（一）清空本机ARP表和DNS缓存

（三）保存结果

（四） 以太网帧及ARP协议分析

(1在wireshark中输入表达式并过滤,例如 “ip.addr==118.31.180.41”,（以本机IP地址为例），从以太网的帧，截图并写出帧的源地址、目的地址、协议名称。

(2在wireshark中输入表达式 “arp”并过滤,从ARP请求报文来看，本机的48比特以太网MAC地址是什么？该报文的目的MAC地址是什么？

（五）DNS协议分析

（1从捕获的报文中分析DNS解析的过程，报文交互过程。你所看到的过程与理论有什么不同？为什么？（参考P264-P265）

（2默认域名服务器的IP地址是多少？本机的IP地址是多少？

（3 IP报文的协议字段的值是多少？该字段表明DNS的运输层采用的是什么协议？默认端口号是多少？（参考P148，P223，P224）

（六）TCP/IP协议与HTTP协议分析

(1、TCP协议分析

(1) TCP的连接建立在HTTP协议请求之前还是之后？

(2) 分析TCP的连接建立过程，从连接建立的第一个报文看，（截图并找出）web服务器的IP地址是多少？

(4) 服务器应答上述TCP  SYN报文段的SYN ACK报文段的序号是什么？在该SYN  ACK报文段的ACK应答字段中的值是多少？服务器是怎样确定这个ACK值的？在该报文段中标识其作为SYN ACK报文段的标志是什么？（参考P229）

(5) 能够观察到TCP连接的关闭过程吗？请将报文截图。（参考P241）

2、IP协议分析

我们可以得到报文信息：

3. HTTP协议分析

(1) HTTP协议的运输层采用什么协议？HTTP协议的默认端口是多少？这个端口是服务器的端口还是客户端的？（参考P269）

(2) 分析利用HTTP协议请求web应用中基本HTML文件的过程，截图并说明。（参考P253）

(3) 在传输网页的过程中，TCP连接建立了一次还是多次？你是如何做出判断的？（参考P269-P270）

(4)从报文分析看，HTTP使用的方法是什么？HTTP协议的版本是多少？

（参考P272）

用管理员身份打开终端，分别输入arp -d和ipconfig /flushdns

根据上图可以得出：

源地址（Source Address）：00:0c:29:83:20:f7

目的地址（Destination Address）：00:50:56:fa:25:5d

协议名称（Protocol）：Internet Protocol Version 4 (IPv4)

broadcast是广播的意思，我们打开报文

我们可以看出，本机的48比特以太网MAC地址是：00:0c:29:83:20:f7。该报文的目的MAC地址是广播地址：ff:ff:ff:ff:ff:ff。

看两个标记的地方

一个是dns请求，后面是dns回复

看第一个标记的地方

可以看出是ipv4报文结构，他发送了一个请求查询www.baidu.com的ip地址,接着我们来看dns响应的数据包（解析 www.baidu.com 域名对应的 IPv4 地址）

我们可以看出他的回复

源地址是 192.168.111.2，目标地址是 192.168.111.139。

使用的是 UDP 协议，源端口是 53（DNS 服务端口），目标端口是 60879。

这是一个 DNS 响应，表示 DNS 服务器已经成功回答了查询请求。

查询的域名是 www.baidu.com，查询类型为 A 类型（IPv4 地址）。

回答部分包含了三个记录：

www.baidu.com 是一个别名（CNAME），指向 www.a.shifen.com。

www.a.shifen.com 对应的 IPv4 地址是 183.2.172.185。

www.a.shifen.com 另一个对应的 IPv4 地址是 183.2.172.42。

回答：

答：在这里我们可以看出这里我们发送了一个百度请求，他直接就返回了我们想要的ip地址，和我们理论的不同，我们无法直接看到流程中是否经过了根域名服务器和权威域名服务器。可能是因为在实际网络通信中，这些步骤往往被 DNS 递归解析器（如你的网络提供商的 DNS 服务器）完成，而不是由客户端直接执行。因此，在网络数据包中可能无法直接观察到这些步骤，而只能看到最终的查询结果。

答：在图中我们可以看到，我们本机ip地址是192.168.111.139，域名服务器地址是192.168.111.2

答：从图片可以查看出：IP 报文的协议字段的值是 17。这个字段表明 DNS 的运输层采用的是 UDP 协议。DNS 的默认端口号是 53。

追踪流点击tcp流

我们可以看到有3次握手的过程

第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

答：可以看出tcp连接是建立在http协议之前就已经连接了

在这里可以看出：Web 服务器的 IP 地址是 104.119.94.107。

在这里我们可以看出，用于发起与服务器 TCP 连接的 TCP SYN 报文段的序号是 1257201827。该报文段中标识其为 SYN 报文段的标志是在 Flags 字段中的 0x002 (SYN)。

答： SYN ACK 报文段的序号是 986402769。

在 ACK 应答字段中的值是 1257201828。

服务器确定这个 ACK 值是通过将客户端发送的序号（1257201827）加 1 而得到的。

在该报文段中标识其作为 SYN ACK 报文段的标志是在 Flags 字段中的 0x012 (SYN, ACK)。

答：没有看到fin关键字，所以没能看到

我们可以得到报文信息：

IP报文版本号：这是IPv4，因为它的首部长度字段的值是5，代表20字节，而IPv4的首部长度为20字节。

首部长度：根据字段0110 ....，首部长度为24字节。

数据包总长度：60字节。

寿命（TTL）：寿命字段这里没有提供，通常为默认值（例如64或128）。

上层协议：这个IP报文的上层协议是TCP。

首部校验和：0xa9ae，校验和字段。

源IP地址：104.119.94.107。

目的IP地址：192.168.111.139。

根据截图回答下列问题：

答：以get那个http举例

从图中我们可以看出:

HTTP协议的运输层采用的是TCP协议。HTTP协议的默认端口是80。在这个数据包中，目的端口是80，因此这个端口是服务器的端口，用于接收客户端的HTTP请求

我们追踪http协议，看弹出的窗口我们分析得到:

客户端发起请求：客户端（例如浏览器）构建HTTP请求，包括请求方法（GET、POST等）、目标URL（Uniform Resource Locator）、HTTP版本号以及可能的请求头（如User-Agent、Connection等）。在图中我们看出，客户端发起了一个GET请求，请求的目标URL是/zh-CN/livetile/preinstall?region=US&appid=C98EA5B0842DBB9405BBF071E1DA76512D21FE36&FORM=Threshold，并指定了一些请求头信息。

服务器响应：服务器接收到客户端的请求后，根据请求的URL和其他信息，查找相应的资源。如图我们看出，服务器返回了一个HTTP响应，状态码为200（表示成功），并包含了响应头和响应体。

响应头：响应头包含了关于响应的一些元信息，如Content-Type、Content-Length、Date等。这些信息描述了响应体的类型、长度、生成时间等。

响应体：响应体是服务器返回给客户端的实际数据。在这个图中我们可以看到，响应体是一个XML文档，包含了一些关于磁贴（Tile）的信息，如磁贴的大小、内容、图片等。

答：只建立了一次，如图可以看出，我们的syn只有一次建立了连接，直到获取了200 OK请求完成，我们都没看到再一次建立了tcp连接。

对应的报文

在这里可以看出

HTTP使用的方法：报文中包含了HTTP请求行，其中包括了"GET"，这表明HTTP使用的方法是GET。

HTTP协议的版本：在HTTP请求行中，指定了协议版本为"HTTP/1.1"。