数据链路层
实作一 熟悉 Ethernet 帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
目的MAC:7a:32:b5:3a:c3:af(前面3个字节分配给厂商)
源MAC:b6:fa:db:8e:e3:4f(前面3个字节分配给厂商)
类型:IPv4网络
实作二 了解子网内/外通信时的 MAC 地址
ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
发出帧的目的MAC以及返回帧的源MAC地址都是旁边计算机的MAC地址。
这个MAC地址是所ping的旁边的计算机的。
然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
发出帧的目的 MAC 地址是:b6:fa:db:8e:e3:4f
返回帧的源 MAC 地址是:b6:fa:db:8e:e3:4f
这个 MAC 地址是主机所在的子网的网关。
再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
发出帧的目的 MAC 地址是:7a:32:b5:3a:c3:af
返回帧的源 MAC 地址是:7a:32:b5:3a:c3:af
这个 MAC 地址是主机所在的子网的网关。
通过以上的实验,你会发现:
访问本子网的计算机时,目的 MAC 就是该主机的
访问非本子网的计算机时,目的 MAC 是网关的
请问原因是什么?
同一子网:假设主机A访问本子网的主机B时,主机A以自己的IP为源地址,B的IP为目标地址封装IP数据包,同时使用A自己的网卡接口的子网掩码和B的IP进行与运算,如果网络号相同就直接发送出去。但接口在发送时还需要将IP数据包封装成数据帧,这需要两台主机的MAC地址。如果A知道B的MAC,则直接使用B 的MAC地址作为数据帧中的目的地址,如果不知道则向网络中发送ARP广播,从而获得B的MAC地址完成数据帧的封装。
不同子网:当主机A使用掩码和主机B的IP进行与运算后发现两个IP不在同一子网,主机A会将数据包丢给网关。封装数据帧时,主机A需要知道B的MAC地址,但B不在该网络,所以只能有网关的ARP代理功能实现,所以主机A得到的并不是B的MAC地址,而是主机A所在子网的网关的MAC地址,所以A在数据帧中封装目的地址为本地网关。接下来从接口发送出去,当数据到达网关,网关会读取数据包中的目的IP,并根据目的IP进行转发,在转发时数据包中的目的IP不变,但数据帧中的源MAC地址和目的MAC地址都会发生变化。
实作三 掌握 ARP 解析过程
为防止干扰,先使用 arp -d * 命令清空 arp 缓存
ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
再次使用 arp -d * 命令清空 arp 缓存
然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
ARP请求为:Who has 192.168.43.1? Tell 192.168.43.75
回复的为本机的MAC地址
通过以上的实验,你应该会发现,
ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
请问为什么?
如果访问的是本子网的IP,通过广播就能得到对方的MAC,如果是非同一子网的IP,是通过路由器穿越通信子网,ARP解析将会得到网关的MAC,毕竟广播是在子网内进行的,拿不到所访问的不同子网的IP。
网络层
实作一 熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
版本:IPv4
头部长度:5
总长度:41
TTL:128
协议类型:TCP
为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
因为在数据链路层有最小数据帧尾46,最大数据帧长为1500。当帧长度大小不足46时会进行填充。IP 头部的头部长度字段与总长度字段用于网络层计算传输的数据包含哪些。
实作二 IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
偏移量是用来标识数据包在数据流中的位置,也可以理解为同一个IP标识发送多个数据包时的顺序号。图片中偏移量为0,表明该包位于数据流的0号位置。每个包的大小是用Total Length来表示,它包含IP包头部及数据两个部分。这里是548.
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
IPv6中分段只能在源地址与目的地址上执行,当数据包过大时,路由器就会直接丢弃该数据包,并向发送端发回一个"分组太大"的ICMP差错报文,之后发送端就会使用较小长度的IP数据报重发数据。
实作三 考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
TTL从1开始,每经过一个路由,TTL自增1,直到到达目的地址。
在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL 的值为 50,那么可以推断这个包从源点到你之间有多少跳?
14跳。
传输层
实作一 熟悉 TCP 和 UDP 段结构
用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
其中源端口与目的端口是:
序列号:
确认号:
头部长度:
ACK位:
ACK位为1.
由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
端口是用来唯一标识这个进程。
源端口来表示发送终端的某个应用程序,目的端口来表示接收终端的某个应用程序。
端口号就是来标识终端的应用程序,从而实现应用程序之间的通信。
实作二 分析 TCP 建立和释放连接
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
第一次握手,同步位(SYN)是1,确认位(ACK)是0
第二次握手,同步位(SYN)是1,确认位(ACK)是1
第三次握手,同步位(SYN)是0,确认位(ACK)是1
请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
首先客户端先发送一个fin值为1的包,用来关闭客户机到服务端的数据传送,
当服务端收到这个fin包就会发回一个ack包,表示收到这个请求,然后服务端再发送一个fin包,最后客户机收到这个fin包,返回一个ack包。
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
多个连接加大数据传输效率。
我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
第二次握手和第三次挥手合并了,FIN报文用在本端没有数据发送给对方时,关闭从本端到对端的连接。但是并不影响从对方到本端的连接,也就是说本端仍然可以接收对方的数据。即发送通道关闭,接收通道正常。
应用层
应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。
实作一 了解 DNS 解析
先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
可了解一下 DNS 查询和应答的相关字段的含义
你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
将负载均衡的工作交给DNS,省去了网站管理维护负载均衡服务器的麻烦。
实作二 了解 HTTP 的请求和应答
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
部分请求头字段的具体含义:
Accept:浏览器可接受的MIME类型。 Accept-Charset:浏览器可接受的字符集。
Accept-Encoding:浏览器能够进行解码的数据编码方式,比如gzip。
Accept-Language:浏览器所希望的语言种类,当服务器能够提供一种以上的语言版本时要用到。
Authorization:授权信息,通常出现在对服务器发送的WWW-Authenticate头的应答中。
Connection:表示是否需要持久连接。如果Servlet看到这里的值为“Keep-Alive”,或者看到请求使用的是HTTP1.1(HTTP 1.1默认进行持久连接),它就可以利用持久连接的优点,当页面包含多个元素时(例如Applet,图片),显著地减少下载所需要的时间。
Content-Length:表示请求消息正文的长度。
Cookie:设置cookie,这是最重要的请求头信息之一。
From:请求发送者的email地址,由一些特殊的Web客户程序使用,浏览器不会用到它。
Host:初始URL中的主机和端口。
Pragma:指定“no-cache”值表示服务器必须返回一个刷新后的文档,即使它是代理服务器而且已经有了页面的本地拷贝。
Referer:包含一个URL,用户从该URL代表的页面出发访问当前请求的页面。
刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
浏览器中的缓存,可以直接在缓存区获取到需要的内容,不需要服务器在回复对应的内容,可以减小开销。采用200应答就是要完全的将内容发送给客服端,这个会增加服务器的一些开销等。