设计一种基于ip协议标识字段的信息隐藏方案

设计一种基于 ip 协议标识字段的信息隐藏方案篇一：实验三 IP 协议分析实验三 IP 协议分析 一、实验目的和要求 ? 熟练掌握 Ethereal 的使用方法 ? 能对捕获到的包进行较深入的分析 ? 掌握 IP 层的作用以及 IP 地址的分类方法 ? 掌握 IP 数据包的组成和网络层的基本功能。 二、实验内容 常见网络命令使用；启动 Ethereal 并设置相应的选项，进行一次简单的 ICMP，观察捕获到的数据包，过滤出IP 数据包，分析每个 IP 分组的细节，查看 IP 数据包的结构与含义，观察 IP 协议的功能。 三、实验设备 PC 机、Ethereal 软件、WinpCap 软件 四、背景知识 1、IP 地址的编址方法 IP 地址是为每个连接在互联网上的主机分配的唯一识别的 32 位标识符。IP 地址的编址方法共经历了三个阶段： （1） 分类的 IP 地址 这是一种基于分类的两级 IP 地址编址 （2）划分子网的 IP 地址 子网就是将一个 A 类、B 类或 C 类网络分割成许多小的网络，每一个小的网络就称为子网。划分子网采用 “网络号”“子网号”“主机号”三级编址的方法。在划分了子网的网络地址中，子网掩码用于确定网络地址。子网掩码是一个和 IP 地址对应的 32 位二进制数。子网掩码中与 IP 地址的网络地址对应的部分为 1，与主机地址对应的部分为 0。这样把网络接口的 IP 地址与该接口上的掩码相与就得到该接口所在网络的网络地址，而把该IP 地址与掩码的反码相与则可得到主机地址。 （3）无分类域间路由选择 CIDR 无分类域间路由选择 CIDR 是根据划分子网阶段的问题提出的编址方法。IP 地址采用“网络前缀”“主机号”的编址方式。目前 CIDR 是应用最广泛的编址方法，它消除了传统的 A、B、C 类地址和划分子网的概念，提高了 IP 地址资源的利用率，并使得路由聚合的实现成为可能。 2、IP 报文格式 IP 报文由报头和数据两部分组成，如图 1 所示： 图 1 IP 报文格式其中主要字段的意义和功能如下： * 版本：指 IP 协议的版本； * 头长：是指 IP 数据报的报头长度，它以 4 字节为单位。IP 报头长度至少为 20 字节，如果选项部分不是 4 字节的整数倍时，由填充补齐； * 总长度：为整个 IP 数据报的长度； * 服务类型：规定对数据报的处理方式； * 标识：是 IP 协议赋予数据报的标志，用于目的主机确定数据分片属于哪个报文； * 标志：为三个比特，其中只有低两位有效，这两位分别表示该数据报文能否分段和是否该分段是否为源报文的最后一个分段； * 生存周期：为数据报在网络中的生存时间，报文每经过一个路由器时，其值减 1，当生存周期变为 0 时，丢弃该报文；从而防止网络中出现循环路由； * 协议：指 IP 数据部分是由哪一种协议发送的； * 校验和：只对 IP 报头的头部进行校验，保证头部的完整性； * 源 IP 地址和目的 IP 地址：分别指发送和接收数据报的主机的 IP 地址。 3、IP 数据报的传输过程 在互联网中，IP 数据报根据其目的地址不同，经过的路径和投递次数也不同。当一台主机要发送 IP 数据报时，主机将待发送数据报的目的地址和自己的子网掩码按位 “与” ，判断其结果是否与其所在网络的网络地址相同，若相同，则将数据报直接投递给目的主机，否则，将其投递给下一跳路由器。路由器转发数据报的过程如下： 当路由器收到一个数据报文时，对和该路由器直接相连的网络逐个进行检查，即用目的地址和每个网络的子网掩码按位 “与” ，若与某网络的网地址相匹配，则直接投递；否则，执行 2。 对路由表的每一行，将其中的子网屏蔽码与数据报的目的地址按位“与” ，若与该行的目的网络地址相等，则将该数据报发往该行的下一跳路由器；否则，执行 3。 若路由表中有一个默认路由，则将数据报发送给路由表所指定的默认路由器。否则，报告转发出错。 五、实验步骤 1、运行 ipconfig 命令 （1）在“工具”菜单中选择“命令行” ，出现提示符后输入 ipconfig/all （2）观察运行结果，获得本机的 IP 地址及子网掩码；（3）分析本主机属于哪一类 IP 地址，网络号、子网号和主机号分别是什么； （4）利用本机的 IP 地址及子网掩码，找出地址本中与本机属于同一子网的主机。 本机的 IP 地址为： 子网掩码为：，是属于 C 类 IIP 地址 网络号为：，子网号为，主机号为：682、运行 ping 命令 Ping 命令是调试网络常用的工具之一。它通过发出ICMP Echo 请求报文并监听其回应来检测网络的连通性。 （1）在“工具”菜单中选择“命令行” ，出现提示符后输入 ping t（为相邻计算机的 IP 地址，可以通过ipconfig/all 得到） 。 （2）观察运行结果，判断本机与相邻计算机的连通性； 3、运行 Traceroute 命令 Traceroute 命令用来获得从本地计算机到目的主机的路径信息。在 MS Windows 中该命令为 Tracert，而 UNIX 系统中为 Traceroute。 Tracert 先发送 TTL 为 1 的回显请求报文，并在随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。它所返回的信息要比 ping 命令详细得多，它把您送出的到某一站点的请求包，所走的全部路由均告诉您，并且告诉您通过该路由的 IP 是多少，通过该 IP 的时延是多少。 （1）在“工具”菜单中选择“命令行” ，出现提示符后输入 tracert 。 （2）观察运行结果，查看从本地计算机到目的主机的路径信息。 4、运行 netstat 命令Netstat 命令用于显示与 IP、ICM、TCP 和 UDP 协议相关的统计数据，一般用于检验本机各端口的网络连接情况。（1）在命令行提示符下运行： C:netstat r ；显示本机路由表，记录本机的缺省网关的 IP 地址； （2）在命令行提示符下运行： C:netstat s ；观察 IP 协议部分，查看本机已经接收和发送的 IP 报文个数 篇二：实验五 IP 协议分析实验五 IP 协议分析 在这个实验里，我们将研究 IP 协议，通过执行 traceroute 程序来分析 IP 数据包发送和接收的过程。我们将研究 IP 数据包的各个字段，详细学习 IP 数据包的分片。 一、捕获 traceroute 为了产生一个 IP 数据包，我们将使用 traceroute程序来向一些目的地发送不同大小的数据包，这个软件我们在第一个实验已作过简单的尝试了。 但我们试图在 IP 头部首先发送一个或者更多的具有 TTL 的数据包，并把 TTL 的值设置为 1；然后向同一个目的地发送一系列具有 TTL 值为 2 的数据包；接着向同一个目的地发送一系列具有 TTL 值为 3 的数据包等等。路由器在每次接收数据包时消耗掉一个 TTL，当 TTL 达到 0 时，路由器将会向源主机返回一个 ICMP 的消息（类型为 11 的 TTL 溢出） ，这样一个 TTL 值为 1 的数据包将会引起路由器从发送者发回一个 ICMP 的 TTL 溢出消息产生一跳，TTL 值为 2 的数据包发送时会引起路由器产生两跳， TTL 值为 3的数据包则会引起路由器产生 3 跳。基于这种方式，主机可以执行 traceroute 观察 ICMP 的 TTL 溢出消息，记录每个路由器的 ICMP 的溢出消息的源 IP 地址，即可标识出主机和目的地之间的所有路由器。 我们要运行 traceroute 让它发送多种长度的数据包，由 Windows 提供的 tracert 程序不允许改变由 tracert 程序发送的 ICMP 的回复请求消息的大小，在 Windows 下比较好的一个是 pingplotter，它可以在以下网站下载共享版本（现在已下载好存在共享文件夹的压缩包中）： 安装 pingplotter 标准版（你有一个 30 天的试用期），通过对你所喜欢的站点执行一些 traceroute 来熟悉这个工具。 ICMP 回复请求消息的大小可以在 pingplotter 中设置：Edit- Options-Default Setting-enginet，在 packet size 字段中默认包的大小是 56 字节。 pingplotter 发送一系列 TTL 值渐增的包时，Trace 时间间隔的值和间隔的个数在 pingplotter 中能够设置。按下面步骤做： 1 启动 Iris，开始包捕获； 2 启动 pingplotter，然后在“Address to Trace”窗口输入目的地目标的名字： （1 岛 输入）在“# of times to Trace”区域输入 3。然后选择 Edit- Options-Default Setting-engine，确认在 packet size 字段的值为 56，点 OK。然后按下 Trace 按钮。你看到的 pingplotter 窗口类似如上： 1. 接下来，发送一组具有较长长度的数据包，通过Edit- Options-Default Setting-engine 在包大小区域输入值为 XX，点 OK。接着按下 Resume 按钮； 2. 再发送一组具有更长长度的数据包，通过 Edit- Options-Default Setting-enginet 在包大 小区域输入值为 3500，点 OK。接着按下 Resume 按钮； 3. 使用 Iris 跟踪捕获 tracing；（下图为Ethereal 捕获数据，仅供参考） 二、观察捕获的数据 你应该能看到由你的电脑和通过中间的路由器返回到你的电脑里的 ICMP 的 TTL 溢出消息所发送的 ICMP 序列，把这些数据保存出来。然后回答以下问题： Q1.选择你的电脑所发送的第一个 ICMP 请求消息，在包详细信息窗口扩展包的 Internet 协议部分。你的电脑的 IP 地址是多少？（） Q2.在 IP 包头部，上层协议区域的值是多少？ 头部有多少字节？（20bytes） IP 数据包的有效载荷是多少字节？（36bytes） 解释你是怎样确定有效载荷的数量的？（3）总长度减去 IP 首部长度 Q4.这个 IP 数据包被分割了吗？（没有） 解释你是怎样确定这个数据包是否被分割？ 接下来单击列名按 IP 源地址排序数据包，选择你的电脑发送的第一个 ICMP 请求消息， 扩展显示 IP 协议的数据。 Q5.在包捕获列表窗口，你能看到在第一个 ICMP 下的所有并发的 ICMP 消息吗？ Q6.往同一 IP 的数据包哪些字段在改变，而且必须改变？（首部检验和，标识） 为什么？ 哪些字段是保持不变的，而且必须保持不变？ （版本，首部长度，区分服务，协议，源地址） Q7.描述一下在 IP 数据包的 Identification 字段的值是什么样的？（11650） 接下来找到通过昀近的路由器发送到你的电脑去的 ICMP 的 TTL 溢出回复的系列，回 答以下问题： 字段和 TTL 字段的值是多少？ （30366，128） Q9.所有的通过昀近的路由器发送到你的电脑去的 ICMP 的 TTL 溢出回复是不是值都保持不变呢？为什么？（是） 接下去研究一下分片，先按时间顺序排序数据包，找出在 pingplotter 中把包的大小改成 XX 后，你的电脑所发送的第一个 ICMP 请求消息。回答以下问题： Q10.那个消息是否传送多于一个 IP 数据包的分片？（是） 看第一个被分割的 IP 数据包的片段，在 IP 头部有什么信息指出数据包已经被分割？ 在 IP 头部有什么信息指出这是否是第一个与后面片段相对的片段？ 这个 IP 数据包的长度是多少？Q11.看被分割的 IP 数据包的第二个片段。在 IP 头部有什么信息指出这不是第一个数据包片段？ 有更多的片段吗？（没有） 你是怎么知道的？ 和上一个分片的长度加起来是 XX 吗？ （不是，是 2020） Q12.哪个字段在第一个和第二个片段之间的 IP 头部改变了？ (总长度,标志,片偏移，首部检验和) Identification 变了吗？（没有） 再找出在 pingplotter 中把包的大小改成 3500 后，你的电脑所发送的第一个 ICMP 请求 消息。回答以下问题：Q13.从原始的数据包中产生了多少片段？（3 片） 片偏移分别为多少？（0， 1480，2960） Q14.在片段之中 IP 头部哪些字段改变了？（片偏移，总长度，标志，首部检验和） Identification 变了吗？（没有） 自主设计实验 现在我们已经会分析 IP 协议的数据包头部结构了，利用刚才收集的数据，自己想办法描绘和分析一下到你访问的服务器间的各个路由器的示意图，看是不是和 pingplotter 得到的结果一致？ 再测试一下到 的路由情况。 实验六 ICMP 协议分析在这个实验中，我们将探索 ICMP 协议，如由 Ping程序产生的 ICMP 消息、由 Traceroute 程序产生的 ICMP消息和 ICMP 消息的格式与内容等。 一、ICMP 与 Ping 按以 下步骤进行： 1. Windows 命令行提示符； 2. IRis Network Analyzer，开始捕捉数据包； 3. MS-DOS 命令行下输入： ping n 10 （1 岛 输入） 参数“-n 10”说明需要发送 10 个 ping 消息。 （下图为 Ethereal 捕获数据，仅供参考） 4.当 Ping 程序终止后，停止用 Iris 捕获包。 我们可以看到源端发出了 10 个查问包并收到了 10个响应，可以对每一个响应源端计算往返时间（RTT） ，也不妨计算一下这 10 个包平均 RTT。 在第一个实验中作过类似的操作，篇三：分析 IP 协议数据包格式实验名称： 分析 IP 协议数据包格式 实验目的： 掌握 IP 协议的作用和格式； 理解 IP 数据包首部各字段的含义； 掌握 IP 数据包首部校验和的计算方法。 实验器材： 计算机及以太网环境。 实验内容（步骤）： 1. 打开 Wireshark 软件，选择菜单命令“Capture”?“Interfaces”子菜单项。弹出“Wireshark: Capture Interfaces”对话框。单击“Options”按钮，弹出“Wireshark: Capture Options”对话框。单击“Start”按钮开始网络数据包捕获。 2. 浏览外部网站，确保协议分析软件能够捕获足够的网络数据包，单击“”按钮，中断网络协议分析软件的捕获进程，主界面显示捕获到的数据包。 几乎所有的高层协议都使用 IP 协议进行网络传输，只有 ARP 和 RARP 报文不被封装在 IP 数据报中。 3. 观察协议树区中 IP 数据包各个字段的长度与值，是否符合 IP 报文格式。 对帧 61 的 IP 数据包进行分析Internet Protocol 互联网协议（ IP ）源：，目标：Version（版本）：一个 4 字节的字段。表示当前正运行的 IP 版本信息。上图中版本的信 息是 IPv4。 Header length IP（报头长度）：一个 4 字节的字段，表示以 32 比特为单位的信息中数据 包报头的长度。这是所有报头信息的总长度。上图为20 字节 Differentiated services Filed（服务的类别）：一个 8 字节的字段，表示一个特定的上 层协议所分配的重要级别。 Differentiated Services Codepoint(差分服务代码点 6 位)：默认的 DSCP 值是 0，相当于尽力传送。 two-bit Explicit Congestion Notification field（2 位明确的拥塞通知字段） ECN-Capable Transport：(ECN Explicit Cogestion Notification -Capable Transport)： 显式拥塞指示能力传输字段， 该 ECN-Capable Transport (ECT) bit 将被数据发送者设置，以表明传输协议的末端节点有 ECN 的能力。 ECT bit 设置为 “ 0 ”表明该传输协议将忽略ignore CE bit。这是 ECT bit 的默认值。ECT bit 设置为“ 1 ”表示该传输协议愿意 willing 并 and 能够参与在ECN。 ECN-CE （Congestion Experienced）: （参见rfc3168#page-6） 。CE bit 将由路由器设置，对末端节点 end nodes 的表明挤塞情况。当路由器有满 full 队列后，它将丢弃其后到达的数据包。CE bit.默认值为 “ 0 ” 。路由器设定 CE bit 为“ 1 ”，说明对末端节点挤塞。在数据包头部中 CE bit 从不会由路由器从“1” 重置“0” 。 两者的区别参见 Page 20 Why use two bits in the IP header Total length（总长度）：一个 16 字节的字段，表示整个数据包的长度。包括数据和报头。 从该值中减去 Header length 值的长度，得到的就是数据有效负荷的长度。在上图中该值为 40。 Identification（标识符）：一个 16 字节的字段，它包含一个整数序列号，用来表示当前 的数据包。上图为 0x1216（4630） Flag（标记）：一个 3 字节的字段，其中后两位控制分片。 Fragment offset（分片的偏移量）：它帮助重组分片。上图为 0。 Time to live（存活时间） ：一个 8 字节的字段，它维护着一个计数器。这个计数器会按 一定增量逐渐减少为 0.当到 0 时，该数据包将被丢弃。这保证了数据包不会无限制的循环。上图为 52。 Protocol（协议）：一个 8 字节的字段，它表示在 IP处理过程结束后，将会有哪个上层协 议接收。在上图中为 TCP（6） 。 Header checksum（报头的校验和）：一个 16 字节的字段，它帮助确保报头的正确性。上 图 0x919f 正确（correct） Source（源 IP 地址）：一个 32 字节的字段，它表示发送设备的 IP 地址。上图为 。 Destination（目的 IP 地址）：一个 32 字节的字段，它表示接收设备的 IP 地址。上图为 。 4. 查看各个 IP 数据包的标识字段和片偏移字段，它们有何特征。 多数都为 0 5. 查看各个 IP 数据包的数据报总长度字段，记录它的取值范围。 28 40 52 229 242 476 631 658 826 6. 观察十六进制