2014年wireshark数据包分析大赛完整试题及答案sharkfest2014教程.docx

TROUBLE TICKET Trace File: TroubleTicket.pcapng (contributed by Jasper Bongertz) What is the application protocol used? 从图中可以看出，使用的应用层协议是HTTP。 Are all GET requests asking for the same URI? 是的。在HTTP数据包11号的GET位置选择应用为表达式，可以得到3个数据包，其中的URL均指向同一地址。 Based on where this trace was taken, do the packets get lost closer to the client or closer to the server? 问题出在客户端一侧，我们将时间显示模式调节为“距离上一次抓包时间”。首先可以看出服务器发了许多【ACK，SYN】置位的数据包。其次，客户端首次发送针对【ACK，SYN】的应答包10，距离上一次抓包已过去了3.5s，而服务器针对包11中GET请求的响应只花费了0.001s，如包12所示。 因此可以判断问题大约为客户端主机处理请求时发生了拥塞或延迟，建议清空缓存或终止高耗CPU的进程。 This trace was taken inside the infrastructure. Whatis the Initial Round Trip Time of the connection? 通常正式数据开始传输前最终的三次握手为成功的这个，我们看到在数据包10开始传输数据之前，数据包8,9,10完成了一次三次握手认证。选择数据包8的时间作为参考时间，可以看到三次认证完成的时间为3.560826s。 5. Who owns the server? 从HTTP的GET请求中可以看到，请求的网址为/tianya2b/nodes/…..，此时主机Host为 HYPERLINK http://www.verkehrsmittelvergleich.de www.verkehrsmittelvergleich.de，是一台德国的服务器。进一步从服务器响应中我们还可以得知客户机的名字为Koblenz Hbf，当然，这是他的网名。 BIG FTP Trace File: BigFTP.pcapng On which host was Wireshark running when this trace file was taken? 从截图中可以看出，20首先发出了CWD命令，此为ftp下的改变工作目录命令，使用户可以在不同的目录或数据集下工作而不用改变它的登录或帐户信息。在收到回馈的信息后，紧接着0.0005秒，其发出了端口开启命令。在如此短的时间间隔内发出两个命令，考虑网络延迟等因素，不可能在另一端收到如此短时间内的答复，因此wireshark运行在客户端一侧。 If this network does not support jumbo frames, why do we see 16,450 byte packets in the trace file? 虽然网络不支持巨型帧，但是在客户端连接的交换机支持，因此交换机会将分片数据包重新组装为巨型帧发给客户端。 What data packet is being acknowledged in frames 314-321? 上面一个图是数据包321的包详情，其为314-321序列的最后一个TCP确认数据包，可以看到其下一个期望接收序列的557057。下图是数据包304的包详情，其下一个期望接收序列为557057，余数据包321的数值相等。因此可以判断314-421是对重组后的巨型帧304的ACK应答。 Why can’t you view the reassembled .jpg file that is uploaded in this trace file? 首先追踪STOR命令的流，看到是在150端口以二进制传输文件。同时追踪数据流，看到提示语“this program must be run under Win32”，以及在详细数值里出现了类似函数调用接口的语句，因此判断有可能传输的是一个应用程序。 5. What is the true purpose of kidsatbeach.jpg? 选择追踪TCP流，将数据转换为原始数据，另存为001.exe，点击运行后如下图所示。 数据为一款叫做OJOsoft的软件，用于将音频在各大格式之间互转。 PAID TO PLAY Trace File: AllPlayNoWork.pcapng For what