實驗五 IP協議分析

1、在這個實驗里，我們將研究IP協議，通過執(zhí)行traceroute程序來分析IP數據包發(fā)送和 接收的過程。我們將研究IP數據包的各個字段，詳細學習IP數據包的分片。一、捕獲 traceroute為了產生一個IP數據包，我們將使用traceroute程序來向一些目的地發(fā)送不同大小的 數據包，這個軟件我們在第一個實驗已作過簡單的嘗試了。但我們試圖在IP頭部首先發(fā)送一個或者更多的具有TTL的數據包，并把TTL的值設 置為1；然后向同一個目的地發(fā)送一系列具有TTL值為2的數據包；接著向同一個目的地 發(fā)送一系列具有TTL值為3的數據包等等。路由器在每次接收數據包時消耗掉一個TTL， 當TTL達到0時，路由器

2、將會向源主機返回一個ICMP的消息（類型為11的TTL溢出）， 這樣一個TTL值為1的數據包將會引起路由器從發(fā)送者發(fā)回一個ICMP的TTL溢出消息 產生一跳，TTL值為2的數據包發(fā)送時會引起路由器產生兩跳，TTL值為3的數據包則會 引起路由器產生3跳?；谶@種方式，主機可以執(zhí)行traceroute觀察ICMP的TTL溢出消息， 記錄每個路由器的ICMP的溢出消息的源IP地址，即可標識出主機和目的地之間的所有路 由器。我們要運行traceroute讓它發(fā)送多種長度的數據包，由Windows提供的tracert程序不 允許改變由tracert程序發(fā)送的ICMP的回復請求消息的大小，在Windows

3、下比較好的一個 是pingplotter，它可以在以下網站下載共享版本（現在已下載好存在共享文件夾的壓縮 包中）：安裝pingplotter標準版（你有一個30天的試用期），通過對你所喜歡的站點執(zhí)行一些 traceroute來熟悉這個工具。ICMP回復請求消息的大小可以在 pingplot ter中設置：Edit- Options-Default Setting-enginet，在 packet size字段中默認包的大小是 56字節(jié)。pingplotter 發(fā)送一系列TTL值漸增的包時，Trace時間間隔的值和間隔的個數在pingplotter中能夠設置。 按下面步驟做：啟動Iris，開始包

4、捕獲；啟動pingplotter，然后在“ Address to Trace ”窗口輸入目的地目標的名字：172.16.1.1 （1 島 輸入 172.16.6.1）在“ of times to Trace ”區(qū)域輸入3。然后選擇 Edit- Options-DefaultSetting-engine，確認在packet size字段的值為56，點OK。然后按下Trace按鈕。你看到的pingplotter窗口類似如上：1.接下來，發(fā)送一組具有較長長度的數據包，通過Edit- Options-Default Setting-engine 在包大小區(qū)域輸入值為2000，點OK。接著按下Resum

5、e按鈕；2.再發(fā)送一組具有更長長度的數據包，通過Edit- Options-Default Setting-enginet在包大 小區(qū)域輸入值為3500，點OK。接著按下Resume按鈕；3.使用Iris跟蹤捕獲tracing；（下圖為Ethereal捕獲數據，僅供參考）二、觀察捕獲的數據你應該能看到由你的電腦和通過中間的路由器返回到你的電腦里的ICMP的TTL溢出 消息所發(fā)送的ICMP序列，把這些數據保存出來。然后回答以下問題：Q1.選擇你的電腦所發(fā)送的第一個ICMP請求消息，在包詳細信息窗口擴展包的Internet協 議部分。你的電腦的IP地址是多少？ （192.168.157.120）Q

6、2.在IP包頭部，上層協議區(qū)域的值是多少？Q3.IP頭部有多少字節(jié)？ （20bytes）IP數據包的有效載荷是多少字節(jié)？ （36bytes）解釋你是怎樣確定有效載荷的數量的？ （3）總長度減去IP首部長度Q4.這個IP數據包被分割了嗎？（沒有）解釋你是怎樣確定這個數據包是否被分割？接下來單擊列名按IP源地址排序數據包，選擇你的電腦發(fā)送的第一個ICMP請求消息， 擴展顯示IP協議的數據。Q5,在包捕獲列表窗口，你能看到在第一個ICMP下的所有并發(fā)的ICMP消息嗎？Q6.往同一 IP的數據包哪些字段在改變，而且必須改變？（首部檢驗和，標識）為什么？哪些字段是保持不變的，而且必須保持不變？（版本，首

7、部長度，區(qū)分服務，協議，源地址）Q7.描述一下在IP數據包的Identification字段的值是什么樣的？ （11650）接下來找到通過昀近的路由器發(fā)送到你的電腦去的ICMP的TTL溢出回復的系列，回 答以下問題：Q8.Identification字段和 TTL 字段的值是多少？（30366，128）Q9.所有的通過昀近的路由器發(fā)送到你的電腦去的ICMP的TTL溢出回復是不是值都保持 不變呢？為什么？（是）接下去研究一下分片，先按時間順序排序數據包，找出在pingplotter中把包的大小改成2000后，你的電腦所發(fā)送的第一個ICMP請求消息?；卮鹨韵聠栴}：Q10.那個消息是否傳送多于一個I

8、P數據包的分片？（是）看第一個被分割的IP數據包的片段，在IP頭部有什么信息指出數據包已經被分割？日國 Flags: 0 x20ioii| 0=Reservedioii| 且.=Dont Fragment.1=More Frags:1011在IP頭部有什么信息指出這是否是第一個與后面片段相對的片段？FragEept 口庵豉：口這個IP數據包的長度是多少?Total length: 1500 bytes CorrectQ11.看被分割的IP數據包的第二個片段。在IP頭部有什么信息指出這不是第一個數據包片段?有更多的片段嗎？（沒有）你是怎么知道的？和上一個分片的長度加起來是2000嗎?（不是，是

9、2020)Total length:bytes匚口花這)Q12.哪個字段在第一個和第二個片段之間的IP頭部改變了？（總長度，標志，片偏移，首部檢驗和）Identification 變了嗎？（沒有）再找出在pingplotter中把包的大小改成3500后，你的電腦所發(fā)送的第一個ICMP請求 消息?；卮鹨韵聠栴}：Q13.從原始的數據包中產生了多少片段？ （3片）片偏移分別為多少？ （0，1480，2960）Q14.在片段之中IP頭部哪些字段改變了？（片偏移，總長度，標志，首部檢驗和）Identification 變了嗎？（沒有）自主設計實驗）現在我們已經會分析IP協議的數據包頭部結構了，利用剛才收

10、集的數據，自己想辦法描繪 和分析一下到你訪問的服務器間的各個路由器的示意圖，看是不是和pingplotter得到的結 果一致？再測試一下到172.16.1.1的路由情況。實驗六ICMP協議分析在這個實驗中，我們將探索ICMP協議，如由Ping程序產生的ICMP消息、由Traceroute程序產生的ICMP消息和ICMP消息的格式與內容等。一、ICMP與 Ping 按以下步驟進行：Windows命令行提示符；IRis Network Analyzer，開始捕捉數據包;MS-DOS命令行下輸入：ping n 10 172.16.1.1( 1 島輸入 172.16.6.1)參數-n 10”說明需要發(fā)

11、送10個ping消息。（下圖為Ethereal捕獲數據，僅供參考）icmpHa. r j Tlnm IsauTBPioiocdrr/ad. aaia & io?, lc-h. i. lolC-u4L5O9Ei.aaa27QLCIORM2.324479EM邱8 Id 3.3ZLL214 u 10636+.3433DI打l6g1415 6.0221.16 M 6.W3g 17 7-022213 13 7.4-232M 19 &.UI22A9 M 6.423016 21 孔。W&W22瓦4 MM挪BE-. 14.34 1Q2.1C.&.1. LOL1 19Z.16B.1.L0CLB9ai4.4 19

12、Z.16B.1.LQ1 14.3.05.14. 34 192.166.1. Lul H3,69.14,34 192.166.1.1011 192.166.1.101 143. B9.14.34 192.166.1.101 143Id.Sd 192.16B.1.LQ1 .4 . .二.- 192.166.1. LOL 143.BD.14. 34192.16E_l.LCd_ZL4M. -相1+3.59-14.3ly2.166.lAUl 14*9. W 142.166.1.101 143.$9.14.igZ.16B-l.LQLA-igZ.l&S-lrLQL157.166 LL皿 -.4-l=i?.1

13、66 l.LOL1-=12.166.1.101 1,睥 IL* IW.lbS.l.LOd.Eho chn E-2hG Echo E-:hoEcho Echo Eho echo Echo Gcho Echo Echo Echo echo fecho Echo Echo Echo(Pingj1p1ng) CpinqJ (plngj (ping) fpin口) Cplng Cpg) (ping) S怕gj ping) pingj (pingj (plugJ tPlqj 涔葛 頃ng)rc-qm-sr reply request reply requer replyreciL+esr reply re

14、quest reply request: reply request reply reqiier reply reqiJfisr .：.p Frumc- 3!；7-4 bytas; an wira?74DytascapEuraoib ErhErnet II, 5r： 0Q?C6：7i ：-4-Fs36：23, C-St ： 30：06：25?d：af ；73A IrflZETHet Pot58L Md” 1L：1 時.LICQ CL9L1 喝，L LOLLM 浙；L3,&孔:LLM 1村.明PrOTCiCCilTytie： E： (e; ou rplntij request jT irirer

15、rteT COCiTr-rt I HS5cade: DCheck sun: de5j. C correct j IdaniIFi or: 0102OD SEquence tiuber: 0 x6701 Oata 32 hyt*)|L： (U fd -30 00 30 01 g 辿 E 脆 01 65 ：3f 任4.當Ping程序終止后，停止用Iris捕獲包。我們可以看到源端發(fā)出了 10個查問包并收到了 10個響應，可以對每一個響應源端計算往返時間（RTT），也不妨計算一下這10個包平均RTT。在第一個實驗中作過類似的操作，讓我們現在先看一下Iris捕獲的包。先用“icmp”作為關鍵字過濾，注意

16、到包列表顯示出20個包：源端發(fā)出的10個Ping詢 問和收到的10個Ping響應。另外注意到源端的IP地址是形如172.16.X.X的私有地址，目 的地的IP地址是172.16.1.1的Web服務器的地址?，F在讓我們展開由客戶端發(fā)出的第一個 包，在上圖中包內容區(qū)提供了這個包的信息。我們看到包內的IP數據包有協議號01 （這是 ICMP的協議號），這說明這個IP數據包承載的是一個ICMP包o然后我們展開ICMP協議部分的信息，我們觀察到這個ICMP包的Type為8而Code 為0，這稱為一個ICMP“請求”包。我們還注意到這個ICMP包中包括一個checksum、一 個 identifier和一

17、個 sequence number。把數據保存出來后，回答下面的問題：Q1.你主機的IP地址是什么？遠程主機的小地址是什么？Q2.為什么一個ICMP包沒有源和目標端口號？Q3.檢查由你主機發(fā)送的一個Ping請求包。I CMP type和code是多少？這個ICMP包包 含了哪些其他的字段？ Checksum、sequence number和identifier字段的值各為多少？ Q4.檢查相應的Ping回應包，ICMP type和code是多少？這個ICMP包包含了哪些其他 的字段？ Checksum、sequence number和 identifier字段的值各為多少？二、ICMP與 Tr

18、aceroute現在讓我們捕獲由Traceroute程序產生的ICMP包以便繼續(xù)我們的實驗，我們將采用Windows自帶的tracert程序，按以下步驟進行：進入 Windows命令提示符；開啟Iris Network Analyzer，開始捕捉數據包；3.在 ms-dos命令行下輸入：tracert 172.16.1.1 （1 島 輸入 172.16.6.1）4.當Traceroute程序終止后，停止用Iris捕獲包。在運行結束后我們可以看到對每一個TTL值，源端發(fā)出了三個探測包。Traceroute顯 示了每一個探測包的RTT值，以及返回ICMP TTL耗盡消息的路由器的IP地址（也可能包 括名稱）。下圖的Ethereal窗口則顯示了由一個路由器返回的ICMP包。注意這個ICMP error 包（TTL溢出包）和ICMP Ping消息相比多了許多字段。（下圖為Ethereal捕獲數據，僅供 參考）將捕獲的數據保存后，完成以下問題：Q5.你主機的IP地址是什么？遠程主機的IP地 址是什么？ Q6.檢查ICMP echo包，它和前半部分實驗中的ICMP ping查問包有否不 同？