Wireshark 实验

时间:2022-12-21 08:57:44

本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark 进行,请根据简介部分自行下载安装。

准备

请自行查找或使用如下参考资料,了解 Wireshark 的基本使用:

  • 选择对哪块网卡进行数据包捕获
  • 开始/停止捕获
  • 了解 Wireshark 主要窗口区域
  • 设置数据包的过滤
  • 跟踪数据流

数据链路层

实作一 熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。

Wireshark 实验

 

  1. 目的MAC:a2:30:0e:d7:cb:61
  2. 源MAC:24:41:8c:c4:cd:63
  3. 类型:IPv4(0x0800)
  4. 字段如图所示。

 

✎ 问题

你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。

 Wireshark展现给我们的帧中没有校验字段,是因为Wireshark的帧格式中含有校验字段,在抓包时校验字段被过滤了

 

实作二 了解子网内/外通信时的 MAC 地址

  1. ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

Wireshark 实验

Wireshark 实验 

 

发出帧的目的MAC和返回帧的源MAC都是ping对象主机的MAC地址,即24:41:8c:c4:cd:63
这个MAC地址是ping的对象主机的MAC地址。 

  1. 然后 ping 14.215.177.39(百度),并用Wireshark抓包同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

Wireshark 实验

Wireshark 实验 

 发出帧的目的MAC:a2:30:0e:d7:cb:61

Wireshark 实验

返回帧的源MAC:a2:30:0e:d7:cb:61
这个MAC地址是网关的地址。 

  1. 再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?

Wireshark 实验

Wireshark 实验 

发出帧的目的MAC:a2:30:0e:d7:cb:61

Wireshark 实验

返回帧的源MAC:a2:30:0e:d7:cb:61
这个MAC地址也是网关的地址。 

✎ 问题

通过以上的实验,你会发现:

  1. 访问本子网的计算机时,目的 MAC 就是该主机的
  2. 访问非本子网的计算机时,目的 MAC 是网关的

请问原因是什么?

 访问本子网的计算机时,主机间可直接连通,通信不需要经过网关,故目的MAC就是该主机的;当访问非本子网的计算机时,通信必须要经过网关,故目的MAC是网关的。

实作三 掌握 ARP 解析过程

  1. 为防止干扰,先使用 arp -d * 命令清空 arp 缓存

Wireshark 实验

 

2;ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。

Wireshark 实验

Wireshark 实验 

ARP请求通过广播方式发送。
Wireshark 实验 

ARP请求内容: Who has 192.168.134.229? Tell 192.168.134.112
目的MAC地址和回应的源MAC地址一样,皆为ping对象主机的MAC地址 

3:再次使用 arp -d * 命令清空 arp 缓存

Wireshark 实验

 

4:然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。

Wireshark 实验

Wireshark 实验 

可见ARP请求通过广播方式发送,若访问本子网的ip地址,则ARP解析直接得到该ip对应的MAC地址;若访问非本子网的ip地址,则ARP解析结果是网关的MAC地址。 

✎ 问题

通过以上的实验,你应该会发现,

  1. ARP 请求都是使用广播方式发送的

 由于ARP是根据IP地址获取MAC地址的一个协议,主机发送信息时必须要将包含了目标IP地址的ARP请求广播到局域网上所有主机,并接收返回信息,从而确定目标的MAC地址,并将其IP地址和MAC地址存入本机ARP缓存种且保留一定时间。若不广播,在不知道目的MAC的情况下无法获取其MAC地址。


 

  1. 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。

请问为什么?

 在ping时,通过将ip地址和子网掩码进行与运算可以判断该ip地址是否与发送机在同一子网中,若在同一子网,则可以通过广播的方式直接得到对方主机的MAC地址,于是直接向对方发送数据包;若不在同一子网中,则只能通过网关,所以需要发送给网关,若不知道网关地址,则需要通过ARP在子网内广播获取网关的MAC地址,然后再给网关发送数据。
 

 

网络层

实作一 熟悉 IP 包结构

使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。

Wireshark 实验

 Wireshark 实验

  1. 版本:4
  2. 头部长度:20字节
  3. 总长度:40字节
  4. TTL:128
  5. 协议类型:TCP

✎ 问题

为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?

因为在发送方的数据链路层传输时,对数据进行了填充,总长度字段包括了头部长度字段和数据字段,而有了头部长度字段和总长度字段,接收方就能够知道数据字段的长度,如果没有了头部长度字段,接收方网络层就不知道数据多长,也就不会把填充的多余部分去掉。

实作二 IP 包的分段与重组

根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。

缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等

Wireshark 实验

分了2个IP包,如图所示。

  1. 第一个IP包

Wireshark 实验

  1. IP包总长度为1500,分片偏移量为0。

 

Wireshark 实验 

 IP包总长度为548,分片偏移量为1480。意为两个IP包以第1480字节作为分隔的节点。

✎ 问题

分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?

 在IPv6中分段只能在源和目的地上执行,不能在路由上进行。因此,当遇到一个大数据包时,路由器会直接丢弃该数据包,并且向发送端发回一个类似于“分组过大”的ICMP差错报文,之后发送端就会使用较小长度的IP数据包重新发送。总而言之,当路由器遇到一个大数据包时,会直接丢弃然后再通知发送端进行重传。
 

实作三 考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。

在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。

请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。

Wireshark 实验

 

Wireshark 实验

 由tracert追踪可以看出,每经过一跳,TTL数增加1,以此可以计算从发送方地址到目的地址之间节点个数。
TTL字段指定IP包被路由器丢弃之前允许通过的最大网段数量,常见的TTL设置为64或128。Tracert先发送TTL为1的回应数据包,随后的每次发送TTL递增1,直至目标响应或TTL达到最大值,从而确定路由。
 

✎ 问题

在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?

  由ICMP回显应答的TTL字段值相当于离TTL最近的2的n次方的值减去TTL返回值,离50最近的是2的6次方:64,则跳数应为64-50=14。

传输层

实作一 熟悉 TCP 和 UDP 段结构

  1. 用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。

Wireshark 实验

 

源端口:80
目的端口:1930
序列号:0
确认号:0
报头长度:32字节
加粗样式标志位:0x012
校验和:0xd15d

2.用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。

Wireshark 实验

① 源端口:8700
② 目的端口:57750
③ UDP长度:54
④ UDP校验和:0xf877

 

✎ 问题

由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?

端口号用于标识终端的应用程序,从而实现程序之间的通信。 源端口就是指本地端口,目的端口就是远程端口;源端口就是本机程序用来发送数据的端口,目的端口就是对方主机用哪个端口接收。

实作二 分析 TCP 建立和释放连接

  1. 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。

Wireshark 实验

 “第一次握手” 客户端发送的TCP报文中以[FIN,ACK]作为标志位,并且客户端序号Seq=0;
“第二次握手” 服务器返回的TCP报文中以[ACK]作为标志位,并且服务器端序号Seq=0,确认号Ack=1(“第一次握手”中客户端序号Seq值+1);
“第三次握手” 客户端再向服务器端发送的TCP报文中以[ACK]作为标志位,其中客户端序号Seq=1(“第二次握手”中服务器端确认号ACK的值),确认号Ack=1(“第二次握手”中服务器端序号Seq的值+1)
 

  1. 请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
  2. 请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。

✎ 问题一

去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?

✎ 问题二

我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?