- 实验简介
- 实验准备
- 实验内容展示
- 数据链路层
- 实作一 熟悉 Ethernet 帧结构
- 实作二 了解子网内/外通信时的 MAC 地址
- 实作三 掌握ARP解析过程
- 网络层
- 实作一 熟悉 IP 包结构
- 实作二 IP包的分段与重组
- 实作三 考察TTL事件
- 传输层
- 实作一 熟悉TCP和UDP段结构
- 实作二 分析TCP建立和释放连接
- 应用层
- 实作一 了解DNS解析
- 实作二 了解HTTP的请求和应答
- 实验心得体会
本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark 进行。
实验准备-
Wireshark下载安装.
-
了解基本使用
-1. 选择对哪块网卡进行数据包捕获
-2.开始/停止捕获
-3.了解 Wireshark 主要窗口区域
-4.设置数据包的过滤
-5.跟踪数据流
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
说明:
- 目的MAC:ae:88:fd:a0:31:64
- 源MAC:f4:b3:01:11:8e:2e
- 类型:IPv4(0x0800)
- 字段如图所示。
✎问题
- Q:你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
- A: Wireshark展现给我们的帧中没有校验字段,是因为Wireshark的帧格式中含有校验字段,在抓包时校验字段被过滤了。
-
ping旁边的计算机,并用Wireshark抓包
注意,只有当ping的对象主机在控制面板关掉防火墙后,才能够ping通。
发出帧的目的MAC和返回帧的源MAC都是ping对象主机的MAC地址,即f4:b3:01:11:8e:2e。
这个MAC地址是ping的对象主机的MAC地址。 -
ping 14.215.177.39(百度),并用Wireshark抓包
发出帧的目的MAC:ae:88:fd:a0:31:64
返回帧的源MAC:ae:88:fd:a0:31:64
这个MAC地址是网关的地址。 -
ping www.cqjtu.edu.cn,并用Wireshark抓包
发出帧的目的MAC:ae:88:fd:a0:31:64
返回帧的源MAC:ae:88:fd:a0:31:64
这个MAC地址也是网关的地址。
✎问题
通过以上的实验,你会发现:
- Q:访问本子网的计算机时,目的MAC就是该主机的,访问非本子网的计算机时,目的MAC是网关的。为什么?
- A: 访问本子网的计算机时,主机间可直接连通,通信不需要经过网关,故目的MAC就是该主机的;当访问非本子网的计算机时,通信必须要经过网关,故目的MAC是网关的。
-
使用arp -d * 命令清空arp缓存
注意,若此处出现系统弹出arp项删除失败:请求的操作需要提升提示的问题,要先进入管理员模式,再次清空arp缓存就能成功。
-
ping旁边的计算机,用Wireshark抓包
ARP请求通过广播方式发送。
ARP请求内容:Who has 172.20.10.2? Tell 172.20.10.1。
目的MAC地址和回应的源MAC地址一样,皆为ping对象主机的MAC地址。 -
使用arp -d *命令清空arp缓存
-
ping 14.215.177.39(百度),同时使用Wireshark抓包
可见ARP请求通过广播方式发送,若访问本子网的ip地址,则ARP解析直接得到该ip对应的MAC地址;若访问非本子网的ip地址,则ARP解析结果是网关的MAC地址。
✎问题
-
Q1:ARP请求都是用广播方式发的,为什么?
-
A: 由于ARP是根据IP地址获取MAC地址的一个协议,主机发送信息时必须要将包含了目标IP地址的ARP请求广播到局域网上所有主机,并接收返回信息,从而确定目标的MAC地址,并将其IP地址和MAC地址存入本机ARP缓存种且保留一定时间。若不广播,在不知道目的MAC的情况下无法获取其MAC地址。
-
Q2:若访问的是本子网的IP,那么ARP解析将直接得到该IP对应的MAC;若访问的是非本子网的IP,那么ARP解析将得到网关的MAC。为什么?
-
A: 在ping时,通过将ip地址和子网掩码进行与运算可以判断该ip地址是否与发送机在同一子网中,若在同一子网,则可以通过广播的方式直接得到对方主机的MAC地址,于是直接向对方发送数据包;若不在同一子网中,则只能通过网关,所以需要发送给网关,若不知道网关地址,则需要通过ARP在子网内广播获取网关的MAC地址,然后再给网关发送数据。
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
此处 ping 14.215.177.39(百度)。
说明:
- 版本:4
- 头部长度:20字节
- 总长度:60字节
- TTL:128
- 协议类型:ICMP
✎问题
- Q:为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
- A: 因为在发送方的数据链路层传输时,对数据进行了填充,总长度字段包括了头部长度字段和数据字段,而有了头部长度字段和总长度字段,接收方就能够知道数据字段的长度,如果没有了头部长度字段,接收方网络层就不知道数据多长,也就不会把填充的多余部分去掉。
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等。
分了2个IP包,如图所示。
- 第一个IP包
IP包总长度为1500,分片偏移量为0。 - 第二个IP包
IP包总长度为548,分片偏移量为1480。意为两个IP包以第1480字节作为分隔的节点。
✎问题
-
Q:分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以IPv6已经不允许分段了。那么IPv6中,如果路由器遇到了一个大数据包该怎么办?
-
A: 在IPv6中分段只能在源和目的地上执行,不能在路由上进行。因此,当遇到一个大数据包时,路由器会直接丢弃该数据包,并且向发送端发回一个类似于“分组过大”的ICMP差错报文,之后发送端就会使用较小长度的IP数据包重新发送。总而言之,当路由器遇到一个大数据包时,会直接丢弃然后再通知发送端进行重传。
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
由tracert追踪可以看出,每经过一跳,TTL数增加1,以此可以计算从发送方地址到目的地址之间节点个数。
TTL字段指定IP包被路由器丢弃之前允许通过的最大网段数量,常见的TTL设置为64或128。Tracert先发送TTL为1的回应数据包,随后的每次发送TTL递增1,直至目标响应或TTL达到最大值,从而确定路由。
✎问题
- Q:在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
- A: 由ICMP回显应答的TTL字段值相当于离TTL最近的2的n次方的值减去TTL返回值,离50最近的是2的6次方:64,则跳数应为64-50=14。
-
用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
说明:
①源端口:51837
②目的端口:3000
③序列号:1
④确认号:1
⑤报头长度:20字节
⑥加粗样式标志位:0x018
⑦校验和:0x2a3e -
用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
说明:
① 源端口:51837
② 目的端口:4003
③ UDP长度:95
④ UDP校验和:0xb0fd
✎问题
- Q:由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
- A: 端口号用于标识终端的应用程序,从而实现程序之间的通信。 源端口就是指本地端口,目的端口就是远程端口;源端口就是本机程序用来发送数据的端口,目的端口就是对方主机用哪个端口接收。
-
打开浏览器访问qige.io网站,用Wireshark抓包,不立即停止Wireshark捕获,待页面显示完毕后再多等待一段时间使得能够捕获释放连接的包。
-
在捕获的包中找到三次握手建立连接的包。
如图,横线处即是三次握手建立连接的包。
“第一次握手” 客户端发送的TCP报文中以[SYN]作为标志位,并且客户端序号Seq=0;
“第二次握手” 服务器返回的TCP报文中以[SYN,ACK]作为标志位,并且服务器端序号Seq=0,确认号Ack=1(“第一次握手”中客户端序号Seq值+1);
“第三次握手” 客户端再向服务器端发送的TCP报文中以[ACK]作为标志位,其中客户端序号Seq=1(“第二次握手”中服务器端确认号ACK的值),确认号Ack=1(“第二次握手”中服务器端序号Seq的值+1)。 -
在捕获的包中找到四次挥手释放连接的包。
要找四次挥手释放连接的包,发现只抓到了三次挥手。如图,横线处即是三次挥手释放连接的包。
“第一次挥手” 客户端发送的FIN请求释放连接报文以[FIN,ACK]作为标志位,其中报文序号Seq=1,Ack=1;
“第二次挥手” 服务器继续返回的FIN同意释放连接报文以[FIN,ACK]作为标志位,其中报文序号Seq=1,Ack=2;
“第三次挥手” 客户端发出的ACK确认接收报文以[ACK]作为标志位,其中报文序号Seq=2,Ack=2。
后一次挥手传输报文中的序号Seq值等于前一次握手传输报文中的确认号Ack值,后一次挥手传输报文中的确认号Ack值等于前一次握手传输报文中的序号Seq值。
✎问题
-
Q1:去掉Follow TCP Stream,即不跟踪一个TCP流,你可能会看到访问qige.io时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
-
A: 多个连接是建立多个传输通道,这样可以加快数据传输。
-
Q2:我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
-
A: 因为第二次握手和第三次挥手合并了,FIN报文用在本端没有数据发送给对方时,关闭从本端到对端的连接,但是并不影响从对端到本端的连接,也就是说本端仍然能接收对端数据。也就是发送通道关闭,但接收通道仍正常。若对端收到本端FIN报文时,对方的接收通道关闭,此时,若对方也没有数据发给本端,那么对方也会发送FIN报文给本端,用于关闭从对方到本端的连接,这时就可能出现ACK和FIN结合在一起的情况。四次挥手:当对方在收到本端FIN报文时仍有数据发送,那么就等数据发完,再发FIN报文来关闭连接。
-
先使用ipconfig /flushdns命令清除缓存,再使用nslookup qige.io命令进行解析,同时用Wireshark任意抓包。
-
你应该可以看到当前计算机使用UDP,向默认的DNS服务器的53号端口发出了查询请求,而DNS服务器的53号端口返回了结果。
如图可见DNS的53号端口。
如图是DNS的53号端口发出的回应。 -
可了解一下DNS查询和应答的相关字段的含义。
DNS查询和应答报文的格式如下图所示。
16位标识字段用于标记一对DNS查询和应答,以此区分一个DNS应答是哪个DNS查询的回应。16位标志字段用于协商具体的通信方式和反馈通信状态。
DNS报文头部的16位标志字段的细节如下图所示。
其中:
① QR表示查询或应答标志,0表示是查询报文,1表示是应答报文;
② opcode定义查询和应答的类型,0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态;
③ AA为授权应答标志,仅由应答报文使用,1表示域名服务器是授权服务器;
④ TC是截断标志,仅当DNS报文使用UDP服务时使用;
⑤ RD是递归查询标志,1表示执行递归查询,如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直至获取结果并把该结果返回给客户端。0表示执行迭代查询,如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端;
⑥ RA是允许递归标志,仅由应答报文使用,1表示DNS服务器支持递归查询;
⑦ zero的这3位未用,必须设置为0;
⑧ rcode是4位返回码,表示应答的状态,常用值有0(无错误)和3(域名不存在)。
✎问题
-
Q:你可能会发现对同一个站点,我们发出的DNS解析请求不止一个,思考一下是什么原因?
-
A: 为了使服务器的负载得到平衡(每天访问站点的次数非常多),网站就设有好几个计算机,每一个计算机都运行同样的服务器软件。这些计算机的IP地址不一样,但它们的域名相同。这样一来,第一个访问该网址的就得到第一个计算机的IP地址,而第二个访问的就得到第二个计算机的IP地址,以此类推。这样可以使每个计算机的负荷不会太大。
-
开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
-
请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
请求使用的命令为POST。
部分请求字段的具体含义:
① Accept:浏览器可接受的MIME类型;
② Accept-Encoding:浏览器能够进行解码的数据编码方式;
③ Accept-Language:浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到;
④ Authorization:授权信息,通常出现在对服务器发送的WWW-Authenticate头的应答中;
⑤ Connection:表示是否需要持久连接。如果Servlet看到这里的值为“Keep-Alive”,或者看到请求使用的是HTTP1.1(HTTP 1.1默认进行持久连接),它就可以利用持久连接的优点,当页面包含多个元素时,可以显著减少下载所需要的时间;
⑥ Content-Length:表示请求消息正文的长度。 cookie:设置cookie,这是最重要的请求头信息之一;
⑦ If-Modified-Since:只有当所请求的内容在指定的日期之后又经过修改才返回它,否则返回304“Not Modified”应答;
⑧ Cache-Control:用于指示(服务器或浏览器上的)缓存系统应该怎样处理缓存。
⑨ Pragma:指定“no-cache”值表示服务器必须返回一个刷新后的文档,即使它是代理服务器而且已经有了页面的本地拷贝;
⑩ User-Agent:浏览器类型,如果Servlet返回的内容与浏览器类型有关则该值非常有用。 -
在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
如图所示,应答代码为200。
✎问题
-
Q:刷新一次qige.io网站的页面同时进行抓包,你会发现不少的304代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答304应答而不是常见的200应答?
-
A: 浏览器要判断文件有无修改、与cache结果是否一致,需要经过好几个状态:
- 初始状态:第一次访问的时候,向服务器发送请求,成功收到响应,则返回200,浏览器下载资源文件,并记录下应答头部和返回时间。
- 再次请求相同资源:本地先判断是否需要发送请求给服务端,比较当前时间和上一次返回200的时间差,若未超出过期时间,则命中强缓存,读取本地缓存资源;若过期了,则向服务器发送header带有If-None-Match和If-Modified-Since的请求。
- 服务器收到请求后,优先根据Etag值判断被请求的文件有没有被修改,Etag值一致则没有修改,命中协商缓存,返回304;若不一致则表明有改动,直接返回新的资源文件带上新的Etag值并返回200。
- 若服务器收到的请求没有Etag值,则将If-Modified-Since和被请求文件的最后修改时间作对比,一致则命中协商缓存,返回304;不一致则返回新的last-modified和文件并返回200。
经过本次实验,在使用Wireshark后,我对数链层、网络层、传输层和应用层的各协议和各协议数据单元的了解更全面了,也对应用、传输、网络、数链层逻辑关系的理解更深入了。同时,在ping或者访问网页时,也能通过Wireshark抓到的数据包了解到数据传输的过程。总而言之,本次实验使我受益匪浅。
