在windows平台使用Wireshark软件进行抓包分析,了解数据链路层、网络层、传输层和应用层的协议规范。
目录
- (一)数据链路层
- 实作一 熟悉Ethernet帧结构
- 实作二 了解子网内/外通信时的MAC地址
- 实作三 掌握ARP解析过程
- (二)网络层
- 实作一 熟悉IP包结构
- 实作二 IP包的分段与重组
- 实作三 考察TTL事件
- (三)传输层
- 实作一 熟悉TCP和UDP段结构
- 实作二 分析TCP建立和释放连接
- (四)应用层
- 实作一 了解DNS解析
- 实作二 了解HTTP的请求和应答
实作一 熟悉Ethernet帧结构
使用Wireshark进行任意抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
可以清楚的看到目的MAC、源MAC、类型和字段等消息。
实作二 了解子网内/外通信时的MAC地址
使用命令(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可使用icmp进行过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
可以看出,发出帧的目的MAC是
,返回帧的MAC地址是
,并且返回帧的MAC地址仍然是网关的MAC地址。
再次使用命令(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可使用功能icmp过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?
结果同上,发出帧的目的MAC是
,返回帧的MAC地址是
,返回帧的MAC地址是网关的MAC地址。
通过以上实验,我们可以发现:
- 访问本子网的计算机时,目的 MAC 就是该主机的
- 访问非本子网的计算机时,目的 MAC 是网关的
原因是因为同一子网下的主机可以直接广播该主机的MAC地址进行通信,但如果访问非同一子网的计算机时则需要先通过网关进行转发找到该计算机,所以目的MAC是网关的。
实作三 掌握ARP解析过程
为防止干扰,先使用命令清空 arp 缓存,然后 ping 旁边处于同一子网的计算机,同时用 Wireshark 抓这些包(可使用arp过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
可以看出,请求的目的 MAC 地址
即广播地址,该请求的回应的源 MAC是被访问主机的MAC地址,目的 MAC 地址是本地主机的MAC地址。
如果出现的错误,则使用管理员身份打开cmder即可再次使用命令清空 arp 缓存,然后使用命令(也可以ping其他主机),同时用 Wireshark 抓这些包(可使用arp过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
可以看出,这次ARP请求的是网关的MAC地址,由ARP服务器回应给主机。
通过以上的实验,我们会发现,
- ARP 请求都是使用广播方式发送的
- 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。
这是因为访问本子网IP会通过ARP解析出IP的MAC地址;如果访问的是非本子网的IP时APR 只能解析得到网关的MAC地址,再由网关将数据给发送出去。
实作一 熟悉IP包结构
使用 Wireshark 进行任意抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
实作二 IP包的分段与重组
根据规定,一个IP 包最大可以有 64K 字节,但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。缺省的长度的ping 命令只会向对方发送 32 个字节的数据。我们可以使用命令指定要发送的数据长度。然后使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等。
可以看出长度为2000字节的IP包被分成了长度为548字节的IP包,通过分段号来作为分段的标志。
实作三 考察TTL事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳即通过路由器转发的个数,一般该值设置为 64、128等。 之前我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。 这里我们使用命令进行追踪,同时使用 Wireshark 抓包(用icmp过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
可以看出,主动设置 IP 包的 TTL 值从 1 开始逐渐增加,直至到达最终目的主机,当成功到达主机后主机会回复一个响应表示达到该主机。
实作一 熟悉TCP和UDP段结构
用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
实作二 分析TCP建立和释放连接
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
在捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
第一次握手时,客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接;
第二次握手时,服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;
第三次握手时,服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,TCP连接建立,开始通讯。
请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
从图上可以看出,断开连接时首先由一方发出FIN报文,然后另一方接收并回ACK报文;并且它也会发送一个FIN报文表示断开连接,最开始发送的一方也接收并发ACK报文,TCP连接断开。
实作一 了解DNS解析
先使用命令清除缓存,再使用命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
实作二 了解HTTP的请求和应答
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
这里可以看出在HTTP头部使用的是GET命令向服务器发起请求。
请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
到此这篇udp报文格式解析(udp报文解析实例)的文章就介绍到这了,更多相关内容请继续浏览下面的相关推荐文章,希望大家都能在编程的领域有一番成就!
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/haskellbc/65616.html