使用Wireshark对TCP/IP协议进行抓包分析

在windows平台使用Wireshark软件进行抓包分析，了解数据链路层、网络层、传输层和应用层的协议规范。

（一）数据链路层

实作一 熟悉Ethernet帧结构

使用Wireshark进行任意抓包，熟悉 Ethernet 帧的结构，如：目的 MAC、源 MAC、类型、字段等。

可以清楚的看到目的MAC、源MAC、类型和字段等消息。

可以发现Wireshark 展现给我们的帧中没有校验字段，请了解一下原因。
这是因为有时校验和会由网卡计算，这时Wireshark抓到本机发送的数据包的校验和都是错误的，所以Wireshark默认关闭了帧的校验字段显示。

实作二 了解子网内/外通信时的MAC地址

ping旁边处于同一子网内的计算机，同时用Wireshark抓这些包（可使用 icmp 关键字进行过滤以利于分析），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？
可以发现，发出帧的目的MAC是就是自己主机的物理地址，返回帧的MAC地址是对方主机的物理地址。

使用命令ping qige.io（或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可使用icmp进行过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址是多少？这个 MAC 地址是谁的？

可以看出，发出帧的目的MAC是62:92:1a:58:c0:41，返回帧的MAC地址是00:74:9c:9f:40:13，并且返回帧的MAC地址仍然是网关的MAC地址。

再次使用命令ping www.cqjtu.edu.cn（或者本子网外的主机都可以），同时用 Wireshark 抓这些包（可使用功能icmp过滤），记录一下发出帧的目的 MAC 地址以及返回帧的源 MAC 地址又是多少？这个 MAC 地址又是谁的？

结果同上，发出帧的目的MAC是62:92:1a:58:c0:41，返回帧的MAC地址是00:74:9c:9f:40:13，返回帧的MAC地址是网关的MAC地址。

通过以上实验，我们可以发现：

• 访问本子网的计算机时，目的 MAC 就是该主机的
• 访问非本子网的计算机时，目的 MAC 是网关的
  原因是因为同一子网下的主机可以直接广播该主机的MAC地址进行通信，但如果访问非同一子网的计算机时则需要先通过网关进行转发找到该计算机，所以目的MAC是网关的。

实作三 掌握ARP解析过程

为防止干扰，先使用命令arp -d *清空 arp 缓存，然后 ping 旁边处于同一子网的计算机，同时用 Wireshark 抓这些包（可使用arp过滤），查看 ARP 请求的格式以及请求的内容，注意观察该请求的目的 MAC 地址是什么。再查看一下该请求的回应，注意观察该回应的源 MAC 和目的 MAC 地址是什么。


可以看出，请求的目的 MAC 地址ff:ff:ff:ff:ff:ff即广播地址,该请求的回应的源 MAC是被访问主机的MAC地址，目的 MAC 地址是本地主机的MAC地址。
如果出现RP 项删除失败: 请求的操作需要提升的错误，则使用管理员身份打开cmder即可

再次使用arp -d *命令清空 arp 缓存，然后使用ping qige.io命令（也可以ping其他主机），同时用 Wireshark 抓这些包（可使用arp过滤）。查看这次 ARP 请求的是什么，注意观察该请求是谁在回应。


可以看出，这次ARP请求的是网关的MAC地址，由ARP服务器回应给主机。

通过以上的实验，我们会发现，

• ARP 请求都是使用广播方式发送的
• 如果访问的是本子网的 IP，那么 ARP 解析将直接得到该 IP 对应的 MAC；如果访问的非本子网的 IP， 那么 ARP 解析将得到网关的 MAC。
  这是因为访问本子网IP会通过ARP解析出IP的MAC地址；如果访问的是非本子网的IP时APR 只能解析得到网关的MAC地址，再由网关将数据给发送出去。

（二）网络层

实作一 熟悉IP包结构

使用 Wireshark 进行任意抓包（可用 ip 过滤），熟悉 IP 包的结构，如：版本、头部长度、总长度、TTL、协议类型等字段。

为提高效率，我们应该让 IP 的头部尽可能的精简。但在如此珍贵的 IP 头部你会发现既有头部长度字段，也有总长度字段。请问为什么？
通过头部长度字段和总长度字段可以让网络层直接定位IP包中的头部和数据部分，极大的方便了对数据的提取。

实作二 IP包的分段与重组

根据规定，一个IP 包最大可以有 64K 字节，但由于 Ethernet 帧的限制，当 IP 包的数据超过 1500 字节时就会被发送方的数据链路层分段，然后在接收方的网络层重组。缺省的长度的ping 命令只会向对方发送 32 个字节的数据。我们可以使用ping 202.202.240.16 -l 2000命令指定要发送的数据长度。然后使用 Wireshark 抓包（用 ip.addr == 202.202.240.16 进行过滤），了解 IP 包如何进行分段，如：分段标志、偏移量以及每个包的大小等。

可以看出长度为2000字节的IP包被分成了长度为548字节的IP包，通过分段号来作为分段的标志。

分段与重组是一个耗费资源的操作，特别是当分段由传送路径上的节点即路由器来完成的时候，所以 IPv6 已经不允许分段了。那么 IPv6 中，如果路由器遇到了一个大数据包该怎么办？
当IPV6中的路由器遇到数据包过大时，路由器会直接丢弃该数据包同时向发送端发回一个"分组太大"的ICMP报文，之后发送端就会使用较小的IP数据包重发。

实作三 考察TTL事件

在 IP 包头中有一个 TTL 字段用来限定该包可以在 Internet上传输多少跳即通过路由器转发的个数，一般该值设置为 64、128等。
之前我们使用了 tracert 命令进行路由追踪。其原理是主动设置 IP 包的 TTL 值，从 1 开始逐渐增加，直至到达最终目的主机。
这里我们使用tracert www.baidu.com命令进行追踪，同时使用 Wireshark 抓包（用icmp过滤），分析每个发送包的 TTL 是如何进行改变的，从而理解路由追踪原理。

可以看出，主动设置 IP 包的 TTL 值从 1 开始逐渐增加，直至到达最终目的主机，当成功到达主机后主机会回复一个响应表示达到该主机。

在 IPv4 中，TTL 虽然定义为生命期即 Time To Live，但现实中我们都以跳数/节点数进行设置。如果你收到一个包，其 TTL 的值为 50，那么可以推断这个包从源点到你之间有多少跳？
若TTL设置为64的话，从这个包到源点一共有16跳；若TTL设置成128的话，从这个包到源点一共有80跳。

（三）传输层

实作一 熟悉TCP和UDP段结构

用 Wireshark 任意抓包（可用 tcp 过滤），熟悉 TCP 段的结构，如：源端口、目的端口、序列号、确认号、各种标志位等字段。

用 Wireshark 任意抓包（可用 udp 过滤），熟悉 UDP 段的结构，如：源端口、目的端口、长度等。

从上面TCP和UDP格式大家可以看到 UDP 的头部比 TCP 简单得多，但两者都有源和目的端口号。请问源和目的端口号用来干什么？
源端口和目的端口用来提交给应用层的不同程序进程的依据。

实作二 分析TCP建立和释放连接

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用 tcp 过滤后再使用加上Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间使得能够捕获释放连接的包。

在捕获的包中找到三次握手建立连接的包，并说明为何它们是用于建立连接的，有什么特征。

第一次握手时，客户端发送一个SYN=1，ACK=0标志的数据包给服务端，请求进行连接；
第二次握手时，服务端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让客户端发送一个确认数据包，这是第二次握手；
第三次握手时，服务端发送一个SYN=0，ACK=1的数据包给客户端端，告诉它连接已被确认，TCP连接建立，开始通讯。

请在你捕获的包中找到四次挥手释放连接的包，并说明为何它们是用于释放连接的，有什么特征。

从图上可以看出，断开连接时首先由一方发出FIN报文，然后另一方接收并回ACK报文；并且它也会发送一个FIN报文表示断开连接，最开始发送的一方也接收并发ACK报文，TCP连接断开。

去掉 Follow TCP Stream，即不跟踪一个 TCP 流，你可能会看到访问 qige.io 时我们建立的连接有多个。请思考为什么会有多个连接？作用是什么？
多个连接是为了更快的传输数据，为用户提供更好的服务。

我们上面提到了释放连接需要四次挥手，有时你可能会抓到只有三次挥手。原因是什么？
这是因为一方发送断开连接确认ACK的同时也向另一方发送断开连接的请求。

（四）应用层

实作一 了解DNS解析

先使用ipconfig /flushdns命令清除缓存，再使用nslookup qige.io命令进行解析，同时用 Wireshark 任意抓包（可用 dns 过滤）。可以看到当前计算机使用 UDP，向默认的 DNS 服务器的 53 号端口发出了查询请求，而 DNS 服务器的 53 号端口返回了结果。

我们可能会发现对同一个站点，我们发出的 DNS 解析请求不止一个，思考一下是什么原因？
这是因为同一个站点有多个计算机同时运行为我们用户提供服务，因此同一站点会存在多个IP地址。

实作二 了解HTTP的请求和应答

打开浏览器访问 qige.io 网站，用 Wireshark 抓包（可用http 过滤再加上 Follow TCP Stream），不要立即停止 Wireshark 捕获，待页面显示完毕后再多等一段时间以将释放连接的包捕获。

请在你捕获的包中找到 HTTP 请求包，查看请求使用的什么命令，如：GET, POST。并仔细了解请求的头部有哪些字段及其意义。

这里可以看出在HTTP头部使用的是GET命令向服务器发起请求。

请在你捕获的包中找到 HTTP 应答包，查看应答的代码是什么，如：200, 304, 404 等。并仔细了解应答的头部有哪些字段及其意义。

刷新一次 qige.io 网站的页面同时进行抓包，你会发现不少的 304 代码的应答，这是所请求的对象没有更改的意思，让浏览器使用本地缓存的内容即可。那么服务器为什么会回答 304 应答而不是常见的 200 应答？
客户端发出请求时，服务端会检查客户端是否存在该文件，如果客户端不存在该文件，则发送该文件并返回200；如果客户端存在该文件并且该文件在规定期限内没有被修改（Inode，MTime和Size），则服务端只返回一个304，并不返回资源内容，客户端将会使用之前的缓存文件。

参考资料：
1.wireshark抓包新手使用教程
2.Http请求头和响应头(Get和Post)