第三大题 DHCP报文分析（10分）

一、DHCP工作流程（一般情况下）

报文摘要

对应上面报文1—4

报文1、3DHCP：Request； 报文2、4DHCP：Reply。

例题（第三套）：在一般情况下

11.255.255.255.255

12.request， 可查看报文摘要的Type。

13.59。64.188.201， 服务器地址

54.59.64.188.100，Client客户端IP地址

55.255.255.255.0， Subnet mark子网掩码

二、执行ipconfig/all用于获取参数信息

特别注意黄色字体部分

三、DHCP工作流程（续约：执行ipconfig/renew）

二、三部分一般一起出题

例题（第四套题）：

51.192.168.0.100，客户端——>服务器（DHCP Server）

52.192.168.0.50，服务器——>客户端 （IP Address）

53.6，记住就行

54.001618F1C568，hardware address就找Physical Address(中间的横线不用写)

55.192.168.0.100，看首字母，找DNS Server

例题（第五套）：

51.Request

52.ACK，从第三步开始，查看报文摘要，第四步结果为ACK

53.10.0.0.1，D为服务器地址

54.10.0.0.50，S为客户端IP地址

55.10.0.0.50，客户端IP地址

四、DHCP工作流程（释放并重获地址：依次执行ipconfig/release和ipconfig/renew）

多了一步，剩下四步和一般情况一样

例题（第11套）：

51.192.168.0.30，在release中执行，为客户端地址——>服务器地址

52.192.168.0.36

53.0.0.0.0

54.255.255.255.255

55.DHCP ACK

第四大题、sinffer抓包分析（10分）

考点1：DNS域名解析

DNS Server：开头带R的第一个，Source Address，211.81.20.200

DNS：域名解析，观察DNS后面是C还是R，

C：主机IP地址（Source Address）向服务器地址(Dest Address)发送报文，S——>D

R：服务器地址(Dest Address)向主机IP地址（Source Address）发送报文，D——>S

域名：www.cernet.edu.cn ，在NAME=www.cernet.edu.cn

正在阅览地址：www.edu.cn

例题：

三次握手完成下一跳为http，它的标号为8（未来教育答案为7）

考点2：TCP三次握手

例题：

握手完成通常会有一个固定的空，记住就行：（3）get

1Seq=143086951（x）

2Ack=(1) 143086952（x+1）

出现阴影则底下分析的即为这一行 2Seq：initial（现在的） sequence number (2)3056467584 (y)

3Seq=(5) 143086952（x+1），Next的Seq所以为3Seq

(6) 143086952，还是为第二跳的Ack

(4) www.tjut.edu.cn ， source address 后填域名

考点3：FTP命令

（3）ftp.bupt.edu.cn，一般会给source address 和destination address 其后填域名

考点4：URL

例题：

第3行：443，所以选择https://

考点5：主机执行什么命令

注意：第三个是Echo（ping）或 Echo reply；

常考为第二个80%，第一个19%

考点6.主机IP/DNS服务器IP是？

例题：

source address：主机IP

（3）202.113.64.137

（56）**202.113.64.137

彩虹ping的IP（特殊，只考了一次）：

1、2行为S（IP地址）；3、4行为D（服务器地址）

（1）59.67.152.250

（2）8.8.8.8

考点7：Protocol=？

注意：一定要大写，第一个概率大

考点8：Type=？

第二个概率大

考点9：网络号的长度

考点10：主机是什么服务器，其提供服务的端口是？

考点11：Sniffer捕获分析

考点12：执行Tract命令（TTL和ICMP）时

tract命令：出现Time-to-live，ICMP就是tract命令

（1）mail.tj.edu.cn ，直接填第11行，和第9行一样

考点13：Destination怎么填

（1）mail.tj.edu.cn ，抄跳一行的

（3）202.113.64.137

（4）mail.tj.edu.cn

（56）218.81.20.208

考点14：具备的功能是

考点15：主机的功能是什么？

考点16：配置的网关

（2）202.113.64.129，9和10行之间分开，第10行Expert出现第一个就是网关202.113.64.129

考点17：打开的窗口（1次）

考点18：被访问网站的端口是？

找Source port后面的数

考点19：彩虹屁（Ping）找mac地址

Dst后面（）里的就是mac地址

真题演练

例题1：

(56)202.113.64.129

(57)路由

（58）ICMP

（59）202.113.64.137

（60）tracert mail.tj.edu.cn(域名)

例题2：

（1）ping www.bupt.edu.cn(域名)

（2）DNS

（3）53

（4）Echo

（5）Protocol distribution

例题3：

（1）ping www.12306.cn（彩虹屁里A代表NAME）

（2）8.8.8.8

（3）59.67.152.250

（4）48:4d:7e:9d:27:05

（5）43.226.162.67(最后一行addr后面对应的是主机IP地址)