一、数据链路层
1.熟悉 Ethernet 帧结构
ping www.baidu.com
由图可见,目的Mac为00:74:9c:9f:40:13, 源Mac地址为40:5b:d8:32:98:07,类型为IPV4
问题解答:
Wireshark 抓包前,在物理层网卡已经去掉了一些之前几层加的东西,比如前导同步码,FCS等等,之后利用校验码CRC校验,正确时才会进行下一步操作,因此,抓包软件抓到的是去掉前导同步码、FCS之外的数据,没有校验字段
2.了解子网内/外通信时的 MAC 地址
(1)我的IP地址为10.160.173.49,ping 10.160.173.50
可以看到,目的Mac仍然为00:74:9c:9f:40:13,源Mac地址仍然为40:5b:d8:32:98:07;
因为无法访问目标主机,所以请求的包到达了网关,那么目的Mac地址本该为被访问主机的MAC地址,现在变成了网关的Mac地址,源MAC地址应该是本机的物理地址,
(2)ping www.baidu.com
目的Mac仍然为00:74:9c:9f:40:13(网关的),源Mac地址仍然为40:5b:d8:32:98:07(本机的)(3)ping qige.io
目的Mac仍然为00:74:9c:9f:40:13(网关的),源Mac地址仍然为40:5b:d8:32:98:07(本机的)
(4)问题解答:
因为本子网内的信息可以直接到达,而本机接收到的本子网以外的信息必定经由网关发送给我,同理本机发送到本子往外信息的下个地址必定是网关的mac地址。
3.掌握 ARP 解析过程
本机IP地址为192.168.43.68,ping 192.168.43.210
用 Wireshark 抓这些包(可 arp 过滤)
查看ARP请求格式
请求的内容为目标IP的MAC地址
该请求的目的 MAC 地址是00:00:00_00:00:00
查看请求回应
回应的源Mac地址为HuaweiTe_8e:33:68(24:31:54:8e:33:68)
目的Mac地址为40:5b:d8:32:98:07,恰好为请求方的MAC地址
(2)ping qige.io
查看ARP请求
可以看到,该请求是网关在回应
(3)问题解答:
对于没有配置缺省网关的计算机要和其他网络中的计算机实现通信,网关收到源计算机的ARP请求会使用自己的MAC地址与目标计算机的IP地址对源计算机进行应答,访问非子网IP时需要经过网关出入,通过路由器把包发出去,目标IP收到请求后,再通过路由器端口IP返回去,那么ARP解析将会得到网关的MAC。
二、网络层
1.熟悉 IP 包结构
版本为4,头部长度为20字节,总长度为60字节,存活时间64,协议类型为ICMP
问题解答:
头部长度是来表明该包头部的长度,可以使得接收端计算出报头在何处结束及从何处开始读数据。总长度是为了接收方的网络层了解到传输的数据包含哪些,如果没有该部分,当数据链路层在传输时,对数据进行了填充,对应的网络层不会把填充的部分给去掉。
2.IP 包的分段与重组
ping 202.202.240.16 -l 2000
用 ip.addr == 202.202.240.16 进行过滤
打开Flags查看信息
问题解答:
因为在 IPv6中分段只能在源与目的地上执行,不能在路由器上进行。因此当数据包过大时,路由器就会直接丢弃该数据包包,并向发送端发回一个"分组太大"的ICMP差错报文,之后发送端就会使用较小长度的IP数据报重发数据,所以路由器会直接丢弃再通知发送端进行重传。
3.考察 TTL 事件
使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤)
TTL为1
TTL为2
TTL为3
TTL是每经过一次路由器就减一,所以每个发送包的TTL的TTL依次递增。由此我们可以知道该追踪原理就是:TTL从1开始发送,每到一个路由器就减一,TTL到0之后就返回时间超过的差错报文。
问题解答:
TTL的值为50,与之相近的最近的为64,所以可以推断这个包从源点到你之间有64-50-1=13跳
三、传输层
1.熟悉 TCP 和 UDP 段结构
(1)Wireshark 任意抓包(可用 tcp 过滤)
由图可见,源端口为64178、目的端口为443、序列号为1、确认号为1。
各种标志位:Urgent紧急位为0正常,Acknowledgment确认位为1,Push推位为0,Reset恢复位为0正常(当为1时表示拒绝访问),SYN同步位为0(当用于三次握手的前两次时置为1),Fin结束位为0(用于结束后释放连接)(2)用 Wireshark 任意抓包(可用 udp 过滤)
源端口为8200,目的端口为64962,长度为66
问题解答:
源端口来表示发送终端的某个应用程序进程,目的端口来表示接收终端的某个应用程序进程。端口号就是来标识终端的应用程序进程,从而实现应用程序进程之间的通信。
2.分析 TCP 建立和释放连接
访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream)
在捕获的包中找到三次握手建立连接的包
64422第一次请求(包含Seq序列号0,长度0,SYN同步位)到达443,443回复(SYN同步位,ACK确认号1,)给64422,
然后64422第二次请求(ACK确认号为1),三次握手建立连接成功在捕获的包中找到四次挥手释放连接的包
从图中可看到443到64422的过程中,有FIN结束位,说明此次过程用于释放连接。
主机发出 FIN 信号请求断开,服务器端回应一个 ACK 确认信号,然后服务器端又发出一个 FIN 信号(这里将 ACK 和 FIN 合并成立一个包),最后主机回应一个 ACK 确认信号,即可断开连接。
问题解答:
1.建立多个连接的目的是为了加快网页加载速度,保证通信的流畅与稳定。
2.只抓到三次挥手是因为第四次挥手是用于释放连接,一般是合并到第三次握手过程中去了。
四、应用层
1.了解 DNS 解析
使用 ipconfig /flushdns 命令清除缓存,再使用 nslookup qige.io 命令进行解析
Wireshark DNS过滤
可以看到,当前计算机使用 UDP用户数据报协议,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了对应的结果。通过对比,发现nslookup qige.io得到的Address为本机的DNS服务器IP地址,
Queries #问题部分
baidu.com: type A, class IN
Name: baidu.com #查询名字段, 这里请求域名baidu.com
[Name Length: 9]
[Label Count: 2]
Type: A (Host Address) (1) #查询类型字段, 这里为A类型
Class: IN (0x0001) #查询类字段, 这里为互联网地址对比上述资料分析,了解查询相关字段含义
应答相关字段
Answers #“回答问题区域”字段
baidu.com: type A, class IN, addr 220.181.57.216 #资源记录部分
Name: baidu.com #域名字段, 这里请求的域名为baidu.com
Type: A (Host Address) (1) #类型字段, 这里为A类型
Class: IN (0x0001) #类字段
Time to live: 5 #生存时间
Data length: 4 #数据长度
Address: 220.181.57.216 #资源数据, 这里为IP地址
baidu.com: type A, class IN, addr 123.125.115.110 #资源记录部分
Name: baidu.com
Type: A (Host Address) (1)
Class: IN (0x0001)
Time to live: 5
Data length: 4
Address: 123.125.115.110对比上述资料分析,了解应答相关字段含义
问题解答:
为了使服务器负载得到平衡(因为每天访问站点的次数非常多)网站就设有好几个计算机,每一个计算机都运行同样的服务器软件。这些计算机的IP地址不一样,但它们的域名却是相同的。这样,第一个访问该网址的就得到第一个计算机的IP地址,而第二个访问者就得到第二个计算机的IP地址等等。这样可使每一个计算机的负荷不会太大。
2.了解 HTTP 的请求和应答
访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream)
在捕获的包中找到 HTTP 请求包
可以看到使用的是Get命令
HTTP请求头部字段意义:
host 客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
User-Agent 浏览器表明自己的身份(是哪种浏览器)。
Accept 告诉WEB服务器自己接受什么介质类型,
Accept-Language 浏览器申明自己接收的语言语言跟字符集的区别:中文是语言,中文有多种字符集,比如big5,gb2312,gbk等等
Accept-Encoding 浏览器申明自己接收的编码方法,通常指定压缩方法,是否支持压缩,支持什么压缩方法 (gzip,deflate)
Content-Encoding WEB服务器表明自己使用了什么压缩方法(gzip,deflate)压缩响应中的对象。
Cookie 这个头信息把之前发送到浏览器的 cookies 返回到服务器。
Referer 浏览器向 WEB 服务器表明自己是从哪个 网页/URL 获得/点击 当前请求中的网址/URL
Proxy-Authenticate 代理服务器响应浏览器,要求其提供代理身份验证信息
Range 浏览器(比如 Flashget 多线程下载时)告诉 WEB 服务器自己想取对象的哪部分。
If-Unmodified-Since 如果请求的对象在该头部指定的时间之后没修改过,才执行
Content-Type WEB 服务器告诉浏览器自己响应的对象的类型。
在捕获的包中尝试找 HTTP 应答包
没找到,通过查找资料了解到如果找到应该类似于下面这样:
Date:通用字段,但通常出现在响应头里,表示 HTTP 报文创建的时间,客户端可以使用这个时间再搭配其他字段决定缓存策略
Server:响应字段,它告诉客户端当前正在提供 Web 服务的软件名称和版本号,例如“Server: openresty/1.15.8.1”。但是出于安全考虑,一般不会给出具体的,比如“GitHub.com”。
Content-Type:文本类型字段,这里是HTML文本,采用“utf-8”格式
Status:状况字段,显示OK代表已经完成
问题解答:
如果资源没有变,服务器就回应一个“304 Not Modified”,表示缓存依然有效,浏览器就可以更新一下有效期,然后放心大胆地使用缓存了。
如果资源变了,服务器返回状态码200,并发送新页面的全部内容。使用“304”可以减小流量和带宽开销。
