版本4 首部长度5 区分服务00 标识1D22 生存时间80 协议06 首部校验和5C46 源地址C0A80005 目的地址C0A8000A 总长度0030 标志(bit)010 片偏移(bit)0 0000 0000 0000 数据部分066C005089691BA7000000007002FFFF55F30000020405B401010402 根据上面的分析可以知道IP数据报的首部长度为20个字节,总长度0030H=48个字节,IP数据报的数据部分为28个字节
标志三位中 MF=0 表示这是若干数据报片中的最后一个;DF=1不能分片 协议字段值为06代表IP数据报携带的是TCP协议
下面对数据部分进行分析:IP数据报的数据部分=TCP的首部+TCP的数据部分 TCP报文的首部格式(下表中一个数字代表4个bit,即半个字节) 源端口066C 序号89691BA7 确认号00000000 数据偏移7 保留 URG0 ACK0 PSH0 RST0 SYN1 FIN0 目的端口0050 窗口FFFF 紧急指针0000 填充 检验和55F3 选项020405B401010402 各字段含义如下:
数据偏移表示TCP报文段的首部长度为7,即7×4=28个字节 数据的第一个字节的序号89691BA7,期望收到对方的下一个报文段的第一个数据字节的序号为00000000
SYN=1 ACK=0表明这是一个连接请求报文段。 窗口指出了现在允许对方发送的数据量为216-1
ICMP类型的IP数据报采集
IP报文4500003C-1D460000-80019BF3-C0A80005-C0A80032-
00004E5E020007004142434445464748494A4B4C4D4E4F5051525354555657414243444546474849
IP数据报(下表中除特别标注外一个数字代表4个bit,即半个字节) 版本4 首部长度5 区分服务00 标志(bit)000 首部校验和9BF3 源地址 C0A8005 目的地址 C0A80032 数据部分00004E5E020007004142434445464748494A4B4C4D4E4F5051525354555657414243444546474849 根据上面的分析可以知道IP数据报的首部长度为20个字节,总长度003CH=60个字节,IP数据报的数据部分为48个字节
协议字段值为01代表IP数据报携带的是ICMP协议
下面对数据部分进行分析:IP数据报的数据部分=ICMP的首部+ICMP的数据部分
协议01 总长度003C 片偏移(bit)0 0000 0000 0000 标识1D46 生存时间80 ICMP数据报 类型0000 代码4E5E 这四个字节取决于ICMP报文的类型 ICMP的数据部分(长度取决于类型) 类型值为0 ICMP的报文种类为询问报文,ICMP的报文类型为回送请求或回答。
2) 你在实验室用做了什么工作,致使你的计算机发出了TCP数据报,从而被你捕捉到了?
访问另一台主机上的网站,http://192.168.0.10/这一行为使计算机发出了TCP数据报。 3) DHCP协议利用什么报文发送?
DHCP协议,使用UDP协议工作 4) 如何捕捉ICMP报文?
ICMP的一个重要应用是PING命令,用来测试两个主机之间的连通性。PING 使用了 ICMP 回送请求与回送回答报文,PING 是应用层直接使用网络层 ICMP 的例子,它没有通过运输层的 TCP 或UDP。所以,选择选择需要捕捉的报文的类型为ICMP,点“采集”按钮。此时没有捕捉到报文,需要人工触发,即打开运行,输入cmd,在命令提示符下用PING命令,PING任意一台除自己之外的主机,即可捕捉到ICMP报文。
检验和02000700