答下列问题。
(1)该主机上配置的IP地址的网络号长度最多是____28_____

需要使IP地址的网络号最多，取202.113.64.137和202.113.64.129

前三段都相同，将第四段转换二进制

10000101

10000001

前4位相同，加上前三段，共28位，所有网络号地址为28位
(2)图中的①和②删除了部分显示信息，其中①处的信息应该是_ICMP______
②处的信息应该是____mali.tj.edu.cn_______

第一空位应填协议名，其中选中的报文是ICMP。

第二空填解析的域名
(3)该主机上配置的域名服务器的IP地址是____202.113.64.3________

(4)该主机上执行的命令是__tracert mali.tj.edu.cn_________

因为进行了域名解析，tracert后面应该是域名。

例题二

下图是校园网某台主机使用浏览器访问某个网站，在地址栏键入其URL时用sniffer捕获的数据包。

(1)该URL是https：//mali.pku.edu.cn
从25行可以看出主机发出的域名解析为mali.pku.edu.cn，从27行建立TCP三次握手的第一个包的目的端口为443，表明为HTTPS协议。

(2)该主机配置的DNS服务器的1P地址是59.67.148.5

(3)图中的①②③删除了部分显示信息，其中②应该是 _1327742113______ ③应该是 __6____

第一个空为TCP三次握手的知识 ，其中第三次握手ACK值应为第二次握手SEQ值加1，第三次的Ack为1327742114，所以第二次握手的seq值为1327742113

TCP第一包

客户机发给服务器，seq位置为X

TCP第二包

服务器回给客户机 seq=y，Ack=x+1（其中的x为第一包里面的X）

TCP第三包

客户机发给服务器 Seq=x+1（seq的值就是第二个包的Ack的值）,ack=y+1（其中的y为第二包里面的seq的y）

第二空为6，因为TCP的协议号为6，UDP的协议号为17

(4)该主机的IP地址是___202.113.78.111______

在17行报文点开，下面报文的详细信息中的source address=[202.113.78.111]，所以主机的IP地址为202.113.78.111

例题三

下图是一台主机在命令行模式下执行某个命令时用sniffer捕获的数据包.

该主机上执行的命令完整内容是  ping www..bupt,edu.cn

ping命令和tracert命令都是利用监听ICMP的报文来工作的。

只是png命令默认情况下发送4个报文，每个报文包含64字节数据。

tracert命令是通过发送包含不同TTL的CMP报文并监听回应报文，来探测到达目的计算机的路径。

解析的域名为www.bupt.edu.cn。从报文段可以得出本题使用"ping”命令监听ICMP协议传输出错报告控制信，报文结构"ICMP header'”部分中显示"[1024 bytes of data]”,该语句表示每次发送1024字节的数据。

主机59.67.148.5的功能是 DNS，其提供服务的缺省端口是 53

第158~159行是DNS域名解析的过程，解析的域名为www.bupt.edu.cn,是由客户机(P地址为202.113.78.123)向DNS服务器(IP地址为59.67.148.5)发送域名解析的请求，提供服务的默认端口是53

 
图中①处删除了部分显示信息，该信息应该是 Echo

返回的是ICMP的头，其中TYPE=8,并且显示返回的内容为Echo

如果用Sniffer统计网络流量中各种应用的分布情况，应打开的窗口是 Protocol Distribution

• Dashboard:实时显示网络的数据传输率、宽带利用率和出错率，并可以提供各种统计数据的图形化显示。
• Host Table:以表格或图形方式显示网络中各节点的数据传输情况。
• Matriⅸ：实时显示网络各节点的连接信息，并提供统计功能。
• Protocol Distribution:统计网络流量中各种协议和应用的分布情况，统计信息可以通过表格或图形方式显示。
• Application Response Time:实时监测客户端与服务器的应用连接响应时间。当发现响应超时，就会发出报警。

例题四

下图是在一台主机上用sniffer捕获的数据包，请根据显示的信息回答下列的问题。

1.该主机的IP地址是202.113.64.166
2.该主机上正在浏览的网站是 www.edu.cn

由TCP三次握手过程可知，主机202.113.64.166需要连接的是www.edu.cn。所以该主机正在浏览的网站是www.edu.cn。

3.该主机上设置的DNS服务器的P地址是211.81.20.200
4.该主机采用HTTP协议进行通信时，使用的源端口是80
5.根据图中"No."栏中的信息，标示TCP连接三次握手过程完成的数据包的标号是7

例题五

下图是用sniffer捕获一台主机用浏览器访问某网站时的数据包。

IP地址为211.81.20.200的主机功能是DNS，被浏览网站的IP地址是202.113.64.2

解析域名，WWW服务器IP地址可以从下面抓包详情里面看到

图中的①~⑥删除了部分显示信息，其中②处应该是583056467584，④处应该是www.tjut.edu.cn
，⑥处应该是60143086952

 seq值可以从下面抓包详情里面看到，IP地址后跟网站的域名，ACK值为上一个包的seq+1

源地址是客户机，目的地址是远端被访问的网站名。因此可以推断该行时客户机向远端被访问网站发送请求报文，get。