Wireshark 实验
文章目录
本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark 进行,请根据简介部分自行下载安装。
准备
请自行查找或使用如下参考资料,了解 Wireshark 的基本使用:
选择对哪块网卡进行数据包捕获
开始/停止捕获
了解 Wireshark 主要窗口区域
设置数据包的过滤
跟踪数据流
🌏 参考
数据链路层
实作一 熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
由上面几张截屏可知,该包的目的MAC为:50:2f:9b:2e:10:94(本机的MAC地址),源MAC为:34:bd:f9:d5:01:81(发送方),遵循IPv4协议等信息。
✎ 问题
你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
校验字段可能在Wireshark抓包并对包进行校验之后被Wireshark自动丢弃。
实作二 了解子网内/外通信时的 MAC 地址
1.ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
2.然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
3.再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
发出帧的目的MAC地址:ca:e2:02:36:81:b8,返回帧的源MAC地址:ca:e2:02:36:81:b8。这个MAC地址是使用ping命令时,MAC地址为旁边处于同一子网的10.99.42.33主机的。
发出帧的目的MAC地址:00:74:9c:9f:40:13,返回帧的源MAC地址:00:74:9c:9f:40:13。这个MAC地址是网关路由器的。
发出帧的目的MAC地址:00:74:9c:9f:40:13,返回帧的源MAC地址:00:74:9c:9f:40:13。这个MAC地址是网关路由器的。
✎ 问题
通过以上的实验,你会发现:
访问本子网的计算机时,目的 MAC 就是该主机的
访问非本子网的计算机时,目的 MAC 是网关的
请问原因是什么?
①在子网中,根据数据链路层的特点,当不知道目的主机的MAC地址时,是通过发送广播帧让目的主机传回其MAC给本主机,然后两主机之间才正式建立通信。
②在非子网中,需要穿过通信子网才能到达目的主机,通信子网中是没有广播的方式的,所以无法像子网中进行广播让目的主机传回其MAC地址。由于数据链路层是点到点的传播方式,将帧传给非子网的主机时,需先将帧传给邻居网关路由器,邻居网关路由器的接收到此帧息后,查找其内置的MAC表,修改帧起止的MAC地址,然后转发给另一路由器,直到到达目的主机。所以ARP解析将得到邻居网关的MAC地址。
③MAC地址主要负责帧从目的网关路由器到达目的主机,IP地址主要负责在各路由器之间找路,找到目的主机所在的子网,进入该子网后由MAC地址找到目的主机。
实作三 掌握 ARP 解析过程
1.为防止干扰,先使用 arp -d 命令清空 arp 缓存
2.ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
3.再次使用 arp -d * 命令清空 arp 缓存
4.然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
2.
ARP的请求内容
该请求的目的MAC是:ff:ff:ff:ff:ff:ff(广播到子网中的所有主机);该请求的回应源MAC是:d0:97:fe:db:85:15;该请求的回应目的MAC是:50:2f:9b:2e:10:94(本机)。
4.
ARP请求:
该ARP请求邻居网关路由器在回复。
✎ 问题
通过以上的实验,你应该会发现,
ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?
①在子网中,根据数据链路层的特点,当不知道目的主机的MAC地址时,是通过发送广播帧让目的主机传回其MAC给本主机,然后两主机之间才正式建立通信。
②在非子网中,需要穿过通信子网才能到达目的主机,通信子网中是没有广播的方式的,所以无法像子网中进行广播让目的主机传回其MAC地址。由于数据链路层是点到点的传播方式,将帧传给非子网的主机时,需先将帧传给邻居网关路由器,邻居网关路由器的接收到此帧息后,查找其内置的MAC表,修改帧起止的MAC地址,然后转发给另一路由器,直到到达目的主机。所以ARP解析将得到邻居网关的MAC地址。
③MAC地址主要负责帧从目的网关路由器到达目的主机,IP地址主要负责在各路由器之间找路,找到目的主机所在的子网,进入该子网后由MAC地址找到目的主机。
网络层
实作一 熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
版本:IPv4;头部长度:20 bytes;总长度:40 bytes;TTL:58;协议类型:TCP协议
TTL为58说明发送方到达本主机需要经过 64 - 58 = 6 跳。
✎ 问题
为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
为了网络层能正确地提取包中的数据部分。由Ethernet帧格式可知,数据部分可能将有填充字段。因为在互联网发展早期为了冲突能够被检测到,规定了最短帧长度,而为解决有些帧无法达到最短帧长度这一问题,在帧中引入了填充字段。所以为了让网络层能正确识别数据部分,去掉填充字符,引入了头部长度和总长度字段。总长度包含头部长度和真实数据长度,不包含填充字符的长度。从而能够区别出头部和真实数据。有头部长度主要是由于包头的长度不固定,可能是20个字节,也可能是24个字节。
实作二 IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
分段标识:0x1560(5472);偏移量:1480;每个包的大小:548
✎ 问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
支持IPV6协议的路由器会将该包直接丢弃,并返回发送主机发送失败的信息。
实作三 考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
由上图观察每个ICMP包的TTL的变化情况,可知tracert路由追踪原理:首先,tracert送出一个TTL=1的IP数据包,当路径上的第一个路由器收到这个数据包时,他将TTL-1,此时TTL将会变为0,在验证性实验中分析到,当TTL变为0时,路由器将会扔掉这个包,并送回一个TTL过期消息(包括发送这个IP 包的源地址,该路由器的IP地址),tracert收到这个消息后,便知道了存在于下一个节点的路由器的信息。接着tracert再送出另一个TTL是2的包,探测连通路径上的第2个路由器…重复这个动作直到持续到某个包抵达目的地。当包到达目的地后,该主机则不会返回TTL过期消息。
✎ 问题
在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
如果收到的包的TTL为50,则TTL的初始值一般为64,所以包从源点到本机之间有 64-50=14 跳。
传输层
实作一 熟悉 TCP 和 UDP 段结构
1.用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
2.用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
2.
✎ 问题
由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
源端口是本机某一程序用来发送数据的端口,目的端口是对方主机某一程序用来接收数据的端口。源端口和目的端口用来确认主机上的具体通信的应用程序进程。IP地址和MAC地址合作解决从一个主机到另一主机之间的通信问题。但实际中,是不同主机上的各应用程序进程之间进行的逻辑通信。为了实现不同主机上的各个应用程序进程之间的逻辑通信,引入了端口地址。通过端口地址来具体区分通信的应用程序进程,实现完全的端到端通信。
实作二 分析 TCP 建立和释放连接
1.打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
2.请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
3.请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
三次握手:
①第一次握手,抓包如下:
②第二次握手,抓包如下:
③第三次握手,抓包如下:
为什么这三个包是用来建立连接的以及这三个包的特征是什么?
建立连接的三个包主要是根据六个标识位中的SYN标识以及ACK标识区别。
SYN为同步位,第一次、第二次握手时将会被置为 1 ,其余情况被置为 0 .
ACK为确认号位,第一次握手时由于此时确认号无意义,所以将会被置为 0 ,其余情况将会被置为 1.
由此可知:
第一个包:SYN=1 , ACK=0
第二个包:SYN=1 , ACK=1
第三个包:SYN=0 , ACK=1
后面包的 SYN、ACK 标识和第三个包相同
四次挥手:
①第一次挥手
②第二次挥手
③第三次挥手
④第四次挥手
为什么这四个包是用来释放连接的以及这四个包的特征是什么?
释放连接的三个包主要是根据六个标识位中的FIN标识以及ACK标识区别。
FIN为结束位,当发出释放连接请求时将会被置为 1 ,其余情况被置为 0 .
ACK为确认号位,在四次挥手中都会被置为 1。表示对之前接收的包的确认。
由此可知:
第一个包将发起释放连接请求:FIN=1 , ACK=1
第二个包为另一方确认接收到释放连接的请求:ACK=1
第三个包为另一方发起释放连接请求:FIN=1 , ACK=1
第四个包确认接收到释放连接的请求:ACK=1
自此本机与棋歌教学网的校内服务器的连接释放完毕。
✎ 问题一
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
由图可知至少建立了两个连接。
建立了多个连接说明该应用程序可能发起了多个进程,为了加快数据的接收效率,利用多个不同的端口同时发起请求去获取数据,这样就可将完整数据分为几个部分并行传回本机。
✎ 问题二
我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
假设第一次挥手是 A 对 B 主动发起释放连接的请求,则:
第二次挥手是 B 确认接收到 A 释放连接的请求,
第三次挥手是 B 对 A 发起释放连接的请求,
第四次挥手是 A 确认接收到 B 释放连接的请求。
有时只抓到三次挥手,很可能是因为第二次挥手和第三次挥手合二为一。 B 在第二次挥手时既确认接收到 A 释放连接的请求,又对 A 发起释放连接的请求。
应用层
应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。
实作一 了解 DNS 解析
1.先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
2.你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
3.可了解一下 DNS 查询和应答的相关字段的含义
使用ipconfig /flushdns 命令清除缓存:
使用 nslookup qige.io 命令进行解析:
抓请求的包:
抓返回的包:
可以观察到本机63219端口向DNS服务器 61.132.163.68 的53端口发送了一个请求,DNS服务器 61.132.163.68 的53端口对本机的63219端口进行了回复。且请求包和回复包均使用了UDP协议。
DNS查询相应字段:包含transaction ID,Flags,Questions,Answer RRs,Authority RRs,Additional RRS和Queries,其中需要关注的为Queries,包含需要查询的域名。
DNS应答相应字段:包含transaction ID,Flags,Questions,Answer RRs,Authority RRs,Additional RRS,Queries,Answers,Authoritative nameservers,Additional records,其中需要关注的为Queries,包含需要查询的域名,Answers包含所查询的域名对应的IP地址。
✎ 问题
你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
多请求访问DNS服务器,可以加快DNS解析的速度。应答数据分流并行返回本机。
实作二 了解 HTTP 的请求和应答
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
HTTP请求包----GET命令
请求的头部的字段及其意义:
GET (请求的方法) /assets/dist/js/bootstrap.min.js(请求的文件) HTTP/1.1(请求采用的协议和版本号)\r\n
Host:表示所请求的主机和端口。
Connection:表示是否需要持久连接。
User-Agent:浏览器类型,如果Servlet返回的内容与浏览器类型有关则该值非常有用。
Accept:浏览器可接受的MIME类型。
referer:访问当前页面的根页面地址。一般用于服务器判断是否为同一个域名下的请求
Accept-Encoding:浏览器能够进行解码的数据编码方式,比如gzip。
Accept-Language:浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到。
Cookie:设置cookie,这是最重要的请求头信息之一
HTTP应答包----应答代码200(OK):
应答的头部的字段及其意义:
HTTP/1.1(响应采用的协议和版本号) 200(状态码) OK(描述信息)
Server: nginx/1.20.2(服务端的Web服务端名)
Date:Wed, 22 Dec 2021 03:47:08 GMT(服务端响应客户端的时间)
Content-Type: application/javascript(服务端发送的类型)
Content-Length: 27748(服务端发送的压缩数据的长度)
Last-Modified: Tue, 14 Apr 2020 09:15:04 GMT(服务端对该资源最后修改的时间)
Connection: keep-alive(维护客户端和服务端的连接关系)
ETag: “5e957f18-6c64”(资源的特定版本的标识符)
Accept-Ranges: bytes(标识自身支持范围请求(partial requests))
File Data:27748 bytes
✍ 建议:
HTTP 请求和应答的头部字段值得大家认真的学习,因为基于 Web 的编程中我们将会大量使用。如:将用户认证的令牌信息放到头部,或者把 cookie 放到头部等。
✎ 问题
刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
服务器返回200应答则浏览器将使用最新到达的数据显示页面,返回304应答则浏览器将使用本地缓存的内容。如果服务器需要响应的数据过大,但是传送的数据与前面传送的数据相同并没有做任何更改,很明显,这将造成极大的浪费。所以当新的请求到来时,服务器会先去缓存中寻找该主机上次请求对应资源的记录,如果发现当前请求资源的修改时间和上次请求的一致,则应答304,让浏览器使用本地缓存的文件,不再重新传送,减少浪费。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
