泡芙噶的计算机网络(2)-紧张刺激的Wireshark实验

  • 实验内容
  • 准备阶段
  • 实验内容
    • 数据链路层
    • 网络层
    • 传输层
    • 应用层

实验内容

按照数据链路层、网络层、传输层及应用层的顺序部署10个实验,需要使用协议分析器Wireshark完成。

准备阶段

了解Wireshark的基本使用,大抵分为以下5个步骤:

1、 选择对哪块网卡进行数据包捕获
打开Wireshark后,会主动提示你选择哪块网卡进行捕捉;若想更换网卡,选择菜单栏上的Capture(捕获)->Option(设置),勾选其他网卡即可。
2、 开始/停止捕获
Wireshark启动后,便处于抓包状态中。

红圈处可以开始、停止抓包。
3、 了解Wireshark主要窗口区域
主要窗口的详细介绍

  1. Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。
  2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。 不同协议的数据包使用了不同的颜色区分显示。
  3. Packet Details Pane(数据包详细信息), 在数据包列表中选择指定数据包,在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的,用来查看协议中的每一个字段。各行信息分别为

    (1)Frame: 物理层的数据帧概况
    (2)Ethernet II: 数据链路层以太网帧头部信息
    (3)Internet Protocol Version 4: 互联网层IP包头部信息
    (4)Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
    (5)Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议
    TCP包的具体内容
    从下图可以看到wireshark捕获到的TCP包中的每个字段。
  4. Dissector Pane(数据包字节区)。

说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示

4、 设置数据包的过滤
Wireshark工具中自带了两种类型的过滤器:抓包过滤器和显示过滤器,接下来开始介绍两种过滤器的使用方法。
(1) 抓包过滤器

捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。

(2) 显示过滤器
显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。同样上述场景,在捕获时未设置抓包过滤规则直接通过网卡进行抓取所有数据包,如下:

5、 跟踪数据流。(看不太懂)
首先还是先过滤,然后选中一条进入追踪流。


红色用来标明从源地址前往目的地址的流量,而蓝色用来区分出相反方向也就是从目的地址到源地址的流量。这里颜色的标记以哪方先开始通信为准,一般情况下都是由客户端主动发起与服务器的连接,所以大都是将客户端的通信显示为红色。

实验内容

数据链路层

1、熟悉Ethernet帧格式

DMAC、SMAC、Type:



Wireshark 展现给我们的帧中为什么没有校验字段?
答:Wireshark 抓包前,在物理层网卡已经去掉了一些之前几层加的东西,比如前导同步码,FCS等等,之后利用校验码CRC校验,正确时才会进行下一步操作,这时才开始进行抓包,因此,抓包软件抓到的是去掉前导同步码、FCS之外的数据,没有校验字段。

2、了解子网内、外的MAC地址

  • ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp
    关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

    发出帧的目的MAC地址为:

    返回帧的源MAC为:

    这个MAC是刚刚ping的同一子网下的主机的MAC地址
  • 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp
    过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
    发出帧的目的MAC:

    返回帧的源MAC:

    这个MAC是本主机所在子网的网关的MAC地址(做到这里发现该MAC和前面访问同一子网下的MAC一致,说明前面ping的主机不在同一子网!)
  • 再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可
    icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
    发出帧的目的MAC:

    返回帧的源MAC:

    该MAC是本机所在子网网关的MAC地址
  • 通过以上的实验,你会发现: 访问本子网的计算机时,目的 MAC 就是该主机的 访问非本子网的计算机时,目的MAC是网关的
    请问原因是什么?
    答:当本机访问的是本子网的计算机,数据包无需离开本通信子网,传输数据也是在本子网里进行,所以是对方主机的MAC物理地址;当本机访问的是非本子网的计算机,也就是说此时有两个不同通信子网的主机之间需要通信,数据包就需要离开本通信子网,这里就涉及到数据包在两个通信子网的传输,传输数据要离开本通信子网,就势必要经过网关,因此,该目的MAC物理地址就是本网关的物理地址。
    3、掌握ARP的解析过程
  • 为防止干扰,先使用 arp -d * 命令清空 arp 缓存

    应该是需要管理员权限


    成功!
  • ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
    吸取上一次的教训,这次ping子网内的主机,选择pingCG平台。首先检验一下它是否与本机处于同一子网(已连接校园网)。

    得出结论,还是发出帧的目的MAC还是网关,暂时找不到同一子网的主机IP,暂时搁置。斯~突发奇想,手机开热点,然后去ping手机的IP,但是问题也随之而来,怎么知道手机的IP地址。

    但是!他拒绝我电脑ping它

    又搁浅了
    查看别人做的:
  • 再次使用 arp -d * 命令清空 arp 缓存
  • 然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。

    回复的是本子网的网关MAC地址

v. 通过以上的实验,你应该会发现
ARP 请求都是使用广播方式发送的如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?
答:当本机访问的是本子网的计算机,数据包无需离开本通信子网, ARP 解析将也是在本子网里进行,所以ARP解析得到是对方主机的MAC物理地址;
当本机访问的是非本子网的计算机,也就是说此时有两个不同通信子网的主机之间需要通信,数据包就需要离开本通信子网,这里就涉及到数据包在两个通信子网的传输,传输数据要离开本通信子网,ARP 解析就势必要经过网关,因此,该ARP 解析得到的目的MAC物理地址就是本网关的物理地址。

网络层

1、 熟悉IP包结构

  • i. 使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段
  • ii. 为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
    答:IP的头部长度可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度的字段是因为接收端需要读数据,接收数据。
    2、 IP包的分段与重组
  • i. 根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
  • ii. 分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
    答:直接丢弃再通知发送端进行重传。由于在 IPv6中分段只能在源与目的地上执行,不能在路由器上进行。因此当数据包过大时,路由器就会直接丢弃该数据包包,并向发送端发回一个"分组太大"的ICMP差错报文,之后发送端就会使用较小长度的IP数据报重发数据。
    3、 考察TTL事件
  • i. 在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。

    Tracert 命令确定两台主机的路由主要是通过 IP 生存时间 (TTL) 字段和 ICMP 错误消息。 在工作环境中有多条链路出口时,可以通过该命令查询数据是经过的哪一条链路出口。
    由于路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1,因此 Tracert 先发送 TTL 为 1 的回应数据包,并在随后的每次发送过程将 TTL 递增 1,直到目标响应或 TTL 达到最大值,从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。
  • ii. 在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
    答:微软 Windows 操作系统 ICMP 回显应答的 TTL 字段值为 128;TTL为返回值,跳数就为128-50=75跳。

传输层

1、 熟悉TCP和UDP段结构

  • i. 用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
  • ii. 用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
  • iii. 由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
    答:源端口来表示发送方的应用程序,目的端口来表示接收终方的应用程序。通过记录收发双方的端口号,从而实现应用程序之间的通信
    2、分析TCP建立和释放连接
  • i. 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
  • 请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征
  • iii. 请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征
    TCP释放时,终止控制位FIN和ACK控制位为1
  • iv. 去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
    答:访问网页是有多个连接组成的。每个连接传送完数据后就会断开。断开连接,由于页面已经被缓存下来,页面仍然存在。若要重新进行发送数据,就要再次进行连接。这样的连接,是为了实现多个用户进行访问,对业务频率不高的场合,节省通道的使用。
  • v. 我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
    答:中间的两次握手合并成了一次握手。
    客户端向服务端发送断开连接的请求为第一次挥手,服务端向客户端回复同意断开为第二次,然后服务端向客户端发送断开的请求为第三次挥手,客户端向服务端回复同意断开连接为第四次挥手。三次挥手是将服务器向客户端发送断开连接和回复同意断开连接合成一次挥手,其他两次挥手不变。

应用层

1、了解DNS

  • i. 先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。

  • ii. 你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
  • iii. 可了解一下 DNS 查询和应答的相关字段的含义
    答:16位的标志位
    QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文
    opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态
    AA,授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器
    TC,截断标志,仅当DNS报文使用UDP服务时使用。因为UDP数据报有长度限制,所以过长的DNS报文将被截断。1表示DNS报文超过512字节,并被截断
    RD,递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。0表示执行迭代查询,即如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供客户端参考
    RA,允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询
    zero,这3位未用,必须设置为0
    rcode,4位返回码,表示应答的状态。常用值有0(无错误)和3(域名不存在)
    应答字段:域名,类型,生命周期,数据长度,地址
  • iv. 你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因
    答:这与DNS的解析过程有关。
    DNS解析过程是先从浏览器的DNS缓存中检查是否有这个网址的映射关系,如果有,就返回IP,完成域名解析;
    如果没有,操作系统会先检查自己本地的hosts文件是否有这个网址的映射关系,如果有,就返回IP,完成域名解析;
    如果还没有,电脑就要向本地DNS服务器发起请求查询域名;本地DNS服务器拿到请求后,先检查一下自己的缓存中有没有这个地址,有的话直接返回;
    没有的话本地DNS服务器会从配置文件中读取13个根DNS服务器的地址,然后向其中一台发起请求;直到获得对应的IP为止。
    所以DNS解析的请求不止一个

2、 了解HTTP的请求和应答

  • i. 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
  • ii. 请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
  • iii. 请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

    该应答包的应答代码为200,表示OK
    头部字段的意义:
    Server:服务器通过这个头告诉浏览器服务器的类型
    Transfer-Encoding:告诉浏览器数据的传送格式
    Date:当前的GMT时间
    Content- Type:表示后面的文档属于什么MIME类型
    Cache-Control:指定请求和响应遵循的缓存机制
  • iv. 刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
    答:200(成功) 服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。如果是对您的 robots.txt 文件显示此状态码,则表示 Googlebot 已成功检索到该文件。
    304(未修改)
    自从上次请求后,请求的网页未修改过。服务器返回此响应时,不会返回网页内容。
    如果网页自请求者上次请求后再也没有更改过,您应将服务器配置为返回此响应(称为 If-Modified-Since HTTP 标头)。服务器可以告Googlebot 自从上次抓取后网页没有变更,进而节省带宽和开销。

泡芙噶的计算机网络(2)-紧张刺激的Wireshark实验相关推荐

  1. 泡芙噶的计算机网络(3)-扑朔迷离的Cisco Packet Tracer实验

    泡芙噶的计算机网络(3)-扑朔迷离的Cisco Packet Tracer实验 实验内容 准备阶段 实验内容 直接连接两台 PC 构建 LAN 用交换机构建 LAN 交换机接口地址列表 生成树协议(S ...

  2. 《Invisible Inc.》游戏分析:如何在回合制中塑造紧张刺激的体验?

    引言 <Invisible Inc.>(中文译名为<隐形公司>)是Klei Entertainment于2015年发布的一款回合制策略游戏.玩家需要操作至多4名特工,在随机生成 ...

  3. 第一次紧张刺激的面试

    这是我第一次电话面试啊 刚刚想知道学点什么给日本招聘企业打完电话一次紧张刺激的经历...其实我就想知道去他们公司需要什么条件emmmm 你想套话不存在的应付她的犀利的问题已经够紧张了 依稀记得一些: ...

  4. 计算机网络模拟校园,计算机网络课程设计-模拟校园网组网实验

    计算机网络课程设计-模拟校园网组网实验 福建农林大学金山学院 信息工程类 课程实习报告 课程名称: 计算机网络 实习题目: 校园网组网方案 姓 名: 严夫 系: 信息与机电工程系 专 业: 计算机科学 ...

  5. 计算机网络模拟校园,计算机网络课程设计模拟校园网组网实验.doc

    计算机网络课程设计模拟校园网组网实验.doc 福建农林大学 金山 学院 信息工程 类 课程实习报告 课程名称: 计算机网络 实习题目: 校园网组网方案 姓 名: 严夫 系: 信息与机电工程系 专 业: ...

  6. 计算机网络Wireshark实验(西安交通大学)

    实验名称 计算机网络Wireshark实验 实验日期 2021 年 5 月 17 日 实验地点 XJTU 一.实验目的 1. 掌握WireShark软件,通过监测网络流量理解计算机网络体系结构的分层原 ...

  7. 计算机网络模拟校园,计算机网络课程计-模拟校园网组网实验.doc

    计算机网络课程计-模拟校园网组网实验 福建农林大学金山学院 信息工程类 课程实习报告 课程名称:计算机网络实习题目:校园网组网方案姓 名:严夫系:信息与机电工程系专 业:计算机科学与技术年 级:200 ...

  8. 计算机网络实验之Wireshark 实验

    本文作为记录本人计算机网络课程的实验之Wireshark 实验的过程和结果,用于日后温习,若是各位有建议或者看法也欢迎各位提出和指正. 目录 Wireshark 实验 准备 数据链路层 实作一 熟悉 ...

  9. 计算机网络Wireshark实验-棋歌教学网

    计算机网络Wireshark实验 实验简介 实验准备 实验内容展示 数据链路层 实作一 熟悉 Ethernet 帧结构 实作二 了解子网内/外通信时的 MAC 地址 实作三 掌握ARP解析过程 网络层 ...

最新文章

  1. JSON 之 SuperObject(6): 方法
  2. 华为120hz鸿蒙系统,华为亮剑,120Hz+鸿蒙系统+5500mAh,竟然如此销魂
  3. kafka开源版本quota限流功能缺陷
  4. alsa的动态库安装在哪里_linux 给运行程序指定动态库路径
  5. 找出出现次数最多的字母
  6. 企业要做好安全遵从的五个实用技巧
  7. 恋恋风辰 对于redis底层框架的理解(一)
  8. 前台实现ajax 需注意的地方
  9. 跟着百度学PHP[3]-PHP中结构嵌套之循环结构与条件结构嵌套
  10. TMGM外汇平台官网最全测评(2022年版)
  11. JSP学生日常记账系统综合课程设计报告
  12. word文件做一半未响应_word编辑一半未响应怎么办
  13. 【工控老马】三菱Q系列PLC调试及三菱触摸屏报警使用说明详解
  14. Android隐藏桌面图标,不显示应用图标
  15. linux下无线USB网卡驱动安装
  16. 固态硬盘是什么接口_经常买错各种SATA和NVMe固态硬盘,有没有办法快速分辨呢?看接口...
  17. 了解品牌名称 TM (™) 和 R(®) 符号之间的区别至关重要
  18. 顾客满意度意义与作用
  19. 荣耀红米们开启新征途:这届手机品牌为何热衷养“干儿子”?
  20. 自定义classloader实现JAVA热替换

热门文章

  1. Linux开发——实战(一)LinkList实现智能网关代理
  2. 海尔“1000天流程再造”
  3. 她是中国的计算机女神!中国首台自主设计计算机的缔造者——夏培肃(上)
  4. 互联网金融诈骗不缺受害者, 有人刚被3M坑了又投入CA
  5. 时间字符串解析(格式问题如2020-04-25T07:00:00+00:00)
  6. Quagga简介、安装、配置说明
  7. linux-scp上传下载
  8. 计算机毕业设计java+jsp鲜花销售商城信息网站(源码+系统+mysql数据库+Lw文档)
  9. 计算机毕业设计java+ssm鲜花销售商城信息网站(源码+系统+mysql数据库+Lw文档)
  10. saoml流控开心版补丁