使用 Wireshark 进行计算机网络协议分析
文章目录
- 实验准备
- Wireshark基本操作
- 一、数据链路层
-
- 实作1:Ethernet帧结构
- 实作2:子网内/外通信时的 MAC 地址
- 实作3:掌握 ARP 解析过程
- 二、网络层
-
- 实作1:熟悉 IP 包结构
- 实作2:IP 包的分段与重组
- 实作3:考察 TTL 事件
- 三、传输层
-
- 实作1:熟悉 TCP 和 UDP 段结构
- 实作2:分析 TCP 建立和释放连接
- 四、应用层
-
- 实作1:了解 DNS 解析
- 实作2:了解 HTTP 的请求和应答
- 五、总结
实验准备
本部分实验用到的是抓包和协议分析软件——Wireshark,下载路径:https://www.wireshark.org/#download
Win10系统安装Wireshark完成后,选择抓包但是不显示网卡,则需要下载win10pcap兼容性安装包。下载路径:win10pcap兼容性安装包
查阅参考资料,了解 Wireshark 的基本使用:
1、选择对哪块网卡进行数据包捕获
2、开始/停止捕获
3、了解 Wireshark 主要窗口区域
4、设置数据包的过滤
5、 跟踪数据流
参考资料
1、官方文档
2、Wireshark抓包新手使用教程
3、Troubleshooting with Wireshark
4、The Official Wireshark Certified Network Analyst Study Guide
5、Wireshark Network Security
Wireshark基本操作
下面使用wireshark工具抓取ping命令操作的示例
-
打开wireshark,选择“捕获”—>“选项”
-
勾选WLAN网卡,点击开始,运行抓包
-
开始后wireshark处于抓包状态
-
Frame: 物理层的数据帧
-
Ethernet II: 数据链路层以太网帧头部信息
-
Internet Protocol Version 4: 网络层IP包头部信息
-
Transmission Control Protocol: 传输层T的数据段头部信
-
Hypertext Transfer Protocol: 应用层的信息
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules
- 执行需要抓包的操作,如在cmd窗口下执行ping www.baidu.com
- 操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析,可以通过在过滤栏设置过滤条件进行数据包列表过滤。
说明:
ip.addr == 14.215.177.39 and icmp表示只显示ICPM协议且源主机IP或者目的主机IP为14.215.177.39的数据包。协议名称icmp要小写。
一、数据链路层
实作1:Ethernet帧结构
使用 Wireshark 任意进行抓包,熟悉 Ethernet 帧的结构,如:目的 MAC、源 MAC、类型、字段等。
Ethernet 帧的结构:
- 目的 MAC:00:74:9c:9f:40:13
- 源 MAC:d4:25:8b:68:04:16
- 类型: IPv4(0x0800)
✎ 问题
你会发现 Wireshark 展现给我们的帧中没有校验字段,请了解一下原因。
✍ 解答
Wireshark 抓包前,在物理层网卡已经去掉了一些之前几层加的东西,比如前导同步码,FCS等等,之后利用校验码CRC校验,正确时才会进行下一步操作,这时才开始进行抓包,因此,抓包软件抓到的是去掉前导同步码、FCS之外的数据,没有校验字段。
实作2:子网内/外通信时的 MAC 地址
- ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
- ping 旁边的计算机(同一子网)
- 用 Wireshark 抓这些包(可使用 icmp 关键字进行过滤以利于分析)
- 发出帧的目的 MAC 地址以及返回帧的源 MAC 地址如下:
目的 MAC 就是同一子网里的该计算机的MAC地址。
- 然后
ping qige.io(或者本子网外的主机都可以),同时用 Wireshark 抓这些包(可 icmp 过滤),记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少?这个 MAC 地址是谁的?
-
ping qige.io:
-
用Wireshark 抓这些包(可 icmp 过滤)
-
发出帧的目的 MAC 地址以及返回帧的源 MAC 地址如下:
目的 MAC 是本主机所在子网的网关MAC地址。
✎ 问题
通过以上的实验,你会发现: 访问本子网的计算机时,目的 MAC 就是该主机的 访问非本子网的计算机时,目的 MAC 是网关的
原因:
ARP代理,访问非子网计算机时是通过路由器转接的,MAC地址是接入路由器端口的地址,再通过路由器发给相应计算机。
实作3:掌握 ARP 解析过程
-
为防止干扰,先使用
arp -d *命令清空 arp 缓存
注:若出现“ARP项删除失败:请求的操作需要提升”的问题,则以管理员身份运行cmder即可。 -
ping 你旁边的计算机(同一子网),同时用 Wireshark 抓这些包(可 arp 过滤),查看 ARP 请求的格式以及请求的内容,注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应,注意观察该回应的源 MAC 和目的 MAC 地址是什么。
-
再次使用
arp -d *命令清空 arp 缓存,然后ping qige.io(或者本子网外的主机都可以)
-
同时用 Wireshark 抓这些包(可 arp 过滤)。
-
查看这次 ARP 请求的是什么,注意观察该请求是谁在回应。
✎ 问题
通过以上的实验,你应该会发现 ARP 请求都是使用广播方式发送的, 如果访问的是本子网的 IP,那么 ARP 解析将直接得到该 IP 对应的MAC;如果访问的非本子网的 IP, 那么 ARP 解析将得到网关的 MAC。 请问为什么?
解答:
ARP解析是先看arp表中是否有目的地址,如果有就不需要再次建立联系了,可以获取到目的MAC。如果没有就需要发送ARP请求,来获取目的MAC。如果目的地址是属于同一个子网,则不行要通过网关就能够进行通信,而不在同一个子网中就需要通过网关才能够建立联系。
二、网络层
实作1:熟悉 IP 包结构
使用 Wireshark 任意进行抓包(可用 ip 过滤),熟悉 IP 包的结构,如:版本、头部长度、总长度、TTL、协议类型等字段。
- 版本号(Version):IPv4。标识目前采用的IP协议的版本号,一般的值为0100(IPv4),0110(IPv6)
- IP包头长度(Header Length):20 bytes。这个字段的作用是为了描述IP包头的长度,因为在IP包头中有变长的可选部分。IP包头最小长度为20字节。
- IP包总长度(Total Length):52
- 生存时间(TTL):128s,长度8bit。当IP包进行传送时,先会对该字段赋予某个特定的值。当IP包经过每一个沿途的路由器的时候,每个沿途的路由器会将IP包的TTL值减少1。如果TTL减少为0,则该IP包会被丢弃。这个字段可以防止由于路由环路而导致IP包在网络中不停被转发。
- 协议(Protocol):UDP(17)。标识了上层所使用的协议。
- 头部校验(Header Checksum):长度16位。用来做IP头部的正确性检测,但不包含数据部分。 因为每个路由器要改变TTL的值,所以路由器会为每个通过的数据包重新计算这个值。
✎ 问题
为提高效率,我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段,也有总长度字段。请问为什么?
解答:
头部长度是来表明该包头部的长度,头部有一行是可选的,可以要,也可以不要。
总长度是为了接收方的网络层了解到传输的数据包含哪些,如果没有该部分,当数据链路层在传输时,对数据进行了填充,对应的网络层不会把填充的部分给去掉。
实作2:IP 包的分段与重组
根据规定,一个 IP 包最大可以有 64K 字节。但由于 Ethernet 帧的限制,当 IP 包的数据超过 1500字节时就会被发送方的数据链路层分段,然后在接收方的网络层重组。
缺省的,ping 命令只会向对方发送 32 个字节的数据。我们可以使用 ping 202.202.240.16 -l 2000 命令指定要发送的数据长度。此时使用 Wireshark 抓包(用 ip.addr == 202.202.240.16 进行过滤),了解 IP 包如何进行分段,如:分段标志、偏移量以及每个包的大小等
- 使用
ping 202.202.240.16 -l 2000命令指定要发送的数据长度
- 用 Wireshark 抓包(用
ip.addr == 202.202.240.16进行过滤)
- 标识符(Identifier):长度16bit。该字段和Flags和Fragment Offest字段联合使用,对较大的上层数据包进行分段(fragment)操作。
- 分段标志(Flags):MF、DF、未用。MF=1表示后面还有分段的数据包,MF=0表示没有更多分片(即最后一个分片)。DF=1表示路由器不能对该数据包分段,DF=0表示数据包可以被分段。
- 量偏移(Fragment Offset):1480,长度13bit。表示该IP包在该组分片包中位置,接收端靠此来组装还原IP包。
- 每个包的大小:1480与528
✎ 问题
分段与重组是一个耗费资源的操作,特别是当分段由传送路径上的节点即路由器来完成的时候,所以 IPv6 已经不允许分段了。那么 IPv6 中,如果路由器遇到了一个大数据包该怎么办?
解答:
当数据包过大时,由于在 IPv6中分段只能在源与目的地上执行,不能在路由器上进行,所以路由器就会直接丢弃该数据包,并向发送端发回一个"分组太大"的ICMP差错报文,之后发送端就会使用较小长度的IP数据报重发数据。
实作3:考察 TTL 事件
在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳(hops),一般该值设置为64、128等。
在验证性实验部分我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值,从1开始逐渐增加,直至到达最终目的主机。
请使用 tracert www.baidu.com 命令进行追踪,此时使用 Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的,从而理解路由追踪原理。
-
使用
tracert www.baidu.com命令进行追踪
-
使用 Wireshark 抓包(用 icmp 过滤)
因为TTL每经过一个路由器的时候都会被减1,所以主机发的报文生存周期从1开始不断地变大,当TTL等于0的时候就会被抛弃,并且返回一个超时的ICMP数据包。
三、传输层
实作1:熟悉 TCP 和 UDP 段结构
- 用 Wireshark 任意抓包(可用 tcp 过滤),熟悉 TCP 段的结构,如:源端口、目的端口、序列号、确认号、各种标志位等字段。
- 源端口(Source Port):443,16位字段,发送该报文段的主机中应用程序的端口号。
- 目的端口(Destination Port):62577,16位字段。
- 序号(Sequence Number):3594573376,32位字段。指派给本报文段第一个数据字节的编号,TCP传输保证连接性,发送的每个字节都要编上号。
- 确认号(Acknowledgment Number):3070561592,32位字段。定义了接收方期望从对方接受的字节编号。
- 标志位(Flags):URG(紧急位)、SYN(同步位)、ACK(确认位)、FIN(结束位)、RST(重置位)
- 用 Wireshark 任意抓包(可用 udp 过滤),熟悉 UDP 段的结构,如:源端口、目的端口、长度等。
-
源端口(Source Port): 8000
-
目的端口(Destination Port):4022
-
长度(Length): 95
✎ 问题
由上大家可以看到 UDP 的头部比 TCP 简单得多,但两者都有源和目的端口号。请问源和目的端口号用来干什么?
解答:
传输层实现的是端到端的通信,也就是说两台设备之间的进程通信,而进程通信需要两边的确认,因此在传输层无论选择哪种协议,都需要源端口号与目的端口号实现端到端的进程通信。
实作2:分析 TCP 建立和释放连接
打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。
-
打开浏览器访问 qige.io 网站
-
用 Wireshark 抓包(可用 tcp 过滤后再使用加上 Follow TCP Stream)
-
请在你捕获的包中找到三次握手建立连接的包,并说明为何它们是用于建立连接的,有什么特征。
-
第一次握手
syn=1;ack=0
- 第二次握手
syn=1;ack=1
- 第三次握手
syn=0;ack=1
TCP三次握手连接建立过程
-
Step1:客户端发送一个SYN=1,ACK=0标志的数据包给服务端,请求进行连接,这是第一次握手;
-
Step2:服务端收到请求并且允许连接的话,就会发送一个SYN=1,ACK=1标志的数据包给发送端,告诉它,可以通讯了,并且让客户端发送一个确认数据包,这是第二次握手;
-
Step3:服务端发送一个SYN=0,ACK=1的数据包给客户端端,告诉它连接已被确认,这就是第三次握手。TCP连接建立,开始通讯。
✎ 问题一
去掉 Follow TCP Stream,即不跟踪一个 TCP 流,你可能会看到访问 qige.io时我们建立的连接有多个。请思考为什么会有多个连接?作用是什么?
解答:
它们之间的连接是属于短连接,一旦数据发送完成后,就会断开连接。虽然,断开连接,但是页面还是存在,由于页面已经被缓存下来。一旦需要重新进行发送数据,就要再次进行连接。这样的连接,是为了实现多个用户进行访问,对业务频率不高的场合,节省通道的使用,不让其长期占用通道。
✎ 问题二
我们上面提到了释放连接需要四次挥手,有时你可能会抓到只有三次挥手。原因是什么?
解答:
在最终的数据交换有四次,其中第二次和第三次可以合并,当出现这种情况时就只能抓到三个包。
四、应用层
应用层的协议非常的多,我们只对 DNS 和 HTTP 进行相关的分析。
实作1:了解 DNS 解析
- 先使用
ipconfig /flushdns命令清除缓存,再使用nslookup qige.io命令进行解析,同时用 Wireshark 任意抓包(可用 dns 过滤)。
- 使用
ipconfig /flushdns命令清除缓存
- 使用
nslookup qige.io命令进行解析
- 用 Wireshark 任意抓包(可用 dns 过滤)
-
你应该可以看到当前计算机使用 UDP,向默认的 DNS 服务器的 53 号端口发出了查询请求,而 DNS 服务器的 53 号端口返回了结果。
-
可了解一下 DNS 查询和应答的相关字段的含义
- QR:查询/应答标志。0表示这是一个查询报文,1表示这是一个应答报文。
- opcode:定义查询和应答的类型。0表示标准查询,1表示反向查询(由IP地址获得主机域名),2表示请求服务器状态。
- AA:授权应答标志,仅由应答报文使用。1表示域名服务器是授权服务器。
- TC:截断标志,仅当DNS报文使用UDP服务时使用。1表示DNS报文超过512字节,并被截断
- RD:递归查询标志。1表示执行递归查询,即如果目标DNS服务器无法解析某个主机名,则它将向其他DNS服务器继续查询,如此递归,直到获得结果并把该结果返回给客户端。0表示执行迭代查询,即如果目标DNS服务器无法解析某个主机名,则它将自己知道的其他DNS服务器的IP地址返回给客户端,以供客户端参考
- RA,允许递归标志。仅由应答报文使用,1表示DNS服务器支持递归查询。
- zero:这3位未用,必须设置为0。
- rcode:4位返回码,表示应答的状态。常用值有0(无错误)和3(域名不存在)。
✎ 问题
你可能会发现对同一个站点,我们发出的 DNS 解析请求不止一个,思考一下是什么原因?
解答:
因为我们访问的网址只有一个域名,但是并不只有一台服务器主机,因此每一台服务器的IP地址不同,但他们的域名都是相同的。因此发出的解析请求是分散给不同服务器。
实作2:了解 HTTP 的请求和应答
- 打开浏览器访问 qige.io 网站,用 Wireshark 抓包(可用http 过滤再加上 Follow TCP Stream),不要立即停止 Wireshark 捕获,待页面显示完毕后再多等一段时间以将释放连接的包捕获。
-
打开浏览器访问 qige.io 网站,用 Wireshark 抓包
-
用http 过滤再加上 Follow TCP Stream
- 请在你捕获的包中找到 HTTP 请求包,查看请求使用的什么命令,如:GET, POST。并仔细了解请求的头部有哪些字段及其意义。
可以看到这个请求其命令使用的是POST
请求的头部解析:
- Accept:告诉WEB服务器自己接受什么介质类型
- Content-Type:WEB 服务器告诉浏览器自己响应的对象的类型
- Content-Length:WEB 服务器告诉浏览器自己响应的对象的长度
- Cache-Control:用来指示缓存系统(服务器上的,或者浏览器上的)应该怎样处理缓存
- Host:客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
- POST:请求的方式,其中包括URI和版本
- 请在你捕获的包中找到 HTTP 应答包,查看应答的代码是什么,如:200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。
可以看到应答的代码200
应答的头部解析:
- Server:服务器通过这个头告诉浏览器服务器的类型
- Transfer-Encoding:告诉浏览器数据的传送格式
- Date:当前的GMT时间
- Content- Type:表示后面的文档属于什么MIME类型
- Cache-Control:指定请求和响应遵循的缓存机制
✍ 建议:
HTTP 请求和应答的头部字段值得大家认真的学习,因为基于 Web 的编程中我们将会大量使用。如:将用户认证的令牌信息放到头部,或者把 cookie 放到头部等。
✎ 问题
刷新一次 qige.io 网站的页面同时进行抓包,你会发现不少的 304 代码的应答,这是所请求的对象没有更改的意思,让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答?
解答:
服务器对于浏览器的第一次应答对于浏览器来说已经有了缓存,因此浏览器第二次发送请求的时候,服务器会回复浏览器上次请求的资源现在在缓存里,因此服务器根据浏览器传来的时间发现和当前请求资源的修改时间一致,应答304,表示不再重新传送。
五、总结
通过使用 Wireshark软件对计算机网络协议进行分析,我对计算机网络的相关协议有了更加深刻地了解,并能在实验中熟练运用,并掌握了计算机网络数据链路层、网络层、传输层、物理层的相关知识与内容。