演示：理解并取证IP报文的结构

第4章详解并取证网络协议的工作原理任务4.2本节主要以描述典型的网络层协议IP、ICMP为核心，分别建立对IP和ICMP报文的分析过程，理解IP报文各个字段的具体含义，每个字段在数据传输时的作用，以及ICMP的不同消息类型等，最后将通过协议分析器对这两个协议的报文结构进行取证。在知识点对应的部分包含了CCNA认证过程中的相关试题。任务4.2.14.2.1理解IP报文的结构如图4.17所示为IP报文的结构，表示IP报文的组成部分，包含20字节IP报头、选项（根据实际应用而定）字段、传递数据（用户数据）。其中理解20字节IP报头部分各个字段的具体意义是理解IP报文的关键。20字节IP报头包括版本、报头长度、服务类型、总长度、标识符、标志、片偏移（传输时是否发生数据分段）、生存时间、协议、首部校验和、源IP地址、目标IP地址，通过上述字段可以保证数据能够正确地从信源传递到信宿。下面将开始对IP报文的每个字段进行描述。版本（Version）：该字段的长度为4比特，表示正在使用的IP协议的版本。该字段的值一般为4或者6，如果该值为4表示正在使用IP的4号版本，如果该值为6表示正在使用下一代的IP地址（IP的6号版本，简称IPv6）。任务4.2.1报头长度（HeaderLength）：该字段的长度为4比特，描述IP报头的长度。如果不携带“选项”字段，那么值为20字节；如果包含了“选项”字段，那么报头长度最大可为60字节（“选项”字段最大值为40字节）。换而言之，IP报头长度值的变化范围为20～60字节。注意：IP报头长度（HeaderLength）并不包括任何数据负载的大小。服务类型（TypeofService）：该字段的长度为8比特，用于对特殊报文的处理。该字段可以配置IP报文的优先级（Precedence），其意义在于当网络发生拥塞时，可以让具备高优先级的IP报文优先被转发，类似于在拥塞的道路上，保证如救护车一类车辆优先通行的实例。TOS字段用于配置传输服务类型，如吞吐量、时延、可靠性、费用等类型。注意：一般面向IP流量工程、服务质量保证（QoS）项目的工程师将大量配置和使用该字段，这将在思科CCNP认证的ONT网络优化课程中进行重点学习。任务4.2.1总长度（TotalLength）：该字段的长度为16比特，指示整个IP报文所能携带的最大字节数，包括“IP报头”和“传递数据（负载）”长度的总和。“总长度（TotalLength）”字段占16比特位，它所对应的二进制最大数为16个“1”，对应的十进制数就为65536，而计算机计数都是从0开始的，所以一个IP报文的最大长度为65535字节。注意：IP报文通常也叫IP数据包，工作在“网络层”，由IP报头和传递数据组成，而一个IP数据包最大不能超过65535字节。标识符（Identifier）：该字段的长度为16比特，表示为某一种IP数据包分配一个唯一的数字标识，该标识符的作用就是保证数据被分段后，区别于网络中其他的IP数据分段，然后可以被正确地重新组合，因为在某一个IP数据被分段的同时，可能存在多个不同IP数据的分段。注意：标识符（Identifier）类似于将标记为红色的物品混入其他不同颜色的物品中，而此时将红色的物品分离出来就是一件很容易的事情。标识符就有这样的作用。任务4.2.1标志（Flags）：该字段的长度为3比特，该字段的作用主要是配合IP报文中的“标识符（Identifier）”字段和“片偏移（FragmentOffset）”字段来管理IP报文的分段。它由三个控制标志组成，在三个标志中，第一位（也是第一个标志）一般不使用，作为预留；第二位（也是第二个标志）为DF位，如果DF值为1，则表示不能对该IP数据包执行分段处理。第三位（也是第三个标志）为MF位，表示对于被分段的IP数据包，除了最后一个数据分段的MF值为0之外，其他的所有数据分段的MF值都为1，换而言之，MF=1表示该IP数据分段的后面还有紧跟的数据分段，直到MF值为0为止。片偏移（FragmentOffset）：该字段的长度为13比特，表示分段数据起始点相对于报头起始点的偏移位置，其目的在于让目标接收方可按照分段顺序重新组织报文，因为被分段的数据可能由于网络环境等客观因素不能按分段时的顺序到达目标接收方。注意：片偏移（FragmentOffset）字段类似于两个物体之间规定相隔距离为30米，那么不管把这两个物体移动到什么位置，两个物体之间的距离始终为30米。同理，偏移位置就是两个分段之间的相对位置。任务4.2.1生存时间（TimetoLive）：该字段的长度为8比特，表明当前报文在网络上的最大存活时间。意思就是指数据包每经过一个路由器（网关），TTL值自动减1，当为0时，丢弃该报文。如图4.18所示，主机A发送数据的TTL值为64，当数据经过路由器达到主机B后，TTL值减1，其值为63。图4.18TTL值变化示意图任务4.2.1协议（Protocol）：该字段的长度为8比特，用于标识OSI上层所携带的具体协议，通常是一个传输层协议或者网络层协议，如UDP、TCP、ICMP等。通常该协议值使用十六进制表示，UDP、TCP、ICMP分别对应的十六进制值为11、06、01。首部校验和（HeaderChecksum）：该字段的长度为16比特，该字段只在IP报文的首部进行计算，提供一种基于传输的基本差错控制。具体做法是，把IP报文的首部字节分为两个字，一个字为两个字节，然后进行相加而得到，转发IP报文的所有中间设备都要进行该值的计算，如果计算出来的两个校验和不同，就认为数据在传输过程中被损坏了。源IP地址（SourceAddresses）：该字段的长度为32比特，用于记录发送数据源主机的IP地址。目标IP地址（DestinationAddresses）：该字段的长度为32比特，用于记录目标主机的IP地址。任务4.2.2演示目标：在实时通信的过程中使用协议分析器捕获并分析IP报文的各个字段。注意以分析标识符、标志以及片偏移字段的功能作为重点。演示环境：如图4.19所示。图4.19取证IP报文的演示环境任务4.2.2演示背景：将通过捕获主机A和B的实时通信数据，来取证分析IP报文的各个字段的作用和意义。演示步骤：1.如图4.20和图4.21所示，分别在主机A和主机B上完成IP地址的配置，包括默认网关。然后按照如下所示的路由器的配置，完成Cisco路由器接口IP地址的配置。图4.20主机A的IP地址信息图4.21主机B的IP地址信息路由器的配置：R1>enableR1#configureterminalR1(config)#interfaceethernet1/0R1(config-if)#ipaddress192.168.1.1255.255.255.0R1(config)#interfaceethernet1/1R1(config-if)#ipaddress192.168.2.1255.255.255.0任务4.2.22.在主机A和主机B的命令提示符（CMD）下，通过命令ping完成与默认网关的连通性测试，并确保通信正常，如图4.22和图4.23所示。然后测试整个网络中主机A与主机B的连通性，如图4.24所示，以确保通信正常。图4.22主机A访问默认网关图4.23主机B访问默认网关图4.24主机A访问主机B任务4.2.2注意：在做主机连通性测试时，为什么不直接从主机A测试（ping）主机B的连通性，而是首先测试到各自默认网关的连通性？原因：当完成阶段性网络配置后，建议测试阶段性配置的连通性。当建设庞大且复合程度较高的整体网络通信体系时，如果出现了故障，则可以快速地定位到某一阶段性故障上，而不是在庞大的网络体系中如大海捞针般地寻找故障源，这样可以提高工程中故障排除的效率。任务4.2.23.现在开始捕获实时通信的数据帧。分别在主机A和主机B上打开Wireshark协议分析器软件，并监控网络中实时通信的数据。在主机A的命令提示符（CMD）下，输入命令ping192.168.2.2，待完成数据交互后，停止并查看主机A和主机B上的Wireshark协议分析器，得到如图4.25所示的结果，表示主机A的Wireshark捕获的数据帧。图4.25主机A上捕获的数据帧注意：由于ping命令是基于ICMP协议工作的，所以捕获的数据帧显示的协议就为ICMP，而通信是一个完整的会话具备双向性，所以存在ping的请求消息（Echorequest）和ping的回应消息（Echoreply）。任务4.2.24.详细分解如图4.25所示的主机A上捕获的数据帧的第一个数据帧，得到如图4.26所示的结果，这是一个完整的IP报文，其中包括IP报头部分和所携带ping（ICMP）的数据部分。图4.26完整的IP报文任务4.2.25.现在开始在图4.26所示的IP报文数据帧中，去取证IP报文的每一个字段，其中version:4表示IP报文的版本为4；Headerlength:20byts表明该IP报文的报头长度为20字节（默认长度）。如图4.27所示为服务类型（TOS）字段，关于TOS服务类型字段中的相关内容，属流量工程技术，超出了思科CCNA认证讨论的范围，该知识点应在思科CCNP认证的ONT网络优化课程中作专项讨论，所以在这里不多做说明。TotalLength:60表示IP报文总长度的大小为60字节，且由三部分组成，TotalLength:60=Hraderlength:20+Data(32bytes)+ICMP报头(8bytes)，第一部分是20字节的IP报头长度，第二部分是32字节的数据，第三部分是8字节的ICMP报头；Idntification:0x008b(139)表示标识符字段，指示唯一的数字标识值为139；如图4.28所示为标志（Flags）字段，表示IP报文中包含的DF（Don'tfragment）位和MF（Morefragments）位；Fragmentoffset:0表示片偏移字段，由于本测试环境使用的ping操作在默认情况下传递的数据没有达到分段的标准，所以片偏移的值为0；如图4.29所示为生存时间字段，表示主机A发送数据经过一台路由器到达主机B后的TTL值从128变成了127。回忆上一小节中TTL值的变化过程的原理，注意：在完成该演示时主机A与主机B上TTL值的比较，必须保证两边分析比较的数据帧是同一个数据帧（包括源地址、目标地址、使用协议等）。任务4.2.2Protocol:ICMP(1)表示协议字段，而值为1表示传递数据使用的协议为ICMP协议；表示首部校验和字段，通过“Good：Ture”和“Bad：False”信息返回IP报文是否正确；Source:192.168.1.2(192.168.1.2)表示源IP地址字段，发送数据主机A的IP地址，Destination:192.168.2.2(192.168.2.2)表示目标IP地址字段，接收数据主机B的IP地址。图4.27IP报文的TOS字段任务4.2.2图4.28Flags字段图4.29TTL字段任务4.2.26.在该步骤中将以取证IP报文中分段数据为重点，通过详细的取证实验来理解IP报文的数据分段过程。首先在主机A上打开Wireshark协议分析软件，并启动数据捕获。然后在主机A的命令提示符（CMD）下，执行命令ping192.168.2.2-l3500,如图4.30所示，待完成数据通信后，停止并查看主机A上捕获的数据帧，如图4.31所示。图4.30携带3500字节执行ping命令图4.31Wireshark捕获数据帧任务4.2.2建立分段的分析过程①ping192.168.2.2-l3500指示ping所携带的字节数为3500字节。注意：在默认情况下，的ping是不会出现IP报文分段的现象的，因为默认的ping只携带32字节的数据传输，而以太网能承受的最大传输单元（MTU）为1500字节，所以默认的ping携带的数据根本无法造成IP报文分段，在该演示环境中为了制造出IP报文分段的现象，就必须使ping携带超过MTU1500字节的数据，在演示环境中为3500字节。②信息FragmentedIPprotocol表示IP数据存在分段，分段的原因是ping所携带的3500字节大于本以太网测试环境的MTU最大值1500字节。③为什么不先显示Echorequest信息，也就是ping所使用的ICMP消息，而是先显示了FragmentedIPprotocol信息，也就是分段信息？原因在于，在执行ICMP数据传递之前，首先需要在传输层对3500字节数据执行分段。任务4.2.27.现在分析IP报文分段过程中较抽象的部分，首先展开如图4.31所示的所有数据帧，得到如图4.32、图4.33和图4.34所示的数据帧，即分段的数据帧。图4.32第一分段数据帧图4.33第二分段数据帧图4.34第三分段数据帧任务4.2.23500字节分段过程的分析 根据图4.30所示，可知ping所携带的3500字节被分成了三段，第一、第二分段数据大小为1480字节，第三分段数据大小为548字节。为什么第一、第二分段数据不按以太网MTU最大值1500字节划分呢？其原因在于划分分段数据时，必须考虑IP报头20字节的大小。第三分段548字节包含了8字节的ICMP协议声明报头，计算方式为3500-1480-1480+8=548。标识符字段分析根据图4.32、图4.33和图4.34所示数据帧的“Identification:0x0324(804)”