图5-7是在某台主机上用Sniffer软件捕捉的部分数据包。请根据图5-7所显示的信息回答下列问题。
(1) 该主机上正在访问的FTP服务器的IP地址是 (56) 。
(2) 根据图5.7中[No.]栏中的信息,标识FTP通信的TCP连接3次握手过程完成的数据包的标号是 (57) 。
(3) 该主机“TCP/IP”协议属性设置中,“首选DNS服务器”的IP地址是 (58) 。
(4) 在图5-7中,该主机采用HTTP协议进行通信时,使用的源端口号是 (59) 。
(5) 假设该主机上的Sniffer软件启用了如图5-8所示的过滤器“Default”后,在该主机上使用IE浏览器能成功地访问http://www.edu.cn和ftp://infonet.ustc.edu.cn两个站点,那么该Sniffer软件是否可以捕获到类似于如图5-7所示的数据包 (60) 。(请回答“是”或“否”)
60()
参考答案:否
解析:
[考点透解] (1) 通读如图5-7所示捕捉到数据包的信息,并根据[No.]列中标号为“3”、“4”和“5”这3行的数据包的信息,结合TCP连接3次握手过程,可得到如图5-10所示的主机(218.5.3.125)与FTP服务器(infonet.ustc.edu.cn)之间TCP传输连接的建立过程。
由标号为“3”这一行数据包信息[Source Address(源IP地址)]栏中的“218.5.3.125”信息可知,该安装Sniffer软件的主机IP地址是218.5.3.125。结合图5-7中[Detail(细节)]窗格中“IP: Source Address=[202.38.75.11],infonet.ustc.edu.cn”可知,该主机正在访问的FTP服务器的IP地址是202.38.75.11。 (2) 文件传输协议(FTP)采用客户端/服务器(C/S)的工作方式。在进行一次文件传送时,FTP客户端和服务器之间要建立两个TCP连接:控制连接(端口号为TCP 21)和数据连接(端口号为TCP 20)。在图5-10中,服务器infonet.ustc.edu.cn的FTP服务进程开放TCP 21端口号一直处于“监听”状态,不断检查是否有客户进程发出连接请求。客户进程与服务器进程之间的TCP连接3次握手过程如下。 第1步(图5-7中标号为“3”的数据行):主机(218.5.3.125)的客户进程使用临时端口号TCP 2410向infonet.ustc.edu.cn的FTP服务进程发出连接请求报文段。请求报文段中同步比特(SYN)为1;确认号(ACK)为0,表示该报文段没有使用捎带的确认域;请求报文段的序号(SEQ)为889979237。 第2步(图5-7中标号为“4”的数据行):FTP服务器进程发出应答报文段,表示同意与该主机客户进程建立传输连接。应答报文段中同步比特(SYN)为1;确认号(ACK)为889979238(即889979237+1),表示序号为889979237的请求报文段已被服务器正确接收,即连接应答捎带了一个确认;应答报文段的序号(SEQ)为2047865591。 第3步(图5-7中标号为“5”的数据行):主机(218.5.3.125)的客户进程在接收到服务器进程的应答报文段后,向FTP服务器进程再次发送一个建立传输连接的确认报文段。确认报文段中确认号(ACK)为2047865592(即2047865591+1),表示序号为2047865591的应答报文段已被客户端正确接收。 根据图5-7中标号为“6”这一行数据包信息“FTP: R POPT=2410 220 HP Seiwer@Infonet Lab ready”可知,FTP服务进程向主机(218.5.3.125)的客户进程响应(Response)服务器已准备就绪等信息。其中,“220”为FTP就绪命令的典型状态码。因此根据图5-7中[No.]栏中的信息,表示FTP通信的TCP连接三次握手过程开始的数据包的标号是3,标识TCP连接3次握手过程完成的数据包的标号是“5”。 (3)由标号为“1”行[Summary]栏中的“DNS: C ID=58605 OP=QUERYNAME=infonet.ustc.edu.cn”,以及[Dest Address(目的IP地址)]栏中的“218.85.152.99”信息可知,该主机“TCP/IP”协议属性设置中,“首选DNS服务器”的口地址是218.85.152.99。 (4)根据[No.]列中标号为“15”、“16”和“17”这3行的数据包信息,结合TCP连接3次握手过程,可得到如图5-11所示的主机(218.5.3.125)与Web服务器(www.edu.cn)之间TCP传输连接的建立过程。
超文本传输协议(HTTP)是一个基于传输控制协议(TCP)80端口的应用层协议。由标号为“18”行[Summary]栏中的“HTTP C Poit=2414 GET/HTTP/1.1”信息可知,该主机客户进程向Web服务器进程递交浏览网站的HTTP头信息。这也间接提示客户进程已向应用层报告传输连接建立成功,并进入应用层报文段的交互过程。结合标号为“15”行[Summary]盈栏中的“TCP: D=80 S=2414……”信息可知,该主机采用HTTP与网站www.edu.cn进行通信时,使用的源端口号是2414,目的端口号是80。 (5) 由如图5-8所示的[Summary(摘要)]选项卡中的[Type: IP]信息可知,名为“Default”过滤器基本捕获条件设置为IP层捕获;“Mode(模式)”设置为“Include(包含)”;“218.5.3.125<-->218.85.152.99”表示地址为218.5.3.125、218.85.152.99的两台主机之间的双向数据通信。 在图5-8中,“www.edu.cn”、“infonet.ustc.edu.cn”是两个域名,这两台主机与地址为218.5.3.125数据通信时需要先进行DNS解析,将域名转换成相应的IP地址。由于“:Default”过滤器是依据源IP地址和目的IP地址捕获网络中的数据包,它本身并不具有DNS解析功能,因此进行如图5-8所示的过滤器条件设置之后,虽然在该主机上使用IE浏览器能成功地访问http://www.edu.cn和ftp://infonet.ustc.edu.cn两个站点,但该主机Sniffer软件捕获不到与www.edu.cn、infonet.ustc.edu.cn两个站点通信的任何数据包,仅能捕获到与218.85.152.99服务器通信的相关数据包,即该Sniffer软件不能捕获到类似于如图5-7所示的数据包。
