计算机四级网络：数据捕获sniffer解析教程[1]

计算机四级网络工程师： 解析sniffer过程，数据捕获

请根据显示的信息回答下列的问题

(1) 该主机的正在访问的www服务器的IP地址是 【16】

(2) 根据图中“No.”栏中标号，表示TCP连接三次握手过程开始的数据包标号是【17】 (3) 标号为“7”的数据包的源端口应为 【18】 ，该数据包TCP Flag的ACK位应为 【19】 (4) 标号为“7”的数据包“Summary”栏中被隐去的信息中包括ACK的值，这个值应为 【20】

针对这道题，首先下面部分的图是上半部分图的第6行内容，可能会造成误导，所以下面的图先别看

上半部分图是：域名解析和TCP（三次握手）连接过程 (No.567表示TCP三次握手协议，具体可以参考三级网络) 先来1到4行的域名解析

首先来个猜测吧：c代表client表示客户机，r表示reply（响应）

第1行：源地址：202.113.64.166访问目的地址：211.81.20.200（dns服务器）

恩，申明一点summary的第一个单词只是告诉我们这一步在做什么，4个dns并不表示4个服务器

继续，源地址访问目的地址请求查询 www.tjut.edu.cn

第2行，dns服务器在缓存中找到了www.tjut.edu.cn与IP地址的对应关系，所以STAT=OK DNS工作过程请看书吧，书上有讲，如果缓存没有的话，还会有下一步，下一步没有，还有再下一步 域名解析完毕

5,6行建立tcp连接：源地址：202.113.64.166，目的地址：www.tjut.edu.cn 正在访问的www服务器域名我们知道是www.tjut.edu.cn 第5行是三次握手的开始

握手第一步，发送syn同步包，产生一个随机值，即SYN SEQ=143086951，第二次握手，那个ACK? 第6行，被访问的网站作回应说明收到了包，并产生确定值SYN ACK=143086952，ACK表示确认字符，ACK值则是上一步的SEQ加1

第五行是202.113.64.166请求访问WWW,TIUT.EDU.CN

第六行是WWW,TIUT.EDU.CN发给202.113.64.166确认消息~~ ACK是前面的SEQ加1

第6行在产生确定值时，同时也产生一个随机值，故SEQ=3056467584，因为三次握手味为的是彼此确认

第七行，TCP的值是多少，即为第六行的SEQ值加一，就是3056467585，这个值便是第起航的ACK值。

图中出现的D代表目的，S代表源。这两个是相对来说的，注意下。因为三次握手是一个交互过程，端口号对主机是固定的 Sourece port看到没

ACK位，这个你要看相关内容，置1，表示确认 下图中：源 端口 1101，目的端口 8080?

S=8080,D=1101

对于一台机器，端口号是定的

目的端口WWW,TIUT.EDU.CN是8080

到了第6行，sourece address和dest address是不是变了，但是还是202.113.64.166的端口号为1101， www.tjut.edu.cn端口号为8080

图中Summary那一列中出现的DNS是域名解析,SMTP是邮件服务器.DCHP是动态主机配置.还有例如POP,FTP,ARP等协议自己都要看看，知道是做什么的。

（这个是网下找的，我做了一些修改，有很多同学问我，所以就做些总结，希望对你们有帮助。）

这里附上TCP三次握手协议的过程：

基本简介

在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。

第一次握手：建立连接时，客户端发送SYN包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认。SYN为同步序列编号(Synchronize Sequence Numbers)。

第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；

第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

?

2008年4月

? 在一台主机上用sniffer捕获的数据包，请根据显示的信息回答下列的问题。

? ? ? ? ?

答案：

【16】202.113.64.166 【17】www.edu.cn 【18】211.81.20.200 【19】80 【20】12

解析：

【16】从图中第4行可以看出，在Summary列中DNS后有个R,上面已经说过那个代表回应，即服务器向客户机（即为主机）回应，所以目的地址（Dest Address）就是该主机的IP地址，即202.113.64.166。

【17】在第5行中很容易能看出来主机在访问一个网站，网址为www.edu.cn。因为在上一问中已经知道了主机IP地址，故现在可以确认主机正在访问的网站。

【18】这一问也是从第4行解答。还只在Summary列中可以看到DNS，即为DNS服务器解析，所以源IP地址就是DNS服务器的IP地址，也就是211.81.20.200。

【19】对于这一问，说难很难，说简单也很简单，就看你知不知道HTTP是什么意思了，

该主机的IP地址是 【16】 该主机上正在浏览的网站是 【17】 该主机上设置的DNS服务器的IP地址是 【18】

该主机采用HTTP协议进行通信时,使用的源端口是 【19】 根据图中”No.”栏中的信息，标示TCP连接三次握手过程完成的数据包的标号是 【20】

HTTP是超文本传送协议，全称是HyperText Markup Language,在计算机四级网络等级考试的教程中你可能看不到这个，可以参考谢希仁主编的，电子工业出版社第五版的计算机网络教材238页。HTTP的默认端口为80，所以答案就是80.如果你记住的话就直接填，没记住的话那就无奈了，因为你从图中根本找不到80.

【20】这个我认为是7的，但是从网上找的答案是12，我也不理解为什么。我的理解是在7那里三次握手协议就已经完成了，你们自己再看看，7只是我自己的理解。