考点内容：

1. DNS域名解析
2. TCP三次握手
3. FTP(文件传输协议)
4. ICMP(Internet控制报文协议)：ping、tracert
5. HTTP(超文本传输协议)：get、post命令

例题一

下图是校园网某台主机在命令行模式下执行某个命令时用sniffer捕获的数据包。

抓包分析

5~8行为主机发出的DNS解析，源地址为202.113.64.137（主机的IP地址），目的IP地址为202.113.64.3(DNS服务器的IP地址)，请求的解释的域名为 mali.tj.edu.cn。C表示源到目的，R表示目的到源。

9~14行可以通过ICMP：Echo确定是ICMP报文，报文中的TTL（Time-to-live）: 表示报文的生存时间，可经过的最多路由数，即数据包在网络中可通过的路由器数的最大值。出现TTL值表示每经过一个路由器，TTL值就会减一，表明执行的是tracert命令，来显示数据报的路径。

第一条路由 202.113.64.129

第二条路由 202.113.77.253

请根据图中信息回答下列问题。
(1)该主机上配置的IP地址的网络号长度最多是____28_____

需要使IP地址的网络号最多，取202.113.64.137和202.113.64.129

前三段都相同，将第四段转换二进制

10000101

10000001

前4位相同，加上前三段，共28位，所有网络号地址为28位
(2)图中的①和②删除了部分显示信息，其中①处的信息应该是_ICMP______
②处的信息应该是____mali.tj.edu.cn_______

第一空位应填协议名，其中选中的报文是ICMP。

第二空填解析的域名
(3)该主机上配置的域名服务器的IP地址是____202.113.64.3________

(4)该主机上执行的命令是__tracert mali.tj.edu.cn_________

因为进行了域名解析，tracert后面应该是域名。

例题二

下图是校园网某台主机使用浏览器访问某个网站，在地址栏键入其URL时用sniffer捕获的数据包。

(1)该URL是https：//mali.pku.edu.cn
从25行可以看出主机发出的域名解析为mali.pku.edu.cn，从27行建立TCP三次握手的第一个包的目的端口为443，表明为HTTPS协议。

(2)该主机配置的DNS服务器的1P地址是59.67.148.5

(3)图中的①②③删除了部分显示信息，其中②应该是 _1327742113______ ③应该是 __6____

第一个空为TCP三次握手的知识 ，其中第三次握手ACK值应为第二次握手SEQ值加1，第三次的Ack为1327742114，所以第二次握手的seq值为1327742113

TCP第一包

客户机发给服务器，seq位置为X

TCP第二包

服务器回给客户机 seq=y，Ack=x+1（其中的x为第一包里面的X）

TCP第三包

客户机发给服务器 Seq=x+1（seq的值就是第二个包的Ack的值）,ack=y+1（其中的y为第二包里面的seq的y）

第二空为6，因为TCP的协议号为6，UDP的协议号为17

(4)该主机的IP地址是___202.113.78.111______

在17行报文点开，下面报文的详细信息中的source address=[202.113.78.111]，所以主机的IP地址为202.113.78.111