【计算机三级网络】——Sniffer抓包 和Wireshark 抓包(第四道大题):各题型套路分析
ℹ️大家好,我是练小杰,相信各位大学生们,暑假都去打工了吧?打工之余也不要忘记学习噢!!
以下是9月份的三级网络技术考试的答题模板,今天接着给大家分享一些答题的技巧和方法,感谢大佬们的支持!!😆
在这里,也大力感谢B站up主“名副其实举世无双” 和 “吃饭不留名” 的无私分享🌹🌹
🔝 计算机三级网络大题合集:
主页:👉【练小杰的CSDN】
“只有狼才是你真正的朋友~~”

Sniffer 抓包分析

前言
这部分的题型比较多变,答题的知识点记忆的比较多,需要细心观察报文的源地址地址,目的地址,协议对应什么端口,报文的类型,TCP三次握手的seq和ack 变化等。废话少说,接下来就详细分析答题套路。
首先,认识一下Sniffer 抓包的题目界面,分别有三种不同的窗口:
小灰窗
这类题型以灰色窗口为主,我把它称为小灰窗,注意观察它的DNS域名解析 和 TCP三次握手的内容!!!

小蓝格
这类题型与上面考察的内容类似,分析包的ACK值和SEQ值以及填写URL地址等知识点!!!


彩虹皮
彩虹皮的题目就是报文窗口五颜六色的,也就是用Wireshark软件捕获抓包的!!!

DNS域名解析
DNS C (请求)
- 当报文分析后面出现DNS:C ,那么前面的Source Address(源地址) 指的就是主机地址,即主机地址为202.113.64.137

后面的NAME= ftp.pku.edu.cn 代表当前的访问域名,即访问域名为: ftp.pku.edu.cn
DNS R (回复)
- 报文分析后面出现DNS:R ,那么前面的Source Address(源地址) 指的就是DNS服务器 IP地址,即DNS 服务器IP地址为: 202.113.64.3

TCP 三次握手
三次握手通信方式,以及Seq和ack的变化如下图所示:
接下来套用模版答题:

真题1:
分别与 TCP三次握手的模版对应:
即红色框中: 第一条报文 Seq= x = 486042694
第二条报文 ACK = x+1(第①空), SEQ = y (第②空)
第三条报文 ACK = y+1=1327742114

最终答案:
①空: 486042695
②空:1327742113
真题2:
- 观察报文分析DNS,和TCP的标志
- DNS:C 前面的 Source Address 是主机IP地址 202.113.64.166
- DNS:R 前面的Source Address 是DNS服务器IP地址 211.81.20.200


通过上述DNS域名解析和TCP数据包的分析可知:
- 主机IP地址为:202.113.64.166
- 正在浏览的网站: www.edu.cn
- DNS 服务器的IP地址: 211.81.20.200
- 采用HTTP协议,源端口是 80
- 标示TCP三次握手过程完成的数据包标号:7
URL 填空(访问的web地址)
注意观察目的端口(Destination port)和源端口(Source port)
记住以下常见的端口号:
| 端口 | URL |
|---|---|
| 21(FTP-ctrl) | ftp://网站 |
| 80(Http) | http://网站 |
| 443(Https) | https://网站 |
真题分析
- 通过报文信息可知:
- 浏览网站 mail.lb.pku.edu.cn
- 目的端口为:443(Https)



- URL是:https://mail.lb.pku.edu.cn

主机执行的命令
1. 出现ftp ,执行命令 “ ftp 域名 ”
2. 出现 Time-to-live 和 Echo 时,执行命令 “ tracert 域名 ”
3. 发现 Echo(ping) 和 Echo reply 时,执行命令为: “ ping 域名 ”
⚠️注意:区分执行命令和URL,记住中间要空格!!!
真题示例
-
报文信息知:访问域名为ftp.pku.edu.cn,这时又出现Ftp,问主机执行命令是什么?

-
答案为:ftp ftp.pku.edu.cn

协议号 (Protocol= ?)
记住几个常考的协议号:(括号里的协议名要大写字母)
Protocol= 1(ICMP)
Protocol= 6(TCP)
Protocol=17(UDP)
真题示例

Protocol = _____(TCP)
这里的协议为TCP,因此空③填协议号,即答案为 6
报文类型(Type= ?)
- 以下是几种常见报文类型,多记忆!!
| Type=? | 类型名 |
|---|---|
| Type= 0 | (Echo-reply) |
| Type= 8 | (Echo ) |
| Type= 11 | (Time Exceeded) |
真题示例
观察报文信息可知,当前选择的ICMP报文类型号为8, 且报文中出现ICMP:Echo


ICMP:Type=8(Echo)
⚠️记得报文类型名开头要大写!!!!那么①空答案为:Echo
主机提供服务的端口
- ⚠️区分端口号和协议号,不要混淆
| 端口 | 端口号 |
|---|---|
| FTP | 21 |
| DNS | 53 |
| DHCP | 67 |
| HTTP | 80 |
| HTTPS | 443 |
真题示例
题目要求采用HTTP协议通信,使用的源端口直接填80端口即可

Sniffer 捕获分析(冷门题)
- 回放捕获的数据包,使用Sniffer 内置的:数据包生成器
- 显示捕获的所有数据包,使用Sniffer 内置的:DNS域名解析
真题
- 显示所有捕获的数据包,操作是: DNS域名解析

题目:
- 回放捕获的数据包,使用操作:数据包生成器

题目:
执行Tracert 命令(TTL和ICMP)
- 在完成域名解析之后,Dest Address中的①空填写 域名

目的地址和源地址
- 答题模板:
- 源地址为DNS:C 前面的第一个地址。
- 目的地址:IP地址后面填写对应的域名
ICMP:Source address = ______
ICMP:Destination address = 218.81.20.208 ______
真题示例


- 答案如下:
③空: 202.113.64.137
④空: mail.tj.edu.cn
具备功能 和主机功能
- 具备的功能
XXX地址的设备功能为 路由
- 主机功能
XXX地址的 主机功能 DNS ,缺省端口为: 53
真题

- 题目及其答案:

主机上配置的网关
主机上配置的网关指 域名解析完成,再完成一条IP地址———>域名访问 ,下一条报文中的Source Address 为 网关 ,即Expert 出现的第二条报文。下图配置的网关为: 202.113.64.129
真题

- 题目答案(填网关的IP地址):

Sniffer统计应用分布情况(记单词Protocol Distribution)
考得概率很小,基本记住几个单词即可!!
- Snifer的网络监听模块提供的主要功能包括:
- Dashboard: 实时显示网络的数据传输率、宽带利用率和出错率,并可以提供各种统计数据的图形化显示。
- Host Table: 以表格或图形方式显示网络中各节点的数据传输情况。
- Matrix: 实时显示网络各节点的连接信息,并提供统计功能。
- Protocol Distribution: 统计网络流量中各种协议和应用的分布情况,统计信息可以通过表格或图形方式显示。
- Application Response Time: 实时监汉客户端与服务器的应用连接响应时间,当发现响应超时,就会发出报警。
真题实例

彩虹皮 找MAC 地址
通过报文信息可知,第1-4行是DNS域名解析的过程, 59.67.152.250 主机发送请求,而8.8.8.8 负责回答,这样的过程反复执行两次。
因此,主机IP地址为: 59.67.152.250,DNS 服务器IP地址为:8.8.8.8

-
这里查看的是第三条DNS解析的报文,下图 的 目的MAC地址为主机的MAC地址 ,即主机的MAC地址为48:4d:7e:9d:27:05

-
原题:

综合实训
相信通过上述的分析,都掌握了一定的套路解决题目了!!接下来再搞几道题目玩玩…
真题1

- 答题区:

参考答案
- https://mail.lb.pku.edu.cn
- 59.67.148.5
- 1327742113
- 6
- 202.113.78.111

真题2

- 答题区:

参考答案
- tracert mail.tj.edu.cn
- 202.113.64.3
- ICMP
- 202.113.64.137
- mail.tj.edu.cn

真题3


- 答题区:

参考答案
- ping www.12306.cn
- 8.8.8.8
- 59.67.152.250
- 48:4d:7e:9d:27:05
- 43.226.162.67


今天的内容到这里就结束了,有缘再会啦👋
ℹ️了解更多,点击主页【练小杰的CSDN】
⚠️若博客里的内容有问题,欢迎指正,我会及时修改!!!
下周同一时间再见,各位大学生,IT从业者,家人们🚴🏻♀️~~
DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。
更多推荐





所有评论(0)