计算机网络实验——实验2 Wireshark 实验
文章目录
- 计算机网络实验——实验2 Wireshark 实验
- 一、数据链路层
- 实作一 熟悉 Ethernet 帧结构
- 实作二 了解子网内/外通信时的 MAC 地址
- 实作三 掌握 ARP 解析过程
- 二、网络层
- 实作一 熟悉 IP 包结构
- 实作二 IP 包的分段与重组
- 实作三 考察 TTL 事件
- 三、传输层
- 实作一 熟悉 TCP 和 UDP 段结构
- 实作二 分析 TCP 建立和释放连接
- 四、应用层
- 实作一 了解 DNS 解析
- 实作二 了解 HTTP 的请求和应答
一、数据链路层
实作一 熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
问题
你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。答案:
Wireshark默认关闭了自己的校验,它会自动丢弃掉校验字段。
实作二 了解子网内/外通信时的 MAC 地址
1、ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
发出帧的目的MAC地址是:b2:c7:56:24:54:e1(网关)
返回帧的源MAC地址是:40:ec:99:8b:45:4d(本机)
2、然后 ping qige.io (或者本子网外的主机都可以,这里以ping百度为例),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
发出帧的目的MAC地址是:40:ec:99:8b:45:4d(网关)
返回帧的源MAC地址是:b2:c7:56:24:54:e1(本机)
3、再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
在用“icmp”过滤时发现没有抓到ping重庆交通大学官网的包
此时发现使用“icmpv6”能过滤出来。说明重庆交通大学的官网用的是v6地址。
发出帧的目的MAC地址是:40:ec:99:8b:45:4d(网关)
返回帧的源MAC地址是:b2:c7:56:24:54:e1(本机)
问题
通过以上的实验,你会发现:
访问本子网的计算机时,目的 MAC 就是该主机的
访问非本子网的计算机时,目的 MAC 是网关的
请问原因是什么?答案
1、接收本子网计算机的数据时,直接传到目的MAC地址,也就是直接传到主机。
2、访问非本子网的计算机时,是通过MAC地址送到网关处,在通过IP地址进行查找。
实作三 掌握 ARP 解析过程
1、为防止干扰,先使用 arp -d * 命令清空 arp 缓存
2、ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
因为疫情原因,没办法ping其他计算机,此处ping一下自己
ARP请求的格式和内容都在图中展示出。
该回应的源 MAC 地址是:40:ec:99:8b:45:4d
目的 MAC 地址是:b2:c7:56:24:54:e13、再次使用 arp -d * 命令清空 arp 缓存
4、然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
此处ping qige.io
ARP请求的格式和内容都在图中展示出。
该回应的源 MAC 地址是:40:ec:99:8b:45:4d
目的 MAC 地址是:b2:c7:56:24:54:e1
问题
通过以上的实验,你应该会发现,
ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?答案
访问本子网的IP时,ARP缓存中若没有该IP地址,会发送一个广播,并在子网中找寻这个IP;若有这个IP,那么ARP会直接得到该ip对应的Mac地址。
访问非本子网的IP时,是通过路由器发出去,目标IP收到请求后,再通过路由器端口IP返回去,那么ARP解析将会得到网关的MAC。
二、网络层
实作一 熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段,可以从图中清晰的看见。
问题
为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?答案
便于将上层的数据从IP包中取出来。
实作二 IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?答案
直接丢弃该数据包,或者转发这个数据包到支持的链路上
实作三 考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
问题
在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?答案
推断出这个包从源点到我之间有:64-50=14跳
三、传输层
实作一 熟悉 TCP 和 UDP 段结构
1、用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段,在图中清晰的展示出。2、用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
UDP 段的结构,如:源端口、目的端口、长度等,在图中清晰的展示出。
问题
由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?答案
源端口发起这个需要通信的进程,目的端口接收这个进程。有了端口号就能唯一标识这个进程。
实作二 分析 TCP 建立和释放连接
1、打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
2、请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
第一次握手:SYN为1,ACK为0
第二次握手:SYN为1,ACK为1
第三次握手:SYN为0,ACK为1
3、请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
第一次挥手:FIN为1,ACK为1
第二次挥手:FIN为0,ACK为1
第三次握手:FIN为1,ACK为1
第四次握手:FIN为0,ACK为1
问题一
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?答案
多个连接的原因是因为这个连接属于短连接。这是为了实现多用户访问。问题二
我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?答案
发送断开连接以及回复同意断开连接合成一次挥手,所以有三次挥手。
四、应用层
应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。
实作一 了解 DNS 解析
1、先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
2、你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
3、可了解一下 DNS 查询和应答的相关字段的含义
1、QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文
2、opcode,定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态
3、AA,授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器
4、RD,递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。
问题
你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?答案
DNS解析过程是先从浏览器的DNS缓存中检查是否有这个网址的映射关系。
实作二 了解 HTTP 的请求和应答
1、打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
2、请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
GET:一般从服务器获取数据
POST:数据是以流的方式(要指定数据长度)写过去3、请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
200:OK (成功)。请求成功。
304:Not Modified (未修改)。请求的内容距离上次访问并没有变化。
404:Not Found (未找到)。服务器找不到所请求的资源
1XX:消息响应
2XX:成功响应
3XX:重定向
4XX:客户端错误
5XX:服务段错误
问题
刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?答案
第一次访问的时候,向服务器发送请求,成功收到响应,证明请求成功,返回200。比较当前时间和上一次返回的时间差,未超时则缓存,超时则向服务器发信息,服务器收到请求后,看是否被修改,若被请求的文件没有修改则返回304,若修改则返回200。
