MainPage/Computer NetworkLab 4

Лабораторная работа №4
«Анализ трафика компьютерных сетей с помощью утилиты Wireshark»

1. Цель и краткая характеристика работы

Цель работы – изучить структуру протокольных блоков данных, анализируя реальный трафик на компьютере студента с помощью бесплатно распространяемой утилиты Wireshark.
这项工作的目的是通过使用免费的 Wireshark 实用程序分析学生计算机上的真实流量来研究协议数据块的结构。

В процессе выполнения домашнего задания выполняются наблюдения за передаваемым трафиком с компьютера пользователя в Интернет и в обратном направлении. Применение специализированной утилиты Wireshark позволяет наблюдать структуру передаваемых кадров, пакетов и сегментов данных различных сетевых протоколов. При выполнении УИР рекомендуется выполнить анализ последовательности команд и определить назначение служебных данных, используемых для организации обмена данными в протоколах: ARP, DNS, FTP, HTTP, DHCP.
在做作业时，会观察从用户计算机到互联网以及相反方向的传输流量。使用专用的 Wireshark 实用程序可以观察各种网络协议传输的帧、数据包和数据段的结构。执行 URI 时，建议分析命令序列并确定用于组织协议中数据交换的服务数据的用途：ARP、DNS、FTP、HTTP、DHCP。

2. Теоретическая справка

Процесс передачи данных по компьютерным сетям является сложным комплексом процедур, выполняемых с применением большого количества разнообразных программных и аппаратных средств. Для упрощения анализа и проектирования таких сложных систем, общепринятой практикой является декомпозиция сложного процесса на модули и/или иерархические структуры.
通过计算机网络传输数据的过程是使用多种软件和硬件执行的一组复杂的过程。为了简化此类复杂系统的分析和设计，通常的做法是将复杂的过程分解为模块和/或分层结构。

Обычно целью декомпозиции является получение таких модулей, которые выполняют отведённые им функции изолированно от других модулей, передавая соседним модулям лишь конечные результаты работы. Это позволяет рассматривать и проектировать модули независимо друг от друга различным, не связанным друг с другом группам инженеров, каждая из которых обладает узкой квалификацией, необходимой для реализации конкретного модуля. Кроме этого, система, обладающая модульной структурой, позволяет при необходимости модифицировать внутреннюю реализацию отдельных модулей, не изменяя что-либо в соседних модулях.
通常，分解的目标是获得与其他模块隔离的执行指定功能的模块，仅将工作的最终结果传输到相邻模块。这使得模块可以由不同的、不相关的工程师组独立地考虑和设计，每个工程师组都具有实现特定模块所需的特定专业知识。此外，如果需要，具有模块化结构的系统允许修改各个模块的内部实现，而无需更改相邻模块中的任何内容。

В компьютерных сетях общепринятой моделью декомпозиции процесса передачи данных является OSI-модель, разработанная международной организацией по стандартизации. OSI означает «Open Systems Interconnection», т.е. взаимодействие открытых систем. Модель OSI определяет 7 модулей, называемых уровнями (layer), каждый из которых описывает реализацию некоторого множества родственных сетевых операций, которые выполняет ЭВМ, начиная от момента получения данных от пользователя и заканчивая отправлением физического сигнала в сеть.
在计算机网络中，普遍接受的分解数据传输过程的模型是国际标准化组织制定的OSI模型。 OSI 代表“开放系统互连”，即开放系统的交互。 OSI 模型定义了 7 个称为层的模块，每个层都描述计算机执行的一组特定相关网络操作的实现，从从用户接收数据的那一刻开始，到向网络发送物理信号结束。

После выполнения сетевых функций некоторого уровня его результаты могут быть переданы только соседним уровням. Результатами являются закодированные блоки данных, называемые PDU (протокольные блоки данных). Обычно при движении PDU по OSI-модели от «пользователя» в «сеть» каждый уровень дополняет полученный PDU своими служебными данными, формирующими заголовок, и в некоторых случаях – концевик.
当某一层的网络功能完成后，其结果只能传输到相邻层。结果是编码后的数据块，称为 PDU（协议数据单元）。通常，当 PDU 沿着 OSI 模型从“用户”移动到“网络”时，每个级别都会用自己的服务数据补充接收到的 PDU，形成标头，在某些情况下还形成标尾。

При движении PDU по OSI-модели в обратном направлении (т.е. из «сети» к «пользователю») каждый уровень сначала использует одноимённые служебные данные для выполнения заданной сетевой функции, а затем «отстёгивает» заголовок при передаче следующему уровню. Описанный подход гарантирует невмешательство уровней в работу друг друга, обеспечивая хорошую «модульность» процесса, однако предполагает достаточно большое количество служебных данных, которые могут дублироваться на разных уровнях, что увеличивает накладные расходы на передачу полезных.
当PDU沿相反方向（即从“网络”到“用户”）移动通过OSI模型时，每一层首先使用同名的服务数据来执行给定的网络功能，然后“解绑”将其传递到下一层时的标头。所描述的方法保证了各个级别之间工作的互不干扰，确保了流程良好的“模块化”，但它假设了相当大量的服务数据可以在不同的级别上复制，这增加了传输有用数据的开销。

В некоторых случаях правила уровня могут накладывать ограничения на размер PDU, который может быть корректно обработан уровнем. В этом случае при попытке передать PDU большего размера, PDU будет либо отвергнут с сообщением об ошибке, либо будет фрагментирован на несколько частей, каждая из которых будет передана независимо. При использовании фрагментирования требуется, чтобы принимающая фрагменты сторона могла соединить фрагменты воедино.
在某些情况下，层规则可能会对层可以正确处理的 PDU 的大小施加限制。在这种情况下，当尝试传输较大的 PDU 时，该 PDU 将被拒绝并显示错误消息，或者将被分成几个部分，每个部分将独立传输。使用分段要求接收分段的一方能够将分段连接在一起。

Рассмотрим каждый из 7 уровней OSI-модели более подробно.
让我们更详细地了解 OSI 模型的 7 个级别中的每一个级别。

Прикладной уровень (Application Layer, L7) описывает процесс выполнения пользовательских приложений и организацию обмена данными при работе с сетью, при этом все нижележащие уровни скрыты от пользователя. Этот уровень имеет нечёткие границы, так как может описывать не только функции сетевого приложения, но и возможные действия пользователя. На уровне L7 может описываться:
应用层（L7）描述了在与网络一起工作时执行用户应用程序和组织数据交换的过程，而所有底层对用户都是隐藏的。该级别的边界很模糊，因为它不仅可以描述网络应用程序的功能，还可以描述可能的用户操作。在 L7 级可以描述以下内容：

• авторизация и аутентификация пользователя;
  用户授权和认证；
• контроль целостности конечных пользовательских данных, которые были получены из сети;
  监控从网络接收的最终用户数据的完整性；
• синхронизация действий или файлов пользователей, взаимодействующих по сети (например, при совместном редактировании файла несколькими пользователями), а также любая из функций уровней L2-L6, если она не была реализована на L2-L6, либо была реализована не в полном соответствии с потребностями приложения или пользователя.
  通过网络交互的用户的操作或文件的同步（例如，当多个用户共同编辑文件时），以及 L2-L6 级别的任何功能（如果未在 L2-L6 上实现），或者没有完全按照应用程序或用户的需求来实施。

Уровень представления (Presentation Layer, L6) описывает формат взаимодействия, в котором будут представлены данные пользователя при передаче по сети. На этом уровне могут описываться:
表示层（L6）描述了用户数据在网络上传输时呈现的交互格式。在此级别可以描述以下内容：

• процедура согласования формата представления данных на этапе установки соединения (например, выбор UTF-8 для кодирования текста пользователя или выбор алгоритма сжатия и его параметров и т.п.);
  在连接建立阶段就数据表示格式达成一致的程序（例如，选择UTF-8对用户文本进行编码或选择压缩算法及其参数等）；
• правила изменения текущего формата представления данных в некотором уже установленном соединении (например, изменение кодека, сжимающего аудиопоток во время VoIP-разговора, при обнаружении перегрузки канала связи);
  在某些已建立的连接中更改当前数据呈现格式的规则（例如，当检测到通信通道过载时，更改 VoIP 会话期间压缩音频流的编解码器）；
• описание синтаксиса выбранного формата представления данных, если он не является общеизвестным стандартом и не может быть описан простой ссылкой на стандарт (например, новый патентованный алгоритм сжатия или особый порядок следования байтов).
  所选数据表示格式的语法描述，如果它不是众所周知的标准并且不能通过对标准的简单引用来描述（例如，新的专有压缩算法或特殊字节顺序）。

Сеансовый уровень (Session Layer, L5) описывает процесс установки, разрыва и поддержания соединений. На этом уровне может описываться:
会话层 (L5) 描述建立、断开和维护连接的过程。在此级别可以描述以下内容：

• процедура установки соединения и согласования параметров соединения (например, требований по обеспечению качества обслуживания QoS – Quality of Service), при этом фактическая реализация запрошенных требований осуществляется на уровне L4;
  建立连接并就连接参数达成一致的程序（例如，确保服务质量QoS的要求——服务质量），而所请求的要求的实际实现是在L4级别进行的；
• процедура разрыва соединения как при явном запросе пользователя, так при получении от L4 сообщения о невозможности выполнить запрошенные требования QoS (может быть описан штатный разрыв без потери данных пользователя и/или быстрый «жёсткий» сброс соединения с риском потери данных);
  根据用户的明确请求和从 L4 接收到有关无法满足所请求的 QoS 要求的消息时断开连接的过程（定期断开连接而不丢失用户数据和/或快速“硬”重置可以描述与数据丢失风险的联系）；
• процедура (ре)синхронизации состояния соединения (соединение может рассинхронизироваться при возникновении ошибок в сети, при переводе часов, при выходе за границу окна передачи и т.п.).
  （重新）同步连接状态的过程（当网络中发生错误、时钟改变、传输窗口超出边界等时，连接可能变得不同步）。

Транспортный уровень (Transport Layer, L4) описывает процесс передачи данных по сети «из конца в конец» (end-to-end), при этом с точки зрения пользователя все промежуточные сетевые устройства между абонентами рассматриваются как единый «черный ящик». На этом уровне может описываться:
传输层（L4）描述了通过网络“端到端”传输数据的过程，而从用户的角度来看，订阅者之间的所有中间网络设备都被视为单个“黑匣子””在此级别可以描述以下内容：

• процедура установки/поддержания/разрыва соединения и передачи данных с учётом соблюдения требований QoS, полученных от L5 (например, может понадобиться установить сразу несколько L4-соединений или выбрать такие L4-параметры, которые гарантируют соблюдение QoS-требований с большим запасом, ввиду отсутствия возможности точной настройки);
  建立/维持/断开连接和数据传输的过程，考虑到是否符合从 L5 收到的 QoS 要求（例如，您可能需要一次建立多个 L4 连接或选择保证符合 QoS 要求的 L4 参数）由于缺乏微调能力，余量较大）；
• процедура реагирования на обнаружение искажённых или потерянных пакетов (следует ли повторить передачу или же допустимо игнорировать потерю/искажение?);
  响应检测到失真或丢失数据包的程序（是否应该重复传输或者忽略丢失/失真是否可以接受？）；
• процедура сохранения корректного порядка поступления PDU конечному абоненту (PDU снабжаются порядковыми номерами, при этом может потребоваться буфер для временного хранения PDU, поступивших с нарушением порядка);
  维持 PDU 到达最终用户的正确顺序的程序（PDU 带有序列号，并且可能需要一个缓冲区来临时存储乱序接收的 PDU）；
• процедуры манипуляции с размером PDU: мультиплексирование потоков, разбиение больших PDU на более мелкие, объединение маленьких PDU в большие и т.п.
  操纵 PDU 大小的过程：复用流、将大 PDU 拆分为较小的 PDU、将小 PDU 合并为大的 PDU 等。

Сетевой уровень (Network Layer, L3) описывает процесс передачи PDU через промежуточные узлы сети, включая выбор маршрута следования при наличии нескольких маршрутов. При этом маршрут передачи может проходить через несколько промежуточных сетей. Сетевой уровень полностью скрывает от вышестоящих уровней (L4-L7) особенности маршрутизации и передачи PDU через разнородные сети, т.к. реализует их самостоятельно или средствами уровня L2. На уровне L3 может описываться:
网络层 (L3) 描述通过中间网络节点传输 PDU 的过程，包括在有多条路由的情况下选择一条路由。在这种情况下，传输路由可以经过多个中间网络。网络层对更高层（L4-L7）完全隐藏了通过异构网络路由和传输 PDU 的特征，因为独立或使用 L2 级工具实现它们。在 L3 级可以描述以下内容：

• установка/поддержание/разрыв соединения в условиях, когда необходимо пересекать границы нескольких сетей (при пересечении границы между сетями разных провайдеров может потребоваться инициировать установку соединения независимо от установки межоконечного соединения на L5);
  在需要跨越多个网络边界的情况下建立/维持/断开连接（当跨越不同提供商的网络之间的边界时，无论终端间连接的安装如何，都可能需要启动连接建立在 L5 上）；
• процедура сохранения корректного порядка поступления PDU на границе сетей (ср. с аналогичным пунктом в L4);
  维持 PDU 到达网络边界的正确顺序的程序（与 L4 中的类似点相比）；
• правила маршрутизации и построения маршрутных таблиц при пересечении границ сетей;
  跨越网络边界时的路由规则和路由表的构建；
• процедуры манипуляции с размером PDU (см. L4) – фрагментация;
  操纵 PDU 大小的程序（见 L4）——分段；
• правила подтверждения получения PDU приёмником.
  用于确认接收方收到 PDU 的规则。

Канальный уровень (Data Link Layer, L2) описывает логические правила передачи PDU в пределах локальной сети, построенной в рамках единой технологии с одинаковыми однотипными линиями связи. L2 скрывает от вышестоящих уровней физические особенности сети. На этом уровне может описываться:
数据链路层 (L2) 描述了在本地网络内传输 PDU 的逻辑规则，采用相同类型通信线路的单一技术构建。 L2 对更高层隐藏了网络的物理特征。在此级别可以描述以下内容：

• установка, поддержание и разрыв соединения в рамках одной локальной сети с возможностью согласования узлами параметров передачи (при подключении к Wi-Fi требуется установить L2-соединение с базовой станцией Wi-Fi независимо от установки соединения на L3 и L5);
  在同一本地网络内建立、维持和断开连接，节点能够就传输参数达成一致（连接 Wi-Fi 时，需要与 Wi-Fi 基站建立 L2 连接，无论您是否已在 L3 和 L5 上建立连接）；
• процедура реагирования на обнаружение искажённых или потерянных пакетов (сравни с L4);
  响应检测到损坏或丢失数据包的程序（与 L4 相比）；
• синхронизация приемо-передатчиков сетевых устройств для корректного распознавания границ PDU;
  网络设备收发器的同步，以正确识别 PDU 边界；
• процедура сохранения корректного порядка поступления PDU внутри сети (сравни с аналогичным пунктом в L3 и L4);
  维护网络内 PDU 到达正确顺序的程序（与 L3 和 L4 中的类似点相比）；
• правила разделения потока PDU на несколько подпотоков для возможности их одновременной передачи по нескольким физическим линиям связи (например, с использованием нескольких радиоканалов с разным диапазоном частот).
  将 PDU 流划分为多个子流的规则，以使其能够通过多个物理通信线路同时传输（例如，使用具有不同频率范围的多个无线电信道）。

Физический уровень (Physical Layer, L1) описывает с физической точки зрения процессы передачи PDU по некоторой конкретной линии связи. Сюда может входить спецификация физических свойств:
物理层 (L1) 从物理角度描述通过特定通信线路传输 PDU 的过程。这可能包括物理特性的规范：

• среды передачи: ширина полосы пропускания радиоканала в МГц, максимальная длина провода при передаче по витой паре или оптоволокну, количество и назначение проводов или волокон в кабеле и т.п.;
  传输介质：无线电信道带宽（MHz）、通过双绞线或光纤传输时的最大电线长度、电缆中电线或光纤的数量和用途等；
• передаваемого сигнала: используемые длины волн или напряжение тока, способ кодирования битов в виде конкретного уровня напряжения, длительность времени передачи бита или группы битов, мультиплексирование нескольких физических сигналов в одной линии связи, показатели QoS линии связи (задержка распространения сигнала, доля битовых ошибок BER, скорость передачи в бодах и др.) и т.п.;
  传输信号：使用的波长或电压、以特定电压电平形式编码位的方法、一位或一组位的传输持续时间、一条通信线路中多个物理信号的复用、通信线路的 QoS 指标（信号传播延迟、误码率（BER、波特率等）等；
• сетевого оборудования: количество и назначение контактов в штекере сетевой карты или маршрутизатора, количество и физическое устройство антенн в радиопередатчике, способ передачи (полнодуплексный, полудуплексный, симплексный), способ активации линии связи при включении или начале передачи и т.п.
  网络设备：网卡或路由器插头中触点的数量和用途、无线电发射器中天线的数量和物理设计、传输方法（全双工、半双工、单工）、传输方法当打开或开始传输等时激活通信线路

Существуют также некоторые универсальные функции, которые реализуются почти на всех уровнях OSI-модели. К таким функциям могут относиться следующие:
还有一些通用函数在 OSI 模型的几乎所有级别上实现。此类功能可能包括以下内容：

• Адресация. На каждом уровне (кроме L6) для идентификации взаимодействующих сторон может использоваться адрес определённого формата. На L2 это может быть адрес физического устройства сети, специфичный для некоторой конкретной технологии построения сети; на L3 это будет универсальный межсетевой адрес, пригодный для передачи между разнородными сетями; на L5 адресом будет номер соединения; на L7 адресом может быть имя пользователя или понятный человеку текстовый адрес. В итоге к моменту формирования PDU уровня L1 в передаваемом блоке данных может содержаться несколько адресов-идентификаторов.
  寻址。在每一层（L6除外），都可以使用一定格式的地址来标识交互方。在L2上，这可能是物理网络设备的地址，特定于某些特定的网络技术；在 L3 上，这将是一个适合异构网络之间传输的通用互联网地址；在 L5 上，地址将是连接号；在 L7 上，地址可以是用户名或人类可读的文本地址。结果，在形成L1 PDU时，所发送的数据块可能包含多个标识符地址。
• Обнаружение ошибок. На каждом уровне есть своя специфика процесса обнаружения ошибок. На L1 об ошибке может сигнализировать запрещённое значение напряжения тока или запрещенная последовательность двоичных сигналов. На более высоких уровнях для обнаружения ошибок могут использоваться различные виды контрольных сумм, которые в том числе позволяют исправлять найденные ошибки (например, код Хэмминга). Если на L3 ошибки могут быть обнаружены в промежуточных узлах сети (при пересечении границ сетей), то на L4 проверка на ошибки возможна только в конечном узле-получателе. Ещё один класс обнаруживаемых ошибок связан с нарушением логических правил протокола обмена сообщениями, например, если абонент высылает первый блок данных до окончания процедуры установки соединения на L5.
  错误检测。每个级别都有其特定的错误检测过程。在 L1 上，可以通过禁止的电压值或禁止的二进制信号序列来发出错误信号。在更高级别，可以使用各种类型的校验和来检测错误，这也使得纠正检测到的错误成为可能（例如汉明码）。如果在 L3 上可以在中间网络节点中检测到错误（当跨越网络边界时），则在 L4 上错误检查只能在最终接收节点处进行。另一类检测到的错误与违反消息传递协议的逻辑规则相关，例如，如果订户在 L5 上的连接建立过程结束之前发送第一个数据块。
• Показатели QoS (Quality of Service), т.е. метрики качества обслуживания (передачи данных по сети), например: задержка передачи, время установления соединения, доля потерянных пакетов и др. На разных уровнях OSI-модели рассматриваются различные показатели QoS. На L1 метрики характеризуют качество передачи по одной конкретной линии связи, например в виде значения мощности сигнала базовой станции WiFi; на L2 контролируется QoS в рамках локальной сети; на L3 описывается QoS при пересечении границ сетей; на L4 контролируется качество передачи из конца в конец; на L5 описан порядок согласования абонентами желаемых показателей QoS во время установки соединения; на L7 пользователь может запросить желаемый битрейт потока для обеспечения нужного качества сетевой видеотрансляции и т.д.
  QoS（服务质量）指标，即服务质量指标（网络上的数据传输），例如：传输延迟、连接建立时间、丢失数据包的比例等。OSI模型的不同级别考虑了不同的QoS指标。在 L1 上，指标描述了一条特定通信线路上的传输质量，例如以 WiFi 基站的信号强度的形式；在L2上，QoS在本地网络内进行控制； L3描述跨越网络边界时的QoS；在L4上，监控端到端的传输质量； L5描述了订户在连接建立期间协商期望的QoS指标的过程；在L7上，用户可以请求所需的码流码率，以保证网络视频广播等所需的质量。
• Установка соединения. При описании функций L2, L3 и L5 (см. выше) показано, что в процессе передачи данных может потребоваться выполнить несколько независимых процедур установки соединения. Например: L2- соедниение к Wi-Fi-точке, L3-соединение к провайдеру Интернет-услуг, L5- соединение или L7-содинение с публичным FTP-сервером, находящимся в Интернете (т.е. с конечным адресатом).
  建立连接。 L2、L3和L5功能的描述（见上文）表明，在数据传输过程中可能需要执行几个独立的连接建立过程。例如：与 Wi-Fi 热点的 L2 连接、与 Internet 服务提供商的 L3 连接、与位于 Internet 上的公共 FTP 服务器（即最终目的地）的 L5 连接或 L7 连接。

Существующие реализации OSI-модели. Стандарт с описанием OSI-модели был опубликован в 1984 году, однако с тех пор так и не появилось ни одной популярной сетевой технологии, которая бы строго реализовала все уровни этой модели. Наиболее популярный стек сетевых протоколов TCP/IP, разработанный до публикации OSI-модели, лишь с большой натяжкой можно соотнести с уровнями OSI:
OSI 模型的现有实现。描述 OSI 模型的标准于 1984 年发布，但此后还没有出现严格实现该模型所有级别的流行网络技术。最流行的 TCP/IP 网络协议栈是在 OSI 模型发布之前开发的，只能与具有很大储备的 OSI 级别相关联：

• Канальный уровень TCP/IP приблизительно реализует функции L1 и L2. В качестве адреса на этом уровне используется MAC-адрес сетевого устройства, а PDU этого уровня называется кадром (frame). Этот уровень описывает процесс передачи данных в рамках локальной сети.
  TCP/IP链路层大致实现L1和L2的功能。这一层的地址就是网络设备的MAC地址，这一层的PDU称为帧。该级别描述了本地网络内数据传输的过程。
• Сетевой уровень TCP/IP приблизительно соответствует L3. В качестве адреса на этом уровне используется IP-адрес, а PDU этого уровня называется пакетом (packet). Этот уровень описывает процесс передачи данных через несколько объединенных и, возможно, разнородных локальных сетей.
  TCP/IP网络层大致对应于L3。这一层的地址是IP地址，这一层的PDU称为数据包。该层描述了跨多个连接的且可能是异构的本地网络传输数据的过程。
• Транспортный уровень TCP/IP приблизительно реализует функции L4 и L5. В качестве адреса на этом уровне используется пара чисел, однозначно идентифицирующих соединение: порт отправителя и порт получателя (например, UDP-порты), а PDU этого уровня называется сегментом (segment) или дейтаграммой (datagram).
  TCP/IP传输层大致实现了L4和L5的功能。这一层的地址是唯一标识连接的一对数字：源端口和目的端口（例如UDP端口），这一层的PDU称为段或数据报。
• Прикладной уровень TCP/IP приблизительно реализует функции L5, L6 и L7 (отметим, что L5 фигурирует дважды: на прикладном и на транспортном уровне TCP/IP). В качестве адреса на этом уровне используется URL сайта, DNS-имя хоста, имя пользователя, email-адрес и т.д.
  TCP/IP应用层大致实现了L5、L6和L7的功能（注意L5出现两次：在TCP/IP应用层和传输层）。该级别的地址是站点 URL、DNS 主机名、用户名、电子邮件地址等。

3. Этапы выполнения работы и варианты заданий

Для выполнения УИР необходимо установить на компьютер бесплатно распространяемую программу Wireshark, представляющую из себя анализатор сетевых пакетов, проходящих через интерфейсы компьютера. Скачать Wireshark можно с официального сайта: https://www.wireshark.org/#download. На рисунке представлено главное окно Wireshark.
要执行 УИР，您需要在计算机上安装免费的 Wireshark 程序，该程序是通过计算机接口传输的网络数据包的分析器。您可以从官方网站下载Wireshark：https://www.wireshark.org/#download。该图显示了 Wireshark 主窗口。

Используя «Меню», можно выбрать сетевой интерфейс, «прослушивание» которого будет осуществлять Wireshark (кнопка «Capture options»). При выполнении работы следует удостовериться, что интерфейс выбран правильно, так как при наличии нескольких каналов доступа в Интернет (Wi-Fi, 4G, FastEthernet), как правило, по умолчанию используется только один из них и именно с него Wireshark должен «захватывать» проходящие пакеты.
使用“菜单”，您可以选择 Wireshark 将“侦听”的网络接口（“捕获选项”按钮）。执行工作时，应确保正确选择接口，因为如果有多个 Internet 访问通道（Wi-Fi、4G、FastEthernet），通常默认情况下仅使用其中一个，并且来自此Wireshark 应该“捕获”传递的包。

В поле «Фильтр» пользователь может указать булево выражение (в стиле языка С), которое используется для выборочного отображения захваченных пакетов в «Списке захваченных пакетов». Например, если в поле «Фильтр» указать строку «(ip.src==192.168.12.1) && (tcp.srcport==3128)» (без кавычек), то в поле «Список захваченных пакетов» будут отображаться только те пакеты, которые были отправлены с IP-адреса 192.168.12.1, и при этом в поле «порт источника» протокола TCP будет содержатся число 3128. Если фильтр принимает значение «http», то будут отображаться только пакеты, переданные с использованием протокола http.
在“过滤器”字段中，用户可以指定一个布尔表达式（C 风格），用于有选择地在“捕获的数据包列表”中显示捕获的数据包。例如，如果在“Filter”字段中指定行“(ip.src==192.168.12.1) && (tcp.srcport==3128)”（不带引号），则“List of captures” “数据包”字段将仅显示从 IP 地址 192.168.12.1 发送的数据包，TCP 协议“源端口”字段将包含数字 3128。如果过滤器设置为“http”，则仅显示使用该地址传输的数据包。将显示http协议。

Дальнейшее выполнение работы состоит из следующих шагов:
工作的进一步执行包括以下步骤：

1. Запустить Wireshark (иногда для этого требуются права Администратора). В появившемся окне выбрать интерфейс, для которого необходимо осуществлять анализ проходящих через него пакетов. В качестве интерфейса, используемого для захвата трафика, выбрать физический адаптер, через который компьютер подключён к Интернету (обычно этот адаптер называется Local или «Подключение по локальной сети»). Если меню для выбора адаптера не появляется при запуске Wireshark, нужно запустить из «Меню» команду «Capture->Options». После выбора адаптера, нужно запустить процесс захвата трафика (кнопка Start).
   启动 Wireshark（有时这需要管理员权限）。在出现的窗口中，选择要分析通过它的数据包的接口。对于用于捕获流量的接口，选择计算机通过其连接到 Internet 的物理适配器（通常该适配器称为本地或“本地连接”）。如果启动 Wireshark 时没有出现选择适配器的菜单，则需要从“菜单”运行“捕获->选项”命令。选择适配器后，您需要启动流量捕获过程（开始按钮）。
2. Инициировать процесс передачи трафика по сети (например, в браузере открыть сайт, заданный по варианту, или запустить соответствующую сетевую утилиту – см. ниже).
   启动通过网络传输流量的过程（例如，在浏览器中打开选项指定的站点，或启动相应的网络实用程序 - 见下文）。
3. Установить значение «Фильтра», чтобы из всего множества перехватываемых пакетов Wireshark отобразил только те, которые имеют отношение к выполняемому заданию. Для корректного создания фильтра следует пользоваться всплывающими подсказками Wireshark, которые активизируются при наборе фильтра. В качестве альтернативного способа можно использовать интерактивный конструктор фильтра, нажав на кнопку «Expression» в правой части элемента «Фильтр».
   设置“Filter”值，以便 Wireshark 在整组截获的数据包中仅显示与正在执行的任务相关的数据包。要正确创建过滤器，您应该使用 Wireshark 的弹出提示，该提示会在您键入过滤器时激活。作为替代方案，您可以通过单击过滤器元素右侧的表达式按钮来使用交互式过滤器构建器。
4. Дождаться появления данных в списке захваченных пакетов и убедиться, что количество пакетов достаточно для выполнения задания.
   等待数据出现在捕获的数据包列表中，并确保数据包的数量足以完成任务。
5. Сохранить захваченный трафик в файл-трассу (pcap). Указанный файл нужно предъявить по первому требованию преподавателя во время защиты, если в этом возникнет необходимость.
   将捕获的流量保存到跟踪文件 (pcap)。如果有需要，指定的文件必须在答辩期间在老师第一次要求时出示。
6. Описать в отчёте структуру наблюдаемых PDU (кадров, пакетов, сегментов) как для запросов, так и ответов. Указать название и назначение всех заголовков всех уровней OSI-модели в пакетах с учётом порядка инкапсуляции (для этого нужно раскрывать соответствующие значки «+» в поле с детальной информацией о выбранном пакете).
   在报告中描述观察到的请求和响应的 PDU（帧、数据包、段）的结构。指示数据包中 OSI 模型各级的所有标头的名称和用途，同时考虑到封装顺序（为此，您需要在字段中展开相应的“+”号，其中包含有关所选数据包的详细信息）。
7. Написать в отчёте ответы на вопросы задания (для этого может потребоваться самостоятельно изучить назначение соответствующей заданию сетевой утилиты, использованной для создания трафика).
   在报告中写下作业问题的答案（为此，您可能需要独立研究用于创建与作业相对应的流量的网络实用程序的用途）。
8. Поместить в отчёт скриншоты окна Wireshark, иллюстрирующие ответы из вышеуказанных п.6 и п.7.
   在报告中包含 Wireshark 窗口的屏幕截图，说明上述第 6 段和第 7 段的答案。

В качестве адреса сайта в заданиях следует использовать один из следующих URL (следует выбрать один из пунктов в порядке перечисления):
应使用以下 URL 之一作为任务中的站点地址（您应按列出的顺序选择其中一项）：

• Адрес сайта с домашней страницей студента. Автор страницы должен легко идентифицироваться с этой страницей по содержимому сайта.
  • 带有学生主页的网站地址。必须根据网站的内容轻松识别该页面的作者。
• Адрес сайта, в название которого лексически входит фамилия студента (например: www.sidorovivan.ru).
  网站地址，其名称在词汇上包括学生的姓氏（例如：www.sidorovivan.ru）。
• Адрес сайта, в котором по очереди встречаются инициалы (ФИО) студента в латинской транскрипции (например, для имени Иванов Фёдор Михайлович подойдёт адрес сайта http://ifmo.ru).
  网站地址，其中学生姓名首字母（全名）采用拉丁语转录（例如，对于伊万诺夫·费多尔·米哈伊洛维奇（Ivanov Fedor Mikhailovich）这个名字，网站地址http://ifmo.ru是合适的）。

Примечание 1. При выполнении анализа HTTP-трафика не принимать во внимание HTTP-запрос и HTTP-ответ для файла favicon.ico. Появление ссылки на данный файл означает, что браузер автоматически запрашивает сервер о наличии значка веб-сайта, который отображается браузером в адресной строке перед адресом страницы (и в некоторых других местах).
注 1. 执行 HTTP 流量分析时，忽略 favicon.ico 文件的 HTTP 请求和 HTTP 响应。出现此文件的链接意味着浏览器自动向服务器请求网站图标的存在，该图标由浏览器显示在地址栏中页面地址之前（以及其他一些地方）。

Примечание 2. Все используемые в УИР утилиты доступны как в ОС MS Windows, так и Linux, однако в примерах к заданию указывается синтаксис и ключи командной строки для MS Windows. В Linux команды будут иметь несколько иной синтаксис.
注 2. UIR 中使用的所有实用程序均可在 MS Windows 和 Linux 操作系统中使用，但是，该任务的示例指示了 MS Windows 的语法和命令行开关。在 Linux 上，命令的语法略有不同。

4 Порядок выполнения работы

Ниже представлены пункты задания, из которых первые два пункта (4.1 и 4.2) являются обязательными для выполнения и еще два пункта из предлагаемых (4.3 – 4.8) – по выбору студента.
以下是任务的要点，其中前两点（4.1 和 4.2）是强制性的，建议要点中的另外两点（4.3 – 4.8）由学生选择。

4.1. Анализ трафика утилиты ping

Необходимо отследить и проанализировать трафик, создаваемый утилитой ping, запустив её следующим образом из командной строки:
您需要通过从命令行运行 ping 实用程序来监视和分析其生成的流量，如下所示：

ping -l [размер_пакета] [адрес_сайта_по_варианту]

Например,

ping -l 2000 wireshark.org

В качестве размера_пакета необходимо поочерёдно использовать различные значения от 100 до 10000, самостоятельно выбрав шаг изменения. По результатам анализа собранной трассы, необходимо ответить на следующие вопросы и выполнить указанные задания.
对于размера_пакета，您必须交替使用从100到10000的不同值，自行选择更改步骤。根据收集的路线分析结果，需要回答以下问题并完成指定任务。

1. Имеет ли место фрагментация исходного пакета, какое поле на это указывает?
   原始数据包是否存在分片，哪个字段表示？
2. Какая информация указывает, является ли фрагмент пакета последним или промежуточным?
   哪些信息表明报文是最后分片还是中间分片？
3. Чему равно количество фрагментов при передаче ping-пакетов?
   发送ping包时分片数是多少？
4. Построить график, в котором на оси абсцисс находится размер_пакета, а по оси ординат – количество фрагментов, на которое был разделён каждый ping-пакет.
   构建一个图表，其中 x 轴为 packet_size，y 轴为每个 ping 数据包划分为的分段数。
5. Как изменить поле TTL с помощью утилиты ping?
   如何使用 ping 实用程序更改 TTL 字段？
6. Что содержится в поле данных ping-пакета?
   ping 数据包的数据字段包含什么？

4.2. Анализ трафика утилиты tracert (traceroute)

Необходимо отследить и проанализировать трафик, создаваемый утилитой tracert (или traceroute в Linux), запустив её следующим образом из командной строки:
您需要通过从命令行运行tracert实用程序（或Linux上的traceroute）来监视和分析tracert实用程序生成的流量，如下所示：

tracert -d адрес_сайта_по_варианту

Например,

tracert wireshark.org.

По результатам анализа собранной трассы, ответьте на следующие вопросы.
根据收集的路线分析结果，回答以下问题。

1. Сколько байт содержится в заголовке IP? Сколько байт содержится в поле данных?
   IP 报头有多少字节？数据字段有多少字节？
2. Как и почему изменяется поле TTL в следующих друг за другом ICMP-пакетах tracert? Для ответа на этот вопрос нужно проследить изменение TTL при передаче по маршруту, состоящему из более чем двух хопов.
   连续的 ICMP Tracert 数据包中的 TTL 字段如何以及为何发生变化？要回答这个问题，您需要跟踪沿包含两跳以上的路由进行传输时 TTL 的变化。
3. Чем отличаются ICMP-пакеты, генерируемые утилитой tracert, от ICMP-пакетов, генерируемых утилитой ping (см. предыдущее задание).
   Tracert 实用程序生成的 ICMP 数据包与 ping 实用程序生成的 ICMP 数据包有何不同（请参阅上一个任务）。
4. Чем отличаются полученные пакеты «ICMP reply» от «ICMP error» и зачем нужны оба этих типа ответов?
   收到的“ICMP 回复”数据包与“ICMP 错误”数据包有何不同？为什么需要这两种类型的响应？
5. Что изменится в работе tracert, если убрать ключ «-d»? Какой дополнительный трафик при этом будет генерироваться?
   如果删除“-d”开关，tracert 的操作会发生什么变化？这会产生哪些额外流量？

4.3. Анализ HTTP-трафика

Необходимо отследить и проанализировать HTTP-трафик, создаваемый браузером при посещении Интернет-сайта, заданного по варианту. В списке захваченных пакетов необходимо проанализировать следующую пару HTTP-сообщений (запрос-ответ):
有必要跟踪和分析浏览器访问选项指定的 Internet 站点时生成的 HTTP 流量。在捕获的数据包列表中，您需要分析以下一对HTTP消息（请求-响应）：

• GET-сообщение от клиента (браузера);
  从客户端（浏览器）获取消息；
• ответ сервера.
  服务器响应。

Для этого в поле с детальной информацией о пакете нужно развернуть строку «HTTP». Затем необходимо обновить страницу в браузере так, чтобы вместо «HTTP GET» был сгенерирован «HTTP CONDITIONAL GET» (так называемый «условный GET»). Условные запросы GET содержат поля If- Modified-Since, If-Match, If-Range и подобные, которые позволяют при повторном запросе не передавать редко изменяемые данные. В ответ на условный GET тело запрашиваемого ресурса передается только в том случае, если этот ресурс изменялся после даты «If-Modified-Since». Если ресурс не изменялся, сервер вернет код статуса «304 Not Modified».
为此，在包含有关包的详细信息的字段中，您需要展开“HTTP”行。然后你需要刷新浏览器中的页面，以便生成“HTTP CONDITIONAL GET”（即所谓的“条件GET”），而不是“HTTP GET”。条件 GET 请求包含 If-Modified-Since、If-Match、If-Range 和类似字段，这使您可以避免在重复请求期间传输很少更改的数据。为了响应条件 GET，仅当该资源自“If-Modified-Since”日期以来已被修改时，才会传输所请求资源的正文。如果资源未被修改，服务器将返回“304 Not Modified”状态码。

По результатам анализа собранной трассы покажите, каким образом протокол HTTP передавал содержимое страницы при первичном посещении страницы и при вторичном запросе-обновлении от браузера (т.е. при различных видах GET-запросов).
根据收集的跟踪分析结果，显示 HTTP 协议在初次访问页面期间以及浏览器的二次更新请求期间（即使用各种类型的 GET 请求）如何传输页面内容。

4.4. Анализ DNS-трафика

Необходимо отследить и проанализировать трафик протокола DNS, сгенерированный в результате выполнения следующих действий:
您应该监控和分析由以下操作生成的 DNS 协议流量：

• настроить Wireshark-фильтр: «ip.addr == ваш_IP_адрес»;
  配置 Wireshark 过滤器：“ip.addr == your_IP_address”；
• очистить кэш DNS с помощью команды ipconfig в командной строке: ipconfig/flushdns
  在命令行上使用 ipconfig 命令刷新 DNS 缓存：ipconfig/flushdns
• очистить кэш браузера;
  清除浏览器缓存；
• зайти на Интернет-сайт, заданный по варианту.
  转至选项指定的 Internet 站点。

По результатам анализа собранной трассы, ответьте на следующие вопросы.
根据收集的路线分析结果，回答以下问题。

1. Почему адрес, на который отправлен DNS-запрос, не совпадает с адресом посещаемого сайта?
   为什么DNS请求发送的地址与访问站点的地址不匹配？
2. Какие бывают типы DNS-запросов?
   DNS查询有哪些类型？
3. В какой ситуации нужно выполнять независимые DNS-запросы для получения содержащихся на сайте изображений?
   在什么情况下您应该执行独立的 DNS 查询来检索站点上包含的图像？

4.5. Анализ ARP-трафика

Необходимо отследить и проанализировать трафик протокола ARP, сгенерированный в результате выполнения следующих действий:
您应该监控和分析由以下操作生成的 ARP 流量：

• очистить ARP-таблицу командой «netsh interface ip delete arpcache» (проверить очистилась ли таблица можно с помощью команды команды «arp -a», выводящей таблицу на экран);
  使用“netsh interface ip delete arpcache”命令清除ARP表（您可以使用“arp -a”命令检查该表是否已被清除，该命令会在屏幕上显示该表）；
• очистить кэш браузера;
  清除浏览器缓存；
• зайти на Интернет-сайт, заданный по варианту.
  转至选项指定的 Internet 站点。

По результатам анализа собранной трассы, ответьте на следующие вопросы.
根据收集的路线分析结果，回答以下问题。

1. Какие МАС-адреса присутствуют в захваченных пакетах ARP-протокола? Что означают эти адреса? Какие устройства они идентифицируют?
   捕获的ARP数据包中存在哪些MAC地址？这些地址是什么意思？他们识别什么设备？
2. Какие МАС-адреса присутствуют в захваченных HTTP-пакетах и что означают эти адреса? Что означают эти адреса? Какие устройства они идентифицируют?
   捕获的HTTP数据包中存在哪些MAC地址以及这些地址的含义是什么？这些地址是什么意思？他们识别什么设备？
3. Для чего ARP-запрос содержит IP-адрес источника?
   为什么ARP请求中会包含源IP地址？

4.6. Анализ трафика утилиты nslookup

Необходимо отследить и проанализировать трафик протокола DNS, сгенерированный в результате выполнения следующих действий:
您应该监控和分析由以下操作生成的 DNS 协议流量：

1. Настроить Wireshark-фильтр: «ip.addr == ваш_IP_адрес».
   设置 Wireshark 过滤器：“ip.addr == your_IP_address”。
2. Запустить в командной строке команду «nslookup адрес_сайта_по_варианту».
   在命令行上运行命令“nslookup site_address_by_option”。
3. Дождаться отправки трёх DNS-запросов и трёх DNS-ответов (в работе нужно использовать только последние из них, т.к. первые два набора запросов/ответов специфичны для nslookup и не генерируются другими сетевыми приложениями).
   等待发送三个 DNS 请求和三个 DNS 响应（在您的工作中，您只需要使用其中最后一个，因为前两组请求/响应是特定于 nslookup 的，不是由其他网络应用程序生成的） 。
4. Повторить предыдущие два шага, используя команду: «nslookup -type=NS имя_сайта_по_варианту».
   使用命令“nslookup -type=NS site_name_by_option”重复前两个步骤。

По результатам анализа собранной трассы, ответьте на следующие вопросы.
根据收集的路线分析结果，回答以下问题。

1. Чем различается трасса трафика в п.2 и п.4, указанных выше?
   上述第2段和第4段的交通路线有什么区别？
2. Что содержится в поле «Answers» DNS-ответа?
   DNS响应的“Anwers”字段包含什么？
3. Каковы имена серверов, возвращающих авторитативный (authoritative) отклик?
   返回权威响应的服务器名称是什么？

4.7. Анализ FTP-трафика

Необходимо отследить и проанализировать трафик протокола FTP, сгенерированный в результате выполнения следующих действий:
您应该通过以下步骤监控和分析生成的 FTP 流量：

• настроить Wireshark-фильтр «ftp		ftp-data»;
  配置 Wireshark 过滤器“ftp		ftp-数据”；

• скачать в браузере небольшой файл с соответствующего варианту FTP-сервера в Интернете.
  在浏览器中从 Internet 上相应的 FTP 服务器下载一个小文件。

В адресной строке путь к скачиваемому файлу должен начинаться с «ftp://». Адрес сайта нужно выбрать, руководствуясь правилами, указанными в пункте 3.
在地址栏中，下载文件的路径必须以“ftp://”开头。必须按照第 3 段中指定的规则选择站点地址。

По результатам анализа собранной трассы, ответьте на следующие вопросы.
根据收集的路线分析结果，回答以下问题。

1. Сколько байт данных содержится в пакете FTP-DATA?
   FTP-DATA 数据包包含多少字节数据？
2. Как выбирается порт транспортного уровня, который используется для передачи FTP-пакетов?
   传输FTP报文的传输层端口是如何选择的？
3. Чем отличаются пакеты FTP от FTP-DATA?
   FTP 数据包与 FTP-DATA 有何不同？

4.8. Анализ DHCP-трафика

Необходимо отследить и проанализировать трафик протокола DHCP, сгенерированный в результате выполнения следующих действий:
您应该监控和分析由以下操作生成的 DHCP 流量：

1. Убедиться, что для назначения IP-адреса на компьютере был использован DHCP и что компьютеру был назначен IP-адрес.
   确保使用 DHCP 为计算机分配 IP 地址，并且计算机已分配 IP 地址。
2. Настроить Wireshark-фильтр «bootp» (во время защиты УИР следует объяснить, почему именно такой фильтр используется для анализа DHCP-трафика).
   配置Wireshark“bootp”过滤器（在UIR保护期间，您应该解释为什么使用这样的过滤器来分析DHCP流量）。
3. Сбросить текущий IP-адрес, выданный накануне перед этим DHCP-сервером, с помощью команды: «ipconfig /release».
   使用命令“ipconfig /release”重置该 DHCP 服务器前一天发布的当前 IP 地址。
4. Запросить новый IP-адрес с помощью команды: «ipconfig /renew».
   使用命令“ipconfig /renew”请求新的 IP 地址。
5. Повторить п.3 и п.4.
   重复步骤 3 和 4。

Нарисуйте временную диаграмму, иллюстрирующую последовательность обмена первыми четырьмя DHCP-пакетами Discover/Offer/Request/ACK. Укажите для каждого пакета номера портов источника и назначения. По результатам анализа собранной трассы, ответьте на следующие вопросы.
绘制时序图，说明前四个 DHCP Discover/Offer/Request/ACK 数据包的顺序。指定每个数据包的源端口号和目标端口号。根据收集的路线分析结果，回答以下问题。

1. Чем различаются пакеты «DHCP Discover» и «DHCP Request»?
   “DHCP Discover”和“DHCP Request”数据包有什么区别？
2. Как и почему менялись MAC- и IP-адреса источника и назначения в переданных DHCP-пакетах.
   传输的 DHCP 数据包中的源、目标 MAC 和 IP 地址如何以及为何发生变化。
3. Каков IP-адрес DHCP-сервера?
   DHCP服务器的IP地址是多少？
4. Что произойдёт, если очистить использованный фильтр «bootp»?
   如果清除使用过的“bootp”过滤器会发生什么？

5. Требования к содержанию отчёта

В работе требуется проанализировать сетевой трафик, захваченный с помощью программы Wireshark. В отчёте, предоставляемом в электронном виде, следует привести скриншоты, иллюстрирующие ответы на поставленные в задании вопросы. Каждый скриншот должен иметь поясняющий текст, подробно раскрывающий содержание ответа на соответствующие вопросы.
这项工作需要分析使用 Wireshark 捕获的网络流量。以电子方式提供的报告应包括说明问题中所提出问题的答案的屏幕截图。每个屏幕截图必须有解释性文字，详细说明相关问题的答案内容。

Также в отчёте необходимо привести структуру наблюдаемых пакетов (как запросов, так и ответов), коротко описав назначение всех заголовков всех уровней с учётом порядка инкапсуляции. Следует привести описание только тех пакетов, которые существенно различаются структурно (однотипные похожие пакеты приводить не надо), либо имеют непосредственное отношение к ответам на вопросы задания.
此外，在报告中，有必要提供观察到的数据包的结构（请求和响应），简要描述所有级别的所有标头的用途，同时考虑封装的顺序。您应该仅提供那些结构上显着不同的包的描述（无需提供相同类型的类似包），或者与作业问题的答案直接相关的包。

При защите отчёта необходимо иметь при себе сохраненную версию захваченного трафика в формате pcap (так называемую трассу, или дамп, трафика).
保护报告时，您必须以 pcap 格式保存捕获的流量版本（所谓的跟踪或流量转储）。

6. Контрольные вопросы для самопроверки

При подготовке к защите задания следует руководствоваться следующим примерным перечнем вопросов и задач для самостоятельной проработки.
当准备答辩你的作业时，你应该遵循以下独立学习的问题和任务的大致列表。

1. Что такое OSI-модель и для чего она нужна?
2. Перечислите уровни OSI-модели и дайте им краткую характеристику.
3. Какие преимущества даёт многоуровневая архитектура OSI-модели? Какие бы возникли сложности, если процесс передачи данных по сети был одноуровневым?
4. Если перед отправкой данных выполняется их сжатие, то на каком уровне OSI-модели следует выполнять эту операцию?
5. Как соотносится модель OSI с реальной структурой существующих стеков протоколов?
6. Функции каких уровней OSI-модели выполняет протокол TCP?
7. Что схожи и чем различаются протоколы UDP, TCP, SCTP и DCCP?
8. Приведите примеры протоколов (или целых стеков), которые нарушают канонические требования OSI-модели.
9. Покажите на примере Wireshark-скриншотов, какие поля в заголовках разных уровней и как именно соотносятся с функциями соответствующих уровней OSI-модели.
10. Каковы основные функциональные возможности программы Wireshark?
11. Какие существуют аналоги программы Wireshark?
12. Каким образом можно перенести (экспортировать) данные о пакетах в Wireshark-трассе в таблицу MS Excel?
13. Какие уровни OSI-модели «умеет» анализировать программа Wireshark? Приведите конкретные примеры протоколов.
14. Используя шестнадцатеричное представление пакетов в окне Wireshark укажите в какой последовательности передаются байты в сеть на примере IP-адреса в заголовке пакета. Для ответа на этот вопрос см. самостоятельно темы https://ru.wikipedia.org/wiki/Порядок_байтов или https://en.wikipedia.org/wiki/Endianness.
15. Какими средствами можно отправить в сеть пакеты, записанные в файле- трассе pcap?
16. Сколько различных МАС- и IP-адресов можно закодировать, используя отведённое для них количество байт в заголовках?
17. Какой процент избыточности вносят заголовки разных уровней в передаваемые сообщения?
18. Что означает цветовая дифференциация пакетов в Wireshark?

---

1. 什么是 OSI 模型以及为什么需要它？
2. 列出OSI 模型的各层并对其进行简要描述。
3. OSI模型的多层架构有什么优点？如果网络上的数据传输过程是单层的，会出现什么困难？
4. 如果数据在发送前被压缩，则该操作应在 OSI 模型的哪个级别执行？
5. OSI模型与现有协议栈的实际结构有何关系？
6. OSI 模型的哪些层的功能由 TCP 协议执行？
7. UDP、TCP、SCTP 和 DCCP 协议有何异同？
8. 给出违反 OSI 模型规范要求的协议（或整个堆栈）的示例。
9. 以Wireshark截图为例，展示不同级别的标题中包含哪些字段，以及它们与OSI模型相应级别的功能的具体关系。
10. Wireshark的主要功能有哪些？
11. 存在哪些 Wireshark 程序的类似程序？
12. 如何将 Wireshark 跟踪中的数据包数据传输（导出）到 MS Excel 表？
13. Wireshark 可以分析哪些级别的 OSI 模型？提供协议的具体示例。
14. 在 Wireshark 窗口中使用数据包的十六进制表示形式，使用数据包标头中的 IP 地址示例来指示字节传输到网络的顺序。要回答此问题，请参阅主题 https://ru.wikipedia.org/wiki/Byte_Endian 或 https://en.wikipedia.org/wiki/Endianness。
15. pcap跟踪文件中记录的数据包可以通过什么方式发送到网络？
16. 使用标头中为其分配的字节数可以对多少个不同的 MAC 和 IP 地址进行编码？
17. 不同级别的报头在传输的报文中引入的冗余百分比是多少？
18. Wireshark 中数据包颜色区分意味着什么？