抓取数据包进行分析常见题型

抓取数据包进行分析常见题型

注：前5个是用科来抓取的数据包，第6个是用sniffer抓取的数据包，历年计算机等级考试四级网络都会考一个用sniffer抓包进行分析的题。1、

考点：（1）源ip：222.206.190.37

（2）dns服务器的ip地址：202.102.134.68，其熟知端口号为53

（3）选中的部分可以看出dns响应报文中的域名所对应的sohu服务器的ip：123.129.214.145

2、

考点：（1）指出tcp报文分组所有字段的作用及含义最左端

（2）单独问某一字段的含义及作用

考点：（1）【填空】截图抓取的第一个数据包的序列号是：（ 1 ）2045167046发送方的窗口大小是多少？65535

（2）http协议使用了哪个函数？http版本号是多少？1.1

4、

考点：（1）该ip报文是第一个分片呢还是最后一个分片或者是中间的分片？最后一个（注：若“更多分段”标志为1，且分段偏移量为0，那么此时就可以判断该报文是第一个分片，这类问题，请同学们仔细研究教材P164例7.5~例7.9）

（2）该报文是由服务器发给客户端的还是由客户端发给服务器的？

（3）该报文数据部分的长度是多少？422-5*4=402

（4）使用该协议的上层协议是哪个？

考点：（1）搭建该ftp服务器所采用的第三方软件是什么？serv-u （2）访问该ftp服务器采用的是哪种登录方式？匿名登录

（3）选中的数据包返回的530错误代码的含义是什么？密码错误6、

考点：（1）从选中的行开始，表示的是TCP连接建立的三项握手的开始，试结合教材（P377）说明这个过程。（要求分析每次“握手”的作用及分析相应数据包的概要信息）

（2）分析TCP报文段各分组的含义

附：练习题一个（sniffer的）

下图是校园网IP地址为192.168.14.165的主机访问时抓取的部分数据包，回答以下问题：

1．DNS服务器的IP地址为多少？主机发出DNS请求报文后，返回的结果是什么？

2．当前选中的是主机和服务器建立TCP连接的第一个数据包，分析TCP头部各字段的值，SYN位的作用是什么？

3．第六个报文是主机向服务器发出的HTTP请求报文，使用了什么请求命令？HTTP的版本是多少？