实验5分析IP报文结构(物有所值)

一 实验名称一 实验名称 分析分析 IP 报文结构报文结构 二 实验目的二 实验目的 1 1 掌握使用掌握使用 WiresharkWireshark 分析俘获分析俘获 tracetrace 文件的基本技能 文件的基本技能 2 2 深刻理解深刻理解 IPIP 报文结构和工作原理 报文结构和工作原理 三 实验内容和要求三 实验内容和要求 1 1 分析俘获的俘获的分组 分析俘获的俘获的分组 2 2 分析分析 IPIP 报文结构 报文结构 四 实验四 实验环境环境 1 1 运行运行 WindowsWindows 8 18 1 操作系统的操作系统的 PCPC 一台 一台 2 PC2 PC 具有以太网卡一块 通过双绞线与校园网相连 或者具有适合的踪迹文件 具有以太网卡一块 通过双绞线与校园网相连 或者具有适合的踪迹文件 3 3 每台每台 PCPC 运行程序协议分析仪运行程序协议分析仪 WiresharkWireshark 五 五 操作方法与实验步骤操作方法与实验步骤 1 1 分析俘获的分组分析俘获的分组 打开踪迹文件 用鼠标点选感兴趣的帧 按右键出现如图 49 菜单 该菜单提供了许 多非常有用的功能 详细情况可以参见系统软件自带的 Wireshark 用户指南 的表 6 1 例如 当选中编号 10 的分组 用鼠标指向其源地址 打开如图 49 所示菜单 点击 Selected 就会出现如图 50 所示的界面 可见 系统已经自动用其源地址作为过滤条 件 从众多分组中过滤出与 HuaweiTe OfHuaweiTe Of dada 7272 有关分组了 该源地址使用广播的方式有关分组了 该源地址使用广播的方式 发送数据包发送数据包 更一般的定义过滤条件 可以选用 Analyze DisplayFilters 功能 图图 4949 分组列表窗口的弹出菜单分组列表窗口的弹出菜单 图图 5050 以源地址作为条件进行过滤以源地址作为条件进行过滤 有时为了清晰起见 需要屏蔽掉较高层协议的细节 如图 51 所示 可以点击 Analyze Enable Protocols 打开 Profile Default 窗口 若去除选择 IP 则将屏 蔽 IP 相关的信息 图图 5151 打开打开 Profile Profile Default Default 窗口窗口 2 2 分析分析 IPIP 报文结构报文结构 将计算机联入网络 打开 Wireshark 俘获分组 从本机向选定的 Web 服务器发送 Ping 报文 选中其中一条 Ping 报文 该帧中的协议结构是 eth ethertype IP TCP 为了进一步分析 IP 数据报结构 点击首部细节信息栏中的 Internet Protocol 行 有关信息展开如图 52 首部信息窗口所示 图图 5252 Internet Internet Protocol Protocol 详细信息详细信息 图图 5252 中的协议详细信息解读如下 中的协议详细信息解读如下 协议版本 协议版本 IPv4IPv4 源地址 源地址 192 168 1 102192 168 1 102 目的地址 目的地址 183 3 226 111183 3 226 111 长度 长度 4040 字节字节 标识号 标识号 identificationidentification 0 x643a0 x643a 2565825658 标志位 标志位 0 x020 x02 不能分片 不能分片 生存时间 生存时间 128ms128ms 协议类型 协议类型 TCPTCP 首部检验和 首部检验和 0 x3b140 x3b14 源地址使用的端口号 源地址使用的端口号 42054205 目的地址使用的端口号 目的地址使用的端口号 3668836688 回答下列问题 回答下列问题 1 你使用的计算机的 IP 地址是什么 答 答 192 168 1 105192 168 1 105 2 在 IP 数据报首部 较高层协议字段中的值是什么 答 如下表所示答 如下表所示 协议协议 名名 ICMPICMPIGMPIGMPIPIPTCPTCPEGPEGPIGPIGPUDPUDPIPv6IPv6ESPESPOSPFOSPF 协议 字段 值 12468917415089 3 IP 首部有多少字节 载荷字段有多少字节 答 答 IPIP 首部的固定长度是首部的固定长度是 2020 字节 可变部分最大字节 可变部分最大 4040 字节 所以首部所允许的最大长度是字节 所以首部所允许的最大长度是 6060 个字节 个字节 载荷字段有载荷字段有 2020 个字节 也就是固定长度部分的字节长度个字节 也就是固定长度部分的字节长度 4 该 IP 数据报分段了没有 如何判断该 IP 数据报有没有分段 答 有上述的分析可以得知该答 有上述的分析可以得知该 IPIP 数据报并没有分片 数据报并没有分片 Don t Don t FragmentFragment 表示不能分片 表示不能分片 分片情况如图分片情况如图 5353 所示所示 图图 5353 标志位现实的分片情况标志位现实的分片情况 5 关于高层协议有哪些有用信息 答 答 协议字段值是协议字段值是 6 6 表示高层使用的是 表示高层使用的是 TCPTCP 协议 协议 六 实验数据记录和结果分析六 实验数据记录和结果分析 网际协议网际协议 Internet Internet ProtocolProtocol IP IP 数据报格式 它是 TCP IP 体系中两个最主要的协议之 一 也是最重要的因特网标准协议 RFC 791 之一 图 54 显示了 IP 数据报的格式 图 54 IP 数据报格式 七 实验七 实验体会 质疑和建议体会 质疑和建议 通过这次实验 我又接触到了 Wireshark 的又一个功能 掌握了用 Wireshark 分析俘获 的踪迹文件的基本技能 更加深入理解了 IP 报文结构和工作原理 这次实验使我加深对 IP 数据报格式的深刻理解 掌握了 IP 数据包的格式 把书上的首 部部分的各个字段与 WireShark 中捕获得到的数据报进行了一一的对应 并且都一个个地 分析出来写在了实验报告上面 IP 数据报的格式能够说明 IP 协议具有什么功能 在 TCP IP 标准中 各种数据报格式常 常以 32 位 即 4 个字节 为单位来描述 IP 数据报由首部和数据两个部分组成 首部的前一部分是固定长度 固