Wireshark

Wireshark Wireshark实验 数据链路层 实作一：熟悉Ethernet帧结构

使用Wireshark任意进行抓包，熟悉Ethernet帧的结构，如：目的 MAC、源 MAC、类型、字段等。

ping www.bilibili.com:

捕捉到0x0800以太类型的IPv4数据报，源mac地址：40:74:e0:a8:0f:bb，目的mac地址：00:74:9c:9f:40:13

✎ 问题

​ 你会发现 Wireshark 展现给我们的帧中没有校验字段，请了解一下原因。

原因：抓包软件抓到的是去掉前导同步码、帧开始分界符、FCS之外的数据，wireshark把8字节的前序和4字节的FCS都给过滤了。wireshark中所显示的报文长度是包含14字节以太类型头,但不计算尾部4字节校验FCS值的

实作二：了解子网内/外通信时的 MAC 地址 1.ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

本机ip地址和物理地址

ping同一子网下的另一台主机10.160.68.137

请求超时，丢包率100%

源MAC地址为本机MAC地址，目的MAC地址理论上应该是目的主机的MAC地址，但是在这里是网关的MAC地址，造成这样的具体原因原因不清楚。。

2.ping qige.io

发出帧的目的MAC：00:74:9c:9f:40:13

返回帧的源MAC：00:74:9c:9f:40:13

发现是同一个MAC地址，此MAC地址应该是本机所在子网的网关的MAC地址。

3.ping www.cqjtu.edu.cn

发出帧的目的 MAC 地址以及返回帧的源 MAC 地址也是：00:74:9c:9f:40:13，可以看到与上一个结果是相同的。

✎ 问题

​ 通过以上的实验，你会发现：

1. 访问本子网的计算机时，目的 MAC 就是该主机的

2. 访问非本子网的计算机时，目的 MAC 是网关的

   请问原因是什么？

答：当本机访问的是本子网的计算机，数据包无需离开本通信子网，传输数据也是在本子网里进行，所以是对方主机的MAC物理地址；
当本机访问的是非本子网的计算机，也就是说此时有两个不同通信子网的主机之间需要通信，数据包就需要离开本通信子网，这里就涉及到数据包在两个通信子网的传输，传输数据要离开本通信子网，就势必要经过网关，因此，该目的MAC物理地址就是本网关的物理地址。

实作三 掌握 ARP 解析过程 1.使用 arp -d * 命令清空 arp 缓存，清除干扰。

2.ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。

请求的目的MAC是：ff:ff:ff:ff:ff:ff(广播)

回应的源MAC：网关MAC地址

回应的目的MAC：本机MAC地址

3.然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。

ping baidu.com

请求是子网网关的MAC地址，是本机的子网网关在回应。

✎ 问题

​ 通过以上的实验，你应该会发现，

1. ARP 请求都是使用广播方式发送的
2. 如果访问的是本子网的 IP，那么 ARP 解析将直接得到该 IP 对应的 MAC；如果访问的非本子网的 IP， 那么 ARP 解析将得到网关的 MAC。

​ 请问为什么？

答：当本机访问的是本子网的计算机，数据包无需离开本通信子网， ARP 解析将也是在本子网里进行，所以ARP解析得到是对方主机的MAC物理地址；
当本机访问的是非本子网的计算机，也就是说此时有两个不同通信子网的主机之间需要通信，数据包就需要离开本通信子网，这里就涉及到数据包在两个通信子网的传输，传输数据要离开本通信子网，ARP 解析就势必要经过网关，因此，该ARP 解析得到的目的MAC物理地址就是本网关的物理地址

网络层 实作一 熟悉 IP 包结构 使用 Wireshark 任意进行抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。

✎ 问题

​ 为提高效率，我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段，也有总长度字段。请问为什么？

答：头部长度是来表明该包头部的长度，可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度是为了接收方的网络层了解到传输的数据包含哪些，如果没有该部分，当数据链路层在传输时，对数据进行了填充，对应的网络层不会把填充的部分给去掉。

实作二 IP 包的分段与重组

根据规定，一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。

缺省的，ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等

标识符是0x5375,标志是0x00。偏移量是用来标识数据包在数据流中的位置，也可以理解为同一个IP标识发送多个数据包时的顺序号。图片中偏移量为1480。每个包的大小是用Total Length来表示，它包含IP包头部及数据两个部分，这里是548。
✎ 问题
分段与重组是一个耗费资源的 *** 作，特别是当分段由传送路径上的节点即路由器来完成的时候，所以 IPv6 已经不允许分段了。那么 IPv6 中，如果路由器遇到了一个大数据包该怎么办？
直接丢弃再通知发送端进行重传。
答：由于在 IPv6中分段只能在源与目的地上执行，不能在路由器上进行。因此当数据包过大时，路由器就会直接丢弃该数据包包，并向发送端发回一个"分组太大"的ICMP差错报文，之后发送端就会使用较小长度的IP数据报重发数据。

实作三 考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳（hops），一般该值设置为 64、128等。

在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。

请使用 tracert www.baidu.com 命令进行追踪，此时使用 Wireshark 抓包（用 icmp 过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理。

TTL是从1开始，每经过一个路由，TTL的的设置就会增加1，直到到达目的地址。

✎ 问题

​ 在 IPv4 中，TTL 虽然定义为生命期即 Time To Live，但现实中我们都以跳数/节点数进行设置。如果你收到一个包，其 TTL 的值为 50，那么可以推断这个包从源点到你之间有多少跳？

答：TTL为返回值，跳数就为128-50=78跳。

传输层 实作一 熟悉 TCP 和 UDP 段结构

1. 用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。

   URG： 紧急指针（ urgent pointer）有效。
   ACK： 确认序号有效。
   PSH： 接收方应该尽快将这个报文段交给应用层。
   RST： 重建连接。
   SYN： 同步序号用来发起一个连接。
   FIN： 发端完成发送任务。

2. 用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。

   ✎ 问题

   ​ 由上大家可以看到 UDP 的头部比 TCP 简单得多，但两者都有源和目的端口号。请问源和目的端口号用来干什么？

   ​ 答：源端口来表示发送终端的某个应用程序，目的端口来表示接收终端的某个应用程序。端口号就是来标识终端的应用程序，从而实现应用程序之间的通信

实作二 分析 TCP 建立和释放连接

1. 打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。

2. 请在你捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。

   第一次握手的包：

   同步位：Syn的值是1

   意思是要和对方建立连接进行通信

   第二次握手的包：

   Syn=1,Ack=1

   对方收到我要建立连接的请求之后，发送一个确认(SYN+ACK)给我，意思是收到我的消息了，对方这里也是通的，表示可以建立连接；

   第三次握手的包：

   Syn=0,Ack=1

   本机如果收到了对方的确认消息之后，再发出一个确认(ACK)消息，意思是告诉它，这边是通的，然后就可以建立连接相互通信了；

3. 请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。

   第四次挥手

   Fin=1

   通过发送FIN报文，来告诉对方数据已经发送完毕，断开连接

   ✎ 问题一

   ​ 去掉 Follow TCP Stream，即不跟踪一个 TCP 流，你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接？作用是什么？

   它们之间的连接是属于短连接，一旦数据发送完成后，就会断开连接。虽然，断开连接，但是页面还是存在，由于页面已经被缓存下来。一旦需要重新进行发送数据，就要再次进行连接。这样的连接，是为了实现多个用户进行访问，对业务频率不高的场合，节省通道的使用，不让其长期占用通道。

   ✎ 问题二

   ​ 我们上面提到了释放连接需要四次挥手，有时你可能会抓到只有三次挥手。原因是什么？

   可能第二次和第三次合并了。如果对方也没有数据发给本端，那么对方也会发送FIN给本端，用于关闭从对方到本端的连接，这时候就可能出现ACK和FIN合在一起的情况。

应用层 实作一 了解 DNS 解析

1. 先使用 ipconfig /flushdns 命令清除缓存，再使用 nslookup qige.io 命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。

   使用ipconfig/flushdns清除缓存

   使用nslookup qige.io解析

2. 你应该可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。

3. 可了解一下 DNS 查询和应答的相关字段的含义

   DNS 分为查询请求和查询响应，请求和响应的报文结构基本相同。DNS 报文格式如图所示。

   标志字段中每个字段的含义如下：

   • QR（Response）：查询请求/响应的标志信息。查询请求时，值为 0；响应时，值为 1。

   • Opcode： *** 作码。其中，0 表示标准查询；1 表示反向查询；2 表示服务器状态请求。

   • AA（Authoritative）：授权应答，该字段在响应报文中有效。值为 1 时，表示名称服务器是权威服务器；值为 0 时，表示不是权威服务器。

   • TC（Truncated）：表示是否被截断。值为 1 时，表示响应已超过 512 字节并已被截断，只返回前 512 个字节。

   • RD（Recursion Desired）：期望递归。该字段能在一个查询中设置，并在响应中返回。该标志告诉名称服务器必须处理这个查询，这种方式被称为一个递归查询。如果该位为 0，且被请求的名称服务器没有一个授权回答，它将返回一个能解答该查询的其他名称服务器列表。这种方式被称为迭代查询。

   • RA（Recursion Available）：可用递归。该字段只出现在响应报文中。当值为 1 时，表示服务器支持递归查询。

   • Z：保留字段，在所有的请求和应答报文中，它的值必须为 0。

   • rcode（Reply code）：返回码字段，表示响应的差错状态。当值为 0 时，表示没有错误；当值为 1 时，表示报文格式错误（Format error），服务器不能理解请求的报文；当值为 2 时，表示域名服务器失败（Server failure），因为服务器的原因导致没办法处理这个请求；当值为 3 时，表示名字错误（Name Error），只有对授权域名解析服务器有意义，指出解析的域名不存在；当值为 4 时，表示查询类型不支持（Not Implemented），即域名服务器不支持查询类型；当值为 5 时，表示拒绝（Refused），一般是服务器由于设置的策略拒绝给出应答，如服务器不希望对某些请求者给出应答。

4. ✎ 问题

   ​ 你可能会发现对同一个站点，我们发出的 DNS 解析请求不止一个，思考一下是什么原因？*

   答：为了使服务器的负载得到平衡(因为每天访问站点的次数非常多）网站就设有好几个计算机，每一个计算机都运行同样的服务器软件。这些计算机的IP地址不一样，但它们的域名却是相同的。这样，第一个访问该网址的就得到第一个计算机的IP地址，而第二个访问者就得到第二个计算机的IP地址等等。这样可使每一个计算机的负荷不会太大。

实作二 了解 HTTP 的请求和应答

1. 打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。

2. 请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。

   Accept:告诉WEB服务器自己接受什么介质类型
   Content-Type:WEB 服务器告诉浏览器自己响应的对象的类型
   Content-Length:WEB 服务器告诉浏览器自己响应的对象的长度
   Cache-Control:用来指示缓存系统（服务器上的，或者浏览器上的）应该怎样处理缓存
   Host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
   POST:请求的方式，其中包括URI和版本

3. 请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

   这里应答代码是200
   Server：服务器通过这个头告诉浏览器服务器的类型。Transfer-Encoding：告诉浏览器数据的传送格式。Content- Type：表示后面的文档属于什么MIME类型。Cache-Control：指定请求和响应遵循的缓存机制

   ✎ 问题

   ​ 刷新一次 qige.io 网站的页面同时进行抓包，你会发现不少的 304 代码的应答，这是所请求的对象没有更改的意思，让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答？
   

   这里应答代码是200
   Server：服务器通过这个头告诉浏览器服务器的类型。Transfer-Encoding：告诉浏览器数据的传送格式。Content- Type：表示后面的文档属于什么MIME类型。Cache-Control：指定请求和响应遵循的缓存机制

   ✎ 问题

   ​ 刷新一次 qige.io 网站的页面同时进行抓包，你会发现不少的 304 代码的应答，这是所请求的对象没有更改的意思，让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答？

答：浏览器中的缓存，可以直接在缓存区获取到需要的内容，不需要服务器在回复对应的内容，可以减少服务器的一些工作，减小开销。采用200应答就是要完全的将内容发送给客服端，这个会增加服务器的一些开销等。