實(shí)驗(yàn)1156最終案例研究使用分析數(shù)據(jù)報(bào)

1、實(shí)驗(yàn) 11.5.6：最終案例研究 使用 Wireshark 分析數(shù)據(jù)報(bào)學(xué)習(xí)目標(biāo)完成本練習(xí)之后，學(xué)生將能夠演示：····TCP 數(shù)據(jù)段的構(gòu)建過程，并能解釋數(shù)據(jù)段的各個(gè)字段。IP 數(shù)據(jù)包的構(gòu)建過程，并能解釋數(shù)據(jù)包的各個(gè)字段。Ethernet II 幀的構(gòu)建過程，并能解釋幀的各個(gè)字段。ARP 請求和 ARP 回應(yīng)的內(nèi)容。背景此實(shí)驗(yàn)需要兩個(gè)捕獲的數(shù)據(jù)包文件以及網(wǎng)絡(luò)協(xié)議分析程序 Wireshark。從 Eagle 服務(wù)器的電腦尚未安裝 Wireshark，請安裝。下列文件，如果您···eagle1_web_.pcap（討論對象）eag

2、le1_web_server.pcap（ wireshark.exe參考）場景本練習(xí)詳細(xì)討論創(chuàng)建數(shù)據(jù)報(bào)并將其通過網(wǎng)絡(luò)在 web 客戶端 PC_與 web 服務(wù)器 之間傳輸?shù)男蛄小＠斫庋驖u進(jìn)地將數(shù)據(jù)包放到網(wǎng)絡(luò)上的過程后，學(xué)生可在出現(xiàn)網(wǎng)絡(luò)連接故障時(shí)從邏輯上排除故障。為簡潔明了起見，捕獲過程中的網(wǎng)絡(luò)數(shù)據(jù)包噪音被忽略。當(dāng)您在別人的網(wǎng)絡(luò)上執(zhí)行網(wǎng)絡(luò)協(xié)議分析之前，請確保獲得。圖 1 所示為本實(shí)驗(yàn)的拓?fù)洹D 1. 網(wǎng)絡(luò)拓?fù)?。所有?nèi)容© 19922007 Cisco Systems, Inc. 保留所利。本文檔為 Cisco。第 1 頁（共 9 頁）CCNA Exploration網(wǎng)絡(luò)基礎(chǔ)知識(shí)：網(wǎng)絡(luò)

3、規(guī)劃和布線實(shí)驗(yàn) 11.5.6：最終案例研究 使用 Wireshark 分析數(shù)據(jù)報(bào)使用 Microsoft ® 命令行工具將 IP 配置和 ARP 緩存內(nèi)容顯示如下。請參閱圖 2。圖 2. PC 客戶端初始網(wǎng)絡(luò)狀態(tài)。如圖 3 所示，已啟動(dòng)一個(gè) web 客戶端并輸入了 URL 。這將啟動(dòng)與該 web 服務(wù)器的通信過程，且數(shù)據(jù)包捕獲即從此處開始。圖 3. 帶有 web 瀏覽器的 PC 客戶端。任務(wù) 1：準(zhǔn)備實(shí)驗(yàn)。步驟 1：在您的計(jì)算機(jī)上啟動(dòng) Wireshark。請參閱圖 4 更改默認(rèn)輸出。取消選擇 Main toolbar（主工具欄）、Filtertoolbar（過濾器工具欄）和 Pack

4、et Bytes（數(shù)據(jù)包字節(jié)數(shù)）。確保選中 Packet List（數(shù)據(jù)包列表）和 Packets（數(shù)據(jù)包詳細(xì)）。為確保不自動(dòng)轉(zhuǎn)換 MAC 地址，請取消選擇MAC layer（MAC 層）和 TransportLayer（傳輸層）的 Name Resolution（名稱）。所有內(nèi)容© 19922007 Cisco Systems, Inc. 保留所利。本文檔為 Cisco。第 2 頁（共 9 頁）C: > ipconfig / allWindows IP ConfigurationEthernet adapter Local Area Connection: Connectio

5、n-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/1000 MTNetwork Connection Physical Address. . . . . . . . . : 00:02:3f:7e:37:daDhcp Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : 10.1.1.1Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway

6、. . . . . . . . . : 10.1.1.254DNS Servers . . . . . . . . . . . : 10.1.1.250C: > arp aNo ARP Entries Found C: >CCNA Exploration網(wǎng)絡(luò)基礎(chǔ)知識(shí)：網(wǎng)絡(luò)規(guī)劃和布線實(shí)驗(yàn) 11.5.6：最終案例研究 使用 Wireshark 分析數(shù)據(jù)報(bào)圖 4. 更改 Wireshark 的默認(rèn)視圖。步驟 2：加載 web 客戶端捕獲文件 eagle1_web_.pcap。將出現(xiàn)類似圖 5 的畫面。其中提供了多種下拉菜單和子菜單。還有兩個(gè)單獨(dú)的數(shù)據(jù)窗口。上方的 Wireshark窗口列

7、出了捕獲的所有數(shù)據(jù)包。下方的窗口包含數(shù)據(jù)包的詳細(xì)。在下方的窗口中，如果行首帶有復(fù)選框: ，則表示提供有。圖 5. 已加載 eagle1_web_.pcap 文件的 Wireshark 窗口。所有內(nèi)容© 19922007 Cisco Systems, Inc. 保留所利。本文檔為 Cisco。第 3 頁（共 9 頁）CCNA Exploration網(wǎng)絡(luò)基礎(chǔ)知識(shí)：網(wǎng)絡(luò)規(guī)劃和布線實(shí)驗(yàn) 11.5.6：最終案例研究 使用 Wireshark 分析數(shù)據(jù)報(bào)任務(wù) 2：回顧數(shù)據(jù)流經(jīng)網(wǎng)絡(luò)的過程。步驟 1：回顧傳輸層的。當(dāng) PC_創(chuàng)建用于連接 的數(shù)據(jù)報(bào)時(shí)，該數(shù)據(jù)報(bào)會(huì)途經(jīng)各個(gè)網(wǎng)絡(luò)層。每層都會(huì)向該數(shù)據(jù)報(bào)加入重

8、要的報(bào)頭TCP 數(shù)據(jù)段。PC_。因?yàn)榇送ㄐ攀菑?web 客戶端發(fā)起，因此傳輸層協(xié)議將為 TCP。如圖 6 所示，考慮生成一個(gè)內(nèi)部 TCP 端口地址（在本會(huì)話中為 1085），而且知道公認(rèn)的 web 服務(wù)器端口地址為 80。當(dāng)然，還會(huì)從內(nèi)部生成一個(gè)序列號。數(shù)據(jù)由應(yīng)用層打包并提供。PC_息，因此必須使用其他網(wǎng)絡(luò)協(xié)議來發(fā)現(xiàn)。尚不清楚某些信無確認(rèn)號。必須進(jìn)行 TCP 三次握手，此數(shù)據(jù)段才能移到網(wǎng)絡(luò)層。圖 6. TCP 數(shù)據(jù)段的各個(gè)字段。步驟 2：回顧網(wǎng)絡(luò)層的。在網(wǎng)絡(luò)層，IPv4 (IP) 數(shù)據(jù)包的好幾個(gè)字段中的地址均為已知。已備妥。如圖 7 所示，例如，數(shù)據(jù)包版本 (IPv4) 和源 IP此數(shù)據(jù)包的目

9、的地為 ，相應(yīng)的 IP 地址必須通過 DNS（域名服務(wù)）來發(fā)現(xiàn)。在收到上層數(shù)據(jù)報(bào)之前，與上層協(xié)議相關(guān)的字段都保持空白。圖 7. IP 數(shù)據(jù)包的各個(gè)字段。所有內(nèi)容© 19922007 Cisco Systems, Inc. 保留所利。本文檔為 Cisco。第 4 頁（共 9 頁）CCNA Exploration網(wǎng)絡(luò)基礎(chǔ)知識(shí)：網(wǎng)絡(luò)規(guī)劃和布線實(shí)驗(yàn) 11.5.6：最終案例研究 使用 Wireshark 分析數(shù)據(jù)報(bào)步驟 3：回顧數(shù)據(jù)鏈路層的。數(shù)據(jù)報(bào)必須封裝在幀內(nèi)才能放到物理介質(zhì)上。此情景如圖 8 所示，PC_ 目標(biāo) MAC 地址。知道源 MAC 地址，但必須發(fā)現(xiàn)必須發(fā)現(xiàn)目標(biāo) MAC 地址。圖

10、8. Ethernet II 幀的各個(gè)字段。任務(wù) 3：分析捕獲的數(shù)據(jù)包。步驟 1：回顧數(shù)據(jù)流序列。回顧缺失的有助于追蹤捕獲的數(shù)據(jù)包序列：a.無法構(gòu)建 TCP 數(shù)據(jù)段，在于確認(rèn)字段仍空白，必須與 完成一次 TCP 三次握手。b.無法進(jìn)行 TCP 三次握手，在于 PC_不知道 的 IP 地址，解決是從 PC_向 DNS 服務(wù)器發(fā)送一個(gè) DNS 請求。c.無法DNS 服務(wù)器，在于不知道 DNS 服務(wù)器的 MAC 地址。因此，將向 LAN 廣播 ARP 協(xié)議以發(fā)現(xiàn) DNS 服務(wù)器的 MAC 地址。d.不知道 的 MAC 地址。因此將向 LAN 廣播 ARP 協(xié)議以獲取 的目標(biāo) MAC 地址。步驟 2：

11、研究 ARP 請求。請參閱 Wireshark 的數(shù)據(jù)包列表窗口中的第 1 號數(shù)據(jù)包，捕獲的幀是一個(gè) ARP（地址協(xié)議）請求。單擊數(shù)據(jù)包詳細(xì)窗口中第二行的復(fù)選框，即可查看該 Ethernet II 幀的內(nèi)容。單擊數(shù)據(jù)包詳細(xì)窗口中的ARP 請求行，即可查看該 ARP 請求的內(nèi)容。1.該 ARP 請求的源 MAC 地址是什么？ 2.該 ARP 請求的目標(biāo) MAC 地址是什么？ 3.該 ARP 請求中的未知 IP 地址是什么？ 4.該 Ethernet II 幀的類型是什么？ 所有內(nèi)容© 19922007 Cisco Systems, Inc. 保留所利。本文檔為 Cisco。第 5 頁（

12、共 9 頁）CCNA Exploration網(wǎng)絡(luò)基礎(chǔ)知識(shí)：網(wǎng)絡(luò)規(guī)劃和布線實(shí)驗(yàn) 11.5.6：最終案例研究 使用 Wireshark 分析數(shù)據(jù)報(bào)步驟 3：研究 ARP 回應(yīng)。請參閱 Wireshark 的數(shù)據(jù)包列表窗口中的第 2 號數(shù)據(jù)包，DNS 服務(wù)器發(fā)送了一個(gè) ARP 回應(yīng)。1.該 ARP 回應(yīng)的源 MAC 地址是什么？ 2.該 ARP 請求的目標(biāo) MAC 地址是什么？ 3.該 Ethernet II 幀的類型是什么？ 4.該 ARP 回應(yīng)中的目標(biāo) IP 地址是什么？ 5.根據(jù)對 ARP 協(xié)議的觀察，可以對 ARP 請求的目標(biāo)地址以及 ARP 回應(yīng)的目標(biāo)地址作出怎樣的推斷？6.為什么 DNS

13、 服務(wù)器不必發(fā)送 ARP 請求以獲取 PC_的 MAC 地址？步驟 4：研究 DNS。請參閱 Wireshark 的數(shù)據(jù)包列表窗口中的第 3 號數(shù)據(jù)包，PC_向 DNS 服務(wù)器發(fā)送了一個(gè) DNS。使用數(shù)據(jù)包詳細(xì)窗口回答下列問題：1. 該 Ethernet II 幀的類型是什么？ 2. 該傳輸層協(xié)議是什么？目標(biāo)端是多少？ 步驟 5：研究 DNS回應(yīng)。請參閱 Wireshark 的數(shù)據(jù)包列表窗口中的第 4 號數(shù)據(jù)包，DNS 服務(wù)器向 PC_發(fā)送了一個(gè) DNS回應(yīng)。使用數(shù)據(jù)包詳細(xì)窗口回答下列問題：1.該 Ethernet II 幀的類型是什么？ 2.該傳輸層協(xié)議是什么？目標(biāo)端是多少？ 3. 的 IP

14、 地址是什么？ 4.管理員，他問您是否考慮過為什么不能阻擋所有 UDP 數(shù)據(jù)包進(jìn)入內(nèi)部網(wǎng)絡(luò)。您會(huì)有個(gè)同事是怎樣回答？ 所有內(nèi)容© 19922007 Cisco Systems, Inc. 保留所利。本文檔為 Cisco。第 6 頁（共 9 頁）CCNA Exploration網(wǎng)絡(luò)基礎(chǔ)知識(shí)：網(wǎng)絡(luò)規(guī)劃和布線實(shí)驗(yàn) 11.5.6：最終案例研究 使用 Wireshark 分析數(shù)據(jù)報(bào)步驟 6：研究 ARP 請求。請參閱 Wireshark 的數(shù)據(jù)包列表窗口中的第 5 和第 6 號數(shù)據(jù)包，PC_ ARP 請求。向 IP 地址 10.1.1.254 發(fā)送了一個(gè)1. 此 IP 地址和 的 IP 地址不

15、同嗎？如何解釋？步驟 7：研究 TCP 三次握手。請參閱 Wireshark 的數(shù)據(jù)包列表窗口中的第 7、第 8 和第 9 號數(shù)據(jù)包，這些數(shù)據(jù)包包含 PC_與 之間的三次握手。起初，從 PC_發(fā)出的數(shù)據(jù)報(bào)中僅設(shè)置了 TCP SYN 標(biāo)志，序列號為 0。在 發(fā)出的回應(yīng)中，已設(shè)置了 TCP ACK 標(biāo)志和 SYN 標(biāo)志，確認(rèn)號為 1 且序列號為 0。在數(shù)據(jù)包列表窗口中，有一個(gè)未解釋的值 MSS=1460。MSS 代表最大數(shù)據(jù)段大小。當(dāng)通過 IPv4傳輸 TCP 數(shù)據(jù)，MSS 通過最大 IPv4 數(shù)據(jù)報(bào)大小減去 40 字節(jié)算得。此值在連接啟動(dòng)時(shí)發(fā)送。與此同時(shí)，會(huì)協(xié)商 TCP 滑動(dòng)窗口。1.如果來自

16、PC_的初始 TCP 序列值為 0，為什么 eagle1.example 回應(yīng)的確認(rèn)號為 1 呢？2.在 中，第 8 號數(shù)據(jù)包中的 IP 標(biāo)志值 0x04 有何含義？3.請參閱 Wireshark 數(shù)據(jù)包列表中的第 9 號數(shù)據(jù)包，當(dāng) PC_ 的 TCP 標(biāo)志狀態(tài)是怎樣的？完成三次握手時(shí)，返回任務(wù) 4：完成最終分析。步驟 1：將 Wireshark 輸出與過程匹配。當(dāng)在 PC_得了足夠、DNS 服務(wù)器、網(wǎng)關(guān)以及 之間發(fā)送了共九個(gè)數(shù)據(jù)報(bào)后，PC_才獲，可以向 發(fā)送原始的 web 客戶端請求了。請參閱 Wireshark 數(shù)據(jù)包列表中的第 10 號數(shù)據(jù)包，PC_發(fā)送了一個(gè) web 協(xié)議 GET 請求

17、。1. 填入符合下列缺失條目的正確 Wireshark 數(shù)據(jù)包列表編號：a.無法構(gòu)建 TCP 數(shù)據(jù)段，在于確認(rèn)字段仍空白，必須與 完成一次 TCP三次握手。 b.無法進(jìn)行 TCP 三次握手，在于 PC_不知道 的 IP 地址，解決方法是從 PC_向 DNS 服務(wù)器發(fā)送一個(gè) DNS 請求。 所有內(nèi)容© 19922007 Cisco Systems, Inc. 保留所利。本文檔為 Cisco。第 7 頁（共 9 頁）CCNA Exploration網(wǎng)絡(luò)基礎(chǔ)知識(shí)：網(wǎng)絡(luò)規(guī)劃和布線實(shí)驗(yàn) 11.5.6：最終案例研究 使用 Wireshark 分析數(shù)據(jù)報(bào)c.無法DNS 服務(wù)器，在于不知道 DNS

18、服務(wù)器的 MAC 地址。因此，將向 LAN 廣播 ARP協(xié)議以發(fā)現(xiàn) DNS 服務(wù)器的 MAC 地址。 d.不知道通向 的網(wǎng)關(guān)的 MAC 地址。因此將向 LAN 廣播 ARP 協(xié)議以獲取網(wǎng)關(guān)的目標(biāo) MAC 地址。 2.Wireshark 數(shù)據(jù)包列表中的第 11 號數(shù)據(jù)包是 對 PC_（Wireshark 數(shù)據(jù)包列表中的第 10 號數(shù)據(jù)包）的確認(rèn)。發(fā)出的 GET 請求3.Wireshark 數(shù)據(jù)包列表中的第 12、13 和 15 號數(shù)據(jù)包是來自 的 TCP 數(shù)據(jù)段，第 14 和 16 號數(shù)據(jù)包則是來自 PC_的 ACK 數(shù)據(jù)報(bào)。4.要驗(yàn)證 ACK，請突出顯示 Wireshark 數(shù)據(jù)包列表中的第

19、14 號數(shù)據(jù)包，然后滾動(dòng)到詳細(xì)列表窗口底部，并展開 SEQ/ACK analysis（SEQ/ACK 分析）幀。Wireshark 數(shù)據(jù)包列表中的第 14 號數(shù)據(jù)包中的 ACK 數(shù)據(jù)報(bào)用于回應(yīng)來自 的哪個(gè)數(shù)據(jù)報(bào)？5.Wireshark 數(shù)據(jù)包列表中的第 17 號數(shù)據(jù)報(bào)由 PC_發(fā)往 ?；仡?SEQ/ACKanalysis（SEQ/ACK 分析）幀中的。此數(shù)據(jù)報(bào)的用途是什么？6.當(dāng) PC_完成時(shí)，發(fā)出 TCP ACK 標(biāo)志和 FIN 標(biāo)志，此情景如 Wireshark 數(shù)據(jù)包列表中的第 18號數(shù)據(jù)包所示。 使用一個(gè) TCP ACK 回應(yīng)，該 TCP 會(huì)話至此關(guān)閉。步驟 2：Use Wireshark TCP 數(shù)據(jù)流。分析數(shù)據(jù)包內(nèi)容是一項(xiàng)、費(fèi)時(shí)且容易出錯(cuò)的體驗(yàn)。Wireshark 提供了一個(gè)選項(xiàng)，它可用于在另一個(gè)窗口中構(gòu)建 TCP 數(shù)據(jù)流。要使用此功能，首先，請從