下图是校园网某台主机在命令行模式下执行某个命令时用sniffer捕获的数据包。
抓包分析 5~8行为主机发出的DNS解析,源地址为202.113.64.137(主机的IP地址),目的IP地址为202.113.64.3(DNS服务器的IP地址),请求的解释的域名为 mali.tj.edu.cn。C表示源到目的,R表示目的到源。
9~14行可以通过ICMP:Echo确定是ICMP报文,报文中的TTL(Time-to-live): 表示报文的生存时间,可经过的最多路由数,即数据包在网络中可通过的路由器数的最大值。出现TTL值表示每经过一个路由器,TTL值就会减一,表明执行的是tracert命令,来显示数据报的路径。
第一条路由 202.113.64.129
第二条路由 202.113.77.253
请根据图中信息回答下列问题。 (1)该主机上配置的IP地址的网络号长度最多是____28_____
需要使IP地址的网络号最多,取202.113.64.137和202.113.64.129
前三段都相同,将第四段转换二进制
10000101
10000001
前4位相同,加上前三段,共28位,所有网络号地址为28位 (2)图中的①和②删除了部分显示信息,其中①处的信息应该是_ICMP______ ②处的信息应该是____mali.tj.edu.cn_______
第一空位应填协议名,其中选中的报文是ICMP。
第二空填解析的域名 (3)该主机上配置的域名服务器的IP地址是____202.113.64.3________ (4)该主机上执行的命令是__tracert mali.tj.edu.cn_________
因为进行了域名解析,tracert后面应该是域名。
例题二下图是校园网某台主机使用浏览器访问某个网站,在地址栏键入其URL时用sniffer捕获的数据包。
(1)该URL是https://mali.pku.edu.cn 从25行可以看出主机发出的域名解析为mali.pku.edu.cn,从27行建立TCP三次握手的第一个包的目的端口为443,表明为HTTPS协议。
(2)该主机配置的DNS服务器的1P地址是59.67.148.5
(3)图中的①②③删除了部分显示信息,其中②应该是 _1327742113______ ③应该是 __6____
第一个空为TCP三次握手的知识 ,其中第三次握手ACK值应为第二次握手SEQ值加1,第三次的Ack为1327742114,所以第二次握手的seq值为1327742113
TCP第一包
客户机发给服务器,seq位置为X
TCP第二包
服务器回给客户机 seq=y,Ack=x+1(其中的x为第一包里面的X)
TCP第三包
客户机发给服务器 Seq=x+1(seq的值就是第二个包的Ack的值),ack=y+1(其中的y为第二包里面的seq的y)
第二空为6,因为TCP的协议号为6,UDP的协议号为17 (4)该主机的IP地址是___202.113.78.111______
在17行报文点开,下面报文的详细信息中的source address=[202.113.78.111],所以主机的IP地址为202.113.78.111
例题三下图是一台主机在命令行模式下执行某个命令时用sniffer捕获的数据包.
该主机上执行的命令完整内容是 ping www..bupt,edu.cn
ping命令和tracert命令都是利用监听ICMP的报文来工作的。
只是png命令默认情况下发送4个报文,每个报文包含64字节数据。
tracert命令是通过发送包含不同TTL的CMP报文并监听回应报文,来探测到达目的计算机的路径。
解析的域名为www.bupt.edu.cn。从报文段可以得出本题使用"ping”命令监听ICMP协议传输出错报告控制信,报文结构"ICMP header'”部分中显示"[1024 bytes of data]”,该语句表示每次发送1024字节的数据。
主机59.67.148.5的功能是 DNS,其提供服务的缺省端口是 53
第158~159行是DNS域名解析的过程,解析的域名为www.bupt.edu.cn,是由客户机(P地址为202.113.78.123)向DNS服务器(IP地址为59.67.148.5)发送域名解析的请求,提供服务的默认端口是53
图中①处删除了部分显示信息,该信息应该是 Echo
返回的是ICMP的头,其中TYPE=8,并且显示返回的内容为Echo
如果用Sniffer统计网络流量中各种应用的分布情况,应打开的窗口是 Protocol Distribution
Dashboard:实时显示网络的数据传输率、宽带利用率和出错率,并可以提供各种统计数据的图形化显示。Host Table:以表格或图形方式显示网络中各节点的数据传输情况。Matriⅸ:实时显示网络各节点的连接信息,并提供统计功能。Protocol Distribution:统计网络流量中各种协议和应用的分布情况,统计信息可以通过表格或图形方式显示。Application Response Time:实时监测客户端与服务器的应用连接响应时间。当发现响应超时,就会发出报警。 例题四下图是在一台主机上用sniffer捕获的数据包,请根据显示的信息回答下列的问题。
1.该主机的IP地址是202.113.64.166 2.该主机上正在浏览的网站是 www.edu.cn
由TCP三次握手过程可知,主机202.113.64.166需要连接的是www.edu.cn。所以该主机正在浏览的网站是www.edu.cn。
3.该主机上设置的DNS服务器的P地址是211.81.20.200 4.该主机采用HTTP协议进行通信时,使用的源端口是80 5.根据图中"No."栏中的信息,标示TCP连接三次握手过程完成的数据包的标号是7
例题五下图是用sniffer捕获一台主机用浏览器访问某网站时的数据包。
IP地址为211.81.20.200的主机功能是DNS,被浏览网站的IP地址是202.113.64.2
解析域名,WWW服务器IP地址可以从下面抓包详情里面看到
图中的①~⑥删除了部分显示信息,其中②处应该是583056467584,④处应该是www.tjut.edu.cn ,⑥处应该是60143086952
seq值可以从下面抓包详情里面看到,IP地址后跟网站的域名,ACK值为上一个包的seq+1
源地址是客户机,目的地址是远端被访问的网站名。因此可以推断该行时客户机向远端被访问网站发送请求报文,get。