精华内容
下载资源
问答
  • 一、wireshark抓包原理

    2020-12-25 14:10:29
    一、什么样的“包”能够被wireshark抓住? 1、本机 说明:即直接抓取进出本机网卡的流量包。这种情况下,wireshark会绑定本机的一块网卡。 2、集线器 说明:用于抓取流量泛洪,冲突域内的数据包,即整个局域网的...

    一、什么样的“包”能够被wireshark抓住?

    1、本机
    说明:即直接抓取进出本机网卡的流量包。这种情况下,wireshark会绑定本机的一块网卡。
    在这里插入图片描述

    2、集线器
    说明:用于抓取流量泛洪,冲突域内的数据包,即整个局域网的数据包。
    在这里插入图片描述
    3、交换机
    说明:
    ①端口镜像
    这种方式下,交换机严格按照tenlnet表和mac地址表进行转发数据包。当pc2和pc3通信的时候,默认是pc1是无法抓取数据包的,但是可以通过在交换机上设置策略,即端口镜像。这样Pc2和Pc3通信的数据包就被复制一份到连接pc2的那个交换机端口,这样pc2就可以抓取到Pc2和Pc3的通信数据包了
    在这里插入图片描述
    ②ARP欺骗
    说明:
    步骤如下:

    (1)PC2想和PC3通信,故而向交换机发送广播

    (2)正常情况下PC1会将此包丢弃掉(因为要找的不是它),但是这里的PC1会进行ARP欺骗,告诉PC2它就是PC2要找的PC3

    (3)因为ARP后到优先的特性,PC2很大可能会认为PC1的MAC地址是自己要找的PC3

    (4)就这样,PC2和PC3的通信就变成了PC2和PC1的通信了。

    (5)至于后续PC1要不要把数据(可能被修改的数据)交给PC3,那完全取决于PC1的心情。

    以上便是局域网ARP攻击的典型情况。
    在这里插入图片描述
    ③MAC泛洪
    说明:
    这种情况下,PC1没有端口镜像的权限,所以它不能直接截取全网的流量,那么该怎么做呢?

    (1)PC1发送大量垃圾包,这里产生了大量的MAC地址,导致MAC表爆表

    (2)PC2和PC3发出的数据找不到目的地址就会进行全网泛洪,被PC1截取全网流量
    在这里插入图片描述

    二、wireshark整体框架

    在这里插入图片描述
    1.win-/libcap ===> wireshark底层驱动软件

    2.capture ===> 抓包引擎

    3.wiretab ===> 将抓来的二进制数据转换成需要的格式文件

    4.core ===> 核心引擎,通过函数将多个模块连接在一起

    5.GTK 1/2 ===> 图形处理工具

    展开全文
  • wireshark实验一:初步入门

    千次阅读 2018-08-08 00:12:58
    1,了解的Wireshark的功能原理 2,安装Wireshark的软件  3,了解的Wireshark软件界面功能 二,实验环境 1,联网的PC机,操作系统windows7的及以上 2,Wireshark的官网下载最新版本(2.6.2) 三,实验内容 1...

    一,实验目的:

    1,了解的Wireshark的功能原理

    2,安装Wireshark的软件 

    3,了解的Wireshark软件界面功能

    二,实验环境

    1,联网的PC机,操作系统windows7的及以上

    2,Wireshark的官网下载最新版本(2.6.2)

    三,实验内容

    1,Wireshark的介绍

    上图是数据包嗅探器的结构,最右侧为计算机上运行的协议与网络应用程序,通过左侧虚线框中的图示得到,所谓数据抓包,实际上是复制TCP / IP的数据链路层中接收或发送的以太网帧(以太网帧),因为所有上层协议最终都已经封装在以太网帧中了。作为一款开源的数据包嗅探器(数据包嗅探器),可以运行在windows ,苹果机,Linux以及Unix的平台上,拥有庞大的用户群和完善的帮助文档与常见问题,内部具有数百个协议库,我们可以通过Wireshark的进行各类协议的学习分析,真正做到做中学。(从技术上讲wireshark应该是数据包分析器(数据包分析器))

    2,获取安装的Wireshark

    下载安装Wireshark软件:https://www.wireshark.org/,根据实验主机系统下载安装对应版本

    3,运行Wireshark的

    不同的版本会有不同的界面,在下方在接口列表中选择要捕获数据包的网卡。

    一区:标准的下拉菜单命令

    乙区:快捷工具栏

    C区:数据包显示过滤器字段(包显示过滤器),可以通过输入协议名称或其他信息,在众多捕获的数据包中过滤相关信息

    D区:捕获的包列表(捕获数据包列表),显示当前捕获文件中的所有数据包,相关列字段可以进行定制

    E区:数据包头部细节(包头详情),以TCP / IP格式分层显示一个数据包中的内容

    F区:数据包字节(包字节),以ASCII和十六进制格式显示捕获的帧的全部内容

    如图4所示,第一次捕获数据包实验

    现在我们通过实践操作来了解Wireshark的软件,实验要求通过安装有Wireshark的的本机与一台安装IIS的窗口虚拟机(WINDOWS2003为例)进行通讯。

    (1)WINDOWS2003虚拟机安装IIS,自行编写一个简单的index.htm的网页,通过IIS可以登录的index.htm。

    以下为安装有Wireshark的的本机的操作

    (2)启动浏览器

    (3)启动的Wireshark,选择需要捕获数据的网卡,并开始捕获数据包

    (4)在Wireshark的运行中,在浏览器中输入WINDOWS2003的HTTP地址,并在浏览器中显示的index.htm页面内容

    (5)当浏览器中的index.htm页面内容显示后,通过Wireshark的快捷工具栏第二个按钮停止捕获数据包

    (6)在Ç区的数据包显示过滤器字段处输入“HTTP”(不带引号,小写),单击应用箭头(或者直接按回车)

    (7)在捕获的列表中查找HTTP GET数据包,在该包的数据包头部分中,查找连接的主机

    (8)退出的Wireshark

    至此,恭喜!你已经完成了第一个实验。

    (实验改编自Computer Networking: A Top-Down Approach, 7th ed.)

    展开全文
  • wireshark实验四:TCP

    万次阅读 2018-08-14 23:55:00
    二,实验原理 TCP(Transmission Control Protocol传输控制协议)是一种面向连接的,可靠的,基于字节流的传输层通信协议。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,用户数据报协议(UDP)是...

    一,实验目的:

    掌握TCP原理

    通过Wireshark的的对数据包的分析,了解三个握手,四次挥手。

    二,实验原理

    TCP(Transmission Control Protocol传输控制协议)是一种面向连接的,可靠的,基于字节流的传输层通信协议。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,用户数据报协议(UDP)是同一层内另一个重要的传输协议。在因特网协议族(Internet protocol suite)中,TCP层是位于IP层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的,像管道一样的连接,但是IP层不提供这样的流机制,而是提供不可靠的包交换。

    1,TCP头格式

    (1)源端口(源端口号):数据发起者的端口号,16位。
    (2)目的端口号(目的端口号):数据接收者的端口号,16位。
    (3)序列号(顺序号码) ,Seq)):用于在数据通信中解决网络包乱序(重新排序)问题,以保证应用层接收到的数据不会因为网络上的传输问题而乱序(TCP会用这个顺序号码来拼接数据),32位。
    (4)确认号(确认号码,ACK):是数据接收方期望收到发送方在下一个报文段的顺序号码(SEQ),因此确认号码应当是上次已成功收到顺序号码(SEQ)加1,32bit。
    (5)Offset(TCP报文头长度):用于存储报文头中有多少个32bit(上图的一行),存储长度为4bit,最大可表示(2) ^ 3 + 2 ^ 2 + 2 ^ 1 + 1)* 32bit = 60bytes的报文头。最小取值5,5 * 32bit = 20bytes。
    (6)Reserved(保留):6bit,equal为0
    (7)TCP Flags(TCP标志位)每个长度均为1bit
              CWR:压缩,TCP标志 s值
              0x80.CEE:拥塞,0x40.URG
              :紧急,0x20。当URG = 1时,表示报文段中有紧急数据,应尽快传送.ACK
              :确认,0x10。当ACK = 1时,代表这是一个确认的TCP包,取值0则不是确认包
              .PSH:推送,0x08。当发送端PSH = 1时,接收端尽快的交付给应用进程。
              RST:复位,0x04。当RST = 1时,表明TCP连接中出现严重差错,必须释放连接,再重新建立连接.SYN
              :同步,0x02。在建立连接是用来同步序号.SYN = 1,ACK = 0表示一个连接请求报文段.SYN = 1,ACK = 1表示
              同意建立连接.FIN:终止,0x01。当FIN = 1时,表明此报文段的发送端的数据已经发送完毕,并要求释放传输连接。
    (8)窗口:用来控制对方发送的数据量,通知发放已确定的发送窗口上限。
    (9)检验和:该字段检验的范围包括头部和数据这两部分。由发端计算和存储,并由收端进行验证。
    (10)紧急指针:紧急指针在URG = 1时才有效,它指出本报文段中的紧急数据的字节数
    (11)TCP选项:长度可变,最长可达40字节

    2,三次握手

    (1)第一次握手:客户端将标志位SYN置为1,随机产生一个值SEQ = X,并将该数据包发送给服务器,客户机进入SYN_SENT状态,等待服务器确认。

    (2)第二次握手:服务器收到数据包后由标志位SYN = 1个知道客户端请求建立连接,服务器将标志位SYN和ACK都置为1,ACK = X + 1,随机产生一个值SEQ = Y,并将该数据包发送给客户端以确认连接请求,服务器进入SYN_RCVD状态。

    (3)第三次握手:客户端收到确认后,检查ACK是否为X + 1,ACK是否为1,如果正确则将标志位ACK置为1,ACK = Y + 1,并将该数据包发送给服务器,服务器检查ACK是否为K + 1,ACK是否为1,如果正确则连接建立成功,客户端和服务器进入ESTABLISHED状态,完成三次握手,随后客户端与服务器之间可以开始传输数据了。

    简单来说,就是

    (1)建立连接时,客户端发送SYN包(SYN = 1)到服务器,并进入到SYN-SEND状态,等待服务器确认

    (2)服务器收到SYN包,必须确认客户的SYN(ACK = I + 1),同时自己也发送一个SYN包(SYN = k)时,即SYN + ACK包,此时服务器进入SYN-RECV状态

    (3)客户端收到服务器的SYN + ACK包,向服务器发送确认报ACK(ACK = K + 1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手,客户端与服务器开始传送数据。

    3,四次挥手

    由于TCP连接时全双工的,因此,每个方向都必须要单独进行关闭,这一原则是当一方完成数据发送任务后,发送一个FIN来终止这一方向的连接,收到一个FIN只是意味着这一方向上没有数据流动了,即不会再收到数据了,但是在这个TCP连接上仍然能够发送数据,直到这一方向也发送了FIN。首先进行关闭的一方将执行主动关闭,而另一方则执行被动关闭,上图描述的即是如此。

    (1)第一次挥手:客户端发送一个FIN,用来关闭客户机到服务器的数据传送,客户端进入FIN_WAIT_1状态。

    (2)第二次挥手:服务器收到FIN后,发送一个ACK给客户端,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),服务器进入CLOSE_WAIT状态。

    (3)第三次挥手:服务器发送一个FIN,用来关闭服务器到客户端的数据传送,服务器进入LAST_ACK状态。

    (4)第四次挥手:客户端收入FIN后,客户端进入TIME_WAIT状态,接着发送一个ACK给服务器,确认序号为收到序号+ 1,服务器进入CLOSED状态,完成四次挥手。

    三,实验操作

    在接下来的实验中,我们将详细分析TCP协议我们通过发送一个150KB的文件到远程服务器来研究TCP分析提供可靠的数据传输; TCP的拥塞控制算法,以及计算机和服务器之间的TCP连接的性能。

    1,从计算机中捕获批量TCP传输到远程服务器

    我们先从远程服务器下载一文件,通过HTTP POST方法将下载的文件传输至另一计算机中,通过wireshark数据包捕获,以及跟踪跟踪发送与接收的TCP数据段。

    具体操作如下:

    (1)启动浏览器,登录下载  http://gaia.cs.umass.edu/wireshark-labs/alice.txt,下载文件存放在本地计算机

    (2)登录远程一服务器,http: //gaia.cs.umass.edu/wireshark-labs/TCP-wireshark-file1.html。

    (3)如下显示,选择(1)中下载的文件,但不要单击“上传alice.txt文件”

    (4)启动的Wireshark的,并开始捕获数据包

    (5)在浏览器中单击“upload alice.txt file”进行文件上传,一旦上传完成,会有一条恭喜信息

    (6)停止的Wireshark的数据包捕获

    2,第一次观察捕获的踪迹

    在捕获到的TCP与HTTP数据包列表中,可以看到包含SYN信息的三次握手,以及一个HTTP POST消息。

    并且还会有一系列本地计算机向远程主机发送的“重组PDU的TCP段”消息(还是看到远程主机返回本地主机)的TCP ACK。

    尝试回答下列问题:

    <1>将文件传输到gaia.cs.umass.edu的客户端计算机(源)使用的IP地址和TCP端口号是什么?

    <2> gaia.cs.umass.edu的IP地址是什么?在哪个端口号上发送和接收连接的TCP段?

    3、TCP基础

    根据对wireshark捕获的数据包的分析,请回答下列问题:

    <3>启动TCP连接的TCP SYN的序号是多少?,此SYN的flag值是多少?

    <4>从服务器回复客户端的SYN的 SYN ACK序号是多少?ACK字段的值是多少,并解释这个值计算方法?在SYN ACK包中,ACK flag与 SYN flag是多少?

    <5>序号是多少的TCP消息段中包含有HTTP POST命令?(请在wireshark底部的DATA区域中找"POST")

    <6>将包含有HTTP POST的TCP段作为第一个段的话,前六个TCP连接段的NO(编号)与序号(seq)是哪什么?前六个ACK段编号又是哪些?

    <7>上述六个TCP段中,每个TCP段的长度是多少?

    <8>对于整个嗅探中,在接收时公布的最小可能缓冲区是多少?

    <9>跟踪文件中,有重新传的数据段吗?如何检查?

    <10>接收器通常在ACK确认中确认多少数据?是否可以识别接收方第隔一个接收到的段来确认情况。

    <11>在接收器在前六个ACK中,每个ACK段的ACK序号及数据大小是多少?

    <12>TCP连接段的吞吐量是多少?(单位时间传输的字节数)?

    (实验改编自计算机网络:自上而下的方法,第7版。)

    展开全文
  • 文章目录Wireshark基本使用Wireshark界面介绍抓包页面Wireshark过滤器设置数据链路层网络层传输层应用层 Wireshark基本使用 点击以太网 Wireshark界面介绍 抓包页面 用Cmder ping 一下qige.io Wireshark过滤器...


    Wireshark基本使用

    点击以太网

    Wireshark界面介绍

    抓包页面


    用Cmder ping 一下qige.io

    Wireshark过滤器设置


    数据链路层

    实作一 熟悉 Ethernet 帧结构
    使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。

    问题

    你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。

    答:Wireshark 抓包前,在物理层网卡已经去掉了一些之前几层加的东西,比如前导同步码,FCS等等,之后利用校验码CRC校验,正确时才会进行下一步操作,因此,抓包软件抓到的是去掉前导同步码、FCS之外的数据,没有校验字段
    实作二 了解子网内/外通信时的 MAC 地址
    ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
    ping 我旁边电脑

    抓包分析

    返回的这个MAC地址为:00:74:9c:9f:40:13。它是我旁边电脑的MAC地址

    然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?

    是54:bf:64:10:26:bc,是网关的mac地址。因为本机接收到的信息必定经由网关发送给我,同理本机发送信息的下个地址必定是网关的mac地址。

    再次 ping www.cqjtu.edu.cn (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少?这个 MAC 地址又是谁的?


    ping不出去,所以也没有抓到包。

    问题 通过以上的实验,你会发现:

    访问本子网的计算机时,目的 MAC 就是该主机的 访问非本子网的计算机时,目的 MAC 是网关的 请问原因是什么?

    答:因为本子网内的信息可以直接到达,而本机接收到的本子网以外的信息必定经由网关发送给我,同理本机发送到本子往外信息的下个地址必定是网关的mac地址。
    实作三 掌握 ARP 解析过程
    1、为防止干扰,先使用 arp -d * 命令清空 arp 缓存

    2、ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。


    发出帧,广播地址:ff:ff:ff:ff:ff:ff
    回复时,是对方的MAC物理地址。

    3、再次使用 arp -d * 命令清空 arp 缓存

    4、然后 ping qige.io (或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 arp 过滤)。查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。

    回复的是子网的网关MAC地址

    问题 通过以上的实验,你应该会发现,

    ARP 请求都是使用广播方式发送的 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的 MAC;如果访问的非本子网的
    IP, 那么 ARP 解析将得到网关的 MAC。 请问为什么?

    答:代理ARP原理:对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信,网关收到源计算机的ARP请求会使用自己的MAC地址与目标计算机的IP地址对源计算机进行应答,访问非子网IP时是通过路由器访问的,路由器再把发出去,目标IP收到请求后,再通过路由器端口IP返回去,那么ARP解析将会得到网关的MAC。

    网络层

    实作一 熟悉 IP 包结构
    使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。

    问题

    为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?

    答:头部长度是来表明该包头部的长度,可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度是为了接收方的网络层了解到传输的数据包含哪些,如果没有该部分,当数据链路层在传输时,对数据进行了填充,对应的网络层不会把填充的部分给去掉。

    实作二 IP 包的分段与重组
    根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
    缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等

    问题

    分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6中,如果路由器遇到了一个大数据包该怎么办?

    答:因为在 IPv6中分段只能在源与目的地上执行,不能在路由器上进行。因此当数据包过大时,路由器就会直接丢弃该数据包包,并向发送端发回一个"分组太大"的ICMP差错报文,之后发送端就会使用较小长度的IP数据报重发数据,所以路由器会直接丢弃再通知发送端进行重传。

    实作三 考察 TTL 事件
    在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为 64、128等。
    在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从 1 开始逐渐增加,直至到达最终目的主机。
    请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。

    TTL逐渐增大

    问题

    在 IPv4 中,TTL 虽然定义为生命期即 Time To Live,但现实中我们都以跳数/节点数进行设置。如果你收到一个包,其 TTL的值为 50,那么可以推断这个包从源点到你之间有多少跳?

    答:由ICMP 回显应答的 TTL 字段值等于128减去TTL返回值,跳数则为128-50=78跳。

    传输层

    实作一 熟悉 TCP 和 UDP 段结构
    1、用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。

    2、用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。

    问题

    由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?

    答:源端口来表示发送终端的某个应用程序,目的端口来表示接收终端的某个应用程序。
    端口号就是来标识终端的应用程序,从而实现应用程序之间的通信。
    实作二 分析 TCP 建立和释放连接
    1、打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。

    2、请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
    第一次握手,同步位(SYN)是1,确认位(ACK)是0
    第二次握手,同步位(SYN)是1,确认位(ACK)是1
    第三次握手,同步位(SYN)是0,确认位(ACK)是1
    3、请在你捕获的包中找到四次挥手释放连接的包,并说明为何它们是用于释放连接的,有什么特征。
    通过发送FIN报文,来告诉对方数据已经发送完毕,断开连接

    问题一

    去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?

    答:它们之间的连接是属于短连接,一旦数据发送完成后,就会断开连接。虽然,断开连接,但是页面还是存在,由于页面已经被缓存下来。一旦需要重新进行发送数据,就要再次进行连接。这样的连接,是为了实现多个用户进行访问,对业务频率不高的场合,节省通道的使用,不让其长期占用通道。

    问题二

    我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?

    答:可能第二次和第三次合并了。如果对方也没有数据发给本端,那么对方也会发送FIN给本端,用于关闭从对方到本端的连接,这时候就可能出现ACK和FIN合在一起的情况。

    应用层

    应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。

    实作一 了解 DNS 解析
    1、先使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。

    2、你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。

    3、可了解一下 DNS 查询和应答的相关字段的含义

    问题

    你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?

    答:为了使服务器的负载得到平衡(因为每天访问站点的次数非常多)网站就设有好几个计算机,每一个计算机都运行同样的服务器软件。这些计算机的IP地址不一样,但它们的域名却是相同的。这样,第一个访问该网址的就得到第一个计算机的IP地址,而第二个访问者就得到第二个计算机的IP地址等等。这样可使每一个计算机的负荷不会太大。
    实作二 了解 HTTP 的请求和应答
    1、打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。

    2、请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
    Accept:告诉WEB服务器自己接受什么介质类型
    Content-Type:WEB 服务器告诉浏览器自己响应的对象的类型
    Content-Length:WEB 服务器告诉浏览器自己响应的对象的长度
    Cache-Control:用来指示缓存系统(服务器上的,或者浏览器上的)应该怎样处理缓存
    Host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
    POST:请求的方式,其中包括URI和版本
    3、请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

    应答代码是200
    Server:服务器通过这个头告诉浏览器服务器的类型。Transfer-Encoding:告诉浏览器数据的传送格式。Content- Type:表示后面的文档属于什么MIME类型。Cache-Control:指定请求和响应遵循的缓存机制

    问题

    刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304
    代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?

    答:浏览器中的缓存,可以直接在缓存区获取到需要的内容,不需要服务器在回复对应的内容,可以减少服务器的一些工作,减小开销。采用200应答就是要完全的将内容发送给客服端,这个会增加服务器的一些开销等

    展开全文
  • Wireshark实验 前言 本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。 准备 了解 Wireshark 的基本使用: 选择对哪块网卡进行数据包捕获 开始/停止捕获 了解 Wireshark 主要窗口区域 ...
  • Wireshark实验

    2020-12-22 21:29:06
    Wireshark实验实验准备数据链路层实作 实验准备 请自行查找或使用如下参考资料,了解 Wireshark 的基本使用: - 选择对哪块网卡进行数据包捕获 - 开始/停止捕获 - 了解 Wireshark 主要窗口区域 - 设置数据包的...
  • Wireshark 实验

    2020-12-25 20:38:31
    和TCP不同的是,对UDP来说,此字段是可选项,而TCP数据段中的校验和字段是必须有的 wireshark抓包实验如下所示: 用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认...
  • wireshark实验之TCP

    千次阅读 2016-11-30 18:11:49
    seq和ack就不说了,但是有一点要提,wireshark中的seq和ack是相对值,不是真实值,真实值在Preferences->Protocols->TCP设置一下才能看到,如下图,也就是说seq和ack是用随机数生成的 把红色得那块得勾去掉就可以...
  • 实验原理】 1.Wireshark  Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据...
  • wireshark抓包原理

    2021-08-04 17:08:37
    一:网络原理(情况) 本机环境:直接抓包本机网卡进出流量 集线器环境:流量防洪,同一突破 交换机环境: a.端口镜像,通过交换器的其他接口流量COPY一份; b.ARP欺骗(arp特性后到优先,错误绑定地址); c.MAC泛...
  • Wireshark实验实验准备1.数据链路层1)实作一 熟悉 Ethernet 帧结构2)实作二 了解子网内/外通信时的 MAC 地址3)实作三 掌握 ARP 解析过程2.网络层1)实作一 熟悉 IP 包结构2)实作二 IP 包的分段与重组3)实作三 ...
  • Wireshark 实验数据链路层实作一 熟悉 Ethernet 帧结构实作二 了解子网内/外通信时的 MAC 地址实作三 掌握 ARP 解析过程2、网络层实作一:熟悉 IP 包结构实作二 IP 包的分段与重组 数据链路层 实作一 熟悉 Ethernet ...
  • 本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark 进行,请根据简介部分自行下载安装。 请自行查找或使用如下参考资料,了解 Wireshark 的基本使用: 1....
  • Wireshark 实验数据链路层1)实作一(熟悉 Ethernet 帧结构)思考题2)实作二(了解子网内/外通信时的 MAC 地址)思考题3)实作三(掌握 ARP 解析过程)思考题网络层实作一(熟悉 IP 包结构)思考题实作二(IP 包的...
  • Wireshark实验:NAT 官方文档第六版第七版第七版翻译 Wireshark_NAT 实验答案 Wireshark_NAT IP地址是192.168.1.100 已经过滤 源地址和端口: 192.168.1.100:4335,目的地址和端口:64.233.169.104:...
  • Wireshark实验六:IP

    2021-09-02 11:53:16
    这是traceroute的核心原理; 首部检验和 (Header Checksum):占 16 位,检验和字段只对首部查错,在每一跳,路由器都要重新计算出的首部检验和并与此字段进行比对,如果不一致,此报文将会被丢弃; 数据 描述您在 ...
  • WORD格式 专业资料整理 实验二 利用 Wireshark 分析协议 HTTP 一实验目的 分析 HTTP协议 二实验环境 与因特网连接的计算机操作系统为 Windows安装有 Wireshark IE 等软件 三实验步骤 1利用 Wireshark 俘获 HTTP分组 ...
  • 文章目录前言一、 数据链路层实作一 熟悉 Ethernet 帧结构实作二 了解子网内/外通信时的 MAC 地址实作三 ...本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark
  • 请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。 ✎ 问题 在 IPv4 中,TTL 虽然定义为生命期即 Time To ...
  • Wireshark 实验 数据链路层 实作一 熟悉 Ethernet 帧结构 使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。 问题 你会发现 Wireshark 展现给我们的帧中没有校验字段,...
  • wireshark实验二:HTTP

    万次阅读 2018-08-08 14:32:14
    一,实验目的 ... 二,实验环境 客户机:安装有Wireshark的Windows7及以上...三,实验原理 1,概念 HTTP协议是超文本传输​​协议的缩写,是用于从万维网(WWW:万维网)服务器传输超文本到本地浏览器的传送协议...
  • 计算机网络原理实验 实验一:使用网络协议分析仪Wireshark 一、实验名称 使用网络协议分析仪Wireshark 二、实验目的: 掌握安装和配置网络协议分析仪Wireshark的方法; 熟悉使用Wireshark工具分析网络协议的基本...
  • Wireshark之抓包原理剖析

    千次阅读 2019-11-22 13:04:59
    Wireshark简介 2.1 Wireshark协议分析器原理图 2.1.1 混杂模式与监视模式区别 2.1.2 数据包过滤器 2.1.3 跟踪缓存区 2.1.4 解码功能 3. 总结 1. 网卡      网卡(NIC)是局域网(LAN,全称是:Local Area NetWork...
  • Wireshark 实验 本部分按照数据链路层、网络层、传输层以及应用层进行分类,共有 10 个实验。需要使用协议分析软件 Wireshark 进行,请根据简介部分自行下载安装。 二、准备 请自行查找或使用如下参考资料,了解 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,716
精华内容 1,486
关键字:

wireshark的实验原理