三、使用 Wireshark 分析 IP 协议
1、实验步骤
2、分析 IPv4 中的分片在第二个实验中,我们将考察 IP 数据报首部。俘获此分组的步骤如下:
( 1) 启动 Wireshark,开始分组俘获( “Capture”-----“interface…”----“start”)。( 2) 启动 pingplotter ( pingplotter 的下载地址为 www.pingplotter.com),在“Addressto trace:”下面的输入框里输入目的地址,选择菜单栏
“Edit”---“Options”---“Packet”,在“Packet size(in bytes defaults=56):”右边输入 IP 数据报大小: 5000,按下“OK”。最后按下按钮“Trace”,你将会看到pingplotter 窗口显示如下内容,
( 3) 停止 Wireshark。设置过滤方式为: IP,在 Wireshark 窗口中将会看到如下情 形
2、实验报告内容
打开文件 dhcp_isolated.cap、 fragment_5000_isolated.cap,回答以下问题: 1、 DHCP服务器广播的本地路由器或默认网关的IP地址是多少? 2、在dhcp_isolated.cap中,由DHCP服务器分配的域名是多少?
3、在fragment_5000_isolated.cap中,我们看到通过UDP数据报发送的5000字节被分 成了多少分片?在网络中,一次能传输且不需要分片的最大数据单元
有多大?
分成17片,最大1515
四、利用 Wireshark 分析 ICMP
1、实验步骤
1、 ping 和 ICMP 利用 Ping 程序产生 ICMP 分组。 Ping 向因特网中的某个特定主机发送特殊的探测 报文并等待表明主机在线的回复。具体做法: ( 1)打开 Windows 命令提示符窗口( Windows Command Prompt)。 ( 2)启动 Wireshark 分组嗅探器,在过滤显示窗口( filter display window)中输入 icmp,开始 Wireshark 分组俘获。
( 3)输入“ ping –n 10 hostname” 。其中“-n 10”指明应返回10条ping信息。
( 4)当ping程序终止时,停止Wireshark 分组俘获。
停止分组俘获后,
在实验报告中回答下面问题:
( 1)你所在主机的IP地址是多少?目的主机的IP地址是多少?
( 2)查看ping请求分组, ICMP的type 和code是多少?
( 3)查看相应得ICMP响应信息, ICMP的type 和code又是多少?
2. ICMP和Traceroute 在Wireshark 下,用Traceroute程序俘获ICMP分组。 Traceroute能够映射出通往特 定的因特网主机途径的所有中间主机。 源端发送一串ICMP分组到目的端。发送的第一个分组时, TTL=1;发送第二个分 组时, TTL=2,依次类推。路由器把经过它的每一个分组TTL字段值减1。当一个分组到 达了路由器时的TTL字段为1时, 路由器会发送一个ICMP错误分组 ( ICMP error packet) 给源端。
(1) 启动Window 命令提示符窗口
(2) 启动Wireshark分组嗅探器,开始分组俘获。
( 3)Tracert命令在c:\\windows\\system32下,所以在MS-DOS 命令提示行或者输入“ tracert hostname” or “c:\\windows\\system32\\tracert hostname” (注意在Windows 下, 命令 是 “tracert” 而不是“traceroute”。 ) ( 4)当Traceroute 程序终止时,停止分组俘获。
在实验报告中回答下面问题:
( 1) 查看ICMP echo 分组 , 是否这个分组和前面使用 ping命令的ICMP echo 一 样? 不一样
前者32位,后者64位
( 2) 查看ICMP错误分组,它比ICMP echo 分组包括的信息多。 ICMP错误分组比 ICMP echo 分组多包含的信息有哪些?
Type:8 code:0 还多了一部分是原数据包的头部:20bytes
2.实验思考题(标题宋体四号)
回答下列问题:
1、 DHCP是基于UDP还是TCP发送的? udp
2、连接层的IP地址是多少? 10.68.246.141
3、 DHCP服务器的IP地址是多少? 10.68.246.107