实验四 ICMP 协议和IP 数据报分片分析
【实验目的】
1. 理解 ICMP 协议报文类型和格式; 2. 理解 ping 命令的工作原理; 3. 理解traceroute的工作原理; 4. 理解 IP 协议报文类型和格式。
【实验环境】
与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE 等软件。
【实验内容】
1. 使用wireshark抓包软件分析ICMP 协议报文的类型; 2. 分析 ping 命令的工作原理; 3. 分析tracert命令的工作原理;
4. 使用wireshark抓包软件分析IP 协议报文以及报文分片。
【实验步骤】
1. 分析 ICMP 协议
步骤1:在 PC1 运行 Wireshark,开始截获报文,为了只截获和实验内容有关的报文,将 Wireshark 的Captrue Filter 设置为“No Broadcast and no Multicast”;
步骤2:在 PC1 以 www.http://www.wodefanwen.com/ 为目标主机,在命令行窗口执行 Ping 命令,要求ping 通8 次;
【答】:Ping 命令为:____ping–n 8 www.http://www.wodefanwen.com/____
将命令行窗口进行截图: 【答】:
步骤3:停止截获报文,分析截获的结果,回答下列问题:
(1)将抓包结果进行截图(要求只显示 ping 的数据包):
(2)截获的 ICMP 报文有几种类型?分别是: 【答】:两种:8(Echo(ping) request) 、 0(Echo (ping) reply )
(3)分析截获的 ICMP 报文,按下表要求,将各字段信息填入表中,要求填写前4 个报文的信息。 【答】: 报文号 源IP 目的IP 类型 代码 报文格式 标识 BE LE 序列号 BE LE 15 16 17 18 192.168.6.57 119.75.217.56 Echo(ping) 8 request Echo(ping) 0 reply 512 512 512 512 2 2 2 2 3328 13 3328 13 3584 14 3584 14 119.75.217.56 192.168.6.57 192.168.6.57 119.75.217.56 Echo(ping) 8 request Echo(ping) 0 reply 119.75.217.56 192.168.6.57 (4)查看ping 请求信息,ICMP 的type是___Echo(ping) request___。和code是__8__。并截图。 (5)查看相应得ICMP 响应信息,ICMP 的type 是___Echo(ping) reply___和code 是__0__。并截图。
(6)若要只显示ICMP的echo响应数据包,显示过滤器的规则为__icmp.type ==0___.并根据过滤规则进行抓包截图。
7) 若要只显示ICMP的echo请求数据包,显示过滤器的规则为___icmp.type ==8___.并根据过滤规则进行抓包截图。
2. 分析traceroute的工作原理
步骤1:在 PC1 上运行 Wireshark 开始截获报文;
步骤2:在PC1上执行Tracert命令,如:tracertwww.http://www.wodefanwen.com/;将命令窗口进行截图;
步骤3:在wireshark里设置显示过滤器为icmp;
步骤4:停止截获报文,分析截获的报文,回答下列问题:
(1)截获了报文中哪几种 ICMP 报文?其类型码和代码各为多少? 【答】: ICMP 报文 Echo request Echo reply Time-to-live exceeded 0 8 11 类型码 0 0 0 代码
(2)在截获的报文中,哪些是超时报告报文,请截图显示所有超时报文并指出超时报告报文的源地址分别是多少?
【答】:超时报告报文的源地址:192.168.6.254 、172.31.1.1 、 202.114.66.254 、172.16.11.1 、 172.16.254.34 、172.17.11.218 、172.17.11.254 、 218.197.158.254 、 101.4.113.162 、101.4.117.38 、101.4.112.1 、101.4.116.194 、 219.224.103.10 、192.168.0.5 、10.65.190.130
(3)查看 ICMP echo 分组,是否这个分组和前面使用 ping 命令的ICMP echo 一样?若不一样,请分析使用tracert命令后收到的分组里TTL 值的变化规律。 【答】:不一样,ping命令的ICMP echo的TTL值不变。ping命令:request的TTL值是148不变;而reply的TTL值是49不变; ICMP命令:request的TTL值是不断增长的,不过reply的TTL值是不变的为49,且只有目的主机发回reply包,中间路由器不发送reply包。
(4)对照 ICMP 协议,分析一下ICMP 超时报告分组比ICMP echo 分组多包含的信息有哪些? 【答】:IP数据报的首部以及TCP或UDP协议的端口号。
(5)对于ICMP超时报告分组,找出与命令提示窗口截图中的第五跳路由器的接口IP地址为多少?在wireshark抓包图中截图与第五跳路由器的接口IP地址对应的部分并截图。 【答】:第五跳路由器的接口IP地址为:172.16.254.34
3. IP协议分析
步骤1:分别在 PC1 和 PC2 上运行wireshark,开始截获报文,为了只截获和实验内容有 关的报文,将wireshark的Captrue Filter 设置为“No Broadcast and no Multicast”; 步骤2: PC1 ping PC2;
步骤3:停止截获报文,分析截获的结果,回答下列问题:
(1)任取一个有 IP 协议的数据报并截图。