实验五Internet控制报文协议ICMP

1、实验五Internet控制报文协议ICMP实验目的1 .掌握使用WIRESHARK工具对ICMP协议进行抓包分析的方法。2 .理解不同类型ICMP报文的具体意义。3 .通过实验，进一步了解ICMP协议。实验环境1 .安装Windows2000/2003Server/XP操作系统的PC计算机一台。2 .每台PC具有一块以太网卡，通过双绞线与局域网相连。3 .每台PC运行网络协议分析软件WIRESHARK0实验原理ICMP是InternetControlMessageProtocol（Internet控制报文协议）的缩写，是TCP/IP协议族的一个子协议，用于在主机和路由器之间传递控制消息。控制消

2、息是指网络通不通、主机是否可达、路由器是否可用等网络本身的消息。由于IP网络的不可靠并且不能保证信息传递，因此当发生问题时，通知发送者是很重要的。ICMP协议提供有关阻止数据包传递的网络故障问题反馈信息的机制，它让TCP等上层协议能够意识到数据包没有送达目的地，ICMP协议提供一种查出灾难性问题的方法。这些灾难性的问题包括“TTLExceeded'（超过生存时间）和“需要分更多的数据段”等。ICMP协议不报告IP校验失败等常见的问题。这是因为假定TCP或者其他可靠的协议能够处理这类数据包损坏的问题。而且，如果使用UDP等不可靠的协议，我们就不应理会较小数量的数据损失。反之，如果网络有问

3、题则需要立即报告。例如，当IP的TTL值（IP生存时问）将达到零，这就可能是网络的某个部分发生了路由环路问题，这样将没有任何数据包能发送到目的地。端点系统需要了解这些类型的故障。ICMP是一种发送各种消息，用于报告网络状态的协议，而非仅仅是简单的ping（连通性测试程序）。回应请求（EchoRequest汉是ICMP协议提供的众多消息之一。Ping信息可以被过滤掉。但是，大多数ICMP消息类型是IP、TCP和其他协议正常运行所需要的。ICMP协议本身非常复杂。每一种类型的ICMP消息也称“主要类型（MajorType）”，它拥有自己的“子类型编码（MinorCodes）”。ICMP协议工作在第

4、3层，因此，它能够在互联网上路由。一个ICMP数据包实际上就是一个IP数据部分包含ICMP协议数据的IP数据包。每一个ICMP消息都将包含引发这条ICMP消息的数据包的完全IP包头，这样端点系统就会知道实际上哪一个数据包没有发送到目的地。ICMP协议消息包含不会变化的3个字段，随后是ICMP数据，然后是引发此消息的源IP数据包包头。不会变化的3个字段中，第1个字段包含ICMP类型（主要类型）、第2个字段包含了类型代码、第3个字段是ICMP消息校验值。ICMP协议在某些情况下不会发送错误信息。ICMP不会对ICMP信息做出响应。如果ICMP回应其他ICMP消息，这些消息的数量会爆炸性增长而演变为

5、一场ICMP消息风暴。为了防止出现广播风暴，ICMP消息也不会回应一个广播或者多播地址。各种ICMP的报文格式如下：目的不可达报文类型：3代码：0至12|检验和未使用（全0）收到的IP数据报的一部分，包括IP首部以及数据报数据的前8个字节源端抑制报文类型：4代码：0|检验和未使用（全0）收到的IP数据报的一部分，包括IP首部以及数据报数据的前8个字节超时报文类型：11代码：0或1|检验和未使用（全0）收到的IP数据报的一部分，包括IP首部以及数据报数据的前""8个字节参数问题色：12代码：0或1|检验和指针未使用（全0）收到的IP数据报的T分，包括IP首部以及数据报数据的前

6、8个字节改变路由类型：5|代码：0到3|检验和目标路由器IP地址收到的IP数据报的一部分，包括IP首部以及数据报数据的前""8个字节回送请求和回答类型：8或0代码：0检验和标识符序口由请求报文发送；由回答报文重复时间戳请求和回答类型：13或14代码：0检验和标识符序号原始时间戳接收时间戳发送时间戳地址掩码请求和回答类型：17或18|代码：0检验和标识符序口地址掩码路由询问和通告色：10代码：0检验和标识符序号个：9代码：0检验和地址数地址项目长度寿命路由器地址1优先级1路由器地址2优先级2.实验步骤1、ping程序使用的ICMP信息包启动WIRESHARK协议分析工具，选择

7、“Capture?”Starf,开始数据包的抓取，接下来点击“开始”菜单，在运行中输入“cmd”，进入Windows系统的命令行模式，在命令行模式下输入“ping-n10172.16.x.x"，ping结束后，停止WIRESHARK抓包程序，并在WIRESHARK中的“Filter”域中输入关键字“ICMP”，点击“Apply”按钮，将非ICMP数据包过滤掉。如图4-2所示。在中间窗口的“InternetProtocol'中可以看到，协议号为01,表明是一个ICMP格式的数据包。Eifi卬tU-fiw3L4itura时匕£匕7ataptvrfj_lookllp孤修立

8、EM君U、中心工业l阈闻口鼻四口1嵋国口、gFftw:krrp1*Esprcssion.CbxApfiyNa.-TimeSourceDrs-tiWlianRottxdIrffcjICHPc<ho352.9773S0192.ISE.112.Z52L9E.L6E.112,Z5SICNPCchD£.p1rcply$53.5778705L2rl68H112125;ICHFE<hoCplnejirecjuesc:4>j3.1jJSCiL'jLQ2.1&3-11I2553J.5H小二h口LPlnq.jrcp1y$34

9、.9?两与1192：1电营.112,253192.工11225上I«ZHPEcho(png)requestS44.O7SJE2lQ2.lbS.112.252LQ2.1GB.112.253ICHPechoCplngjre-ply0：1.977B3319Z.1CB.11Z.25319Z.1CiB.1JL7.25ZICHPecho(plnq.：ireejjestW5.8联1”工以川昆-52JCHP03。31咖r.WFrijns3i(7jbyresohwire,7atrytis七:EthernetIIaSTc;Be-iltekSjffl'S2f;f2CM;eb;4c;44snf

10、63;>,：:Ae-iltekSJ-4:2f;d9£的;匚。；4仁£彳*抨州制dIrreernei：Prcyt«alESrc:192.l&B,112.253C192.1M.LIZ.213)PDstu1921&E.112.252£19工.ZL15g.l12；口52)vnrs'lcin24HG-adar1Anrh:20bryr«£i-DifferetniaredFieldsGg(dsop0x00口efmuii：;ecw：Ox<M>Lenachj6&Idsntficatian:1h:42B3

11、C17CH3)dFl-ags:axDDUirnjfiQm:crffsece0t1h4TO11u<4129Hr-sderCheck"-un;0工如dcorrectSource;L9Z.10BlallfuZ53CLg'Z.l'M.HZZia)tfrST-lnarlDn!L&2.L&E.1L2.352C1SI2.16S.112.2|52)enxcrnanccanxralmocf金典proracolOODDOOCLDOZU031?OOJD490I0.口装匿3ocs-1e3fft-&DDD7700707曷MM"ooIdo口aQft白更C1

12、CC5doBJftft-mJomJBJa-eft7詈74a_un07ft72Wzzf-lfliT裔41n630094EQ7Cc4mFBJ9D&C.<N.LF/b.LF/h.E.aBa*EL，a口a,M4.-.abcdefgjkInnopqrstuvcdefqhiQR-rfixd(nprclDitrtaPacked-%0D)叩照M:绅Mdrgd;dCropped;0Prafiie;XFauVWIRESHARK捕获的ping程序数据包查看数据包内容窗口中的“InternetControlMessageProtocol"，可以看到该ICMP数据包的协议类型为8(Type8),

13、代码为0(Code0),表明是一个ICMP请求(Request数据包。如图4-3所示，请注意其他字段“Identfier"，“Sequencenumber和“Data的内容。Edit1icwS<#turaStartatlcflaioptailochNa.,Trne352.Q?8E-u3.Q77a7Cl7-m一.*W£金拜P配，*!1QJ.16S-112.252192r112.232192.14B.11Z.253-25Z12.168.1X2.25319Z.IWrllZ.Z53193.13.11Z.Z52192.112.Z53L02.1fi：3.112.252E-I&qu

14、ot;iuI|=irj':,Ei-hCiLplrii：:；|r-fc-Jq.jSSEE*h。峰”。)rWly534.977B9L54A.970012055.977332-3.5790&5Echo(png：irequestEcho(pingjreplyEchoC.p1nq.：irecuesrLchaf.p1nqjriHplyFr-arw-34£F*esonwlrcj74bytesca.pcurEd)EtheurietIIhEre；ne4Iteks_aflt2f;f2CODrbQMc;J：ZF;fZ>,.D5t;Rea1te*:;Zf;d9<00=etJ；J-

15、c14ft；Jf；d9)inrorrwErvncoccl,sre-±Q2.16S_112_253.X6B.±±2.253Rcktj±O2_16&-U-2-2<±52内IrrcernccC口0工口"1四之三与占口巴口厂口支口仁01Type;B£Ech口(口1口6requeitcode-!GJClnktclc5unrDk>475ccorrectTdtert111rli/L;OkQiS0口S41ucnc：G-riuiiibar7681口第QM白口D-4it-a(.32bytes)QQQQ

16、DU1UDD2DDQ3DULWUQMsrrwtCcntraiMaiMgsRotord(kE1*RsdkHtr<30D4|加ZO*4arti：0Oopped;<0Profte;WIRESHARK捕获的ping程序ICMP包扩展分析查看这些ICMP协议数据包，回答以下问题：(1)本机的IP地址是多少？目标主机的IP地址是多少？(2)为什么ICMP协议数据包没有源端口号和目的端口号？(3)查看本机发送的每个Request数据包，回答这些ICMP数据包的类型号(Type)和代码(Code)是多少？这些ICMP数据包中的其他字段有哪些？"Checksum”、Sequence和“Id

17、entfier”字段分别占多少字节?查看回复的Reply数据包，它们的类型号（Type）和代码（Code）是多少？这些ICMP数据包中还有其他哪些字段？"Checksum"、“Sequence和“Identfier”字段分别占多少字节？2、traceroute程序使用的ICMP信息包启动WIRESHARK协议分析工具，选择“Capture”Start”，开始抓取数据包。然后点击“开始”菜单，在运行中输入“cmd”，进入Windows系统的命令行模式，在命令行模式下输入“"，如图所示。g：C:TIII口Ss：rs>七3Zeid.<C>1985-26

18、01MicrosoftCorp.C:Docuneinti3andSettIngswMracingjpontetowww.a.sliifen.con202,108.22.5ttucrandxinuriiof301hopsi11ms<1ms<1ns192,168.1,121m整1ms1ins192.1GB.3.25431ms3ns3ns43ms2ms1ms753M1ms1mm0969ns4ms4ns61.138.0.S76ms5nsIBms4685msSms4RS61,138.38.73925ms26

19、ms25ns51054ms29ns24ns21187ns88ms87nsht-227-166.bta«netrcn202.18t,227.16fi122?ns27ms27ns61.14S.15.2261389ms92ns89ms202,106.43.17414ZSRs32rs2bnsxd-22-5-*B+bta<n4t-cn(202.IBS.22.SJTparrcomplete.:XPocLimentsandSettingsXnasLtracert程序tracert命令结束后，停止WIRESHARK抓包程序，并在WIRESHARK中的

20、“Filter”域中输入关键字“ICMP”，点击“Apply”按钮，将非ICMP数据包过滤掉。如图所示。70Q2016Q5MQ03QJ回30503汹3IE00曲IC-WOQQQ001000OD00001000000000I。EM0000D2wlanoo>x>dow加cdDOW00w00to0000DQWOdWDdWDOQQQQ<X)®<X)汕<X)如<Xi优COClaltimfH/riraljiEfJSISOfIrtwrlCtuieliniMiwxfd±PtckttScltd*L«ri.Cifliriaf-T:ir*kir上31

21、4liltVlH丛自flgfcLdyEh争di由"Thlipb：TidJsjfilp学事a*挡Rxwa西手北恒耳&g恒通必3以，ITutSnrctDtsUuljmInf?嘘的界JICHPa14.37-1L77riiie-CD-llvBaKMtfednnioexcSec2214.8748241,163.1.10胧i漏IfflPE<ho(ping)equE乳2s14.Si'i&lLL92AS84-1192.1bS.14DICMPTiHE-tQ-lruE&:-zeeced(Timeto11BxceedEDintransit2414,§7179

22、7192.16®,1.102CZ.UK.22.5ICMPEcho(ping)邱则25Sr4u1vL92J国J.1IOMPnne-to-iive飘EdtedCliTEtqjTre骷匚edgeintransit)2B15,©3453L耍的,1。2O2.1Ce.22AICMP&±d(ping)request2915,近7药54192.1,1.10IOHPTlne-ionvB&:<e0CKi(TlfifiIDeKeeiEdinirarenj1?.1684.10加?埔42ICHPEcho(pfing)revestF15.8830D

23、1ICHPTinE-t&-HvfifeKifieced(Tingtfl%通电运翠：lEdirTtFFdTCi3215屈meW2.168P1.1O202.106.22.?事由d(ping)requestL92/镯.3.打419M68s14uICHPTins-tD-livEeK-zeecedCh怅toliw?exceedecintransit；1葡IK8aliE皿U6411D漏IffiL22.5ICMPE'in(pin)rsjuesc3716,899563工,1n192.1681.10ICHPTinE-tQ-llVB©KEECednineto1'JfiexceededintrarsitJ非16屈0202.108.22JICMPE>±D(ping)reqijest剂16.370221B*12D1L9Z168J10ICMPTlns-co-Hue®<eece<fTTFiieidTieexceeoeoinirarelij4016,8»961辄L1020MC6,J2JICNPEcho(ping)requeue41ICHPTins-tD-liuee(ceecedLT1TEtoexceeBeCintransit)E|pret5ivlLu乳工啜切匕T±F