实验三 IP协议分析.docx

实验三 IP协议分析一、实验目的和要求 熟练掌握Ethereal的使用方法 能对捕获到的包进行较深入的分析 掌握IP层的作用以及IP地址的分类方法 掌握IP数据包的组成和网络层的基本功能。二、实验内容常见网络命令使用；启动Ethereal并设置相应的选项，进行一次简单的ICMP，观察捕获到的数据包，过滤出IP数据包，分析每个IP分组的细节，查看IP数据包的结构与含义，观察IP协议的功能。三、实验设备PC机、Ethereal软件、WinpCap软件四、背景知识1、IP 地址的编址方法 IP 地址是为每个连接在互联网上的主机分配的唯一识别的 32 位标识符。IP 地址的编址方法共经历了三个阶段： （1） 分类的IP 地址 这是一种基于分类的两级IP 地址编址（2）划分子网的IP 地址 子网就是将一个A 类、B 类或 C 类网络分割成许多小的网络，每一个小的网络就称为子网。划分子网采用 “网络号”“子网号”“主机号”三级编址的方法。在划分了子网的网络地址中，子网掩码用于确定网络地址。 子网掩码是一个和IP 地址对应的 32 位二进制数。子网掩码中与IP 地址的网络地址对应的部分为 1，与主机地址对应的部分为0。这样把网络接口的IP 地址与该接口上的掩码相与就得到该接口所在网络的网络地址，而把该IP 地址与掩码的反码相与则可得到主机地址。 （3）无分类域间路由选择CIDR 无分类域间路由选择CIDR 是根据划分子网阶段的问题提出的编址方法。IP 地址采用“网络前缀”“主机号”的编址方式。目前CIDR 是应用最广泛的编址方法，它消除了传统的A、B、C 类地址和划分子网的概念，提高了IP 地址资源的利用率，并使得路由聚合的实现成为可能。 2、IP 报文格式 IP 报文由报头和数据两部分组成，如图1 所示： 图1 IP 报文格式其中主要字段的意义和功能如下： * 版本：指IP 协议的版本； * 头长：是指IP 数据报的报头长度，它以4 字节为单位。IP 报头长度至少为 20 字节，如果选项部分不是4 字节的整数倍时，由填充补齐； * 总长度：为整个IP 数据报的长度； * 服务类型：规定对数据报的处理方式； * 标识：是IP 协议赋予数据报的标志，用于目的主机确定数据分片属于哪个报文； * 标志：为三个比特，其中只有低两位有效，这两位分别表示该数据报文能否分段和是否该分段是否为源报文的最后一个分段； * 生存周期：为数据报在网络中的生存时间，报文每经过一个路由器时，其值减 1，当生存周期变为 0 时，丢弃该报文；从而防止网络中出现循环路由； * 协议：指IP 数据部分是由哪一种协议发送的； * 校验和：只对IP 报头的头部进行校验，保证头部的完整性； * 源IP 地址和目的IP 地址：分别指发送和接收数据报的主机的IP 地址。 3、IP 数据报的传输过程 在互联网中，IP 数据报根据其目的地址不同，经过的路径和投递次数也不同。当一台主机要发送 IP 数据报时，主机将待发送数据报的目的地址和自己的子网掩码按位 “与”，判断其结果是否与其所在网络的网络地址相同，若相同，则将数据报直接投递给目的主机，否则，将其投递给下一跳路由器。 路由器转发数据报的过程如下： 当路由器收到一个数据报文时，对和该路由器直接相连的网络逐个进行检查，即用目的地址和每个网络的子网掩码按位 “与”，若与某网络的网地址相匹配，则直接投递；否则，执行2。 对路由表的每一行，将其中的子网屏蔽码与数据报的目的地址按位“与”，若与该行的目的网络地址相等，则将该数据报发往该行的下一跳路由器；否则，执行3。 若路由表中有一个默认路由，则将数据报发送给路由表所指定的默认路由器。否则，报告转发出错。五、实验步骤1、运行ipconfig命令（1）在“工具”菜单中选择“命令行”，出现提示符后输入ipconfig/all（2）观察运行结果，获得本机的IP地址及子网掩码；（3）分析本主机属于哪一类IP地址，网络号、子网号和主机号分别是什么；（4）利用本机的IP地址及子网掩码，找出地址本中与本机属于同一子网的主机。本机的IP地址为：8子网掩码为：，是属于C类IIP 地址网络号为：202.114.187，子网号为8，主机号为：682、运行ping 命令 Ping 命令是调试网络常用的工具之一。它通过发出ICMP Echo 请求报文并监听其回应来检测网络的连通性。 （1）在“工具”菜单中选择“命令行”，出现提示符后输入ping X.X.X.X t（X.X.X.X为相邻计算机的IP地址，可以通过ipconfig/all得到）。（2）观察运行结果，判断本机与相邻计算机的连通性；3、运行Traceroute 命令 Traceroute 命令用来获得从本地计算机到目的主机的路径信息。在MS Windows中该命令为Tracert，而UNIX 系统中为Traceroute。 Tracert 先发送 TTL 为 1 的回显请求报文，并在随后的每次发送过程将TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。它所返回的信息要比ping 命令详细得多，它把您送出的到某一站点的请求包，所走的全部路由均告诉您，并且告诉您通过该路由的IP是多少，通过该IP 的时延是多少。 （1）在“工具”菜单中选择“命令行”，出现提示符后输入tracert 。（2）观察运行结果，查看从本地计算机到目的主机的路径信息。4、运行netstat命令Netstat命令用于显示与IP、ICM、TCP和UDP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。（1）在命令行提示符下运行：C:netstat r ；显示本机路由表，记录本机的缺省网关的IP地址；（2）在命令行提示符下运行：C:netstat s ；观察IP协议部分，查看本机已经接收和发送的IP报文个数5、IP协议分析（具体设置参考实验一、二）（1）首先关闭所有的应用程序，打开浏览器，点击菜单栏上的“工具”，点击“Internet选项”，清除缓存的临时文件，那么捕获的数据包更加单纯，利于分析。（2）打开 Ethereal 软件，最初的时候窗口中都没有数据，因为 Ethereal 还没有开始捕获包。（3）开始准备捕捉，首先设置好Caption Options，Captrue Filter 设置为 “No Broadcast and no Multicast ”，点击“start”开始捕获。（4）在“工具”菜单中选择“命令行”，出现提示符后输入ping X.X.X.X（X.X.X.X为不同组计算机的IP地址，可以通过ipconfig/all得到）。（5）观察运行结果，判断本机与相邻计算机的连通性；从上面可以看出两台机子的连通性良好（6）通过Ethereal查看Ping运行过程；（7）分析ICMP和IP协议。开始是本主机向目的主机发送Request,目的主机回复Reply,之后是交替的进行。（8）在“工具”菜单中选择“命令行”，出现提示符后输入ping X.X.X.X l 4500 n 2（X.X.X.X为不同组计算机的IP地址，可以通过ipconfig/all得到）。（9）分析ICMP和IP协议。六、思考题Q1. 通过步骤（4）找到第一个 ICMP请求数据包，观察 ICMP封装的结构关系，记录各层的协议名称。 ICMP,IP,和以太网协议Q2. 通过步骤（4）您截获几个ICMP 报文？分别属于那种类型？并将分析结构填入下表：表2 ICMP 协议报文分析报文号源IP目标IPICMP 报文格式类型代码标识序列号1685800x02000xd0001758000x02000xd0001885800x02000xd1001958000x02000xd1002085800x02000xd2002158000x02000xd200Q3. 通过步骤（4）分析在上表中哪个字段保证了回送请求报文和回送应答报文的一一对应，仔细体会Ping 命令的作用。报文的序列号保证了报文应答的一一对应。Q4. 通过步骤（4）在ICMP request中，目标计算机的IP地址的十进制和十六进制表示各是多少？你的电脑IP地址呢？ 他们分别是哪类地址?目的主机：十进制：5，十六进制：ca 72 66 41源主机：十进制：8 十六进制：ca 72 bb 44都属于C类IPQ5. 通过步骤（4），找到ICMP request的那个包，分析IP包各字段信息。表3 IP 协议报文分析 字段报文信息说明 版本 4Version:4 头长 20 byteHeader length:20 bytes 服务类型 0x00Differentiated Services Filed:0x00 总长度 60Total:60 bytes 标识 0x00d2Identification:60 标志 0x00Flags:0x00 片偏移 0Fragment offset:0 生存周期 128Time of live:128 协议 ICMPProtocol: ICMP(0x01) 校验和 0x2e84Header checksum:0x2e84(correct) 源地址 8 目的地址 202.114.18