流量分析 - 考试篇（参考答案）

telnet and ip.src == 192.168.181.141

220 ........ Slyar FTPserver!FTP服务器返回的欢迎消息，表示服务器名称为 "Slyar FTPserver"。OPTS UTF8 ON客户端请求服务器启用UTF-8编码，这通常用于处理文件名中的多字节字符。530 Please login with USER and PASS.服务器要求客户端进行登录，并提供用户名（USER）和密码（PASS）。USER anonymous客户端尝试使用 "anonymous" 作为用户名进行登录，这通常用于匿名访问FTP服务器。331 Please specify the password.服务器要求客户端提供密码，因为 "anonymous" 用户通常需要提供邮箱地址作为密码。PASS客户端没有提供密码，这种情况可能是匿名登录时直接按回车键提交。230 Login successful.服务器成功验证登录信息并允许访问。PORT 192,168,181,1,235,130客户端请求使用指定的IP地址（192.168.181.1）和端口（235130）进行数据传输。200 Port command successful.服务器确认接受客户端的PORT命令，表示数据连接将使用指定的IP和端口。LIST客户端请求服务器列出当前目录中的文件和目录。150 Opening ASCII mode data connection for directory list.服务器表示它正在建立ASCII模式的数据连接以返回目录列表。226 Transfer complete服务器表示目录列表已成功传输并完成。XPWD客户端请求显示当前工作目录路径。502 Command not implemented.服务器不支持XPWD命令，因此返回错误代码502。PORT 192,168,181,1,235,192客户端尝试再次发送PORT命令，指定另一个端口（235192）进行数据传输。200 Port command successful.服务器确认接受新的PORT命令。NLST客户端请求列出当前目录中的文件名（使用NLST命令）。502 Command not implemented.服务器表示不支持NLST命令，返回错误502。QUIT客户端请求关闭会话。220 ....!服务器响应关闭会话，发送再见消息 "220 ....!"。

ip.dst == 192.168.181.250 and http

http.response.code == 404

icmp and ip.src == 192.168.181.25

icmp.type eq 5

每⼀个包都是通过数据链路层DLC 协议，IP 协议和 ICMP 协议共三层协议的封装。DLC 协议的⽬的和源地址是 MAC 地址，IP 协议的⽬的和源地址是 IP 地址，这层主要负责将上层收到的信息发送出去，⽽ICMP协议主要是 Type 和 Code 来识别，“Type:8,Code：0” 表⽰报⽂类型为诊断报⽂的请求测试包， “Type:0,Code:0” 表⽰报⽂类型为诊断报⽂类型请正常的包。ICMP 提供多种类型的消息为源端节点提供⽹络额故障信息反馈，报⽂类型可归纳如下：（1）诊断报⽂（类型：8，代码 0；类型：0代码：0）； (2）⽬的不可达报⽂（类型：3，代码 0-15）；（3）重定向报⽂（类型：5，代码：0--4）；（4）超时报⽂（类型：11，代码：0--1）；（5）信息报⽂（类型：12--18）。