如图1-6所示为在一台主机上用Sniffer捕获的数据包。请根据图1-6中的信息回答下列问题。(1) 该主机使用的DNS服务器的域名是 (16) ，DNS服务器的IP地址是 (17) 。(2) 如果图1-6显示的是在该主机上执行某个操作过程中捕获的所有数据包，那么该操作是 (18) 。(3) 如果Sniffer启用了如图1-7所示的过滤器“example”后，在该主机上使用浏览器成功地访问了 http://it.nankai.edu.cn，那么Sniffer是否可以捕获到该操作的16.

正确答案：64.2
64.2 解析：由图2-6 Detail(细节)窗格中“IP：Destination Address=[202.113.64.31，dns.tjut.edu.cn”可知，主机域名dns.tjut.edu.cn所对应的IP地址为202.113.64.3。图2-6解码(Decode)模块的[No.]列中标号为1”的那行报文，“Source Address(源IP地址)”为dns.tjut.edu.cn主机的IP地址为202.113.64-3。图2-6的[Source Address]和[DestAddress]列中共出现了202.113.64.3(即dns.tjut.edu.cn)、61.49.23.103等10个IP地址。假设这10个IP地址分别分配给10台主机，且均使用标准的子网掩码。其中，202.113.64.2、202.113.64.3、202.113.64.4这3个C类IP地址的网络号相同，即网络号均为202.113.64.0。由此可初步判断这3个IP地址所对应的3台主机可能处在同一个逻辑网段中。地址219.133.40.202也是一个C类IP地址，其他6个IP地址均是A类IP地址。经过计算，这7个IP地址所对应的主机相互独立，分散在不同逻辑网段中。可进一步判断这7个IP地址所对应的主机可能处于Internet中，那么网络号均为202.113.64.0的3台主机则处于该园区网中(如防火墙的DMZ区)。根据数据包源IP地址、目的IP地址信息及其对应数据传输方向，结合图2-6所给出的其他信息，可以画出如图2-9所示的网络拓扑结构示意图。图2-9中序号①～⑩对应于图2-6中[No.]列中“1”至“16”。图2-9中未示意出IP地址为219.133.40.202和121.21.241.47的主机。

(1)通常，Web服务器使用超文本传输协议(HTTP)为客户端提供网页信息浏览服务。在图2-6中与HTTP相关的信息标号为“5”、“7”、“13”、“17”行。这4行总共涉及到202.113.64.2、117.88.130.81和121.21.241.47三个IP地址，且有共同特点：均以地址202.113.64.2作为数据包的源IP地址。其中，标号为“5”行[Summary]列中“HTTP：R Port=1753 1440 bytes ofdata”表示：该行[SourceAddress]列中“202.113.64.2”的主机给该行[DestAddress]列中“117.88.130.81”主机的1753端口响应(Response)了1440字节的数据。同理可得出其他行的信息解释分别是：IP地址为202.113.64.2的主机给地址为117.88.130.81主机的1749端口、1757端口分别响应了1440字节的数据，IP地址为202.113.64.2的主机给地址为121.21.241.47主机的1308端口响应了1440字节的数据。由此可知，该园区网Web服务器的IP地址是202.113.64.2。由标号为“6”、“8”、“16”行[Summary]列中共同的信息“TCP：D=80”可知，该园区网Web服务器对外开放的服务端口是80。
(2)在图2-6中与主机59.50.174.113相关的行号为“14”。由该行[Summary]列中的信息“SMTP：R Port=3405 221 close connection”可知，源IP地址为202.113.64.4的主机向目的地址为59.50.174.113的主机发出了关闭SMTP(电子邮件传输协议)传输连接。其中，“221”为SMTP会话结束的应答码。
在图2-6中与地址202.113.64.4相关的行号有“2”和“3”。由行号为“2”的[Summary]列中信息“SMTP：C PORT=20289 TextData”可知，主机121.5.5.21通过20289端口号向主机202.113.64.4发出数据连接(Connect)的请求。由行号为“3”的[Summary]列中信息“TCP：D=20289 S=25 ACK=4118528534 WIN=31636”可知，主机202.113.64.4通过TCP 25端口号向主机121.5.5.21的20289端口号作出响应(ACK=4118528534)。由此可以判断，主机202.113.64.4是该园区网的E-mail服务器。
通常，电子邮件(E-mail)系统使用客户端/服务器(C/S)的工作方式。E-mail服务器通过对外开放TCP 25端口号被动地等待客户端的请求服务。在一次完整的E-mail通信过程中，共有两种场景使用到SMTP这一协议。场景一：客户端软件使用SMTP将邮件传递到发送方的邮件服务器；场景二：发送方邮件服务器使用SMTP将邮件发送到接收方的邮件服务器。另外，接收方客户端软件使用POP3/IMAP4从邮件服务器读取邮件。在本案例中，主机202.113.64.4是该园区网的E-mail服务器，对于场景一，主机59.50.174.113是一台请求提供电子邮件服务的客户端；对于场景二，主机59.50.174.113是一台电子邮件服务器(或SMTP服务器，或E-mail服务器)。
在图2-6中与主机61.49.23.103相关的行号有“1”和“4”。由行号为“1”的[Summary]列中信息“DNS：C ID=31512 P=QUERY NAME=update.uitv.com”可知，主机202.113.64.3向主机61.49.23.103发出“查询(QUERY)域名update.uitv.com所对应IP地址”的连接(Connect)的请求。由行号为“1”的[Summary]列中信息“DNS：R ID=31512 P=QUERY STAT=OK NAME=update.uitv.com可知，主机61.49.23.103向主机202.113.64.3响应“域名update.uitv.com查询解析成功(STAT=OK)”的信息。由此可知，主机61.49.23.103是一台转发域名服务器。
(3)在图2-6中共出现dns.tjut.edu.cn、update.uitv.corn、lib.tjut.edu.cn、isdIMG nClick=over(this) title=放大2.qq.corn 4个域名。其中，域名dns.tjut.edu.cn是该园区网DNS服务器(202.113.64-3)的主机域名。由于域名update.uitv.com是该园区网DNS服务器(202.113.64.3)向主机61.49.23.103转发的域名，因此可判断该域名与该园区网的域名无关。同理，域名isdIMG nClick=over(this) title=放大2.qq.com是该园区网DNS服务器(202.113.64.3)向主机219.133.40.202转发的域名，由此也可判断该域名与该园区网的域名无关。域名lib.tjut.edu.cn是处于Internet中主机61.138.129.156向该园区网DNS服务器(202.113.64.3)查询的域名，它是该园区网某台服务器(如图书馆)的主机域名。结合域名解析的树状逻辑层次结构的概念可知，该园区网的域名是tjut.edu.cn。

正确答案：
【解题思路】本题主要考查域名解析、ICMP协议工作过程。(1)域名解析过程如下。①客户机提出域名解析请求，并将该请求发送给本地的域名服务器。②当本地的域名服务器收到请求后，就先查询本地的缓存，如果有该纪录项，则本地的域名服务器就直接把查询的结果返回。③如果本地的缓存中没有该纪录，则本地域名服务器就直接把请求发给根域名服务器，然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。④本地服务器再向上一步返回的域名服务器发送请求，然后接受请求的服务器查询自己的缓存，如果没有该纪录，则返回相关的下级的域名服务器的地址。⑤重复第四步，直到找到正确的纪录。⑥本地域名服务器把返回的结果保存到缓存中，以备下一次使用，同时还将结果返回给客户机。(2)ICMP是(IntemetControlMessageProtoc01)Internet控制报文协议。它是TCP／IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。ICMP协议经常被用于Ping命令和tracert命令。其中Ping命令通过发送ICMP报文并监听回应报文，来检查与远程或本地计算机的连接。tracert命令通过发送包含不同FTL的ICMP报文并监听回应报文，来探测到达目的计算机的路径。【参考答案】【16】【解析】由图中第9行知本地主机通过ICMP向某个IP地址发送Echo(回送)报文。该报文包含两部分，即一个是请求，一个是回答。从第10行“Time-to-liveexceededintransmit”知202，113．64．129回复了一个正常发送的Ech0消息，因此可以推断202．113．64．129是第一个路由器的地址。同理从第15行到第18行可以推断出第二个路由器的地址是202．113．77．253，因此【16】处应填入：202．113．77．253。【17】【解析】第ll行和第12行是重复第9行和第10行的过程，因此可以推断出【17】处应填入：mail．tj．edu．cno【18】【解析】从第5行的Summary列中的“0P=Query”知该语句是DNS请求语句，即本地主机向域名服务器请求域名解析，第6行是应答语句。第7、8行重复此过程，到第9行时，目的地的IP地址就用域名表示了。因此确定本地主机地址是202．113．64．137，因此【18】处应填入：202．113．64．137。【19】【解析】从第17行开始，路由器的IP地址又变成202．113．77．253，因而可以推断出到达mail．tj．edu．eft的第二个路由器的IP地址是202．113．77．253。而tracert命令通过发送包含不同，TTL的ICMP报文并监听回应报文，来探测到达目的计算机的路径，因此可以判断出该主机上执行的命令是tracertmail．tj．edu．cn。因此【19】处应填人：tracertmail．tj．edu．on。【20】【解析】由第5、6、7、8行可以确定DNS服务器的地址是202．113．64．3。第9～14行是第一个路由器的对ICMP的Echo(回送)过程。第17～20行是第二个路由器的对ICMP的Echo(回送)过程。由此可以把整个表格中获得的报文分为两大部分，即第5～14是一个部分，第15～20是一个部分。除去路由器地址的不同，可以发现这两部分是重复的过程，每一部分都是要先对域名进行解析，然后再执行ICMP的Echo(回送)过程。因此可以推断，本机访问其所配置的DNS服务器时需要经过1个路由。因此【20】处应填入：1。

正确答案：
答案：【16】202.113.64.166【17】www.edu.cn【18】211.81.20.200【19】80【20】12

正确答案：
ping www.bupt.edu.cn
从报文段中可以看出，本题中的报文段是通过ICMP协议传输出错报告控制信息，所以本题中执行的命令一定为“ping”命令；由于在刚开始的时候进行了域名解析，说明“ping”后面的地址是以域名的形式写的，从报文端可以看出，该域名为www.bupt.edu.cn。所以在题目中使用的命令为ping www.bupt.edu.cn。

正确答案：
[解题思路]