网络协议实验一Wireshark分析IP协议

网络协议实验一Wireshark分析IP协议一、实验目的本实验旨在通过使用Wireshark网络协议分析工具，深入了解IP协议的工作原理、数据格式以及数据包的传输过程。通过捕获和分析网络数据包，掌握IP协议的各项功能，包括IP地址的使用、数据包的分片与重组、TTL（TimeToLive）字段的作用等，培养学生对网络协议的分析能力和解决实际网络问题的能力。

二、实验环境1.硬件环境：一台安装有Windows、Linux或macOS操作系统的计算机。连接到局域网或能够访问互联网的网络环境。2.软件环境：Wireshark网络协议分析软件。

三、实验步骤

（一）启动Wireshark1.在操作系统中找到Wireshark的图标并双击打开。不同操作系统的启动方式略有不同：在Windows系统中，通常可以在开始菜单中找到Wireshark程序组并点击启动。在Linux系统中，如果已经通过包管理器安装了Wireshark，可以在终端中输入"wireshark"命令启动。在macOS系统中，在"应用程序"文件夹中找到Wireshark并打开。

（二）选择捕获接口1.打开Wireshark后，会弹出"Wireshark开始捕获"窗口，显示当前计算机上可用的网络接口。2.选择要进行数据包捕获的网络接口。通常情况下，如果计算机连接到局域网，会有以太网接口可供选择；如果连接到无线网络，会有无线网卡对应的接口。3.点击"开始"按钮，Wireshark开始捕获网络数据包。

（三）生成网络流量为了捕获到丰富多样的IP数据包，我们需要在网络中生成一些流量。可以通过以下几种方式实现：1.ping命令：打开命令提示符（Windows）或终端（Linux/macOS）。使用"ping"命令来测试与其他主机的连通性。例如，要ping百度的服务器，可以输入"ping.baidu"。连续发送多个ICMPEchoRequest数据包，这些数据包基于IP协议进行传输。2.浏览网页：打开浏览器，访问不同的网站，如百度、淘宝等。浏览器与服务器之间会进行HTTP/HTTPS通信，这其中会包含大量的IP数据包。

（四）停止捕获当生成了足够的网络流量后，在Wireshark界面中点击"停止"按钮，停止数据包的捕获。

（五）过滤IP数据包1.在Wireshark的过滤栏中输入"ip"，然后按下回车键。这样，Wireshark会只显示捕获到的IP数据包，便于我们集中分析IP相关的信息。2.也可以根据具体需求进行更细化的过滤。例如，如果只想查看源IP为特定地址的数据包，可以输入"ip.src==[源IP地址]"；如果想查看目的IP为特定地址的数据包，可以输入"ip.dst==[目的IP地址]"。

四、IP协议分析

（一）IP数据包结构1.版本（Version）：查看捕获到的IP数据包，找到"Version"字段。IP协议目前有两个主要版本：IPv4和IPv6。在Wireshark中，IPv4数据包的版本号通常显示为"4"。IPv4版本的设计相对简单，采用32位地址空间，但随着互联网的发展，IPv4地址逐渐耗尽，IPv6应运而生，它采用128位地址空间，能够提供海量的地址。2.首部长度（HeaderLength）：该字段表示IP首部的长度，以32位字（4字节）为单位。通过观察Wireshark中的"HeaderLength"字段值，可以了解到IP首部包含了多少个32位字。例如，如果值为"5"，则表示IP首部长度为5*4=20字节。IP首部长度的最小值是5（20字节），因为一些必要的字段如版本、首部长度、服务类型、总长度等至少需要20字节。3.服务类型（TypeofService）：用于指示数据包的优先级和服务质量要求。它由8位组成，包括优先级（3位）、延迟（1位）、吞吐量（1位）、可靠性（1位）和成本（1位）等字段。在Wireshark中，可以看到"TypeofService"字段的详细信息，例如优先级的数值表示以及各个服务质量相关位的设置情况。不同的应用场景可能会对服务类型有不同的要求，例如实时视频流传输可能更注重低延迟，而文件下载可能更注重高吞吐量。4.总长度（TotalLength）：指整个IP数据包（包括首部和数据）的长度，以字节为单位。查看Wireshark中的"TotalLength"字段，它显示了数据包的总大小。总长度字段的最大值为65535字节，这是由于IPv4数据包的总长度字段是16位。通过总长度和首部长度，可以计算出数据部分的长度，即数据长度=总长度首部长度。5.标识（Identification）：每个IP数据包都有一个唯一的标识，用于标识该数据包所属的分组。当数据包需要分片时，所有分片的标识字段值相同，以便接收方能够将分片重新组装成原始数据包。在Wireshark中，可以查看每个数据包的"Identification"字段值，了解其标识信息。6.标志（Flags）：标志字段用于控制数据包的分片和重组。它由3位组成，其中最低位（MF，MoreFragments）表示是否还有更多的分片，中间位（DF，Don'tFragment）表示是否允许分片。在Wireshark中，可以清晰地看到标志字段的具体值。例如，如果MF位为1，表示后面还有更多的分片；如果DF位为1，表示该数据包不允许分片。当一个数据包的大小超过了网络的最大传输单元（MTU）且DF位为0时，路由器会对该数据包进行分片。7.片偏移（FragmentOffset）：片偏移字段用于指示该片在原始数据包中的相对位置，以8字节为单位。通过查看Wireshark中的"FragmentOffset"字段，可以了解到每个分片在原始数据包中的位置信息。接收方根据这些信息将分片重新组装成完整的数据包。例如，如果片偏移值为10，表示该片在原始数据包中的相对位置是从第10*8=80字节开始的。8.生存时间（TTL，TimeToLive）：TTL字段用于限制数据包在网络中的生存时间，以防止数据包在网络中无限循环。数据包每经过一个路由器，TTL值就会减1。当TTL值减为0时，路由器会丢弃该数据包，并向源主机发送一个ICMPTimeExceeded消息。在Wireshark中，可以查看每个数据包的"TTL"字段值，并观察其在传输过程中的变化情况。9.协议（Protocol）：该字段指示IP数据包携带的数据所使用的上层协议，如TCP、UDP、ICMP等。在Wireshark中，通过"Protocol"字段可以明确数据包承载的是哪种上层协议的数据。例如，如果值为"6"，表示承载的是TCP协议的数据；如果值为"17"，表示承载的是UDP协议的数据；如果值为"1"，表示承载的是ICMP协议的数据。10.首部校验和（HeaderChecksum）：用于验证IP首部的完整性。IP首部校验和是对首部内容进行计算得到的一个值，接收方在接收到数据包后会重新计算首部校验和，并与接收到的值进行比较。如果两者不相等，说明首部可能在传输过程中发生了错误，接收方会丢弃该数据包。在Wireshark中，可以查看每个数据包的"HeaderChecksum"字段值。11.源IP地址（SourceIPAddress）和目的IP地址（DestinationIPAddress）：这两个字段分别表示数据包的发送方和接收方的IP地址。在Wireshark中，可以清晰地看到每个数据包的源IP地址和目的IP地址。通过分析这些地址，可以了解网络通信的源端和目的端信息，以及数据包在网络中的传输路径。

（二）IP数据包的分片与重组1.观察分片过程：在捕获的数据包中，找到一个大小超过网络MTU的数据包。例如，以太网的MTU通常为1500字节。如果一个IP数据包的总长度加上首部长度超过了1500字节，且DF位为0，路由器会对其进行分片。查看该数据包及其分片的详细信息。可以看到原始数据包的标识字段值，以及各个分片的标识字段值相同。同时，MF位会根据分片情况进行设置，第一个分片的MF位为1，表示后面还有更多的分片，最后一个分片的MF位为0，表示这是最后一个分片。片偏移字段会指示每个分片在原始数据包中的相对位置。2.重组过程分析：当接收方收到所有分片后，会根据标识字段、MF位和片偏移字段进行数据包的重组。在Wireshark中，可以观察到接收方如何将分片重新组装成完整的数据包。例如，当所有分片都到达后，Wireshark会将重组后的数据包显示出来，其数据部分是完整的，首部信息也与原始数据包一致，只是分片相关的字段不再显示。

（三）TTL字段的作用1.TTL递减过程：观察捕获的数据包，查看每个数据包的TTL字段值。可以发现数据包每经过一个路由器，TTL值就会减1。例如，源主机发送的数据包TTL值可能为64，经过第一个路由器后变为63，经过第二个路由器后变为62，以此类推。2.TTL超时处理：当TTL值减为0时，路由器会丢弃该数据包，并向源主机发送一个ICMPTimeExceeded消息。在Wireshark中，可以捕获到这种ICMPTimeExceeded消息。查看该消息的详细信息，会发现其类型为"TimeExceeded"，代码可能为"0"（表示TTL超时），并且包含了导致TTL超时的原始数据包的部分信息，如源IP地址、目的IP地址、协议类型等。通过分析ICMPTimeExceeded消息，可以了解到数据包在网络中的传输路径以及哪些路由器导致了TTL超时。

五、实验总结通过本次实验，使用Wireshark对IP协议进行了深入分析。我们了解了IP数据包的详细结构，包括版本、首部长度、服务类型、总长度、标识、标志、片偏移、生存时间、协议、首部校验和以及源IP地址和目的IP地址等字段的含义和作用。同时，观察了IP数据包的分片与重组过程，明白了在数据包大小超过网