返回
最新动态
Wireshark
2024-10-31 20:06

实作一:熟悉Ethernet帧结构

使用Wireshark任意进行抓包,熟悉Ethernet帧的结构,如:目的 MAC、源 MAC、类型、字段等。

Wireshark

ping www.bilibili.com:

image-20211110151724366.png

捕捉到0x0800以太类型的IPv4数据报,源mac地址:40:74:e0:a8:0f:bb,目的mac地址:00:74:9c:9f:40:13

image-20211110153931944

你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。

原因:抓包软件抓到的是去掉前导同步码、帧开始分界符、FCS之外的数据,wireshark把8字节的前序和4字节的FCS都给过滤了。wireshark中所显示的报文长度是包含14字节以太类型头,但不计算尾部4字节校验FCS值的

实作二:了解子网内/外通信时的 MAC 地址

1. 你旁边的计算机(同一子网,同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析,记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的

本机ip地址和物理地址

image-20211208143809952

ping同一子网下的另一台主机10.160.68.137

image-20211208150259407

请求超时,丢包率100%

image-20211208150838403

源MAC地址为本机MAC地址,目的MAC地址理论上应该是目的主机的MAC地址,但是在这里是网关的MAC地址,造成这样的具体原因原因不清楚。。

2.ping qige.io

image-20211208144122291

发出帧的目的MAC:00:74:9c:9f:40:13

image-20211208144439630

返回帧的源MAC:00:74:9c:9f:40:13

image-20211208144541020

发现是同一个MAC地址,此MAC地址应该是本机所在子网的网关的MAC地址。

3.ping www.cqjtu.edu.cn

发出帧的目的 MAC 地址以及返回帧的源 MAC 地址也是:00:74:9c:9f:40:13,可以看到与上一个结果是相同的。

image-20211208145842737

通过以上的实验,你会发现

  1. 访问本子网的计算机时,目的 MAC 就是该主机的

  2. 访问非本子网的计算机时,目的 MAC 是网关的

    请问原因是什么

:当本机访问的是本子网的计算机,数据包无需离开本通信子网,传输数据也是在本子网里进行,所以是对方主机的MAC物理地址
当本机访问的是非本子网的计算机,也就是说此时有两个不同通信子网的主机之间需要通信,数据包就需要离开本通信子网,这里就涉及到数据包在两个通信子网的传输,传输数据要离开本通信子网,就势必要经过网关,因此,该目的MAC物理地址就是本网关的物理地址。

实作三 掌握 ARP 解析过程

1.使用 命令清空 arp 缓存,清除干扰。

image-20211208151613041

2.ping 你旁边的计算机(同一子网,同时用 Wireshark 抓这些包(可 arp 过滤,查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。

image-20211222143835228

请求的目的MAC是:ff:ff:ff:ff:ff:ff(广播)

回应的源MAC:网关MAC地址

回应的目的MAC:本机MAC地址

image-20211222143951561

3.然后 (或者本子网外的主机都可以,同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。

ping baidu.com

image-20211222142648871

请求是子网网关的MAC地址,是本机的子网网关在回应。

通过以上的实验,你应该会发现

  1. ARP 请求都是使用广播方式发送的
  2. 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。

请问为什么

:当本机访问的是本子网的计算机,数据包无需离开本通信子网, ARP 解析将也是在本子网里进行,所以ARP解析得到是对方主机的MAC物理地址
当本机访问的是非本子网的计算机,也就是说此时有两个不同通信子网的主机之间需要通信,数据包就需要离开本通信子网,这里就涉及到数据包在两个通信子网的传输,传输数据要离开本通信子网,ARP 解析就势必要经过网关,因此,该ARP 解析得到的目的MAC物理地址就是本网关的物理地址

实作一 熟悉 IP 包结构

使用 Wireshark 任意进行抓包(可用 ip 过滤,熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。

为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么

:头部长度是来表明该包头部的长度,可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度是为了接收方的网络层了解到传输的数据包含哪些,如果没有该部分,当数据链路层在传输时,对数据进行了填充,对应的网络层不会把填充的部分给去掉。

实作二 IP 包的分段与重组

根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。

缺省的, 命令只会向对方发送 32 个字节的数据。我们可以使用 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 进行过滤,了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等

image-20211222145612413

image-20211222151336597

标识符是0x5375,标志是0x00。偏移量是用来标识数据包在数据流中的位置,也可以理解为同一个IP标识发送多个数据包时的顺序号。图片中偏移量为1480。每个包的大小是用Total Length来表示,它包含IP包头部及数据两个部分,这里是548。
✎ 问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办
直接丢弃再通知发送端进行重传。
:由于在 IPv6中分段只能在源与目的地上执行,不能在路由器上进行。因此当数据包过大时,路由器就会直接丢弃该数据包包,并向发送端发回一个"分组太大"的ICMP差错报文,之后发送端就会使用较小长度的IP数据报重发数据。

实作三 考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops,一般该值设置为 64、128等。

在验证性实验部分我们使用了 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。

请使用 命令进行追踪,此时使用 Wireshark 抓包(用 过滤,分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。

image-20211222152306275

image-20211222152326021 TTL是从1开始,每经过一个路由,TTL的的设置就会增加1,直到到达目的地址。

✎ 问题

在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳

:TTL为返回值,跳数就为128-50=78跳。

实作一 熟悉 TCP 和 UDP 段结构

  1. 用 Wireshark 任意抓包(可用 tcp 过滤,熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。

    image-20211222181758710

    URG: 紧急指针( urgent pointer)有效。
    ACK: 确认序号有效。
    PSH: 接收方应该尽快将这个报文段交给应用层。
    RST: 重建连接。
    SYN: 同步序号用来发起一个连接。
    FIN: 发端完成发送任务。

    image-20211222182058806

  2. 用 Wireshark 任意抓包(可用 udp 过滤,熟悉 UDP 段的结构,如:源端口、目的端口、长度等。

    image-20211222182548977

    问题

    由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么

    ​ 答:源端口来表示发送终端的某个应用程序,目的端口来表示接收终端的某个应用程序。端口号就是来标识终端的应用程序,从而实现应用程序之间的通信

实作二 分析 TCP 建立和释放连接

  1. 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 ,不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。

  2. 请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。

    第一次握手的包

    同步位:Syn的值是1

    意思是要和对方建立连接进行通信

    image-20211228185013068

    第二次握手的包

    Syn=1,Ack=1

    对方收到我要建立连接的请求之后,发送一个确认(SYN+ACK)给我,意思是收到我的消息了,对方这里也是通的,表示可以建立连接

    image-20211228185626576

    第三次握手的包

    Syn=0,Ack=1

    本机如果收到了对方的确认消息之后,再发出一个确认(ACK)消息,意思是告诉它,这边是通的,然后就可以建立连接相互通信了

    image-20211228185819239

    image-20211228185445085

  3. 请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。

    第四次挥手

    Fin=1

    通过发送FIN报文,来告诉对方数据已经发送完毕,断开连接

    image-20211228190648502

    ✎ 问题一

    去掉 ,即不跟踪一个 TCP 流,你可能会看到访问 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么

    它们之间的连接是属于短连接,一旦数据发送完成后,就会断开连接。虽然,断开连接,但是页面还是存在,由于页面已经被缓存下来。一旦需要重新进行发送数据,就要再次进行连接。这样的连接,是为了实现多个用户进行访问,对业务频率不高的场合,节省通道的使用,不让其长期占用通道。

    问题二

    我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么

    可能第二次和第三次合并了。如果对方也没有数据发给本端,那么对方也会发送FIN给本端,用于关闭从对方到本端的连接,这时候就可能出现ACK和FIN合在一起的情况。

实作一 了解 DNS 解析

  1. 先使用 命令清除缓存,再使用 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。

    使用ipconfig/flushdns清除缓存

    image-20211228191440051

    使用nslookup qige.io解析

    image-20211228191629133

  2. 你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。

  3. 可了解一下 DNS 查询和应答的相关字段的含义

    DNS 分为查询请求和查询响应,请求和响应的报文结构基本相同。DNS 报文格式如图所示。

    image-20211228193054433

    标志字段中每个字段的含义如下

    • QR(Response:查询请求/响应的标志信息。查询请求时,值为 0;响应时,值为 1。

    • Opcode:操作码。其中,0 表示标准查询;1 表示反向查询;2 表示服务器状态请求。

    • AA(Authoritative:授权应答,该字段在响应报文中有效。值为 1 时,表示名称服务器是权威服务器;值为 0 时,表示不是权威服务器。

    • TC(Truncated:表示是否被截断。值为 1 时,表示响应已超过 512 字节并已被截断,只返回前 512 个字节。

    • RD(Recursion Desired:期望递归。该字段能在一个查询中设置,并在响应中返回。该标志告诉名称服务器必须处理这个查询,这种方式被称为一个递归查询。如果该位为 0,且被请求的名称服务器没有一个授权回答,它将返回一个能解答该查询的其他名称服务器列表。这种方式被称为迭代查询。

    • RA(Recursion Available:可用递归。该字段只出现在响应报文中。当值为 1 时,表示服务器支持递归查询。

    • Z:保留字段,在所有的请求和应答报文中,它的值必须为 0。

    • rcode(Reply code:返回码字段,表示响应的差错状态。当值为 0 时,表示没有错误;当值为 1 时,表示报文格式错误(Format error,服务器不能理解请求的报文;当值为 2 时,表示域名服务器失败(Server failure,因为服务器的原因导致没办法处理这个请求;当值为 3 时,表示名字错误(Name Error,只有对授权域名解析服务器有意义,指出解析的域名不存在;当值为 4 时,表示查询类型不支持(Not Implemented,即域名服务器不支持查询类型;当值为 5 时,表示拒绝(Refused,一般是服务器由于设置的策略拒绝给出应答,如服务器不希望对某些请求者给出应答。

      image-20211228194002648

  4. 问题

    你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因*

    :为了使服务器的负载得到平衡(因为每天访问站点的次数非常多)网站就设有好几个计算机,每一个计算机都运行同样的服务器软件。这些计算机的IP地址不一样,但它们的域名却是相同的。这样,第一个访问该网址的就得到第一个计算机的IP地址,而第二个访问者就得到第二个计算机的IP地址等等。这样可使每一个计算机的负荷不会太大。

实作二 了解 HTTP 的请求和应答

  1. 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 ,不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。

  2. 请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:。并仔细了解请求的头部有哪些字段及其意义。

    Accept:告诉WEB服务器自己接受什么介质类型
    Content-Type:WEB 服务器告诉浏览器自己响应的对象的类型
    Content-Length:WEB 服务器告诉浏览器自己响应的对象的长度
    Cache-Control:用来指示缓存系统(服务器上的,或者浏览器上的)应该怎样处理缓存
    Host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
    POST:请求的方式,其中包括URI和版本

  3. 请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如: 等。并仔细了解应答的头部有哪些字段及其意义。

    image-20211228200509815

    这里应答代码是200
    Server:服务器通过这个头告诉浏览器服务器的类型。Transfer-Encoding:告诉浏览器数据的传送格式。Content- Type:表示后面的文档属于什么MIME类型。Cache-Control:指定请求和响应遵循的缓存机制

    问题

    刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 应答而不是常见的 应答
    在这里插入图片描述

    这里应答代码是200
    Server:服务器通过这个头告诉浏览器服务器的类型。Transfer-Encoding:告诉浏览器数据的传送格式。Content- Type:表示后面的文档属于什么MIME类型。Cache-Control:指定请求和响应遵循的缓存机制

    问题

        以上就是本篇文章【Wireshark】的全部内容了,欢迎阅览 ! 文章地址:http://dfvalve.xrbh.cn/quote/1082.html 
         行业      资讯      企业新闻      行情      企业黄页      同类资讯      网站地图      返回首页 迅博思语资讯移动站 http://keant.xrbh.cn/ , 查看更多