08年9月三级网络技术：数据捕获sniffer解析

计算机三级网络技术：08年9月sniffer过程解析

请根据显示的信息回答下列的问题

(1)该主机的正在访问的www服务器的IP地址是【16】

(2)根据图中“No.”栏中标号，表示TCP连接三次握手过程开始的数据包标号是【17】

(3)标号为“7”的数据包的源端口应为【18】，该数据包TCP Flag的ACK位应为【19】

(4)标号为“7”的数据包“Summary”栏中被隐去的信息中包括ACK的值，这个值应为【20】

上半部分图是：域名解析和TCP（三次握手）连接过程

先来1到4行的域名解析

先申明，summary内的分析有的是我个人认为

首先来个猜测吧：c代表client表示客户机，r表示reply（响应）

第1行：源地址：202.113.64.166访问目的地址：211.81.20.200（dns服务器）

申明一点summary的第一个单词只是告诉我们这一步在做什么，4个dns并不表示4个服务器

继续，源地址访问目的地址请求查询

第2行，dns服务器在缓存中找到了与IP地址的对应关系，所以STA T=OK 如果缓存没有的话，还会有下一步，下一步没有，还有再下一步

但是这题一步搞定，3，4步不看了，和1,2步差不多

域名解析完毕

5,6行建立tcp连接：源地址：202.113.64.166，目的地址： 5,6，7即为三次握手过程

现在开始回答问题

正在访问的www服务器域名我们知道是

第5行是三次握手的开始

握手第一步，发送syn同步包，产生一个随机值

即SYN SEQ=143086951

第6行，被访问的网站作回应说明收到了包，并产生确定值SYN ACK=143086952 ACK表示确认字符

ACK值则是上一步的SEQ加1

第五行是202.113.64.166请求访问WWW,

第六行是WWW,发给202.113.64.166确认消息~~

第六行SEQ值变了，ACK是前面的SEQ加1

第6行在产生确定值时，同时也产生一个随机值，故SEQ=3056467584

因为三次握手味为的是彼此确认

第七行，TCP要产生一个一个随机值让你确定，空就让你填

ACK位，这个你要看相关内容，置1，表示确认

5,6之所以D=和S=颠倒是因为三次握手是一个交互过程

端口号对主机是固定的

目的主机和源主机这个概念是相对的

源端口 1101

目的端口 8080

S=8080,D=1101

但这是针对第六行

第七行必然源地址和目的地址必然要调换

我访问你，你访问我，我再访问你

这就是三次握手

对于一台机器，端口号是定的

目的端口WWW,是8080

到了第6行，sourece address和dest address变了

但是还是202.113.64.166的端口号为1101，端口号为8080

只是前面的是dest address，后面的是source address

这台机器有什么用，有dns那就域名解析

有smtp，那就是邮件服务器

有TCP，那就考三次握手