试题四
如图1-6所示为在一台主机上用Sniffer捕获的数据包。
请根据图1-6中的信息回答下列问题。
(1) 该主机使用的DNS服务器的域名是 (56) ,DNS服务器的IP地址是 (57) 。
(2) 如果图1-6显示的是在该主机上执行某个操作过程中捕获的所有数据包,那么该操作是 (58) 。
(3) 如果Sniffer启用了如图1-7所示的过滤器“example”后,在该主机上使用浏览器成功地访问了 http://it.nankai.edu.cn,那么Sniffer是否可以捕获到该操作的数据包(请回答是或否) (59) 。
(4) 如果想要捕获在载荷的某个固定位置上具有指定特征值的数据包,那么需要使用的过滤器选项是 (60)。
60()
参考答案:Data Pattern
解析:
[考点透解]
(1)Sniffer软件是NAI公司推出的功能强大的协议分析软件。通读图1-6捕捉到的数据包信息后,由【N0.(序号)】列中值为“5”那一行代码的Source Address(源IP地址)——202.113.64.168的信息可知,该主机的IP地址是202.113.64.168。由该行【Summary】栏中“DNS:C ID=1 OP=QUERY NAME=3.64.113.202.in-addr.arpa”,以及该行【Dest Address(目的IP地址)】栏中“dns.tjut.edu.cn”的信息可知,该主机使用的DNS服务器的域名是dns.tjut.edu.cn,该DNS服务器的IP地址是202.113.64.3。其中,“3.64.113.202.in-addr.arpa”是一条反向查询记录,即客户端通过查询IP地址得到对应的域名。在DNS系统里,一个反向地址对应一个PTR资源记录(与A资源记录相对应)。反向查询的整个结构和整个DNS域树结构相似,但不同的是根结点不是单纯的一个“.”,而是“.in-addr.arpa”,这部分是固定不变的。“.in-addr.arpa”对应的子域则是反向构造的点分十进制的IP地址。例如,IP地址202.113.64.3的反向资源记录应表示为3.64.113.202.in-addr.arpa。
IP地址202.113.64.3、202.113.64.168的十六进制表示分别为CA714003、CA7140A8。根据IP头分组结构,“目的IP地址”与“源IP地址”两个字段相邻。在图1-6下半部分的“Hex”窗格,是以十六进制和ASCII码格式显示被解码的数据包载荷。在该“Hex”窗格中可以找到“ca 71 40 03 cA 71 40 a8”的相关信息。这一间接信息从另一侧面证实了域名为dns.tjut.edu.cn服务器的IP地址为202.113.64.3。
(2)在如图1-6所示的【Summary】栏中,共给出了3种类型的报文摘要。其中,“BPDUCONFIG: S:Pri=8000 Port=8016 Root:Pri=8000Add……”是一条包含配置信息的配置BPDU报文摘要。生成树协议(STP)是一个数据链路层的管理协议,其通过在交换机之间传递网桥协议数据单元(BPDU),并用生成树算法(STA)计算从根到二层网络中所有交换机的最佳路径,并建立一个稳定、无环路的树状结构网络。BPDU中携带了实现生成树算法的有关信息,包括Root ID、Root Path Cost、Bridge ID、Port ID、Hello Time、Max Age等。BPDU数据包有两种类型,一种是包含配置信息的配置BPDU,另一种是包含拓扑变化信息的通知BPDU。
如图1-6所示的【NO.】列中,第1行~第4行、第7行~第10行均是“BPDUCONFIG”的相关配置信息。据此可判断图1-6是该主机向目的地址为“Bridge_Group_Add”的设备执行STP 配置操作时捕获的数据包。
(3)由如图1-7所示的【Summary(摘要)】选项卡中的“Type:IP”信息可知,名为“example”过滤器基本捕获条件设置为IP层捕获;“Mode(模式)”设置为“Exclude(排除)”;“202.113.64.168<-->Any”表示IP地址202.113.64.168的主机与其他任意主机的双向数据通信;“80<-->Any”表示某台主机的端口号 80与其他任意主机任意端口号的双向数据通信。综上所述,当启用如图1-7所示的“example”过滤器后, Sniffer软件将按源IP地址和目的IP地址捕获网络中的数据包,但不捕获IP地址202.113.64.168的主机与其他任意主机基于端口号80的数据包。
浏览器与www服务器之间传送信息的协议是HTTP(超文本传输协议),用于传输网页等内容,使用TCP协议,默认端口号为80。地址202.113.64.168的主机上使用浏览器成功地访问了 http://it.nankai.edu.cn,但基于“example”过滤器所设置的捕获规则,该主机中Sniffer软件将捕获不到与 HTTP协议相关的任何数据包。
(4)在如图1-7所示的【Data Pattern(数据模板)】选项卡中,可以通过【Add AND/OR(添加关系结点)】、【Toggle AND/OR(模板间关系控制)】、【Add NOT(添加排除)】、【Add Pattern(增加模板)】、【Edit PaRern(模板编辑)】等按钮编辑任意捕获条件。如果想要捕获在载荷的某个固定位置上具有指定特征值的数据包,则可以在过滤器的【Data Pattern】选项卡中进行相关配置。
在如图1-7所示的【Advanced(高级)】选项卡中,可选择所要捕获的协议条件,如果什么都不选,则表示忽略该条件,捕获所有协议;可以设置捕获帧长度条件,即可以捕获所有、等于、小于、大于某个值的报文,还可以设置是否捕获错误帧等。