本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件Wireshark
进行,请根据简介部分自行下载安装。
准备
请自行查找或使用如下参考资料,了解Wireshark
的基本使用:
- 选择对哪块网卡进行数据包捕获
- 开始/停止捕获
- 了解
Wireshark
主要窗口区域 - 设置数据包的过滤
- 跟踪数据流
数据链路层
实作一 熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
- 目的MAC:a2:30:0e:d7:cb:61
- 源MAC:24:41:8c:c4:cd:63
- 类型:IPv4(0x0800)
- 字段如图所示。
✎问题
你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
Wireshark展现给我们的帧中没有校验字段,是因为Wireshark的帧格式中含有校验字段,在抓包时校验字段被过滤了
实作二 了解子网内/外通信时的 MAC 地址
ping
你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
发出帧的目的MAC和返回帧的源MAC都是ping对象主机的MAC地址,即24:41:8c:c4:cd:63
这个MAC地址是ping的对象主机的MAC地址。
- 然后ping 14.215.177.39(百度),并用Wireshark抓包同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
发出帧的目的MAC:a2:30:0e:d7:cb:61
返回帧的源MAC:a2:30:0e:d7:cb:61
这个MAC地址是网关的地址。
- 再次
ping www.cqjtu.edu.cn
(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
发出帧的目的MAC:a2:30:0e:d7:cb:61
返回帧的源MAC:a2:30:0e:d7:cb:61
这个MAC地址也是网关的地址。
✎问题
通过以上的实验,你会发现:
- 访问本子网的计算机时,目的 MAC 就是该主机的
- 访问非本子网的计算机时,目的 MAC 是网关的
请问原因是什么?
访问本子网的计算机时,主机间可直接连通,通信不需要经过网关,故目的MAC就是该主机的;当访问非本子网的计算机时,通信必须要经过网关,故目的MAC是网关的。
实作三 掌握 ARP 解析过程
- 为防止干扰,先使用
arp -d *
命令清空 arp 缓存
2;ping
你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
ARP请求通过广播方式发送。
ARP请求内容: Who has 192.168.134.229″ />
4:然后ping qige.io
(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
可见ARP请求通过广播方式发送,若访问本子网的ip地址,则ARP解析直接得到该ip对应的MAC地址;若访问非本子网的ip地址,则ARP解析结果是网关的MAC地址。
✎问题
通过以上的实验,你应该会发现,
- ARP 请求都是使用广播方式发送的
由于ARP是根据IP地址获取MAC地址的一个协议,主机发送信息时必须要将包含了目标IP地址的ARP请求广播到局域网上所有主机,并接收返回信息,从而确定目标的MAC地址,并将其IP地址和MAC地址存入本机ARP缓存种且保留一定时间。若不广播,在不知道目的MAC的情况下无法获取其MAC地址。
- 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?
在ping时,通过将ip地址和子网掩码进行与运算可以判断该ip地址是否与发送机在同一子网中,若在同一子网,则可以通过广播的方式直接得到对方主机的MAC地址,于是直接向对方发送数据包;若不在同一子网中,则只能通过网关,所以需要发送给网关,若不知道网关地址,则需要通过ARP在子网内广播获取网关的MAC地址,然后再给网关发送数据。
网络层
实作一 熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
- 版本:4
- 头部长度:20字节
- 总长度:40字节
- TTL:128
- 协议类型:TCP
✎问题
为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
因为在发送方的数据链路层传输时,对数据进行了填充,总长度字段包括了头部长度字段和数据字段,而有了头部长度字段和总长度字段,接收方就能够知道数据字段的长度,如果没有了头部长度字段,接收方网络层就不知道数据多长,也就不会把填充的多余部分去掉。
实作二 IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping
命令只会向对方发送 32 个字节的数据。我们可以使用ping 202.202.240.16 -l 2000
命令指定要发送的数据长度。此时使用 Wireshark 抓包(用ip.addr == 202.202.240.16
进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
分了2个IP包,如图所示。
- 第一个IP包
- IP包总长度为1500,分片偏移量为0。
IP包总长度为548,分片偏移量为1480。意为两个IP包以第1480字节作为分隔的节点。
✎问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
在IPv6中分段只能在源和目的地上执行,不能在路由上进行。因此,当遇到一个大数据包时,路由器会直接丢弃该数据包,并且向发送端发回一个类似于“分组过大”的ICMP差错报文,之后发送端就会使用较小长度的IP数据包重新发送。总而言之,当路由器遇到一个大数据包时,会直接丢弃然后再通知发送端进行重传。
实作三 考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了tracert
命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用tracert www.baidu.com
命令进行追踪,此时使用 Wireshark 抓包(用icmp
过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
由tracert追踪可以看出,每经过一跳,TTL数增加1,以此可以计算从发送方地址到目的地址之间节点个数。
TTL字段指定IP包被路由器丢弃之前允许通过的最大网段数量,常见的TTL设置为64或128。Tracert先发送TTL为1的回应数据包,随后的每次发送TTL递增1,直至目标响应或TTL达到最大值,从而确定路由。
✎问题
在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
由ICMP回显应答的TTL字段值相当于离TTL最近的2的n次方的值减去TTL返回值,离50最近的是2的6次方:64,则跳数应为64-50=14。
传输层
实作一 熟悉 TCP 和 UDP 段结构
- 用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
①源端口:80
②目的端口:1930
③序列号:0
④确认号:0
⑤报头长度:32字节
⑥加粗样式标志位:0x012
⑦校验和:0xd15d
2.用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
① 源端口:8700
② 目的端口:57750
③ UDP长度:54
④ UDP校验和:0xf877
✎问题
由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
端口号用于标识终端的应用程序,从而实现程序之间的通信。源端口就是指本地端口,目的端口就是远程端口;源端口就是本机程序用来发送数据的端口,目的端口就是对方主机用哪个端口接收。
实作二 分析 TCP 建立和释放连接
- 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上
Follow TCP Stream
),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
“第一次握手” 客户端发送的TCP报文中以[FIN,ACK]作为标志位,并且客户端序号Seq=0;
“第二次握手” 服务器返回的TCP报文中以[ACK]作为标志位,并且服务器端序号Seq=0,确认号Ack=1(“第一次握手”中客户端序号Seq值+1);
“第三次握手” 客户端再向服务器端发送的TCP报文中以[ACK]作为标志位,其中客户端序号Seq=1(“第二次握手”中服务器端确认号ACK的值),确认号Ack=1(“第二次握手”中服务器端序号Seq的值+1)
- 请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
- 请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
✎问题一
去掉Follow TCP Stream
,即不跟踪一个 TCP 流,你可能会看到访问qige.io
时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
✎问题二
我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?