实验四_利用Wireshark分析ICMP

用实验Wireshark分析了ICMP一、实验目的分析ICMP二、实验环境连接到互联网的计算机的操作系统为Windows，安装了Wireshark、IE等软件。三、实验程序Ping和traceroute命令依赖于ICMP。 ICMP可被视为IP协议的伴随协议。 ICMP消息封装在IP数据报中发送。一些ICMP消息要求提供信息。 例如，在ping中，向远程主机发送ICMP响应请求消息。 如果对方主机存在，则希望返回ICMP响应消息。一些ICMP消息在网络层发生错误时发送。 例如，某种ICMP消息类型表明目标无法实现。 无法到达的原因很多，ICMP消息正在尝试确定此问题。 例如，主机或整个网络的连接可能已断开。在一些情况下，主机本身可能没有问题，但是不能发送数据报。 例如，IP报头中具有指示哪个协议应该处理IP数据报的数据部分的协议字段。 IANA公布了代表磋商的数字清单。 例如，如果此字段为6，表示TCP消息段，则IP层将数据传递给TCP层进行处理；如果此字段为1，则表示ICMP消息，而IP层将数据传递给ICMP处理。 如果操作系统不支持到达数据报中的协议字段的协议编号，则会返回一条ICMP消息，指示“无法到达协议”。 IANA也公布了ICMP消息类型列表。Traceroute基于ICMP的灵活使用方法和IP报头的生存时间字段。 数据通报时的生存时间字段初始化为可以跨网络的最大跳数。 每次通过中间节点时，此数字都减1。 如果此字段为0，则不再传输存储数据报的计算机。 相反，向源IP地址发送ICMP生存时间超时消息。生存时间字段用于避免在网络上无中断地传输数据。 由中间路由器确定数据报的发送路径。 通过与其他路由器交换信息，路由器决定数据报的下一条路径。 最好的“下一跳”经常随着网络环境的变化而动态变化。 这可能会导致路由器形成选择环，并且正确的路径发生冲突。 这很可能发生在路由周期中。 例如，路由器a认为数据报应该向路由器b传输，而路由器b认为数据报应该向路由器a传输，因此数据报已经进入选择循环。因为生存时间字段的长度为8位，所以因特网路径的最大长度为28 -1跳或255跳。 大多数源主机将此值初始化为较小的值，例如128或64。 如果生存时间字段太小，则数据报可能无法到达远程目标主机，如果过大，则可能是无限循环选择。Traceroute使用生存时间字段将因特网路径上的中间节点映射。 中间节点可以故意将生存时间字段设置为小版本，以发送ICMP生存时间超时消息并且暴露节点自己的信息。 具体地说，首先在生存时间字段发送1个数据报，接收到ICMP超时消息后，通过发送生存时间字段被设置为2的数据报，重复上述过程，直到发送了ICMP生存时间超时消息的设备变为目的地主机本身。因为分组交换网络中的每个数据报是独立的，所以traceroute发送的每个数据报的传输路径实际上是不同的。 认识到这个很重要。 由于每个数据报沿一条路径采样中间节点，因此traceroute可能表示主机之间不存在的连接。 互联网路径总是波动。 如果在不同的日期或日期对同一目标主机运行多次traceroute命令以查找这些更改，则结果可能会不同。许多网络都保留了traceroute服务器traceroute，以提供有限的互联网路由可见性。 Traceroute服务器显示Traceroute从本地网络运行到特定目标的结果。 提供了有关分布于世界各地的traceroute服务器的信息。1、ping和ICMP使用Ping程序生成ICMP数据包。 Ping可以向因特网上的特定主机发送特殊探测消息，并等待指示该主机在线的回复。 具体做法：(打开Windows命令提示符窗口(Windows Command Prompt )。(2)启动wireshark数据包嗅探器，在过滤器显示窗口(filter display window )中输入icmp，开始wireshark数据包陷阱。(3)输入“ping-n 10主机名称”。 “-n 10”表示应返回10条ping消息。(ping程序退出后，停止捕获Wireshark包。实验结束后，将显示如图所示的命令窗口图4.1命令窗口停止捕获数据包时，将显示如图4.2所示的接口图4.2停止捕获数据包后的Wireshark接口图4.3在组内容窗口中显示了ICMP协议的详细内容。 一看这个ICMP分组，就发现ICMP分组的类型8和代码0是所谓的icmp“echo请求”分组。图4.3 ICMP协议详细信息实验报告回答以下问题(1)你所在主机的IP地址是多少？ 目标主机的IP地址是多少？主机： 00目的： 4(查看ping请求包，ICMP的类型和代码是多少？ 此ICMP包含哪些附加字段？ Checksum、sequence number和identifier字段的值是多少？类型：8代码：0checksum :0 x 1852序列编号：2357 (0x 0935 )标识符：256 (0x 0100 )(3)查看对应的ICMP应答信息，ICMP的类型和代码是多少？该ICMP包含哪些附加字段？ Checksum、sequence number和identifier字段的值是多少？类型：0代码：0checksum :0 x 2052序列编号：2357标识符：2562. ICMP和TracerouteWireshark使用Traceroute程序捕获ICMP数据包。 Traceroute可以将路由的所有中间主机映射到特定因特网主机。源端将ICMP包发送到目的地。 当第一个分组被传输时，TTL=1； 当发射第二包时，可依次类推TTL=2。 路由器将所经过的分组的TTL字段的值减1。 如果包到达路由器时的TTL字段为1，则路由器将向源端发送ICMP错误包(ICMP error packet )。(启动窗口命令提示符窗口(启动Wireshark数据包嗅探器，开始数据包捕获。(3)Tracert命令位于c:Windowssystem32下，因此在MS-DOS命令的提示行中输入“tracert hostname”或“c :windowssystem32tracert hostname” )如图4所示(Traceroute程序结束后，停止数据包陷阱。图4.4指令提示窗口显示了Traceroute程序的结果图4.5显示了路由器返回的ICMP错误包(ICMP错误包)。 请注意，ICMP错误包中包含的信息多于Ping ICMP错误包中包含的信息。图4.5扩展icmp错误包信息的Wireshark窗口实验报告回答以下问题(1)看icmpecho包，该包是否与之前使用ping命令的icmpecho相同？前者data 32后者data 64比