ICMP协议分析报告

1 实验名称 实验名称 利用 Wireshark 软件进行 ICMP 抓包实验 实验目的 实验目的 1 掌握 Wireshark 的基本使用方法 2 通过对 Wireshark 抓取的 ICMP 协议数据包分析 掌握 ICMP 的帧格式及运行原 理 3 熟悉 IP 首部各字段的含义及以太网封装格式 实验环境 实验环境 1 硬件环境 a 网卡信息 Description Realtek RTL8139 Family Fast Ethernet Adapter Link speed 100MBits s Media supported 802 3 Ethernet Media in use 802 3 Ethernet Maximum Packet Size 1514 其它详细信息见附图 1 b 网络组成 实验电脑通过 ADSL MODEM 接入互联网中联通 ADSL 服务器 ADSL MODEM 和 ADSL 服务器间通过 PPP over Ethernet PPPoE 协议转播以太网络中 PPP 帧信息 电脑通过 ADSL 方式上网是通过以太网卡 Ethernet 与互联网相 连的 使用的还是普通的 TCP IP 方式 并没有付加新的协议 对我们的抓 包实验是透明的 2 软件环境 a 操作系统 Microsoft Windows XP Professional 版本 2002 Service Pack 3 b Wireshark 软件 通过系统命令 systeminfo 查看处理器类型为 X86 based PC 为 32 位机 因 此选择 32 位的 Wireshark 软件 Version Version 1 2 3 for win32 实验的主要步骤和内容 实验的主要步骤和内容 1 1 理论基础理论基础 本实验的主要目的是通过软件进一步掌握 ICMP 协议 因此选用 PING 命令 来产生 ICMP 包 通过对这些数据包的分析 达成实验目的 所以该部分必 须包括 ICMP 报文格式 PING 命令运行机制等说明 a a ICMPICMP 简述简述 ICMP Internet Control Message Protocal 在网络中的主要作用是主 机探测 路由维护 路由选择 流量控制 运行于 OSI 的第三层 是 IP 协议的一个附属协议 其报文封装在 IP 数据报内部 如下图 2 ICMP 报头结构如图 0 图 0 各字段的含义 1 类型 标识生成的错误报文 它是 ICMP 报文中的第一个字段 2 代码 进一步地限定生成 ICMP 报文 该字段用来查找产生错误的原因 3 校验和 存储了 ICMP 所使用的校验和值 4 数据 包含了所有接受到的数据报的 IP 报头 还包含 IP 数据报中前 8 个字节 的 数据 b b PINGPING 命令简述命令简述 ping 是 DOS 命令 一般用于检测网络通与不通 也叫时延 其值越大 速度越慢 PING Packet Internet Grope 因特网包探索器 用于测试网络 连接量的程序 Ping 发送一个 ICMP 回声请求消息给目的地并报告是否收到所希 望的 ICMP 回声应答 基本命令格式为 ping host 主机名或 IP 都可以 例 ping Pinging 202 108 33 32 with 32 bytes of data Reply from 202 108 33 32 bytes 32 time 31ms TTL 247 Reply from 202 108 33 32 bytes 32 time 28ms TTL 247 Reply from 202 108 33 32 bytes 32 time 28ms TTL 247 Reply from 202 108 33 32 bytes 32 time 29ms TTL 247 Ping statistics for 202 108 33 32 Packets Sent 4 Received 4 Lost 0 0 loss Approximate round trip times in milli seconds Minimum 28ms Maximum 31ms Average 29ms 2 2 软件初始配置软件初始配置 该节主要是掌握数据包的过滤及相关设置和命令 Wireshark 主要有捕 捉过滤器和显示过滤器两种 捕捉过滤器主要是在抓包前进行设置 而大多 数时候经地捕捉过滤器后的数据依然很复杂 所以需要显示过滤器进行筛选 两者设置如下 设置捕捉过滤器的步骤是 选择 capture options 3 填写 capture filter 栏或者点击 capture filter 按钮为您的过滤器起 一个名字并保存 以便在今后的捕捉中继续使用这个过滤器 点击开始 Start 进行捕捉 语法 Protocol Protocol DirectionDirection Host s Host s ValueValue LogicalLogical OperationsOperationsOtherOther expressionexpression 例子 tcpdst10 1 1 180andtcp dst 10 2 2 2 3128 显示过滤器主要是在数据包窗口中的 Filter 子窗口进行命令输入 命令格 式如下 语法 ProtocolProtocol StringString 1 1 StringString 2 2 ComparisonComparison operatoroperator ValueValue LogicalLogical OperationsOperations OtherOther expressionexpression 例子 ftppassiveip 10 2 3 4xoricmp type 此外 主要掌握会用协议名称及 IP 地址过滤数据包就可以完成该实验 如 ICMP ip addr ip src ip dst and or 等即可 3 3 捕获数据包捕获数据包 a 开始抓包 设置 Filter 字段为 ICMP 只抓网络接口中的 ICMP 数据包 从上图可以看出 网卡的描述和接包统计等信息 本机 IP 为 192 168 1 102 是由 DHCP 服务器 192 168 1 1 动态分配的 点击 start 按钮开始抓包 b 在 Windows 系统中使用 DOS 命令 ping 在 Wireshark 主窗口抓包如图 1 4 图 1 4 4 对数据包进行宏观分析对数据包进行宏观分析 a 对目的 IP 为 125 33 0 1 的地址进行分析 从图 1 中数据可以看到全是 ICMP 协议的报文 是因为 Filter 里面输入了 icmp 过滤条件 不过 可以看出有两种报文 一个是发往 125 33 0 1 另 一个是发往 203 208 39 99 通过网上查知 前一个 IP 地址为一个联通 ADSL 服务器 本机上有进程向其不断发 ICMP 请求报文 因为从 ICMP 报文 本身看不到是哪个应用进程在发 ICMP 请求 当然 很有可能是病毒程序 呵呵 不过 只有请求 没有应答 服务器应该设置了对笔者主机 IP 进 行 禁止 PING 的设置 安全措施 如图 2 图 2 b 对目的 IP 为 203 208 39 99 进行分析 首先 通过 PING 命令的第一行 行知 203 208 39 99 是 的地址 Pinging 203 208 39 99 with 32 bytes of data 当然 这是因为 PING 命令一开始向 DNS 服务器发起一次查询 查询 的 IP 报文如图 3 图 3 当然 请求报文里有两个 IP 地址 经验证都是 的 IP 地址 系统取第一个 至于 DNS 的运行原理不是本实验的目的 不再赘述 其次 在 Filter 里输入过滤条件如下 icmp and ip addr 192 168 1 102 or ip addr 203 238 39 99 and not ip addr 125 33 0 1 意思是把 ICMP 报文里 源主机或目的主机是 192 168 1 102 或 5 203 238 39 99 的 但不能是 125 33 0 1 的报文包筛选出来 即将 PING 命令的 ICMP 报文单独筛选出来 如图 4 图 4 DOS 窗口下的 PING 命令以及应答如图 5 图 5 总共发出 4 份 ICMP 请求报文 收到 3 份应答报文 两份数据是一致的 在数据报窗口中 选中第一条 然后右键 选择 Set timer refenerce 表示以 捕捉第一条数据的绝对时间为参考 其余各条目数据报 Time 字段便显示相对值 很很容易计算出 PING 命令里的返回字段 time 由图 5 知 time 分别为 183ms 117ms 和 29ms 从图 4 亦可得同样的结果 只是图 4 显示精度更高而已 还可以进行更深入的分析和比对 见 5 节 以上便是 ping 命令利用 ICMP 协议的工作程 以上分析 只限于流程 没有 深入到协议格式 封装等具体方面 主要体现如何利用网络工具进行协议的学习 5 5 对数据包进行细致分析对数据包进行细致分析 本节主要是对一份 ICMP 报文经 IP 层到数据链路层一个帧到的全程进行分 析 涉及 802 3 链路层封装 IP 封装等 先对每一个阶段重要协议字段进 行简单介绍 再根据若干原则进行纵向比较 6 a a 从数据帧到从数据帧到 ICMPICMP 报文的分析报文的分析 我们分析的选择了一条 ICMP 应答报文作为分析对象 如图 6 图 6 对第 902 号帧进行分析 图 7 图 7 对以太网封装格式首部进行分析 以太网封格式 RFC 894 如图 8 图 8 源 MAC 地址和源地址和类型字段共 14 个字节 分析数据报如图 9 7 图 9 对 IP 首部的分析 IP 报文封装的格式如图 10 图 10 此数据报 IP 首部信息如图 11 8 图 11 ICMP 报文封装格式如图 0 所示 分析结果如图 12 图 12 类型和代码的不同组合代表不同的报文 具体如附表 1 所选数据报为 GOOGLE 服务器返回的 ICMP 应答 所以类型 代码都为 0 b b 从报文长度分析封装流程从报文长度分析封装流程 从图 12 可知 ICMP 数据报数据部分长度为 32 字节 加上 ICMP 首部 4 个字节 整个 ICMP 报文总长度为 32 4 36 个字节 ICMP 进行 IP 封装 从图 11 可知 IP 首部共 20 个字节 IP 数据报共 20 36 共 56 字节 IP 报文进行以太网封装 从 RFC 894 封装格式知 对 IP 报文的封装 共包括 6 源 MAC 6 目的 MAC 2 类型 共 14 个字节首部 此外 还 有 4 字节尾部 CRC 封装 所以以太网帧长度为 14 4 56 74 字节 从图 6 第一行可知 FRAME 902 共在线捕捉 74 字节数据 符合结论 9 6 6 总结总结 本实验从理论基础 软件配置 抓包 分析等几个部分分析了