实验五：Ethereal Lab ICMP实验讲义

1、 实验五：Ethereal Lab ICMP协议一、实验目的本实验中将研究ICMP协议的以下几个方面：1)由Ping程序生成的ICMP报文；2)由Traceroute程序生成的ICMP报文；3)ICMP报文的格式与内容。二、实验原理由于IP协议只提供不可靠和无连接的数据报服务，没有差错控制机制，所以当网络或主机发生故障而导致IP报文不能到达目的节点时，IP协议无法通知源主机，因特网控制报文协议(ICMP)可以弥补IP协议的这一不足。报文发送过程中发生差错的路由器或主机利用ICMP向IP数据报的源主机报告差错或意外情况，另外主机可以利用ICMP查询路由器或其他主机的一些信息。ICMP工作在网络层

2、，通过封装在IP数据报进行传送，ICMP报文格式及类型分类如下图所示。其中类型字段定义报文类型，代码字段指明了发送该类型报文的详细原因。ICMP的一个应用是ping命令，它可以测试目的主机或路由器是否可达。运行ping命令的主机向目的主机发送一个ICMP请求回显报文,目的主机收到后,立即生成一个ICMP回显应答报文,向源主机返回,源主机收到后可以确定目的主机可达。ICMP的一个另一应用是traceroute命令（在Windows环境下为tracert）,它可以跟踪从源端到目的端的整个路径上的路由器。在Windows环境下,通过向目的端不断发送ICMP请求回显报文,第一个报文TTL=1,则收到含

3、有第一跳路由器IP地址的ICMP超时报文，第二个报文TTL=2,则收到含有第二跳路由器IP地址的ICMP超时报文，依此类推，最后收到目的主机的ICMP回显应答报文。在UnixLinux环境下traceroute程序使源主机使用一个不可达端口号向目的主机发送一系列UDP分组，原理与此类似，不再赘述。三、实验步骤与实验问题探讨【注：实验步骤应用（x）,问题用x】本实验在Microsoft Windows操作系统环境下进行，但是可以直接转换到Unix或Linux环境下进行。1.ICMP和Ping首先捕获由Ping程序生成的分组来开始ICMP的实验。Ping程序是一个简单的工具，允许任何人（比如一个网

4、络管理员）来确定一台主机是否可达。由源主机上的Ping程序向目标IP发送一个分组，如果目标主机可达，在目标主机上的Ping程序将返回一个分组给源主机，这两种分组都是ICMP分组。执行下列操作步骤：（1）打开“命令行提示符”程序（在“附件”中可以找到）（2）启动Ethereal分组嗅探器，开始Ethereal分组捕获。（3） ping命令在C:Windowssystem32里，在MS-Dos命令行中键入ping n 10 hostname或C:Windowssystem32ping n 10 hostname，这里hostname指的是网络中的另一个主机名。如果你不在亚洲，你可以访问www.us

5、t.hk即位于香港科技大学的网络服务端口。参数“-n 10”表明应该发出10个ping报文，点击回车运行ping程序。当ping程序停止后，停止Ethereal的分组捕获。实验结束后，你的“命令行提示符”窗口看起来像图.在这个例子中，源Ping程序在马萨诸赛而目的Ping程序在香港。从这个窗口中我们看到：源ping程序发出了10个请求分组收到10个响应。另外对于每个响应，源主机计算了往返时延RTT，对于这10个分组的平均时延是375毫秒。 图1 输入Ping命令后的“命令行提示符”窗口 图2 Ethereal捕获的Ping程序信息（展开Internet协议）图为在filter display

6、window中输入icmp后截取的Ethereal输出图。注意：packet listing窗口显示了20个分组，即由源端发出的10个ping请求和由源端收到的10个ping响应。另外，源IP是一个形式为192.168.101/24的私有地址目的IP是香港科技大学的网络服务器地址。现在我们把目光聚焦到由客户端发送的第一个分组上在下图中，packet content window提供了这个分组的信息。这个分组里的IP数据报有一个协议号（0x01），这是ICMP的协议类型编号，这意味着该IP数据报的载荷是一个ICMP分组。 图3 Ethereal捕获的ICMP分组信息图仍关注同一个ICMP分组，在

7、packet content window将ICMP协议信息展开。观察这个ICMP分组类型为，代码为，即一个所谓的ICMP回送请求包。另外，这个ICMP分组还包括一个校验和、一个标识符和一个序列号。实验问题探讨：（注：如果你无法为Ethereal建立一个网络连接，或者ping程序无法获得正常的响应，可以从/ethereal -labs/ethereal-traces.zip下载压缩文件，解压获得icmp-ethereal-trace-1文件，该trace文件是在作者机器上执行Ethereal实验获得的，一旦下载后，你可以将其装入Ethereal，用

8、File->Open->选择ICMP-ethereal-trace-1来打开它，你可以利用该文件来回答下列问题）请回答下列问题：1你的主机IP是多少？目的主机IP是多少？答：主机01目的：42为什么一个ICMP分组没有源端口号和目的端口号？答：它是控制协议，不需要端口号，只在网络层3观察由你主机发送的一个ping请求分组。ICMP的类型和编码是多少？这个ICMP分组还有其他字段吗？校验和、序列号、标识符字段各占多少字节？答：类型：8编码0有，校验和、序列号、标识符字段，数据段等校验和：2个字节序列号：2个字节标识符字段：2个字节4观察相应

9、的ping应答分组。ICMP的类型和编码是多少？这个ICMP分组还有其他字段吗？校验和、序列号、标识符字段各占多少字节？答：类型：0编码:02.ICMP与Traceroute现在捕获由Traceroute程序产生的分组。Traceroute程序可以显示一个分组从源主机到目的主机所使用的路径。在Unix/Linux和Windows中Traceroute采用不同的方法实现。在Unix/Linux中源主机使用一个不可达端口号向目的主机发送一系列UDP分组。在Windows中，源主机向目的主机发送一系列ICMP分组。对于这两类操作系统，程序所发送的第一个分组的TTL都为1，第二个分组的TTL为2 ，依

10、次类推。当一个分组每经过一个路由器时路由器将分组的TTL减1，若一个分组到达一个路由器时TTL已为1，路由器将向源主机返回一个ICMP报错分组。在下面的实验中将使用Windows自带的tracert程序。而pingplotter()是一种更好的共享的Windows Traceroute程序。因为它提供了一些我们需要的其他功能，所以在IP实验中我们将使用pingplotter。进行下列操作：（注：如果你无法为Ethereal建立一个网络连接，或者ping程序无法获得正常的响应，可以从/ethereal -labs/ethereal-traces.zi

11、p下载压缩文件，解压获得icmp-ethereal-trace-2文件，该trace文件是在作者机器上执行Ethereal实验获得的，一旦下载后，你可以将其装入Ethereal，用File->Open->选择ICMP-ethereal-trace-2来打开它，你可以利用该文件来回答问题）（1）打开Windows的“命令提示符”应用程序（在附件中可以找到）（2）启动Ethereal分组嗅探器，开始Ethereal分组嗅探（3）Tracert命令在文件夹C:Windowssystem32中，所以在MS-Dos命令行中输入tracert hostname或C:Windowssystem3

12、2tracert hostname，这里hostname表示网络中的另一台主机名。（注意：在Windows主机上，这个命令是tracert而不是traceroute!）如果你不在欧洲，hostname参数你可以输入www.inria.fr来访问INRIA的网络服务器，INRIA为法国计算机科学研究院，然后回车运行Traceroute程序。（4）Traceroute程序结束后，停止Ethereal的分组捕获 图4：“命令提示符”窗口中Traceroute程序的运行结果实验结束后，命令提示符窗口与图4相似。图 4里，客户端的Traceroute程序在马萨诺赛，目的主机在法国。从图中可见，在每个TT

13、L值源程序都发送三个测试分组，窗口中显示了每个测试分组的RTT值，以及返回ICMP TTL超时信息的路由器的IP地址（如有可能还包括名字）。 图5：Ethereal捕获的ICMP分组报错信息图5显示的是路由器返回一个ICMP分组时的Ethereal窗口。注意：这个ICMP报错分组比Ping ICMP分组包含了更多的字段。实验问题探讨：5你主机的IP是多少？目标主机IP是多少？答：主机的IP：192:168:1：101目标主机IP：138:96:146:26如果IP发送的是UDP包（就像Unix/Linux）,那么测试分组中的协议号还是01吗？如果不是，它应是多少？答：不是UDP是177观察你的屏幕截图中的ICMP echo请求回显分组Time to live取值，它与上个实验中的ICMP Ping请求分组中的Time to live相同吗？答：不同是不断变化的而上个实验全是1288观察截屏上的ICMP报错分组，它比ICMP echo请求回显分组有更多的字段，这些字段包括哪些内容？答：Internet Protocol,Internet Control Message Protocal9检查源主机收到的最后三个ICMP分组，这三个分组与ICMP报错报文有何不同？为什么不同？答：最后三个返回分组Type=0；之前的报错