2022年9月17日17:17:15评论25 views字数 3714阅读12分22秒阅读模式

你有问题，我有答案。

前言

来自于 Sharkfest Packet Challenge 中的一个数据包案例，Sharkfest 是 Wireshark 官方组织的一年一度的大会，致力于在 Wireshark 开发人员和用户社区之间分享知识、经验和最佳实践。印象中早期是一年一次，近几年发展成一年两次，一次貌似固定在美国，一次会在其他地区，像是欧洲或亚洲。Packet Challenge 是大会其中一个比较有意思的活动环节，通过一系列数据包案例设置关卡，参会人员进行分析挑战，测试综合分析能力。

题目信息

本次案例为 Sharkfest 2015 Packet Challenge 中的第四个题目 WHATS UP? ，数据包跟踪文件为 whatsup.pcapng 。

主要描述如下：

1. Why did a device send an ICMP Type 3/Code 4 packet in this trace file?

2. What was the MTU size before the drop in size?

3. What is the IP address of the router that can’t forward larger sized frames?

4. What is the IP address of the host that adjusted its MTU?

5. How many more frames would be required to send a 6,000‐byte file using the smaller MTU size than using the larger MTU size?

数据包信息

数据包跟踪文件基本信息如下：

λ capinfos whatsup.pcapngFile name:           whatsup.pcapngFile type:           Wireshark/... - pcapngFile encapsulation:  EthernetFile timestamp precision:  microseconds (6)Packet size limit:   file hdr: (not set)Number of packets:   52File size:           34 kBData size:           32 kBCapture duration:    65.134372 secondsFirst packet time:   2014-08-21 11:14:34.045564Last packet time:    2014-08-21 11:15:39.179936Data byte rate:      498 bytes/sData bit rate:       3989 bits/sAverage packet size: 624.65 bytesAverage packet rate: 0 packets/sSHA256:              f977684e55b4bd48479781547c4e510cb89367785917a4d94c743e93193fff2eRIPEMD160:           fa09efc58691773c2636bbd4d0f844a4f8eb8834SHA1:                d91aa2ab506b07ddb4653728c28983e2e996635cStrict time order:   TrueCapture oper-sys:    64-bit Windows 8, build 9200Capture application: Dumpcap 1.10.9 (v1.10.9-0-g6b041ab from master-1.10)Number of interfaces in file: 1Interface #0 info:                     Name = DeviceNPF_{BD0C1124-CBA7-41BB-95BA-DB895B9631F2}                     Encapsulation = Ethernet (1 - ether)                     Capture length = 262144                     Time precision = microseconds (6)                     Time ticks per second = 1000000                     Time resolution = 0x06                     Operating system = 64-bit Windows 8, build 9200                     Number of stat entries = 1                     Number of packets = 52Number of resolved IPv4 addresses in file: 1
λ

Winows 8 系统上直接通过 Wireshark 捕获，无截断，文件大小 34 KB，捕获数据包数量 52 个，捕获持续时间为 65.13 秒，平均速率 3989 bps。

会话信息统计如下，仅有一条 TCP 流。

Wireshark TS | Packet Challenge 之 MTU 案例分析

专家信息显示如下，数据包总数量较少的情况下，Warning 数据包出现相对算是较多了，包括乱序、未捕获分段、D-SACK 等等。

数据包分析

数据包跟踪文件初步展开信息如下，Packet List 最右侧会有明显的黑红色告警信息的提示。

1. Why did a device send an ICMP Type 3/Code 4 packet in this trace file?

在这个跟踪文件中，为什么一个设备会发送一个 ICMP Type 3/Code 4 的数据包？

分析步骤

首先回顾一下 ICMP 数据包，Type 3/Code 4 描述如下

TYPE	CODE	Description	Error
3	4	Fragmentation needed but no frag. bit set—需要进行分片但设置不分片比特	x

上述信息实际上已经描述的很清楚，因为该设备在转发数据包时，发现出向端口由于 MTU 相对小需要对数据包进行分片，但又由于该数据包标识有不分片设置，所以丢弃数据包的同时会通过 ICMP 发送一个 Type 3/Code 4 的消息给源端。

通过过滤后可知 No.19 为 ICMP Type 3/Code 4 的数据包，标识有目的地不可达(需要分片)的信息，并提示下一跳 MTU 为 1480。

原始数据包是哪个？展开 No.19 数据包细节如下，可简单通过 IP.ID 去找原数据包。

过滤对比可知，原始数据包为 No.18，MTU 为 1492 ，大于 1480 ，且由于 DF 置 1 的原因，不能分片。

分析答案

在这个跟踪文件中，为什么一个设备会发送一个 ICMP Type 3/Code 4 的数据包？：No.18 数据包由于 MTU 原因需要分片，但不允许分片。

2. What was the MTU size before the drop in size?

在数据包大小调小之前 MTU 大小是什么。

分析步骤

MTU 和 MSS 一直是网络协议数据包分析中一个比较有意思的话题，问题 2 也比较有意思，问的是数据包大小调小之前，基于 1 题的分析，可认为是 No.18 之前的 MTU。

从 TCP 三次握手可知，客户端和服务器本地的 MTU 都是 1500（1460 + 20 IP 首部 + 20 TCP 首部），而中间路径中服务器 -> 客户端传输方向的 MTU 也为 1500（1514-14 Ethernet 首部）。

分析答案

在数据包大小调小之前 MTU 大小是：1500。

3. What is the IP address of the router that can’t forward larger sized frames?

不能转发更大的帧的路由器的 IP 地址是什么?

分析步骤

实际上在题 1 中的分析中，已经标有该答案

稍微有点问题的地方是，该 IP 和原始数据包的目的 IP 均是同一个，疑似匿名化数据包该 IP 时弄错了。。。

分析答案

不能转发更大的帧的路由器的IP地址是：108.160.172.65。

4. What is the IP address of the host that adjusted its MTU?

调整 MTU 的主机的 IP 地址是什么？

分析步骤

在客户端收到 No.19 的 ICMP 消息之后，客户端 No.20 数据包中调整了 MTU 的大小，改为 1480（1494 - 14 Ethernet 首部）

分析答案

调整 MTU 的主机的 IP 地址是：192.168.1.71。

5. How many more frames would be required to send a 6,000‐byte file using the smaller MTU size than using the larger MTU size?

使用较小的 MTU 比使用较大的 MTU 发送 6000 字节的文件需要多多少数据帧?

分析步骤

较大 MTU 1500，MSS 1460，6000 字节文件大小的数据帧会分为 5 个（4 个 1460 字节+ 1 个 160 字节）

较小 MTU 1480，MSS 1440，6000 字节文件大小的数据帧会分为 5 个（4 个 1440 字节+ 1 个 240 字节）

所以从数据帧数量来说，并没有变化。

分析答案

使用较小的 MTU 比使用较大的 MTU 发送 6000 字节的文件需要多多少数据帧：0 个。

往期推荐

1. Wireshark 提示和技巧 | 捕获点之 TCP 三次握手

2. Wireshark 提示和技巧 | a == ${a} 显示过滤宏

3. Wireshark TS | Slow Slow Slow Web

4. Wireshark TS | 消失的 TCP DUP ACK

5. 网络设备 MTU MSS Jumboframe 全解

后台回复「TT」获取 Wireshark 提示和技巧系列 合集

后台回复「TS」获取 Wireshark Troubleshooting系列 合集

如需交流，可后台直接留言，我会在第一时间回复，谢谢！

原文始发于微信公众号（Echo Reply）：Wireshark TS | Packet Challenge 之 MTU 案例分析

左青龙
微信扫一扫

右白虎
微信扫一扫

Wireshark TS | Packet Challenge 之 MTU 案例分析

数据包信息

数据包分析

1. Why did a device send an ICMP Type 3/Code 4 packet in this trace file?

分析步骤

分析答案

2. What was the MTU size before the drop in size?

分析步骤

分析答案

3. What is the IP address of the router that can’t forward larger sized frames?

分析步骤

分析答案

4. What is the IP address of the host that adjusted its MTU?

分析步骤

分析答案

5. How many more frames would be required to send a 6,000‐byte file using the smaller MTU size than using the larger MTU size?

分析步骤

分析答案

HW必备技能教学之Windows应急响应常见流程【附应急工具】

应急响应常用命令手册

Web攻击应急响应 | 干货

【应急响应】网络安全应急响应技术实战指南-Win系统排查

护网蓝队之研判分析

应急响应所有流程 | 干货

Linux应急常见的排查思路及用到的排查命令

【溯源反制】看我如何利用长亭WAF的demo跨域获取用户信息

web攻击应急响应

安全跟我学｜勒索病毒防护

发表评论