发布时间 : 星期三 文章计算机三级考试snifeer抓包分析答题方法更新完毕开始阅读
1.问题一般会出在TCP三次握手数据包数值上,比如ACK,SYN
反正你看到TCP,后面跟的是SYN 紧跟着的绝对是ACK=什么什么,然后就是SEQ=什么什么。数值上SEQ=ACK+1
有些题会让你填写删除信息的内容,一般都是ACK,SEQ被删掉了。 然后下一行的ACK数值绝对是上一行SEQ+1,问ACK“位”,则写1 2.还有些题会问你IP地址,这简直送分找“source address”。
主机功能是什么?你看下他是不是DNS,是的话就写域名解析。 3.问端口号则找“Destination port”对应的数值
4.问DNS服务器地址,就找“DNS R”(就是DNS服务器反馈信息)对应的源IP地址。 问“采用的HTTP协议源端口”就填80 问“过滤选项”,就写“data pattern” 问\是或者否\就写“否”
问“DNS域名”,就看信息里面DNS后面出现的“NAME=什么什么”,这“什么什么”就是域名
从第9号开始看,这个是执行的tracert命令用来显示数据包到达目标主机所经过的路径。遵循ICMP协议。每经过一个路由器,数据包初始值就会减少1,当减为0时,则超时(time exceeded),从第9步可以看出发出数据包,ICMP为echo,有响应,然后第10步就出现超时了,说明经过了一个路由器,所以同理找第二次出现time-exceeded的地方,就是第12步,应该就是经过了第二个路由器,所以我猜测是202.113.64.129
分两种情况,第一种是事
先没有建立连接的情况,看报文摘要的Type 分为release,discover,offer,request,ack 顾名思义,他要先释放release,然后寻找discover愿意搭理客户机的DHC服务器,接着DHCP给一个意愿offer,再客户机拿着这个申请request去找DHCP,最后达成确认ack
所以只要见到release,源IP就是主机的IP地址Client address,目的IP地址就是DHCP服务器的IP地址
除了这一个release,其他所有的目的地址都写255.255.255.255 见到discover和request源IP地址写0.0.0.0
见到offer和ack源IP地址写DHCP服务器IP地址(也就是release的目的IP)
见到问DHCP Enable 就回答Yes。
剩下的就是连连看,报文和执行ipconfig/all中互相对应 Client address对应IP Address 主机地址
Client hardware Address 对应Physics Address 物理地址MAC
Gateway Address 对应 Defoult Address 网关地址 Subnet Mask上下都是一样的
Domain Name Server Address就是DNS服务器地址,看头字母。 其他的Client Address附近client self。。让你填空,就写0.0.0.0
问“与DHCP配置有关问题”,就回答“配置错误” 问是否收回地址租约,回答“否” 问“win2000 sever租期”,回答“8“天
问设置添加排除起始IP,就写题干说的起始IP,结束IP就写起始IP+1. 问物理地址长度多少bytes,就写”6“
请根据显示的信息回答下列的问题
(1) 该主机的正在访问的www服务器的IP地址是 【16】 (2) 根据图中“No.”栏中标号,表示TCP连接三次握手过程开始的数据包标号是【17】 (3) 标号为“7”的数据包的源端口应为 【18】 ,该数据包TCP Flag的ACK位应为 【19】 (4) 标号为“7”的数据包“Summary”栏中被隐去的信息中包括ACK的值,这个值应为 【20】
上半部分图是:域名解析和TCP(三次握手)连接过程 先来1到4行的域名解析 先申明,summary内的分析有的是我个人认为
首先来个猜测吧:c代表client表示客户机,r表示reply(响应) 第1行:源地址:202.113.64.166访问目的地址:211.81.20.200(dns服务器) 申明一点summary的第一个单词只是告诉我们这一步在做什么,4个dns并不表示4个服务器 继续,源地址访问目的地址请求查询 www.tjut.edu.cn 第2行,dns服务器在缓存中找到了www.tjut.edu.cn与IP地址的对应关系,所以STAT=OK 如果缓存没有的话,还会有下一步,下一步没有,还有再下一步 但是这题一步搞定,3,4步不看了,和1,2步差不多 域名解析完毕
5,6行建立tcp连接:源地址:202.113.64.166,目的地址:www.tjut.edu.cn 5,6,7即为三次握手过程
现在开始回答问题
正在访问的www服务器域名我们知道是www.tjut.edu.cn 第5行是三次握手的开始 握手第一步,发送syn同步包,产生一个随机值 即SYN SEQ=143086951
第6行,被访问的网站作回应说明收到了包,并产生确定值SYN ACK=143086952 ACK表示确认字符
ACK值则是上一步的SEQ加1
第五行是202.113.64.166请求访问WWW,TJUT.EDU.CN
第六行是WWW,TJUT.EDU.CN发给202.113.64.166确认消息~~ 第六行SEQ值变了,ACK是前面的SEQ加1 第6行在产生确定值时,同时也产生一个随机值,故SEQ=3056467584 因为三次握手味为的是彼此确认
第七行,TCP要产生一个一个随机值让你确定,空就让你填 ACK位,这个你要看相关内容,置1,表示确认
5,6之所以D=和S=颠倒是因为三次握手是一个交互过程 端口号对主机是固定的 目的主机和源主机这个概念是相对的 源 端口 1101 目的端口 8080
S=8080,D=1101 但这是针对第六行
第七行必然源地址和目的地址必然要调换 我访问你,你访问我,我再访问你 这就是三次握手
对于一台机器,端口号是定的
目的端口WWW,TIUT.EDU.CN是8080
到了第6行,sourece address和dest address变了
但是还是202.113.64.166的端口号为1101, www.tjut.edu.cn端口号为8080 只是前面的是dest address,后面的是source address
这台机器有什么用,有dns那就域名解析
有smtp,那就是邮件服务器 有TCP,那就考三次握手