分析IP协议数据包格式

1、实验名称:实验四 分析IP协议数据包格式实验目的：掌握IP协议的作用和格式；理解IP数据包首部各字段的含义；掌握IP数据包首部校验和的计算方法。实验器材：计算机及以太网环境。实验内容（步骤）：1. 打开 Wireshark软件，选择菜单命令Cap ture ”“ In terfaces 子菜单项。弹出Wireshark: Capture In terfaces ”对话框。单击Opti ons 按钮，弹出 “ Wireshark: Cap tureOptions ”对话框。单击Start”按钮开始网络数据包捕获。2. 浏览外部网站，确保协议分析软件能够捕获足够的网络数据包，单击“Stop ”按钮

2、，中断网络协议分析软件的捕获进程，主界面显示捕获到的数据包。型醒相叵叵包日么已 罔环丹itfifcer审凶p冗曲陷 Clr JbppJyNci. limvEmirci口 nliiarticriPrcriacd IjiId-i.OODDOO fe80:ccdO:7c3:441: ff02:匸2 3.01404 faadJ ioc7a3 441 rroQ!:c3 4 CJZ1Z 3d feso：; eci Z; dJl; ; c4 10.CI151 记 矗30 : : ccaO：7E3:441:ffG2: :c5 1& Fa30. ：flCi!O-ft3!44i! riroj !C1111? /

3、/ /p p p P0364 5-S FeSO: : ccdO: 7e3 :441: ffO2 : : cSSDPEl 17.Ffl80： : rfff-TTFr . ffT FfCJ ； : iICFifi9fftW-:(H0= F22Tr&KFeW= ；Ffff ：FFff FFKluM-SEaACh * HTTP/1.1 Rauif soilldraclan12 19.册曲1 蛇轴-1422*.-2iWPV2 iMrtjePshlpf 3o1n 炉1gp 2,2J,4-01 J13 20.O3Q211LfeBO: :ec3FE3;4flliffWi :uSSDPH-SEAftCH * H

4、T7P/1.114 20.阳M轴12.1GB.1.1S24.O.D.11G?*P3 fibflrsh1p qutry /join qrx0+5 5 35rtSL-.: me . /(?:胡i: rfj.: c55DPH-5EK1CH * MTTF/1,1MB39 192.1B.1.2Z39.253.211. Z501SSDFM-SEAK.H s HTTP 1.1 From 1: JOE byE5- ar wirebits-), 2O byx capiLr Ed 164 I11T5-)tj, see： Hlcpa-SFcf ：aai57 CM:Idi-fi? cf *7)nsc: tpv&k*O

5、OOc (333*DOjOO*DO：Oc)B Internet Protaccl version Q ustr Dacijgrifl Proiocol. Src Nm 5934H1 5-93DD),. Asc fwr:時比！ (1iWJir andTc prcrtoc-ol0*aCuLOW20CH? 10 IMMO PLA E fl订 QG 07 (H?5JS-iOfgQc仙Id 92 Cf韓 M 斡那60 g 对F.：: JLieCOiliic-：i-jiiLiVCcOffQ2DO-OO0&00HD00H1COeF *4 Q7 fre QQ 4a Z5 db id 2d 20b30砒5*M5

6、0if)12*7Ji3 -lCh.J 3TiJdr* ! a i i . li i 1 黄 5EWM WTTF.1, jr 丁. FIs;JIWxijmpTt*!*ifhMrk2-pc4p 15 t 肌“ Mckrtr 91 蚀pit賢4 9l 他Hd： 0 Lud 伽事加 Hie： OfsiH几乎所有的高层协议都使用 IP协议进行网络传输，只有ARP和RARP报文不被封装在IP数据报中。3. 观察协议树区中IP数据包各个字段的长度与值，是否符合IP报文格式。田 Frame 61: 54 byt es on wi re (432 bits) K 54 bytes captured (432 b

7、its)E Ethernet IIa Src: 08:10:74:90:14：a4 (06-10-74:90:14：a4)p Dst: Micro-stcf:aa:57 COO:Id:92:cf:aa:57)S internet ProtocolP Src: 61.135.163,233 (61.135.163-233), Dst: 192,168,1.2 () versiii： 4Header length： 20 bytes圧 d1 fferertTlard services Flelldt 0x00 (dscp oxoo： ofaulc; ecnt ojcDO)To

8、tal Lengrh: 40identification: 0x1216 (4630)1+ Fla.gs: 0x02 (dont Fragment)Fragment offset: 0Time to live: 52Protocol : TCP (6)MOO00100-0200030aa 57 OG ID40 00 34 06CD 17 5a 1000745175a4a7644 d d-13 75 0 04 C 50 0-6 oeEB J dOa7对帧61的IP数据包进行分析a &st: 192,160,1,2 (192,168.1.2)-internet ProtocoI, Src: 1,1

9、35.163-233 (61,135.163.233)Version: 4Header length: 20 bytesh Differentiated services Field: 0x00 (D5CP 0x00: Default; ECN： 0x00) 0000 00. Differentiated Services codepoint: Defau11 (0x00) .0亠 ECN-Capable Transport (ect) : 0.o = ecn-ce : oTotal Lengith 40idenitlfRatiori 0xl21 (4630)-i Flags; 0x02 (D

10、ont Fragment)Q=Reserved bit: Not set1三 Don1! fragment: Set0 - More fragments: Not setFragment offset: 0Time to live: 52Protocol: TCP (6)-j Header checksum: Ox919f correcrGood： TrueBad: FalseSource: 61.135-163-233 (61,135.163.233)Destination: 192.168.1,2 (192.168-1.2)o oo o 012 3 o oo o oooocfooc oio

11、17005aIn ter net ProtocolVersion (版本)息是IPv4。Header length IP互联网协议（IP ）源：33 ，目标：:一个4字节的字段。表示当前正运行的IP版本信息。上图中版本的信（报头长度）：一个4字节的字段，表示以32比特为单位的信息中数据包报头的长度。这是所有报头信息的总长度。上图为20字节Differentiated services Filed（服务的类别）：一个8字节的字段，表示一个特定的上层协议所分配的重要级别。Differentiated Services Codepoint（差分服务代码点

12、 6位）：默认的 DSCP值是0，相当于（2位明确的拥塞通知字段）尽力传送。two-bit Explicit Congestion Notification fieldECN-Capable Tran sport : （ECN Explicit Cogesti on Notificati on -Capable Tran sport）显式拥塞指示能力传输字段，该ECN-Capable Tran sport （ECT） bit将被数据发送者设置，以表明传输协议的末端节点有ECN的能力。ECTbit设置为“ 0 ”表明该传输协议将忽略ignore CEbit。这是ECTbit的默认值。ECT bi

13、t设置为“ 1 ”表示该传输协议愿意 willing 并and能够参与在ECNECN-CE （Congestion Experieneed ）:（参见 rfc3168#page-6 ）。CEbit 将由路由器设置， 对末端节点 end nodes 的表明挤塞情况。当路由器有满 full 队列后，它将丢弃其后到 达的数据包。 CEbit. 默认值为 “ 0 ” 。路由器设定 CEbit 为“ 1 ”，说明对末端 节点挤塞。在数据包头部中 CE bit 从不会由路由器从“ 1” 重置“ 0”。两者的区别参见 rfc2481.txt Page 20 Why use two bits in the I

14、P headerTotal length （总长度） ：一个 16 字节的字段，表示整个数据包的长度。包括数据和报头。 从该值中减去 Header length 值的长度，得到的就是数据有效负荷的长度。在上图中该 值为 40。Identification （标识符） ：一个 16 字节的字段，它包含一个整数序列号，用来表示当前 的数据包。上图为 0x1216（4630）Flag （标记） ：一个 3 字节的字段，其中后两位控制分片。Fragment offset （分片的偏移量） ：它帮助重组分片。上图为0。Time to live （存活时间） ：一个 8字节的字段，它维护着一个计数器。这个

15、计数器会按 一定增量逐渐减少为 0. 当到 0 时，该数据包将被丢弃。这保证了数据包不会无限制的 循环。上图为 52。Protocol （协议） ：一个 8 字节的字段，它表示在 IP 处理过程结束后，将会有哪个上层协 议接收。在上图中为 TCP（ 6）。Header checksum （报头的校验和） ：一个 16 字节的字段，它帮助确保报头的正确性。上 图 0x919f 正确（ correct ）Source （源IP地址）：一个32字节的字段，它表示发送设备的IP地址。上图为33 。Destination （目的 IP 地址） ：一个 32 字节的字段，它表示接收

16、设备的 IP 地址。上图为 。4. 查看各个 IP 数据包的标识字段和片偏移字段，它们有何特征。 多数都为 05. 查看各个 IP 数据包的数据报总长度字段，记录它的取值范围。28 40 52 229 242 476 631 658 8266. 观察十六进制对照区， 根据 IP 首部校验和方法使用 “计算器” 校验捕获的数据报 中校验和字段的值。inter net protocol, sre: 33 (33), DSt: (192.16E.1.2)Version: 4Header 1ength: 2

17、0 bytes田 Differerrfiattd services Field: 0x00 (dscp 0x00: oefault; ecn： 0x00) TotLength： 4Qident 1 fi cati on; 0jc1216 (4630)i) Flags: 0x02 fDont Fragment)Fragment offset: 0Time to Hve：: 52Protocol: TCP (6)n Headschecks urn: 0x919f corr ect000001000200030首部校验和：0x919f45 0000 2812 1640 0034 06xx xx3d

18、87a3 e9c0 a801 02先将校验和置为0.0100 0101 0000 00000000 0000 0010 10000001 0010 0001 01100100 0000 0000 00000011 0100 0000 01100011 1101 1000 01111010 0011 1110 10011100 0000 1010 10000000 0001 0000 0010以上各式累加得到的和为：10 0110 1110 0101 1110可见产生了 2个进位，去掉进位再将余数加2并取反得:1001 0001 1001 1111，即为0x919f与首部校验和一致。思考题:( 1 ) 为什么 IP 数据报只进行 IP 首部校验而不对整个数据报进行校验？ 一来这样加重了网络层的负担， 二来由于 IP 首部校验是由电路来实现的， 这样的目的 是更加快速，如果要设计能校验整个数据的电路，太复杂，而且降低了速度，这个校 验交给更高层进行。 三是首部校验已能大提高 IP 数据报的可靠程度， 它只能实现最大 能力交