實驗3使用Wireshark分析IP協(xié)議 V1

1、實驗三使用Wireshark分析IP協(xié)議一、實驗目的1、分析IP協(xié)議2、分析IP數據報分片二、實驗環(huán)境與因特網連接的計算機,操作系統(tǒng)為Windows,安裝有Wireshark、IE等軟件。三、實驗步驟IP協(xié)議是因特網上的中樞。它定義了獨立的網絡之間以什么樣的方式協(xié)同工作從而形成一個全球戶聯網。因特網內的每臺主機都有IP地址。數據被稱作數據報的分組形式從一臺主機發(fā)送到另一臺。每個數據報標有源IP地址和目的IP地址,然后被發(fā)送到網絡中。如果源主機和目的主機不在同一個網絡中,那么一個被稱為路由器的中間機器將接收被傳送的數據報,并且將其發(fā)送到距離目的端最近的下一個路由器。這個過程就是分組交換。IP允許

2、數據報從源端途經不同的網絡到達目的端。每個網絡有它自己的規(guī)則和協(xié)定。IP能夠使數據報適應于其途徑的每個網絡。例如,每個網絡規(guī)定的最大傳輸單元各有不同。IP允許將數據報分片并在目的端重組來滿足不同網絡的規(guī)定。在4_1_JoiningTheInternet下打開已俘獲的分組,分組名為:dhcp_isolated.cap。感興趣的同學可以在有動態(tài)分配IP的實驗環(huán)境下俘獲此分組,此分組具體俘獲步驟如下:1、使用DHCP獲取IP地址(1打開命令窗口,啟動Wireshark。(3然后輸入“ipconfig /renew”命令。這條命令讓主機獲得一個網絡配置,包括新的IP地址。(4等待,直到“ipconfi

3、g /renew”終止。然后再次輸入“ipconfig /renew” 命令。(5當第二個命令“ipconfig /renew” 終止時,輸入命令“ipconfig/release” 釋放原來的已經分配的IP地址(6停止分組俘獲。如圖1所示: 圖1:Wireshark俘獲的分組下面,我們對此分組進行分析:IPconfig 命令被用于顯示機器的IP地址及修改IP地址的配置。當輸入命ipconfig /release命令時,用來釋放機器的當前IP地址。釋放之后,該機沒有有效的IP地址并在分組2中使用地址0.0.0.0作為源地址。分組2是一個DHCP Discover(發(fā)現報文,如圖2所示。當一臺沒

4、有IP地址的計算機申請IP地址時將發(fā)送該報文。DHCP Discovery報文被發(fā)送給特殊的廣播地址: 255.255.255.255,該地址將到達某個限定廣播范圍內所有在線的主機。理論上, 255.255.255.255能夠廣播到整個因特網上,但實際上并不能實現,因為路由器為了阻止大量的請求淹沒因特網,不會將這樣的廣播發(fā)送到本地網之外。在DHCP Discover報文中,客戶端包括自身的信息。特別是,它提供了自己的主機名(MATTHEWS和其以太網接口的物理地址(00:07:e9:53:87:d9。這些信息都被DHCP 用來標識一個已知的客戶端。DHCP服務器可以使用這些信息實現一系列的策略

5、,比如,分配與上次相同的IP地址,分配一個上次不同的IP地址,或要求客戶端注冊其物理層地址來獲取IP地址。在DHCP Discover報文中,客戶端還詳細列出了它希望從DHCP服務器接收到的信息。在Parameter Request List中包含了除客戶端希望得到的本地網絡的IP地址之外的其他數據項。這些數據項中許多都是一臺即將連入因特網的計算機所需要的數據。例如,客戶端必須知道的本地路由器的標識。任何目的地址不在本地網的數據報都將發(fā)送到這臺路由器上。也就是說,這是發(fā)向外網的數據報在通向目的端的路徑上遇到的第一臺中間路由器。 圖2:DHCP Discovery客戶端必須知道自己的子網掩碼。子

6、網掩碼是一個32位的數,用來與IP地址進行“按 圖2:Parameter Request List位邏輯與運算”從而得出網絡地址。所有可以直接通信而不需要路由器參與的機器都有相同的網絡地址。因此,子網掩碼用來決定數據報是發(fā)送到本地路由器還是直接發(fā)送到本地目的主機?？蛻舳诉€必須知道它們的域名和它們在本地域名服務器上的標識。域名是一個可讀的網絡名。IP地址為192.168.0.1的DHCP服務器回復了一個DHCP OFFER報文。該報文也廣播到255.255.255.255,因為盡管客戶端還不知道自己的IP地址,但它將接收到發(fā)送到廣播地址的報文。這個報文中包含了客戶端請求的信息,包括IP地址、本地

7、路由器、子網掩碼、域名和本地域名服務器。在分組5中,客戶端通過發(fā)送DHCP Request(請求報文表明自己接收到的IP地址。最后,在分組6中DHCP服務器確認請求的地址并結束對話。此后,在分組7中客戶端開始使用它的新的IP地址作為源地址。在分組3和分組7到12的地址ARP協(xié)議引起了我們的注意。在分組3中,DHCP 服務器詢問是否有其它主機使用IP地址192.168.0.100(該請求被發(fā)送到廣播地址。這就允許DHCP服務器在分配IP之前再次確認沒有其它主機使用該IP地址。在獲取其IP地址之后,客戶端會發(fā)送3個報文詢問其他主機是否有與自己相同的IP地址。前4個ARP請求都沒有回應。在分組101

8、3中,DHCP服務器再次詢問哪個主機擁有IP 地址192.168.0.100,客戶端兩次回答它占有該IP同時提供了自己的以太網地址。通過DHCP分配的IP地址有特定的租用時間。為了保持對某個IP的租用,客戶端必須更新租用期。當輸入第二個命令ipconfig /renew后,在分組14和15中就會看到更新租用期的過程。DHCP Request請求更新租用期。DHCP ACK包括租用期的長度。如果在租用期到期之前沒有DHCP Request發(fā)送,DHCP服務器有權將該IP地址重新分配給其他主機。最后,在分組16時輸入命令ipconfig /release后的結果。在DHCP服務器接收到這個報文后,

9、客戶停止對該IP的使用。如有需要DHCP服務器有權重新對IP地址進行分配。2、分析IPv4中的分片在第二個實驗中,我們將考察IP數據報首部。俘獲此分組的步驟如下:(1啟動Wireshark,開始分組俘獲(“Capture”-“interface”-“start”。(2啟動pingplotter(pingplotter 的下載地址為,在“Address to trace:”下面的輸入框里輸入目的地址,選擇菜單欄“Edit”-“Options”-“Packet”,在“Packet size(in bytes defaults=56:”右邊輸入IP數據報大小:5000,按下“OK”。最后按下按鈕“T

10、race”,你將會看到pingplotter窗口顯示如下內容,如圖3所示:圖 3：ping plotter （3） 停止 Wireshark。設置過濾方式為：IP，在 Wireshark 窗口中將會看到如下情 形,如圖 4 所示。 在分組俘獲中， 你應該可以看到一系列你自己電腦發(fā)送的“ICMP Echo Request”和由 中間路由器返回到你電腦的“ICMP TTL-exceeded messages。 圖 4：用ireshark 所俘獲的分組 （4） 如果你無法得到上圖的分組信息，也可使用已經下載的 IP 分片分組文件： fragment_5000_isolated.cap。然后在 Wir

11、eshark 中，選擇菜單欄“File”-“Open”導入上述 文件進行學習。 下面，我們來分析 fragment_5000_isolated.cap 中的具體分組： IP 層位于傳輸層和鏈路層之間。 fragment_5000_isolated.cap 中傳輸層協(xié)議是 UDP， 在 鏈路層協(xié)議是以太網。發(fā)送兩個 UDP 數據報，每個包含 5000 個字節(jié)的數據部分和 8 字 節(jié)的 UDP 首部。在分組 1 到 4 和分組 5 到 8 分別代表了先后發(fā)送的兩個 UDP 數據報。 當 IP 層接收到 5008 字節(jié)的 UDP 數據報時，它的工作是將其作為 IP 數據報在以太 網傳輸。以太網要求一

12、次傳輸的長度不大于 1514 個字節(jié)，其中有 14 字節(jié)是以太網幀首 部。 IP 被迫將 UDP 數據報作為多個分片發(fā)送。每個分片必須包含以太網幀首部、IP 數 據報首部。每個分片還會包含 UDP 數據報的有效負載（首部和數據）的一部分。 IP 將原始數據報的前 1480 個字節(jié)（含 1472 個字節(jié)的數據和含 8 個字節(jié)的 UDP 首 部）放在第一個分片中。后面兩個分片每個均含 1480 個字節(jié)的數據，最后一個分片中 包含的數據為 568 個字節(jié)） 。 為了讓接收段重組原始數據，IP 使用首部的特殊字段對分片進行了編號。標識字段 用于將所有的分片連接在一起。分組 1 到 4 含有相同的標識號 0xfd2b,分組 5 到 8 的標 識號是 0xfd2c.片漂移量指明了分組中數據的第一個字節(jié)在 UDP 數據報中的偏移量。例 如分組 1 和分組 5 的偏移量都是 0，因為它們都是第一個分片。 最后在標識字段中有一位用來指明這個分片后是否還有分片。 分組 1 到分組 3 和分 組 5 到分組 7 均對該位置進行了置位。 分組 4 和分組 8 由于是最后一個分片而沒有對該 位置位。 四、實驗報告內容 打開文件 dhcp_isolated