4 、 图 2 是在一台主机上用 sniffer 捕捉的数据包 ， 其中数据包标号 (No.) 为 “ ? ” 的条目中“ Summary ” 栏目中的部分信息被隐去。请根据图中信息回答下列问题：/ncre/Files/2008-10/22/1455297113.jpg(1) 该主机网络访问的 www 服务器的 IP 地址是【 16 】 。(2) 根据图中 “ No. ” 栏中标号，表示 TCP 三次握手过程开始的数据包标号是【 17 】 。(3) 标号为 “ 7 ” 的数据包的源端口应为【 18 】 ，

正确答案：【l】202.113.64.166 【2】WWW.edu.cn 【3】211.81.20.200 【4】80 【5】8
【l】202.113.64.166 【2】WWW.edu.cn 【3】211.81.20.200 【4】80 【5】8 解析：考查常用网络管理软件sniffer的使用。需要加强动手能力，学会分析Source Address、Dest Address、Summary等数据。【1】根据图上的Source address可知该主机的IP为211.113.64.1160【2】图中倒数最后一栏是通过DNS获得的直接访问的网站。【3】第一二行中，源IP通过211.81.20.200去解析202.110.64.166。【4】根据图知，源IP访问www.edu.cn所打开的HTTP端口D=80。【5】源主机最后只发送确认报文ACK。

正确答案：
ping www.bupt.edu.cn
从报文段中可以看出，本题中的报文段是通过ICMP协议传输出错报告控制信息，所以本题中执行的命令一定为“ping”命令；由于在刚开始的时候进行了域名解析，说明“ping”后面的地址是以域名的形式写的，从报文端可以看出，该域名为www.bupt.edu.cn。所以在题目中使用的命令为ping www.bupt.edu.cn。

正确答案：
答案：【16】202.113.64.2【17】5【18】1101【19】1【20】3056467585

正确答案：64.2
64.2 解析：由图2-6 Detail(细节)窗格中“IP：Destination Address=[202.113.64.31，dns.tjut.edu.cn”可知，主机域名dns.tjut.edu.cn所对应的IP地址为202.113.64.3。图2-6解码(Decode)模块的[No.]列中标号为1”的那行报文，“Source Address(源IP地址)”为dns.tjut.edu.cn主机的IP地址为202.113.64-3。图2-6的[Source Address]和[DestAddress]列中共出现了202.113.64.3(即dns.tjut.edu.cn)、61.49.23.103等10个IP地址。假设这10个IP地址分别分配给10台主机，且均使用标准的子网掩码。其中，202.113.64.2、202.113.64.3、202.113.64.4这3个C类IP地址的网络号相同，即网络号均为202.113.64.0。由此可初步判断这3个IP地址所对应的3台主机可能处在同一个逻辑网段中。地址219.133.40.202也是一个C类IP地址，其他6个IP地址均是A类IP地址。经过计算，这7个IP地址所对应的主机相互独立，分散在不同逻辑网段中。可进一步判断这7个IP地址所对应的主机可能处于Internet中，那么网络号均为202.113.64.0的3台主机则处于该园区网中(如防火墙的DMZ区)。根据数据包源IP地址、目的IP地址信息及其对应数据传输方向，结合图2-6所给出的其他信息，可以画出如图2-9所示的网络拓扑结构示意图。图2-9中序号①～⑩对应于图2-6中[No.]列中“1”至“16”。图2-9中未示意出IP地址为219.133.40.202和121.21.241.47的主机。

(1)通常，Web服务器使用超文本传输协议(HTTP)为客户端提供网页信息浏览服务。在图2-6中与HTTP相关的信息标号为“5”、“7”、“13”、“17”行。这4行总共涉及到202.113.64.2、117.88.130.81和121.21.241.47三个IP地址，且有共同特点：均以地址202.113.64.2作为数据包的源IP地址。其中，标号为“5”行[Summary]列中“HTTP：R Port=1753 1440 bytes ofdata”表示：该行[SourceAddress]列中“202.113.64.2”的主机给该行[DestAddress]列中“117.88.130.81”主机的1753端口响应(Response)了1440字节的数据。同理可得出其他行的信息解释分别是：IP地址为202.113.64.2的主机给地址为117.88.130.81主机的1749端口、1757端口分别响应了1440字节的数据，IP地址为202.113.64.2的主机给地址为121.21.241.47主机的1308端口响应了1440字节的数据。由此可知，该园区网Web服务器的IP地址是202.113.64.2。由标号为“6”、“8”、“16”行[Summary]列中共同的信息“TCP：D=80”可知，该园区网Web服务器对外开放的服务端口是80。
(2)在图2-6中与主机59.50.174.113相关的行号为“14”。由该行[Summary]列中的信息“SMTP：R Port=3405 221 close connection”可知，源IP地址为202.113.64.4的主机向目的地址为59.50.174.113的主机发出了关闭SMTP(电子邮件传输协议)传输连接。其中，“221”为SMTP会话结束的应答码。
在图2-6中与地址202.113.64.4相关的行号有“2”和“3”。由行号为“2”的[Summary]列中信息“SMTP：C PORT=20289 TextData”可知，主机121.5.5.21通过20289端口号向主机202.113.64.4发出数据连接(Connect)的请求。由行号为“3”的[Summary]列中信息“TCP：D=20289 S=25 ACK=4118528534 WIN=31636”可知，主机202.113.64.4通过TCP 25端口号向主机121.5.5.21的20289端口号作出响应(ACK=4118528534)。由此可以判断，主机202.113.64.4是该园区网的E-mail服务器。
通常，电子邮件(E-mail)系统使用客户端/服务器(C/S)的工作方式。E-mail服务器通过对外开放TCP 25端口号被动地等待客户端的请求服务。在一次完整的E-mail通信过程中，共有两种场景使用到SMTP这一协议。场景一：客户端软件使用SMTP将邮件传递到发送方的邮件服务器；场景二：发送方邮件服务器使用SMTP将邮件发送到接收方的邮件服务器。另外，接收方客户端软件使用POP3/IMAP4从邮件服务器读取邮件。在本案例中，主机202.113.64.4是该园区网的E-mail服务器，对于场景一，主机59.50.174.113是一台请求提供电子邮件服务的客户端；对于场景二，主机59.50.174.113是一台电子邮件服务器(或SMTP服务器，或E-mail服务器)。
在图2-6中与主机61.49.23.103相关的行号有“1”和“4”。由行号为“1”的[Summary]列中信息“DNS：C ID=31512 P=QUERY NAME=update.uitv.com”可知，主机202.113.64.3向主机61.49.23.103发出“查询(QUERY)域名update.uitv.com所对应IP地址”的连接(Connect)的请求。由行号为“1”的[Summary]列中信息“DNS：R ID=31512 P=QUERY STAT=OK NAME=update.uitv.com可知，主机61.49.23.103向主机202.113.64.3响应“域名update.uitv.com查询解析成功(STAT=OK)”的信息。由此可知，主机61.49.23.103是一台转发域名服务器。
(3)在图2-6中共出现dns.tjut.edu.cn、update.uitv.corn、lib.tjut.edu.cn、isdIMG nClick=over(this) title=放大2.qq.corn 4个域名。其中，域名dns.tjut.edu.cn是该园区网DNS服务器(202.113.64-3)的主机域名。由于域名update.uitv.com是该园区网DNS服务器(202.113.64.3)向主机61.49.23.103转发的域名，因此可判断该域名与该园区网的域名无关。同理，域名isdIMG nClick=over(this) title=放大2.qq.com是该园区网DNS服务器(202.113.64.3)向主机219.133.40.202转发的域名，由此也可判断该域名与该园区网的域名无关。域名lib.tjut.edu.cn是处于Internet中主机61.138.129.156向该园区网DNS服务器(202.113.64.3)查询的域名，它是该园区网某台服务器(如图书馆)的主机域名。结合域名解析的树状逻辑层次结构的概念可知，该园区网的域名是tjut.edu.cn。

正确答案：
答案：【16】202.113.64.166【17】www.edu.cn【18】211.81.20.200【19】80【20】12