通信網(wǎng)絡(luò)基礎(chǔ)抓包作業(yè)答案

1、網(wǎng)絡(luò)協(xié)議數(shù)據(jù)獲取與TCP/IP協(xié)議分析一、 實(shí)驗(yàn)環(huán)境介紹網(wǎng)絡(luò)接入方式：校園網(wǎng)寬帶接入，IP獲取方式：DHCP；操作系統(tǒng)為windows7旗艦版；本機(jī)MAC地址為5c:f9:dd:70:6a:89，IP地址為3。圖1 網(wǎng)絡(luò)狀態(tài)截圖二、實(shí)驗(yàn)步驟1.啟動wireshark；2.啟動一個網(wǎng)頁瀏覽器，并鍵入一個URL地址，如：。注意此時不要按下回車鍵；3.清除電腦中的DNS緩存，啟動wireshark，開始抓包；4.在瀏覽期網(wǎng)頁位置按下回車鍵，開始訪問指定的網(wǎng)頁。5.一旦網(wǎng)頁內(nèi)容下載完畢，立即停止Microsoft Network Monitor抓包，并將抓到的數(shù)據(jù)包存入文件中，同時

2、將顯示的網(wǎng)頁存儲下來，以便后面參考。三、實(shí)驗(yàn)過程使用wireshark前清除DNS緩存截圖如下。圖2 清除DNS緩存抓取協(xié)議如下圖所示：圖3 抓取協(xié)議四、協(xié)議分析1.抓取的協(xié)議類型檢查在Microsoft Network Monitor頂端窗口的協(xié)議一列，確認(rèn)你已經(jīng)抓到了DNS、TCP和HTTP數(shù)據(jù)包。答：由圖3可看出抓到了DNS、TCP、HTTP數(shù)據(jù)包。2.以太網(wǎng)幀，IP分組和UDP數(shù)據(jù)報(1) 檢查客戶端發(fā)出的第一個DNS分組a.確定客戶端的以太網(wǎng)地址和IP地址答：如圖4，客戶端的MAC地址為5c:f9:dd:70:6a:89；IPv4地址為：3。b.以太網(wǎng)幀結(jié)構(gòu)的TY

3、PE字段是什么內(nèi)容？答：如圖所示，以太網(wǎng)幀結(jié)構(gòu)的TYPE字段為：0x0800，表示該幀是IP協(xié)議。c.目的以太網(wǎng)地址和目的IP地址分別是什么？這些地址對應(yīng)哪些計算機(jī)？解釋這些結(jié)果與你連接到Internet 的計算機(jī)有關(guān)系。答：目的以太網(wǎng)地址：00: 0f:e2:d7:ef:f9，目的IP地址：10. 0. 0.10對應(yīng)的計算機(jī)：以太網(wǎng)地址對應(yīng)要訪問的的源地址，IP地址是本地局域網(wǎng)域名服務(wù)器的IP地址。因?yàn)槲覀冊L問網(wǎng)絡(luò)時用的是域名，只有經(jīng)過域名服務(wù)器經(jīng)過域名解析得到要訪問的網(wǎng)絡(luò)IP地址，才能進(jìn)行交換數(shù)據(jù)。不同的局域網(wǎng)的域名服務(wù)器IP地址不同。圖4 dns分組（2）檢查客戶端發(fā)出的第一個DNS分組

4、的IP 報頭a 包頭的長度是多少？分組的總長度是多少？b 確定協(xié)議類型字段。載荷數(shù)據(jù)中協(xié)議的編號和類型是什么？圖5 IP報頭答：報頭的長度是20 bytes，分組的總長度是60bytes。協(xié)議類型字段如圖所示0x11，協(xié)議編號為17，類型為UDP。3).檢查客戶端發(fā)出的第一個DNS分組的UDP報頭a.確定客戶端臨時端口號和服務(wù)器端的默認(rèn)端口號。載荷數(shù)據(jù)中應(yīng)用層協(xié)議的類型是什么？b.確定UDP報頭中的長度字段是否與IP報頭長度信息一致。圖6 UDP報頭由圖6知，客戶端臨時端口號為62063，服務(wù)器端的默認(rèn)端口號為53。UDP報頭中的長度字段為40bytes，根據(jù)40+20(IP報頭長度)=60(

5、IP分組總長度)，故UDP報頭中的長度字段與IP報頭長度信息一致。4)畫出客戶端和服務(wù)器端從數(shù)據(jù)鏈路層到應(yīng)用層的協(xié)議棧，并解釋為什么各層的PDU內(nèi)容能夠使得應(yīng)用層的進(jìn)程之間實(shí)現(xiàn)端到端通信。圖7 客戶端和服務(wù)器端從數(shù)據(jù)鏈路層到應(yīng)用層的協(xié)議棧實(shí)現(xiàn)各層的PDU內(nèi)容能夠使得應(yīng)用層的進(jìn)程之間實(shí)現(xiàn)端到端通信的原因是網(wǎng)絡(luò)分層，每一層都會為從上一層接收到的信息塊添加一個報頭和報尾。在目標(biāo)端，每一層都讀出與其對應(yīng)的頭部，并決定采取何種操作，將數(shù)據(jù)頭部和尾部去掉，最終將數(shù)據(jù)塊提交給上一層。3.DNS 1)檢查客戶端發(fā)送的DNS分組中的DNS查詢報文a)哪個字段表明這個報文是DNS查詢還是響應(yīng)？b)查詢的正文中傳送

6、什么信息？c)查詢的交互ID是什么？d)確定查詢的類型與級別的字段圖8 DNS報文a 查詢正文中flags第一位為0，表明此DNS分組為查詢報文。b type A表示查詢是由域名查找IP地址；Class:Internet(0x1)是指Internet數(shù)據(jù)；Name指要查詢域名。c 查詢的交互ID是0x64FC。d 類型字段Type：A(0x1)，級別字段Class：Internet(0x1)。2)現(xiàn)在檢查對上述查詢的DNS響應(yīng)的分組a)這個分組中的以太網(wǎng)地址和IP地址應(yīng)當(dāng)是什么？檢驗(yàn)這些地址是正確的b)傳送DNS響應(yīng)的IP分組和UDP數(shù)據(jù)報的大小是多少？是否比查詢的長？c)確定在響應(yīng)報文中的交

7、互ID是正確的。d)在響應(yīng)報文中提供了多少個答案？比較這些答案及其TTL值。圖9 DNS報文a 目的以太網(wǎng)地址：00: 0f:e2:d7:ef:f9，目的IP地址：10. 0. 0.10，顯然是正確的。b IP分組的長度124bytes，UDP數(shù)據(jù)報大小是104bytes，要比查詢的長。c 響應(yīng)報文中的交互ID是0x64FC，與查詢的交互ID相同。圖10 DNS nameservers在響應(yīng)報文中共提供了2個答案，分別是和，TTL分別都是40分49秒。4 TCP 三次握手1)確定http客戶端和服務(wù)器端建立廉潔的三次握手的第一個TCP分段的幀結(jié)構(gòu)。a)在這個分段中你期望看到哪個源端以太網(wǎng)地址和

8、IP地址？你期望看到的協(xié)議和類型字段是什么內(nèi)容？確認(rèn)這些地址是正確的。b)解釋在第一個TCP分段中的目的以太網(wǎng)地址和IP地址的值。這些地址對應(yīng)什么計算機(jī)？c)確定客戶端使用的臨時端口號，確認(rèn)使用的默認(rèn)端口號是HTTP默認(rèn)的。d)TCP分段的長度是多少？e)客戶端到服務(wù)器端分段的初始序列號是多少？初始窗口大小是多少？最大分段尺寸是多少？f)找到包含SYN標(biāo)志的十六進(jìn)制字符。圖11 TCP三次握手第一次A）期望看到客戶端的MAC地址和IP地址，期望看到的協(xié)議和類型字段是IP（0x08000）。如圖由此可確認(rèn)地址的正確性。B）目的以太網(wǎng)地址為：00: 0F:E2:D7:EF:F9，它是服務(wù)器的MAC

9、地址，IP地址為：53，它是服務(wù)器的IP地址。圖12 TCP三次握手第一次續(xù)圖C）客戶端使用的臨時端口號為6358，Destination Port為80，是http默認(rèn)端口號。D） TCP分段的長度為32.E）分段的初始序列號：0；初始窗口大?。?192bytes;最大分段尺寸：1460bytes。F）SYN標(biāo)志如圖所示。2)確定三次握手中的第二分段a)第一和第二分段抓取的時間差是多少？b)在檢查分組數(shù)據(jù)之間，先確定以下字段的值Ø以太網(wǎng)幀的源地址和目的地址以及類型字段ØIP分組中的源IP地址和目的IP地址及其端口號ØTCP分段中的ACK序列號&

10、#216;各個標(biāo)識位的值Ø確認(rèn)幀結(jié)構(gòu)中包含期望的數(shù)據(jù)c)TCP分段的長度是多少？d)從服務(wù)器端到客戶端連接的初始序列號是多少？最大分段尺寸是多少？圖13 TCP三次握手時間差A(yù)) 時間差為2.56424-2.563638=0.00602SB) 見圖14.圖14 TCP三次握手第二階段C) TCP分段長度為32byteD）服務(wù)器端到客戶端連接的初始序列號：0x4D4Dfe30；最大分段尺寸： 1460bytes。圖15 TCP三次握手第二階段續(xù)圖3)確定三次握手中的最后一個分段a)從第二分段到最后分段的時間差是多少？將此時間差與第一與第二分段的時間差相比較，解釋其中的原因b)確定最后T

11、CP分段的以下值Ø序列號和ACK序列號Ø標(biāo)志比特的值以及窗口尺寸Ø確認(rèn)分段中包含期望的數(shù)據(jù)c)最后一個分段的長度是多少？A) 圖16 TCP三次握手時間差時間差為2.564286 -2. 56424=0.000046SB) 圖17 TCP三次握手第三階段序列號1，窗口尺寸16425。C） TCP長度為20byte。5.HTTP GET 報文1)確定包含HTTP GET報文的數(shù)據(jù)幀a)確認(rèn)TCP報頭中的序列號和ACK號是預(yù)期的。b)解釋TCP報頭中的標(biāo)識位。你是否能夠解釋為什么有兩位被置位了？c)TCP分段及載荷的長度分別是多少？圖18 http報文1A） 序列號為

12、1，是預(yù)期序列號B） TCP報頭中的標(biāo)識位如圖18。ACK置位表示確認(rèn)號有效，握手過程有確認(rèn)，所以ASK置位。PSH置位，它用來通知接收TCP模塊立即將數(shù)據(jù)傳遞到應(yīng)用程序。因?yàn)閔ttp屬于應(yīng)用程序，所以PSH置位。C） 載荷的長度為746-20=726。2)現(xiàn)在考察GET報文的內(nèi)容a)將Wireshark軟件的第三個窗口向下滾動，將解碼的內(nèi)容與第二個窗口中的HTTP報文進(jìn)行比較；圖19 http報文2b)數(shù)一數(shù)報文中的字節(jié)數(shù)，確認(rèn)這個數(shù)值與TCP報頭中的長度信息一致；報文中的字節(jié)數(shù)總共為726bytes，與TCP報頭中的長度信息一致。c)來自服務(wù)器的下一個分段期望的下一個序列號應(yīng)當(dāng)是多少？圖2

13、0 http報文36.HTTP Response1).確定HTTP GET報文與對應(yīng)的響應(yīng)報文之間的時間差是多少？圖21 http報文時間差2.575514-2.565166=0.0103482).確定服務(wù)器是采用HTTP響應(yīng)報文還是采用簡單的TCP ACK分段進(jìn)行應(yīng)答。確認(rèn)來自服務(wù)器的分段的序列號是期望的值。答：采用HTTP響應(yīng)報文，ACK分段應(yīng)答。圖22 http報文3).現(xiàn)在考察HTTP響應(yīng)報文的分段a)包含TCP分段的載荷長度是多少？包含的TCP分段的載荷長度是1460bytes。b)檢查標(biāo)志是否有置位，并解釋為什么置位？PSH置位是要求客戶端將接受到的HTTP數(shù)據(jù)立即顯示。圖23 標(biāo)

14、志位c)來自客戶端的下一個分段期望的下一個ACK序列號應(yīng)當(dāng)是多少？圖24 下一個ACK下一個序列號是9410。4).現(xiàn)在考察HTTP響應(yīng)報文a)響應(yīng)報文的結(jié)果碼是多少？圖25 HTTP響應(yīng)報文b)點(diǎn)亮HTTP響應(yīng)報文中的“數(shù)據(jù)”部分。將Wireshark軟件的第三個窗口向下滾動，將網(wǎng)頁解碼的內(nèi)容與屏幕上顯示的內(nèi)容進(jìn)行比較。圖26 HTTP響應(yīng)報文五、實(shí)驗(yàn)小結(jié)：通過本次實(shí)驗(yàn)，抓取并且分析了DNS，TCP，HTTP有關(guān)數(shù)據(jù)包。學(xué)會了如何運(yùn)用自己所學(xué)的知識與實(shí)踐相結(jié)合，把知識運(yùn)用到所抓包的分析中，通過逐個包逐層的分析，充分了解網(wǎng)絡(luò)協(xié)議的層次結(jié)構(gòu)，及IP地址與端口號如何在一起協(xié)調(diào)工作，完成端到端的應(yīng)用。實(shí)驗(yàn)中有幾點(diǎn)要注意:1、在抓取dns包之前需要清