图6-13是在某台主机上用Sniffer软件捕捉的部分数据包。其中,数据包标号(No.)为“5”的条目中[Summary]栏中的部分信息被隐去。请根据图6-13显示的信息回答下列问题。
(1) 如果图6-13显示的是在该主机上执行某些操作过程中捕获的数据包,那么这些操作是 (56) 。
(2) 标号为“7”的数据包[Summary]栏中被隐去的信息中,源端口号应为 (57) ,ACK值应为 (58) 。
(3) 根据图6-13中[No.]栏中的信息,标识Web通信TCP连接3次握手过程完成的数据包的标号是 (59) 。
(4) 该主机上的Sniffer软件中,名为“Default”过滤器的[Address]选项卡配置界面如图6-14所示。为了捕获到如图6-13所示的数据信息,图6-14中[Station2]列第2行的(20)空缺处应填入 (60) 。
60()
参考答案:218.85.152.99
解析:
[考点透解] (1) 通读图6-13捕捉到的数据包信息,[Summary]列中共涉及到3种应用层协议,即域名解析协议(DNS)、文件传输协议(FTP)和超文本传输协议(HTTP);另外还有一种传输层协议——传输控制协议(TCP)。[No.]列中标号为“1”这一行数据包的功能是:主机(218.5.3.125)向DNS服务器(218.85.152.99)建立查询名字为infonet.ustc.edu.cn对应IP地址的连接请求。标号为“2”这一行数据包的功能是:DNS服务器(218.85.152.99)向主机(218.5.3.125)返回名字为infonet.ustc.edu.cn查询结果的响应信息。标号为“3”、“4”和“5”这3行的数据包所表示的是:主机(218.5.3.125)与FTP服务器(infonet.ustc.edu.cn)之间进行TCP连接3次握手过程,如图6-17所示。标号为“6”~“12”这7行的数据包所表示的是:主机(218.5.3.125)使用用户名anonymous(匿名)登录免费FTP站点infonet.ustc.edu.cn的一组交互过程。其中,“USER anonymous”和“331 Anonymous login ok……”等信息说明,站点infonet.ustc.edu.cn是一台允许匿名登录的服务器;“220”、“331”、“230”分别为“FTP服务器已就绪”、“用户名就绪,要求输入口令”、“用户己登录”的典型状态码。 同理,标号为“13”、“14”这两行数据包所表示的是:主机(218.5.3.125)向DNS服务器(218.85.152.99)查询名字为www.edu.cn对应IP地址的一组域名解析交互过程。标号为“15”、“16”和“17”这3行数据包的功能是:主机(218.5.3.125)与Web服务器(www.edu.cn)之间采用3次握手过程建立TCP传输连接,如图6-18所示。由标号为“18”行[Summary]栏中的“HTTP C Port=2414 GET/HTTP/1.1”信息可知,该主机客户进程向Web服务器进程递交浏览网站的HTTP头信息。这也间接提示客户进程已向应用层报告传输连接建立成功,并进入应用层报文段的交互过程。
综上所述,图6-13所显示的数据包是在以下场景中捕获的:主机(218.5.3.125)正在登录匿名FTP站点infonet.ustc.edu.cn,以及正在访问www.edu.cn网站。 (2) 文件传输协议(FTP)采用客户端/服务器(C/S)的工作方式。在进行一次文件传送时,FTP客户端和服务器之间要建立两个TCP连接:控制连接(端口号为TCP 21)和数据连接(端口号为TCP 20)。在图6-17中,服务器infonet.ustc.edu.cn的FTP服务进程开放TCP 21目的端口号一直处于“监听”状态,不断检查是否有客户进程发出连接请求。客户进程与服务器进程之间的TCP连接3次握手过程如下。 第1步(图6-13中标号为“3”的数据行):主机(218.5.3.125)的客户进程使用TCP2410源端口号向infonet.ustc.edu.cn的FTP服务进程发出连接请求报文。请求报文中同步比特(SYN)为1;确认号(ACK)为0,表示该报文没有使用捎带的确认域;请求报文的序号(SEQ)为889979237。 第2步(图6-13中标号为“4”的数据行):FTP服务器进程发出应答报文,表示同意与该主机客户进程建立传输连接。应答报文中同步比特(SYN)为1;确认号(ACK)为889979238(即889979237+1),表示序号为889979237的请求报文已被服务器正确接收,即连接应答捎带了一个确认;应答报文的序号(SEQ)为2047865591。 第3步(图6-13中标号为“5”的数据行):主机(218.5.3.125)的客户进程在接收到服务器进程的应答报文后,仍使用TCP 2410源端口号向FTP服务器进程再次发送一个建立传输连接的确认报文。确认报文中确认号(ACK)为2047865592(即2047865591+1),表示序号为2047865591的应答报文已被客户端正确接收。 关于(17)、(18)处的空缺内容的解答思路,也可借鉴、参考图6-13中标号为“15”、“16”和“17”这3行报文各个数据之间的逻辑关系,从而间接得出相应空缺处的答案。 (3) 超文本传输协议(HTTP)是一个基于传输控制协议(TCP) 80端口的应用层协议。在图6-13中,标号为“15”、“16”和“17”这3行数据表示了,主机(218.5.3.125)与Web服务器(infonet.ustc.edu.cn)之间采用3次握手过程建立TCP传输连接的过程。由标号为“18”行[Summary]栏中“HTTP C Port=2414GET/HTTP/1.1”信息可知,该主机客户进程向Web服务器进程递交浏览网站的HTTP头信息。这也间接提示客户进程已向应用层报告传输连接建立成功,并进入应用层报文段的交互过程。因此根据图6-13中[No.]栏中的信息,标识Web通信的TCP连接3次握手过程开始的数据包的标号是“15”,标识TCP连接3次握手过程完成的数据包的标号是“17”。 (4) 由图6-14的[Address](地址)选项卡中的“IP”信息可知,名为“Default”过滤器基本捕获条件设置为IP层捕获;[Mode](模式)设置为[Include](包含);“218.5.3.125<-->218.85.152.54”表示拥有这两个IP地址的主机之间的双向数据通信。 在图6-13所示的[Source Address](源IP地址)和[Dest Address](目的IP地址)这两列数据中,以点分十进制形式出现的IP地址共有两个,即218.5.3.125、218.85.152.99。而图6-14中所出现的IP地址中未包含218.85.152.99这一IP地址。若要捕获到如图6-13所示的数据信息,则需要在图6-14的(20)空缺处中填入218.85.152.99,以建立主机(218.5.3.125)与DNS服务器(218.85.152.99)之间的双向数据通信。