网络层数据分组的捕获和解析

1、实验二：网络层数据分组的捕获和解析1 .实验类别协议分析型2 .实验内容和实验目的本次实验内容：1）捕获在连接Internet过程中产生的网络层分组：DHCP分组，ARP分组，IP数据分组，ICMP分组。2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。3）分析IP数据分组分片的结构。通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节IP数据组分片传输的结构。3 .实验设备环境WindowsXP操作系统的pc机，连接到Internet,使用WireShark软件。4 .实验步骤4.1 准备工作启动计算机，连接网络确保能够上网。4.2

2、捕获和分析网络层分组开启监控，连接网络。一段时间后查看捕获的分组。分析各种分组的格式以及在上网过程中所起的作用。4.3 -1发送ICMP分组，捕获并分析格式Fing WWW.a. 119.75.213. 119.7S.213. 119.7G.213. 03具有32子节的数据;=lme TTL=56Ims TTL=5£=lms TTL=56=lms TTL-56C 二 MJ岂ep零 liuming>pxng- utiu. baidu.coiiMicrosoft If in do us 版本 &-1.7&001版权所有 “>200? I

3、licrosoft Corporation保留所有权利才C;'Mi nd 口四51333t em 3 2匚 md.exe£1 ISM 4cHjid JnuwLnn JB5 2 2 2 2 7 3 3 3 3 * = 1?节节节节 nu if H « caMloMW-5hi13舄，9.返M.1往p送取 的， 0已计nsICMP是(InternetControlMessageProtocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控

4、制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。version: 4Header lergrh: 20 bytes±i oiffsrentiared services Fields OjcOO (dscp 0x00; Defaultj 0*00) ratal Length: GOidentlfication: OxOflad <2221)±j F1: 0x00f-r dgiierit offsec: 0Time to 1 ive: 128ProT&col： ICMP (1)id(Headerchecksun：口乂(xjugincorrecta

5、shouldbeSourEP!llfi.223.120.22Cllfi.220,130.22)Destination:119.7S.213.51(119.75.213.SI)二InternetCorrrolMessageProtocoIType:8(Echo(pTng)request)Code;0Checksum:0x4ccdcorrectidenfifier;OxDOOlsequenceniriber:142(oxoose)sequencenuiiber(le)：三6352(OxSeOO)口d(3Jbytes)Dm：616芯3546566?66696a6b6c6d6e6F707L727J74

6、75767761.lpngth:170100为协议类型：4.0101为首部长度：5*4=20字节00000000为服务类型。0000000000111100为总长度:60(20个头部，40个数据)0000100010101101为标识：0*08ad(2221)000为标志位MF=0DF=00000000000000为片偏移：offest=010000000为生存时间：12800000001为协议：ICMP(1)0000000000000000为首部校验和：0011101101110010110000001000010110为源地址：201110111010010111

7、101010100110011为目标地址：111010101 00110311 的于支OIL.0110011101101111011101110110100001101000 0111oooo 01100001 011010010110000101101G0101110001011000100110001001101010011100100110001101100011 01101011C1115011 0110010001100100 01101100 01110100 0110010101100101011011010111010101100110O11G01L0

8、OllOllLO OlliOlLO 0110011100001000为ICMP报文的类型：800000000为code:00100110011001101为校验和：0x4ccd其后面的32为与ICMP的类型有关在后面的为数据部分。此ICMP为回送请求与回送回答报文4.3- 2发送ARP分组，捕获并分析格式ARP,即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为

9、例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。ARP包：aEthernet工工,Src:Asusttkc_fd:f8:12(OOiFd:ffi,Dst:Broadcast(fffrff-Desiirat1on：Broadcasttffiff:ff：ffAddrtissi酊adJcaqiFTiff:fT:.1*，,*，.*，*.-IGbit:Groupaddress(nulticast/brcadtist)*.*.L=LGbitiLocal!yadminlstereela

10、ddress(thisisMO'Bsource:nstekc_rd:fS:12<00:2t：i8：fAddress:A3ustekc_fd;f8:12(00:26:15.fd:TSilZ),.,.*0.*»，*,.,*.-IGbit:Individualaddress(unicast,*-LGbit:Globallyuniqueaddressdefault'Type:arpcoxoeodjTrailer;00000OOCOODO000000000000000000000000AddressRcsoluficnFrotocol(request)Hardaarpty

11、pw二Ftherri&t(0x0001)proiocoltype:ipCoxoeooriarddresir«6nrctocolsize:4Opcode:requt(DkOOOI)isqratJitoLis:Falsj5end*rmacaddrtss:ASL3tekC_fd:fE:1Z(00:2G:13:fd:fS:L2)senderipaddrccs:118,220*L30.57<118-220*110.57)TargetMftCaddress:00:00:00.(0100100(001001DO:0(l：00:DO)rarg«LIPaddress：116,2

12、29.130.1(Lia.229.130(L)本机希望知道ip为主机的物理地址，如果本机的ARP缓存表中没有目标IP地址，那么本机将会发送一个广播本机MAC地址是“0026:18:fd:f8:12"，这表示向同一网段内的所有主机发出这样的询问：我是,我的硬件地址是"00:26:18:fd:f8:12".请问IP地址为的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有目标主机接收到这个帧时，才向本机做出这样的回应：“的MAC地址是xx-xx-xx-xx-xx

13、-xx"。这样，本机就知道了目标主机的MAC地址，它就可以向目标主机发送信息了。还同时都更新了自己(本机与目标的)的ARP缓存表(因为本机在询问的时候把自己的IP和MAC地址一起告诉了目标主机)，下次本机再向目标主机或者目标主机向本机发送信息时，直接从各自的ARP缓存表里查找就可以了。4.3- 3发送DHCP分组，捕获并分析格式DHCP动态主机设置协议(DynamicHostConfigurationProtocol)是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。Nq.Ti

14、n'nt：£口国lqk-jlindLiofiPfoEckoJInto叫liaU21J0,22211.tH-71.5DHCPDHCPTTinjLliociHD5国&?.IZJ2570.0.0Z5S.2Si.25S.ZS5DHCPOHCPCliCflVFr.Tr105sa62.56798B11B.m.iso.iZ55255,255.255DHCPnepoffer-TransaiCtionIDqf河。”.】但出马的0750.0.0.Q55IDHCP计Request.-Tramactiant:H刃3J.59262.SBS77?UI.Z».1

15、30.1259.231.21I.25SDHCPACK-TrunsactionIDOX纤£94231:iFrjiiiif5B1:W2onnir*(2736hits)*14?bytCAptured(27?(5biti)m打工工，src：5；l>3；25!b3：fc),DShBrCff:Tf：ff：ffiff:ff)jOesxlniilon:Broadcastfff：ff=ff:T；ffnsource;Asu5tekc：fc(OQ：23;54：；&：b3;fc)-ypt:tpCOxOEDOj3IrrttirnEtProtccolrSrc:Ct.D.0.0(),Q

16、st：3S5.255.55S.255C255.?55.?55.255)Version:ilurigLh:23byLusjDifftrcntiatodservicesField:ox。(dscpomoo：Default;lc'i:oxooTotalLengthi126Tdf*nr1firation:OsCbrc(2756mFlags:OxDDf汹Enioffsei:0tolive：1zbproracol:udp(17)IHeaderchecksum:0scdd9correctSour;0一。+0*。(0+0.0.0)Rf-STinarion:255.255.2S5.?55(755.255

17、.?55)4iui«r口鼻TaqrMprclgcq11sreport:boatpcCs).ps匚fort:twoips(百7)uecotstrapProtocol首先释放当前的IP地址，然后再重新获取IP地址。然后向网络发出一个DHCPDISCOVER封包。封包的来源地址会为,而目的地址则为55,然后再附上DHCPdiscover的信息，向网络进行广播。当DHCP服务器监听到客户端发出的DHCPdiscover广播后，它会从那些还没有租出的地址范围内，选择最前面的空置IP,连同其它TCP/IP设定，响应给客户端一个DHCPOFFER封包。由于客

18、户端在开始的时候还没有IP地址，所以在其DHCPdiscover封包内会带有其MAC地址信息，并且有一个XID编号来辨别该封包，DHCP服务器响应的DHCPoffer封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定，DHCPoffer封包会包含一个租约期限的信息。如果客户端收到网络上多台DHCP服务器的响应，只会挑选其中一个DHCPoffer而已(通常是最先抵达的那个)，并且会向网络发送一个DHCPrequest广播封包，告诉所有DHCP服务器它将指定接受哪一台服务器提供的IP地址。同时，客户端还会向网络发送一个ARP封包，查询网络上面有没有其它机器使用该IP地址；如果发现该IP已

19、经被占用，客户端则会送出一个DHCPDECLIENT封包给DHCP服务器，拒绝接受其DHCPoffer,并重新发送DHCPdiscover信息。当DHCP服务器接收到客户端的DHCPrequest之后，会向客户端发出一个DHCPACK响应，以确认IP租约的正式生效，也就Z束了一个完整的DHCP工作过程。若一直得不到响应的情况下，客户端一共会有四次DHCPdiscover广播(包括第一次在内),除了第一次会等待1秒之外，其余三次的等待时间分别是9、13、16秒。如果都没有得到DHCP服务器的响应，客户端则会显示错误信息，宣告DHCPdiscover的失败。之后,基于使用者的选择，系统会继续在5分

20、钟之后再重复一次DHCPdiscover的过程。4.3-2发送ip数据分组，捕获并分析格式IP数据分组:C：?i7/indos5ysteiTi32cmd.exeicrcsoftUindous版本&.1.7&00反权所有"32009NicrosoftCorporationo保留所有权利*-Usej*sMiuviung?pinsf-18900192.Ibu.0.1p超超超超在"1 -JJI HUM01具有8000子的数据.168.0.1的Pina统计信息；敝据包：己爱送心已匐攵-0,丢失 4 <100K丢失>,Tirepvc.Pt4uxd归的ICMF

21、 EW 1门尸必(1. FQM Tf J”,飞的，而，1-17 =1)Fratfce17： XH4 bytes on rflre C12U2 如15，ISU b汽监 tafllwred 口工之 bltslIthfirhet -I, sre5 出血 ekc 25 海露(g 力丸 MWStd 礴 D5S H§na2hoiL&a：l ：&a (DOiM:;电 2二 6*3更；日立)verst-on 4HajdoT 10nglth：上口 byt口二1 口 1仃1电解1 礼配 s«rvKes> Fitid：门口o(g«p ohoq： Derails;

22、es; mg Terral Leri nth： 15Q0 Idehtif itat inni ChiM;9f- -;ifw -1r.中"门工方Fr jgrcrTt of Fsnt: 14 BOT1« IQ lle: 12<PFfltOCOll ICMP (1)Headeir -uun; UxowJO incorrect, should be 0x2Q24JLtiMwJ： i-aise国 Trur« xpen infa(ErrDrXhedksLiH!)i sod checksuiHret LlB_22t.UD_23190.21)DtSIfnaXlQrt：我例3

23、A Q92/m.0J)i- H (1450 bytes：>3QW ：. 30>3QUD . JCOIU-L l±l>JaiO 011.1010 二成口上二口 lOOClOlC 二仇；打00空 lULLUQU 卜_" 01a10100 M1WL01 IQllMU Lil HIM MQ010M MQW0W 皿侬±CH UOCmW讴- J.BLQCKJ0CW101 1LD1110DW11101D10D111L1OOIKKHM)10111001LQDW0WKHDOODOl.：.WL«MMMOO iMDMCOOailWUCLLIKIOI3MBeM

24、0W110JLlCWOHLOlliSNLMOM 一一m-211(KMXKKWKl MDOOOOl01100001MlOOdiD(Uli00011OllDOtH)0110010101100110. abizdefJJ2fcJllJjJLLl Jll.l'JUUJillUVlJllfJlUlDJllUlUllllUllL J-iLPllLl"-11L111JLf 1 Iklllt发送一个8000字节的包通过6片就行分组传输。101010000100101 10110011 11111100 00001000 00000000101000101 0000000000010L ooo

25、ooooo ODOOOOOO11011100 00111010 01010001 00100000 00000000 10000000 0000000100000000 01110110 11100101 10000010 00010110 11000000 1010100OOOOOQOllDO 0'0 OOOO'OOOO 11101011 01011101 000000001 nmoi 11 niinoam 01 innom niwnnu onnmno nnoniai nnaonn,=iinteriwtProtocoltSrc:US.22&.11O.22(11

26、3;.22a.130.22),Det:1&2.16S.0.1(lQ2.1Sfl¥ers1on；4rieadeileiigthi20Lytes±)OlfterentiatedservicesField:0x00(DSCPCxOO:Detau11;ECn:0x00)lotalLength：15001dentificatior!OxaSl(14G9)Z)Flagw:0x01(loreFracTnentsFragnentoffset;Olimetolive:18Protocol：工CMPCl)El|ne3fiprchecksum:OiOt)00incarrct,should

27、be0212bGQQd：日|Bad:TruedExpertirfoError.checksunj:Badchecksumsource:US.229,130.22£2)Destination:192.16,0.1GL9，16E.J1)日internetcontrolMessmgwProtocolType:8(Echo(ping)request)8dB：Ochecksum:Oxeb5d口加ntifiw;OxOQOlSpqiJpncpnu描wr:151(GrOflZ)Sequencenumber(LE);38656C0x9700)®Data(147Zb/

28、t5供1500个字节id为0x3a51(14929)标志位为001:最低位为MF=1:后面还有分片中间位为DF=0:允许分片在后面包含源地址与目标地址。(前面已有分析，此处不再复述)IP协议头部后面是传输层的数据包含头部和数据部分，在此不再分析。数据的长度为1472.然后分析第二片可以得出，0fset=1480，是因为前一片从传输层得到了1480的数据加上20个字节的头部信息最后在网络层形成了1500字节的包，然后此处的1480是传输层数据的断点°可以得出0fset=1480*(N-1)N为第几片。因为后面还有片所以MF=1DF=0=同理分析2345片都具有相同数据。来分析下最后一片

29、：inrernerProTocal,Srcillfi.229.130.22(118,?29.13O.22)3Dsr:192,1SS,0,1<192,1(version：4Header'engrh:20byres=)DifferentiatedservicesField!0x00foSCP0x00:Default;ECM:OkOO)OOOflflfi.=DifferentiitedServicesCodepoint:白色+mult(0x60)0.=ECM-CapableTranspart二七T)：O.一C=ECM-CE:CTctalLength:628Zcentification:Ox3a51(1429)曰Flags:OjcOO0,R,.Fleservedbit:Notset.Q,.Don'tfragnent：Nots«t.0.一,Morefragment5:NotsetFragmentoffset:7400Timetolive:1?8Protocol:icwp<1)曰headerchecksJm:DkOWC1ircarrecttshouldbe0x4Qft'Good:FaiseEJBad:True+1ExpertinfotErrorXhecksum;吕adchecksumSource;11B.?Z9,13O,Z2