Wireshark抓包数据分析

文章目录

- 准备
- 数据链路层
- - 实作一熟悉 Ethernet 帧结构
  - 实作二了解子网内/外通信时的 MAC 地址
  - 实作三掌握 ARP 解析过程
- 网络层
- - 实作一熟悉 IP 包结构
  - 实作二 IP 包的分段与重组
  - 实作三考察 TTL 事件
- 传输层
- - 实作一熟悉 TCP 和 UDP 段结构
  - 实作二分析 TCP 建立和释放连接
- 应用层
- - 实作一了解 DNS 解析
  - 实作二了解 HTTP 的请求和应答

准备

请自行查找或使用如下参考资料，了解 Wireshark 的基本使用：

选择对哪块网卡进行数据包捕获
开始/停止捕获
了解 Wireshark 主要窗口区域
设置数据包的过滤
跟踪数据流

🌏 参考

1、官方文档链接
2、Wireshark抓包新手使用教程链接
3、Troubleshooting with Wireshark 链接
4、The Official Wireshark Certified Network Analyst Study Guide 链接
5、Wireshark Network Security 链接

数据链路层

实作一熟悉 Ethernet 帧结构

使用 Wireshark 任意进行抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。
在这里插入图片描述
✎ 问题

你会发现 Wireshark 展现给我们的帧中没有校验字段，请了解一下原因。

答：Wireshark抓包前，在物理层网卡已经去掉了一些之前几层加的东西，之后利用校验码CRC校验，校验正确才会进行下一步操作，然后才有抓包的过程，所以抓到的是去掉校验码之外的数据。

实作二了解子网内/外通信时的 MAC 地址

ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？
在这里插入图片描述

发送帧的目的MAC地址：34：41：5d：aa：13：ce
返回帧的源MAC地址：34：41：5d：aa：13：ce
这个MAC地址是本机的。

然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？
在这里插入图片描述

发送帧的目的MAC地址：00:74:9c:9f:40:13
返回帧的源MAC地址：00:74:9c:9f:40:13
这个MAC地址主机所在子网的网关的。

再次 ping www.cqjtu.edu.cn （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 icmp 过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？
在这里插入图片描述

发送帧的目的MAC地址：00:74:9c:9f:40:13
返回帧的源MAC地址：00:74:9c:9f:40:13
这个MAC地址主机所在子网的网关的。

✎ 问题

通过以上的实验，你会发现：

访问本子网的计算机时，目的 MAC 就是该主机的
访问非本子网的计算机时，目的 MAC 是网关的
请问原因是什么？

答：在同一子网内部进行访问，不通过网关，两者之间就能通信，所以目的 MAC 就是该主机的。访问不同子网下的计算机需要通过网关，所以目的 MAC 是网关的。

实作三掌握 ARP 解析过程

为防止干扰，先使用 arp -d * 命令清空 arp 缓存
ping 你旁边的计算机（同一子网），同时用 Wireshark 抓这些包（可 arp 过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。
再次使用 arp -d * 命令清空 arp 缓存
然后 ping qige.io （或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可 arp 过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。
在这里插入图片描述
当ARP项删除失败，解决方法是进入Windows\system32文件夹找到cmd.exe，右键“以管理员身份运行”，这样就解决了。

在这里插入图片描述

✎ 问题

通过以上的实验，你应该会发现，
ARP 请求都是使用广播方式发送的
如果访问的是本子网的 IP，那么 ARP 解析将直接得到该 IP 对应的 MAC；如果访问的非本子网的 IP，那么 ARP 解析将得到网关的 MAC。
请问为什么？

答：当访问本子网的IP时，不需要通过网关，所以 ARP 解析将直接得到该 IP 对应的 MAC；当访问的非本子网的 IP时，是需要通过网关才能到达，第一跳就是网关，所以 ARP 解析将得到网关的 MAC。

网络层

实作一熟悉 IP 包结构

使用 Wireshark 任意进行抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。

在这里插入图片描述

✎ 问题

为提高效率，我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段，也有总长度字段。请问为什么？

答：每个IP数据报包含一个头部和一个正文部分。头部有一个20字节的定长部分和一个可选的变长部分。头部的IHL域指明了该头部有多长（以32位字的长度为单位）。IHL最小值为5，表明头部没有可选项。此4位域的最大值为15，这限制了头部的最大长度为60字节。总长度域包含了该数据报中的所有内容，即头和数据。

实作二 IP 包的分段与重组

根据规定，一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。

缺省的，ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等
在这里插入图片描述

在这里插入图片描述
✎ 问题

分段与重组是一个耗费资源的操作，特别是当分段由传送路径上的节点即路由器来完成的时候，所以 IPv6 已经不允许分段了。那么 IPv6 中，如果路由器遇到了一个大数据包该怎么办？

答：大数据包会被丢弃。

实作三考察 TTL 事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳（hops），一般该值设置为 64、128等。

在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。

请使用 tracert www.baidu.com 命令进行追踪，此时使用 Wireshark 抓包（用 icmp 过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理。
在这里插入图片描述

✎ 问题

在 IPv4 中，TTL 虽然定义为生命期即 Time To Live，但现实中我们都以跳数/节点数进行设置。如果你收到一个包，其 TTL 的值为 50，那么可以推断这个包从源点到你之间有多少跳？

答:50跳。

传输层

实作一熟悉 TCP 和 UDP 段结构

用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。
用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。
在这里插入图片描述

在这里插入图片描述

✎ 问题

由上大家可以看到 UDP 的头部比 TCP 简单得多，但两者都有源和目的端口号。请问源和目的端口号用来干什么？

答：一个进程对应一个端口号。端口号的作用就是用来区别不同进程的。源端口标识发起通信的那个进程，目的端口标识接受通信的那个进程。有了端口号，接受到报文后才能够知道将报文发送到哪个进程。

实作二分析 TCP 建立和释放连接

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
请在你捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。
在这里插入图片描述

请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。
在这里插入图片描述

我们上面提到了释放连接需要四次挥手，有时你可能会抓到只有三次挥手。原因是什么？

答：第二次和第三次合并了，ACK和FIN合并在一起了。

应用层

应用层的协议非常的多，我们只对 DNS 和 HTTP 进行相关的分析。

实作一了解 DNS 解析

先使用 ipconfig /flushdns 命令清除缓存，再使用 nslookup qige.io 命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。
在这里插入图片描述

你应该可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。
可了解一下 DNS 查询和应答的相关字段的含义
在这里插入图片描述

✎ 问题

你可能会发现对同一个站点，我们发出的 DNS 解析请求不止一个，思考一下是什么原因？

答：DNS不止一个的原因可能是DNS解析过程是先从浏览器的DNS缓存中检查是否有这个网址的映射关系，如果有，就返回IP，完成域名解析；如果没有，操作系统会先检查自己本地的hosts文件是否有这个网址的映射关系，如果有，就返回IP，完成域名解析；如果还没有，电脑就要向本地DNS服务器发起请求查询域名；本地DNS服务器拿到请求后，先检查一下自己的缓存中有没有这个地址，有的话直接返回；没有的话本地DNS服务器会从配置文件中读取根DNS服务器的地址，然后向其中一台发起请求；直到获得对应的IP为止。

实作二了解 HTTP 的请求和应答

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。
请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。
请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
在这里插入图片描述