1. 实验目的
1)深入理解IP报文结构和工作原理。
2)掌握用Wireshark分析俘获的踪迹文件的基本技能。
2. 实验环境
1)运行Windows 2008 Server/Windows XP/Windows 7操作系统的PC一台。
2)PC具有以太网卡一块,通过双绞线与校园网相连;或者具有适合的踪迹文件。
3)每台PC运行程序协议分析仪Wireshark。
3. 实验步骤
1)分析俘获的分组
打开踪迹文件,用鼠标点选感兴趣的帧,按右键出现如图菜单。该菜单提供了许多非常有用的功能,详细情况可以参见系统软件自带的“Wireshark用户指南”的表。例如,当选中编号10的分组,用鼠标指向其源地址,打开如图23所示菜单,点击“Selected”,就会出现如图24所示的界面。可见,系统已经自动用其源地址作为过滤条件,从众多分组中过滤出与 有关分组了。更一般的定义过滤条件,可以选用“Analyze/DisplayFilters”功能。有关过滤条件的表示,可以参见“Wireshark用户指南”节的内容。
分组列表窗口的弹出菜单
以源地址作为条件进行过滤
有时为了清晰起见,需要屏蔽掉较高层协议的细节,可以点击“Analyze/Enable
Protocols”打开“Profile: Default”窗口,若去除选择IP,则将屏蔽IP相关的信息。
2)分析
IP报文结构
将计算机联入网络,打开Wireshark俘获分组,从本机向选定的Web服务器
发送Ping报文。选中其中一条Ping报文,该帧中的协议结构是:Ethernet: IP: ICMP: data。为了进一步分析IP数据报结构,点击首部细节信息栏中的“Internet Protocol”行,有关信息展开如图首部信息窗口所示。
“Internet Protocol”详细信息
回答下列问题:
(1) 你使用的计算机的IP地址是什么
在IP数据报首部,较高层协议字段中的值是什么
在IP数据报首部,较高层协议字段中的值是1
(3) IP首部有多少字节载荷字段有多少字节
IP首部有20个字节,载荷字段有32字节。
(4) 该IP数据报分段了没有如何判断该IP数据报有没有分段 该IP数据报没有分段,如何判断该IP 数据报有没有分段fragment offset:
0,即片偏移为零
(5) 关于高层协议有哪些有用信息
关于高层协议有以下有用信息,对方服务器mac地址6c:e8:73:1e:37:5e
4. 相关概念
1) 网际协议(Internet Protocol,IP)数据报格式。它是TCP/IP体系中两个最主要的协议
之一,也是最重要的因特网标准协议 [RFC 791] 之一。图显示了IP数据报的格式。
2)互联网控制报文协议报文格式。互联网控制报文协议(Internet Control MessageProtocol,
ICMP)由[RFC 792]定义,它用于主机路由器彼此交互网络层信息。ICMP最典型的用途是差错报告。图为ICMP的报文格式。
5. 注意事项
Wireshark还有很多其他功能,用户可以自行阅读软件带有的“Wireshark用户指南”,学习使用。
6.实验小结
通过该实验对IP地址格式有了进一步了解,从中可读出协议的版本,源地址及目的地址等,学会了对Wireshark的应用,同时也了解了ICMP报文由IP地址封装,应用于Ping报文进行纠错。
因篇幅问题不能全部显示,请点此查看更多更全内容