Sniffer抓包实战：从DNS解析到TCP握手，手把手教你分析一次完整的tracert命令

Sniffer抓包实战：从DNS解析到TCP握手，手把手教你分析一次完整的tracert命令

网络协议分析是每位网络工程师和运维人员的必修课。想象一下，当你面对一个网络连接问题时，能够像侦探一样通过数据包分析找出问题根源，这种能力不仅酷炫，而且极其实用。本文将带你深入网络协议的底层世界，通过一次完整的tracert命令执行过程，揭示从DNS解析到TCP握手的每一个细节。

1. 实验环境搭建与工具准备

在开始抓包分析前，我们需要搭建一个合适的实验环境。推荐使用校园网或企业内网环境进行实验，因为这些网络环境通常包含多个路由节点，能够更好地展示tracert命令的工作原理。

必备工具清单：

• Sniffer软件：Wireshark是最流行的网络协议分析工具，支持多种协议解析
• 命令行工具：Windows系统自带的tracert或Linux/macOS下的traceroute
• 网络连接：确保实验主机能够访问互联网

提示：在实验前关闭不必要的网络应用程序，减少干扰数据包

安装Wireshark后，我们需要进行一些基本配置：

# Linux下安装Wireshark sudo apt update sudo apt install wireshark

配置Wireshark捕获过滤器可以显著提高分析效率。对于本次实验，我们可以设置以下过滤器：

udp.port == 53 || icmp || tcp.port == 80

这个过滤器将只捕获DNS(53端口)、ICMP和HTTP(80端口)相关的数据包，避免捕获过多无关流量。

2. tracert命令背后的网络原理

tracert（路由追踪）是一个诊断工具，用于确定数据包从源主机到目标主机所经过的路径。它巧妙地利用了IP协议的TTL(Time To Live)字段和ICMP协议的错误报告机制。

tracert工作原理分步解析：

1. 初始探测：发送TTL=1的UDP数据包（Windows）或ICMP Echo请求（Linux）
2. 路由器响应：第一跳路由器将TTL减至0，丢弃数据包并返回ICMP"超时"消息
3. 递增TTL：逐步增加TTL值(2,3,...)，直到到达目标主机
4. 目标响应：目标主机返回ICMP"端口不可达"(UDP)或"Echo回复"(ICMP)消息

下表比较了不同操作系统下tracert的实现差异：

理解这些底层原理对于正确解读抓包数据至关重要。在实际抓包分析时，我们需要特别注意ICMP报文的类型字段：

• Type=11, Code=0：TTL超时（来自中间路由器）
• Type=3, Code=3：端口不可达（来自目标主机，Windows tracert）
• Type=0：Echo回复（来自目标主机，Linux traceroute）

3. 完整抓包分析：从DNS到路径发现

现在，让我们通过一个实际案例，逐步分析执行tracert www.example.com时的完整网络交互过程。

3.1 DNS解析阶段

任何域名追踪的第一步都是DNS解析。在我们的实验中，执行tracert命令后，首先会观察到一组DNS查询数据包：

No. Time Source Destination Protocol Info 1 0.000000 192.168.1.100 8.8.8.8 DNS Standard query A www.example.com 2 0.025143 8.8.8.8 192.168.1.100 DNS Standard query response A 93.184.216.34

关键字段解析：

• 查询类型A：表示请求IPv4地址
• 事务ID：匹配查询与响应（如0x3a8f）
• 响应时间：反映DNS服务器性能（本例25ms）

在校园网环境中，你可能会看到先向本地DNS服务器查询，如果没有记录再递归查询上级服务器。

3.2 ICMP路径发现阶段

DNS解析完成后，tracert开始发送探测包。以下是典型的Windows tracert抓包片段：

No. Time Source Destination Protocol Info 3 1.002345 192.168.1.100 93.184.216.34 UDP Source port: 33434 Destination port: 33434 4 1.005678 192.168.1.1 192.168.1.100 ICMP Time-to-live exceeded 5 1.102345 192.168.1.100 93.184.216.34 UDP Source port: 33435 Destination port: 33435 6 1.205678 10.0.0.1 192.168.1.100 ICMP Time-to-live exceeded ...

分析要点：

1. TTL递增模式：第一个包TTL=1，第二个TTL=2，依此类推
2. UDP端口变化：每次探测使用不同源端口（33434, 33435,...）
3. ICMP响应：来自各跳路由器的"TTL超时"消息

3.3 完整路径重构

通过收集所有ICMP超时消息的源IP地址，我们可以重建完整路径：

Hop IP Address RTT(ms) 1 192.168.1.1 3.3 2 10.0.0.1 100.5 3 203.0.113.45 15.2 4 93.184.216.34 25.1

注意：某些路由器可能配置为不响应ICMP，导致显示为"* * *"

4. 高级分析与故障排查技巧

掌握了基础分析后，我们可以进一步挖掘抓包数据中的有价值信息。

4.1 网络延迟分析

通过比较连续跳数的RTT(往返时间)，可以识别网络瓶颈：

# 简单的RTT分析示例 rtts = [3.3, 100.5, 15.2, 25.1] for i in range(1, len(rtts)): hop_delay = rtts[i] - rtts[i-1] print(f"Hop {i}→{i+1} delay: {hop_delay:.1f}ms")

输出结果：

Hop 1→2 delay: 97.2ms Hop 2→3 delay: -85.3ms Hop 3→4 delay: 9.9ms

异常值可能表明：

• 突然增加的延迟：跨运营商互联点拥塞
• 负延迟：时钟不同步或路由变化导致测量不准确

4.2 常见问题诊断

案例1：tracert在某一跳停止

可能原因：

• 防火墙阻止ICMP响应
• 网络设备配置问题
• 路由环路

诊断步骤：

1. 检查后续跳数是否有响应
2. 尝试从不同源地址tracert
3. 使用tcptraceroute等替代工具

案例2：DNS解析成功但tracert失败

排查要点：

1. 验证目标IP是否可达（ping测试）
2. 检查中间网络是否允许UDP/ICMP通过
3. 确认本地防火墙设置

4.3 安全考量与最佳实践

在进行网络诊断时，需注意：

• 权限：在企业网络中进行抓包可能需要管理员授权
• 隐私：避免在公共网络捕获包含敏感信息的数据包
• 资源：长时间抓包会消耗大量磁盘空间，建议：
  • 使用捕获过滤器
  • 设置环形缓冲区
  • 定期保存分析结果

# Wireshark命令行工具dumpcap的使用示例 dumpcap -i eth0 -f "udp port 53 or icmp" -b filesize:10000 -w tracert.pcapng

5. 扩展实验：对比不同工具的实现差异

为了深入理解路由追踪技术，我们可以对比不同工具的工作机制。

5.1 Windows tracert vs Linux traceroute

协议层面差异：

• Windows：使用UDP数据包（默认端口33434开始）
• Linux：默认使用ICMP Echo请求
• tcptraceroute：使用TCP SYN包（可绕过某些防火墙）

5.2 可视化分析工具

除了命令行工具，还可以使用：

• mtr：结合traceroute和ping的实时诊断工具
• PingPlotter：图形化路由追踪工具
• Wireshark I/O图表：可视化延迟变化

典型mtr输出：

Host Loss% Snt Last Avg Best Wrst StDev 1. 192.168.1.1 0.0% 10 2.1 2.3 1.9 3.2 0.4 2. 10.0.0.1 0.0% 10 12.3 11.9 10.1 14.2 1.2 3. 203.0.113.45 0.0% 10 13.2 12.8 11.5 15.0 1.0 4. 93.184.216.34 0.0% 10 25.1 24.8 23.1 27.2 1.3

5.3 编程实现简易traceroute

理解原理后，我们可以用Python实现一个简易的traceroute：

import socket import struct import time def traceroute(dest, max_hops=30, timeout=2): port = 33434 recv_socket = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_ICMP) send_socket = socket.socket(socket.AF_INET, socket.SOCK_DGRAM, socket.IPPROTO_UDP) recv_socket.settimeout(timeout) for ttl in range(1, max_hops+1): send_socket.setsockopt(socket.IPPROTO_IP, socket.IP_TTL, ttl) send_socket.sendto(b'', (dest, port)) try: start_time = time.time() _, curr_addr = recv_socket.recvfrom(512) curr_addr = curr_addr[0] rtt = (time.time() - start_time) * 1000 print(f"{ttl}\t{curr_addr}\t{rtt:.2f}ms") if curr_addr == dest: break except socket.timeout: print(f"{ttl}\t*\t*\tRequest timed out") send_socket.close() recv_socket.close() traceroute("www.example.com")