计算机网络实验-使用Wireshark分析IP协议

1、实於三使用Wireshark分析IP协议一、卖捺目的L分析IP协议2、分析IP数据报分片二、矣睑坏境与因特网连接的计算机，操作条统为Windows,安装有Wireshark,IE等软件。三、实金步呢IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式伊同工作从而形成一个全球户藤网。因特网的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和日的IP地址，然后破发送到网络中。如果源主机打目的主机不在同一个网络中，那么一个被称为路由器的中间机器将接收被传送的数据报，并只将其发送到距禽目的瑞景近的下一个路由器。这个过程就是分组交换。IP允许救据

2、报从源瑞途经不同的网络到达目的瑞。每个网络有它自己的规则科协定。IP能够使数据报适应于其途役的每个网络。例如，每个网络规定的救大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。表1.1DHCP报文报文类型主要功能DHCP-D1SCOVERDHCP农户瑞广播发送的，用来杳找网络中可用的DHCP服务器DHCP-OFFERDHCP服务器用来响应农户端的DHCP-DISCOVER请求，并为农户端指定相应配置参数DHCP-REQUESTDHCP农户瑞广播发送DHCP服务器，用来请束配置参数或者续借利用DHCP-ACKDHCP服务器通知农户端可以使用分配的IP地址和配置参数DHC

3、P-NAKDHCP服务器通知农户端地址请求不正确或者和期已过期，续和失败DHCP-RELEASEDHCP客户端主动向DHCP服务器发送，告知服务器该家户端不再需要分配的IP地址DHCP-DECLINEDHCP家户端发现地址冲突或者由于其它原因导玫地址不能使用，则发送DHCP-DECLINE报文，通知服务器所分配的IP地址不可用DHCP-INFORMDHCP凛户端已有IP地址，用它来服务器请求其它配建参数ServerDiscover广播-Offer单播一-Request广播，-Ack/Nak单播-Decline单播-Release单播-Inform单播口图3.1DHCP报文1.使用DHCP获取I

4、P地址(1J打开命令禽。，启动Wireshark。(2)输入ipconfig/release这条令令会释放主机目看的IP地址，此时，主机IP地址会变为(3)然后输入11ipconfig/rene命令。这条命令让主机获得一个网络配置，包括新的IP地址O(4)等待，成到uipconfig/rene终止。然后再次输入uipconfig/reneW命令。(5)当第二个命令uipconfig/reneW终止时，输入命令ipconfig/release”待放原来的已经分配的IP地址(6)停止分组俘获。如图3.2所示：4工力38(Wrehork1102：$VNRevSlMromZtrvnW疥岭

5、EOT幺awgaporeAneSptstcsTdegonyRobIfcemaB审。哥，二14号3c2IQG，。番业lS000臼国IB弟3FHerEwion|Nc*limeSourceOttiratior120M8156030.0126a600040.01382700050.01393600060.015089000fe80:lSd8:c8d0:eS4e:3131ff02:16fe8O:15d8:cSdO:e54e:*181仟02:16fe8O:15d8:c8dO:eS4e:?181ff021:16fe8O:15d8:c8dO:e54e:3181ff02:1:370.03049600080.11

6、4S3600080：15d8：8dO：C54e:3181ff02：16fe80:15d8:c8dO:eS4e:3181ff02:1:394.40764900006.S307050005700Asustekjbl:b2:2aBroadcastWApply60s*otoccllengthIneoOfiCP342DHCPRelease-TransactionID0x392e449ICMPvC90MulticastListenerReportMessagev2TCMPv690MulticastListenerReportMessagev2ICMPv690Mu

7、lticastListenerReportMessagev2ICMPv690MulticastListenerReportMessagev2LLMNR94Standardquery0x8e05ANY2011-1228-1036ICMPvb90MulticastListenerReportMessagev2LLMNR94StandardqueryOxBeOSANY2011-1228-1036OICQ121OICQProtocolARP42uhohas169.2S4.49.129?Tell37.530732000AsustckC_bi:b2:2dBroadcastARP4221。ha

8、s169.25449.129?TellR7.84456900000DHCP590DHCPOff-TransactionIDOx8d779624I!二7.84508200000.0055DHCP366DHCPRequest-TransactionID0x8d779624EE7.846813000192.16S.1.1-00-0HCP-590DHCPACK-TransactionIDOx8d779624-二7.853115000fe8O:15d8:c8dO:eS4e:3181ff02:16IC

9、MPV690MulticastListenerReportMessagev2187853116QOO002IG4PV354MembershipReport/Leavegroup527.857498000Asustekc_bl:b2:2aBroadcastARP42uhohas?Tell00207.858385000Tp-LinkT_2d:51:76Asu5tckC_bl:b2:2ARP60isatd8:5d:4c:2d:51:76217.860365000fe80:lSd

10、8.c8dO:eS4e:3181ff02:16TCMPv690MulticastListenerReportMessagev2/AOUjwOUUJIGWPvJ54MembershipReport/Joinqroup52tor17.860827000fe8O:15d8:c8dO:eS4e:3181ff02:16TCMPvG90MulticastListenerReportMessagev2786086/OOvIWPV354MembershipReport/Leaveqroup224.0.0,252257.S609J5000fe8O:15d8：c8dO:eS4e:3181ff02

11、:16ICMPv690MulticastListenerReportMessagev27000001G4PV354MembershipReport/Joingroup52for1277的1490000280:15d8:c8dO:e54e:3181ff02：l：3ILMNR94StandardQueryOxOf85AMV2O11-122S-1O36287.86172500000S2LLMNR74StandardQuery0x0f8SANY2011-1228-1036297.372236000AsustckC-bl;b2

12、:2c42utiohas?Tel100307.872702000Tp-LinkT_2d:Sl:76AsustekC_bl:b2:2aARP60isatd8:Sd:4c:2d:51:76317.929472000001921681.255侬S110RegistrationNB2011-1228-1036327.92966400000551816R1.?SSMNBNS110RegistrationNBWORKGROUP1347.97qR07nOO1A716A.110f

13、t11。Rcc；3；cnNR7C11-122R-1OHCP3tyCPOiscgyc二ID?x陇79624ARP6OM0has00?Tell54wire(432bits).54bvtescaotured32bits)oninterface0Frame18:000001000010002800200016003000005e1c94eObvtes00004d0004000000on16000050465dblb22a0800460102220000coa801McO010000000103OOOOOOA?r.PFFla:CvUwrc,ovaf/unApp

14、DotaM-OGriTo.Packoes:168-Dl.Proa:Dofout图3.2Wireshark俘获的分组下面，我们对此分组进行分析：IPconfig命令波用于显示机器的IP地址及修改IP地址的配置。当输入命ipconfig/release今0低，用来释放机器的当笥IP地址。释放之后，该机没有有效的IP地址并在分组2中使用地址作为源地址。分组2是一个DHCPDiscover（发现）报文，如图3.2所示。当一台没有IP地址的计算机申靖IP地址时将发送该报文。DHCPDiscovery报文破发送给特殊的广播地址：55,该地址将到达某个限定广播闽所有在

15、线的主机。理论上，55能够广播到整个因特网上，但实际上并不能实现，因为路由器为了阻止大量的靖求淹没因特网，不会将这样的广播发送到本地网之外。在DHCPDiscover报文中，农户端包括自身的信息。特别是，它提供了白己的主机名利其以太网接。的物理地址。这些信息都被DHCP用来标诙一个已知的家户瑞。DHCP服务器可以使用这些信息实现一余列的象峪，比如，分配与上次粕同的IP地址，分配一个上次不同的IP地址，式要求家户端注蝴其物理层地址来获取IP地址。在DHCPDiscover报文中，农户端还详细列出了它希望从DHCP服务器接收到的信息。在ParameterRequestLi

16、st中包含了除家户端希望得到的本地网络的IP地址之外的其他数据项。这些数据项中许多都是一台即将逢人因特网的计算机所需要的数据。例如，凛户端必须知道的本地路由豕的标识。任何目的地址不在本地网的数据报都将发送到这台路由器上。也就是说，这是发白外网的数据报在通白目的端的路往上遇到的第一台中间路由器。图3.3DHCPDiscovery家户端必须知道自己的孑网掩码。孑网掩码是一个32位的敷，用来与IP地址进行“楼位送辑与运算方从而得出网络地址。所有可以直接通信而不需要路由器参与的机器都有粕同的网络地址。因此，子网掩吗用来决定数据报是发送到本地路由器还是直接发送到本地目的主机。图3.4ParameterR

17、equestList家户端还必须知道它们的域名利它们在本地域名服务器上的标诙。成名是一个可读的网络名。IP地址为的DHCP服务器回复了一个DHCPOFFER报文。该报文也广播到55,因为尽管农户端还不知道右乙的IP地址，但它将接收到发送到广播地址的报文。这个报文中包含了农户瑞请求的信息，包括IP地址.本地路由器，孑网掩码，城名利本地域名服务器。在分组5中，家户端通过发送DHCPRequestf请求）报文表明自己接收到的IP地址。簸后，在分组6中DHCP服务器确认请求的地址并结束对话。此后，农户端开始使用它的新的IP地址作源地址。在分组3科分组7的

18、地址ARP协议引起了我们的注意。在分组3中，DHCP服务器询问是否有其它主机使用IP地址00（该请求破发送到广播地址）。这就允许DHCP服务器在分配,IP之前再次确认没有其它主机使用该IP地址。在获取其IP地址之后，2户端会发送3个报文询问其他主机是否有与己粕同的IP地址。有4个ARP请求都没有回应。DHCP服务器再次询问哪个主机拥有IP地址00,农户端两次回答它占有该IP同时提供了白己的以太网地址。itDHCP分配的IP地址有特定的租用时间。为了保持对某个IP的租用，家户湍必须更新租用期。当轮人第二个命令ipconfig/renew后，在分组中就会

19、看到更新利用期的过程。DHCPRequest靖求更新租用期。DHCPACK包括利用期的长度。如果在租用期到期之前没有DHCPRequest发送，DHCP服务器有权将该IP地址重斯分配给其他主抗。最后，在输入命令ipconfig/release后的结果。在DHCP服务器接收到这个报文后，家户停止对该IP的使用。如有需要DHCP服务器有权重新对IP地址战行分配。2、分折IPv4中的分片在第二个实脍中，我们将考察IP数据报首部。俘获此分组的步骤如下：(1) 启动Wireshark,开始分组修荻(“Capture”“interface”一start)。(2) 启动pingplotter(pingplo

20、tter的下我地址为www.pingplotterJ.在uAddresstotrace：w下面的输入柩里输入日的地址，选择菜单栏“Edit”一“Options”一“Packet”，在“Packetsize(inbytesdefaults=56):右边检人IP数据报大小：5000,楼下“OK”。最后楼下楼钮Trace,你将会看到pingplotterto显示如下参，如图3所示:ww.google君而Pin吵btteiIrw?*wWe:nT区getNIP6$,2499,1I7Snr”酎X”。*Q82OI455-20如8如优10wwcqliAusw/w4qrjdii4n,wwhBdiixccn”rw

21、dtrontowicon”雌，女加ataUatacon216.92150222KesstttSteHPHepPLIP|D”SNr。20220221Q11921W55I3216B52W2191631X1.949413Q153219b42dscq与心ozmen222179.Q129222176312922217626110刘297.27的100g101001190a)297.33SIxoHKsQhgirao；nmarvMlOsewrUs图3pingplotter(3) 停止Wireshark。设黄过滤方式为：IP,在Wireshark窗o中将会看到如下情形,如图4所示。在分组俘获中，你应该可以看到

22、一条列你白己也脑发送的UICMPEchoRequest”和由中间路由器返回到你电脑的“ICMPTTL-exceededmessages。Eitw:pPtx(e9on.6，ApplyKo.-TmeicuwOwtnixiProtccdWobor口927.947.qauuoc7n0384287885851flAftNU4.ZUZ.XU.XXM202.202.210.nqZ0141021635250NUN.CUZ.ZXU.XZ/2720Z,202.210,1272022G2210LOSMUlUiNBN5HBNSUDPUDPncyilidLluriejic

23、mi_hckRegistrationN8TEACHERv。”RegistrationN6TACtiftsourceport:61440Desx1nationporx:Sourceport:6LM0Destinationport;61440目968.185162055061440978.997218989.74214110010.492弘010110.75602210210.75647211414Z0051120Z.202.

24、210.12727；/.(./,：202.202.20B.IXL05H6NSMBNSNBN5DNSDNSRegistrationnbTachRJ.4Registrationhbteacher14RegistrationNBTACHR14StandardqueryAvlw.google,comstandardqueryresponsecnamev/sameauz珏-10310.SO2352XC44X98。34。6ESEEEI730739965，八IijE八彳八4*202.202a210105-0

25、566.240.B0.1477.2qg.8g.i_475叼49二3汨了86.24Q.B9T147TPIPI#IP一rracynontcdTPprotocoI(protoTCMO0:(ra刖unteQIPQotQC。111PotuTCXQFa遍IP即0记si+408=工。护面T*1me*to*Itexcceottnietoinvcw.-FracmnTedIPordtocolOxM.,。什uO.,of-148ij.nnXLcrff=O)fteaHEI弓K厅-rK弓，/左VKF*，C4工JU-IP-|yframe103(1514bytesonwire,1514bytescaptured)jErher

26、nerII,Src:North5ta_aB：31：46(00:05:34:38:31:46),Dst:PujianSr_f6:dQ:07(Q0：d0：fB：f6:dQ:07)tintemerProtocol.Src：20Z.202.210.105(202.Z02.210.1055.OSt：47(47)version:4Headerlength:2。bytes DifferenTiaTedServicesField:0x00COSCP0x00：Default:CN：0x00)Toxa!Lengrh:1500Identification:OxOeSaQ6

27、42) Flags:0x02(MoreFragments)Fragnenroffset:0Timetolive:1Protocol:ICMP(0x01) Headerchecksun:0x4cz7correct.：h二J010OD20汹。J&4O/人/A00dotB05duQe599308506c6f67506c，一八rfeddfly06disa20GO0101001322121074746572326f74746572，rr，r54aft514d8do45004c27caC3d26942f95a02BO4550696e672e36303045506e322e36SOSO455069一、f-f，-%Af八4r，A丫“p】os52gplcrter4T1F.,E.L*.18.Z.OGPing.600EPln2.6Q0EP1、一人八一图4用Wireshark所俘获的分如下面，我们来分析具体分组:IP层住于传输层利链路层之间。在传输层协议是UDP,链路屋仍议是以太网。发送两个UDP数