實驗--利用wireshark對IP協(xié)議及分片分析.doc

實驗 IP協(xié)議分析一、實驗?zāi)康睦斫釯P協(xié)議報文類型和格式，掌握IP V4 地址的編址方法。二、實驗方式每兩位同學(xué)為一小組，每小組各自獨立完成實驗。三、實驗內(nèi)容Ping 命令只有在安裝了 TCP/IP 協(xié)議之后才可以使用，其命令格式如下：ping -t -a -n count -l size -f -i TTL -v TOS -r count -s count-j host-list | -k host-list -w timeout target_name這里對實驗中可能用到的參數(shù)解釋如下：-t ：用戶所在主機不斷向目標(biāo)主機發(fā)送回送請求報文 ，直到用戶中斷；-n count： 指定要 Ping 多少次，具體次數(shù)由后面的 count 來指定 ，缺省值為 4；-l size： 指定發(fā)送到目標(biāo)主機的數(shù)據(jù)包的大小 ，默認(rèn)為 32 字節(jié)，最大值是 65,527；-w timeout：指定超時間隔，單位為毫秒；target_name：指定要 ping 的遠(yuǎn)程計算機。1、IP協(xié)議分析實驗使用 Ping 命令在兩臺計算機之間發(fā)送數(shù)據(jù)報，用 Wireshark 截獲數(shù)據(jù)報，分析 IP 數(shù)據(jù)報的格式，理解 IP V4 地址的編址方法，加深對 IP 協(xié)議的理解。2、IP 數(shù)據(jù)報分片實驗 我們已經(jīng)從前邊的實驗中看到，IP 報文要交給數(shù)據(jù)鏈路層封裝后才能發(fā)送。理想情況下，每個 IP 報文正好能放在同一個物理幀中發(fā)送。但在實際應(yīng)用中，每種網(wǎng)絡(luò)技術(shù)所支持的最大幀長各不相同。例如：以太網(wǎng)的幀中最多可容納 1500 字節(jié)的數(shù)據(jù)；FDDI幀最多可容納 4470 字節(jié)的數(shù)據(jù)。這個上限被稱為物理網(wǎng)絡(luò)的最大傳輸單元（MTU，MaxiumTransfer Unit）。TCP/IP 協(xié)議在發(fā)送 IP 數(shù)據(jù)報文時，一般選擇一個合適的初始長度。當(dāng)這個報文要從一個 MTU 大的子網(wǎng)發(fā)送到一個 MTU 小的網(wǎng)絡(luò)時，IP 協(xié)議就把這個報文的數(shù)據(jù)部分分割成能被目的子網(wǎng)所容納的較小數(shù)據(jù)分片，組成較小的報文發(fā)送。每個較小的報文被稱為一個分片（Fragment）。每個分片都有一個 IP 報文頭，分片后的數(shù)據(jù)報的 IP 報頭和原始 IP 報頭除分片偏移、MF 標(biāo)志位和校驗字段不同外，其他都一樣。圖 5.2 顯示了 Wireshark 捕獲的 IP 數(shù)據(jù)報分片的分析情況，可參考。圖 5.2 IP 數(shù)據(jù)報分片示例重組是分片的逆過程，分片只有到達(dá)目的主機時才進行重組。當(dāng)目的主機收到 IP 報文時，根據(jù)其片偏移和標(biāo)志 MF 位判斷其是否一個分片。若 MF 為 0，片偏移為 0，則表明它是一個完整的報文；否則，則表明它是一個分片。當(dāng)一個報文的全部分片都到達(dá)目的主機時，IP 就根據(jù)報頭中的標(biāo)識符和片偏移將它們重新組成一個完整的報文交給上層協(xié)議處理。四、實驗步驟1、IP協(xié)議分析步驟1：分別在 PC1 和 PC2 上運行 Wireshark，開始截獲報文，為了只截獲和實驗內(nèi)容有關(guān)的報文，將 Wireshark 的 Captrue Filter 設(shè)置為“No Broadcast and no Multicast”；步驟2： PC1 ping PC2.步驟3：停止截獲報文，分析截獲的結(jié)果，回答下列問題：1） 任取一個有IP協(xié)議的數(shù)據(jù)報并截圖替換下圖2） 分析該 IP 協(xié)議的報文格式，完成下表表 IP協(xié)議字段報文信息說明版本4IP所使用版本號頭長20bytesIP頭的長度服務(wù)類型0x00優(yōu)先級標(biāo)志位和服務(wù)類型標(biāo)志位，被路由器用來進行流量的優(yōu)先排序總長度40IP頭與數(shù)據(jù)包中數(shù)據(jù)的長度標(biāo)識0x6f0b一個唯一的標(biāo)識數(shù)字，用來識別一個數(shù)據(jù)包或者被分片數(shù)據(jù)包的次序標(biāo)志0x02用來標(biāo)記一個數(shù)據(jù)包是否是一組分片數(shù)據(jù)包的一部分片偏移0一個數(shù)據(jù)包是一個分片，這個域中的值就會被用來將數(shù)據(jù)包以正確的順序重新組裝生存周期2用來定義數(shù)據(jù)包的生存周期，以經(jīng)過路由器的跳數(shù)/秒數(shù)進行描述協(xié)議TCP用來識別在數(shù)據(jù)包序列中上層協(xié)議數(shù)據(jù)包的類型校驗和0x0000一個錯誤檢測機制，用來確認(rèn)IP頭的內(nèi)容沒有被損壞或者篡改源地址192.16.81.13發(fā)出數(shù)據(jù)包的主機的IP地址目的地址183.95.125.110數(shù)據(jù)包目的地的IP地址2、IP數(shù)據(jù)報分片實驗步驟1：在 PC1、PC2 兩臺計算機上運行 Wireshark，為了只截獲和實驗有關(guān)的數(shù)據(jù)報，設(shè)置 Wireshark 的捕獲條件為對方主機的 IP 地址的icmp協(xié)議，則在PC1上設(shè)置的捕獲條件為 ip.dst_host and icmp ，開始截獲報文；步驟2：在 PC1 上執(zhí)行如下 Ping 命令，向主機 PC2 發(fā)送 5000B 的數(shù)據(jù)報文：ping的命令為 ping l 5000 192.168.6.12 并截圖替換下圖。步驟3：停止截獲報文并截圖替換下圖：分析截獲的報文，回答下列問題：1）以太網(wǎng)的 MTU 是 1500 A）對截獲的報文分析，將屬于同一ICMP 請求報文的分片找出來并截圖替換下圖，主機 PC1 向主機 PC2發(fā)送的 ICMP 請求報文分成了 4 個分片B）若要讓主機PC1向主機PC2發(fā)送的數(shù)據(jù)分為 3 個分片，則 Ping 命令中的報文長度應(yīng)為多大范圍。_3） 在有分片存在時，ICMP協(xié)議報文是存在于每個分片中還是只是在最后一個分片中？ 在最后一個分片中 4）將第二個 ICMP 請求報文的分片信息填入表并分別對每條分析進行截圖：表 ICMP