網(wǎng)絡(luò)層協(xié)議分析實(shí)驗(yàn)報(bào)告

1、1、網(wǎng)絡(luò)層協(xié)議分析1.A 數(shù)據(jù)包捕獲分析部分1.A.1、實(shí)驗(yàn)?zāi)康?)、了解 ICMP 協(xié)議報(bào)文類型及作用。2）、理解IP協(xié)議報(bào)文類型和格式。3）、分析 ARP 協(xié)議的報(bào)文格式，理解 ARP 協(xié)議的解析過程。1.A.2、實(shí)驗(yàn)內(nèi)容介紹1)、ICMP協(xié)議分析實(shí)驗(yàn)執(zhí)行 ping 和 tracert 命令，分別截獲報(bào)文，分析截獲的 ICMP 報(bào)文類型和 ICMP 報(bào)文格式，理解 ICMP 協(xié)議的作用。2)、IP協(xié)議分析實(shí)驗(yàn)使用 Ping 命令在兩臺計(jì)算機(jī)之間發(fā)送數(shù)據(jù)報(bào)，用 Wireshark 截獲數(shù)據(jù)報(bào)，分析 IP 數(shù)據(jù)報(bào)的格式，理解 IP V4 地址的編址方法，加深對 IP 協(xié)議的理解。3)、IP 數(shù)

2、據(jù)報(bào)分片實(shí)驗(yàn)我們已經(jīng)從前邊的實(shí)驗(yàn)中看到，IP 報(bào)文要交給數(shù)據(jù)鏈路層封裝后才能發(fā)送。理想情況下，每個(gè) IP 報(bào)文正好能放在同一個(gè)物理幀中發(fā)送。但在實(shí)際應(yīng)用中，每種網(wǎng)絡(luò)技術(shù)所支持的最大幀長各不相同。例如：以太網(wǎng)的幀中最多可容納 1500 字節(jié)的數(shù)據(jù)，這個(gè)上限被稱為物理網(wǎng)絡(luò)的最大傳輸單元（MTU，MaxiumTransfer Unit）。TCP/IP 協(xié)議在發(fā)送 IP 數(shù)據(jù)報(bào)文時(shí)，一般選擇一個(gè)合適的初始長度。當(dāng)這個(gè)報(bào)文要從一個(gè) MTU 大的子網(wǎng)發(fā)送到一個(gè) MTU 小的網(wǎng)絡(luò)時(shí)，IP 協(xié)議就把這個(gè)報(bào)文的數(shù)據(jù)部分分割成能被目的子網(wǎng)所容納的較小數(shù)據(jù)分片，組成較小的報(bào)文發(fā)送。每個(gè)較小的報(bào)文被稱為一個(gè)分片（Fr

3、agment）。每個(gè)分片都有一個(gè) IP 報(bào)文頭，分片后的數(shù)據(jù)報(bào)的 IP 報(bào)頭和原始 IP 報(bào)頭除分片偏移、MF 標(biāo)志位和校驗(yàn)字段不同外，其他都一樣。重組是分片的逆過程，分片只有到達(dá)目的主機(jī)時(shí)才進(jìn)行重組。當(dāng)目的主機(jī)收到 IP 報(bào)文時(shí)，根據(jù)其片偏移和標(biāo)志 MF 位判斷其是否一個(gè)分片。若 MF 為 0，片偏移為 0，則表明它是一個(gè)完整的報(bào)文；否則，則表明它是一個(gè)分片。當(dāng)一個(gè)報(bào)文的全部分片都到達(dá)目的主機(jī)時(shí)，IP 就根據(jù)報(bào)頭中的標(biāo)識符和片偏移將它們重新組成一個(gè)完整的報(bào)文交給上層協(xié)議處理。4)、ARP協(xié)議分析實(shí)驗(yàn)本次實(shí)驗(yàn)使用的Windows自帶的Arp命令，提供了顯示和修改地址解析協(xié)議所使用的地址映射表的

4、功能。Arp 命令的格式要求如下：ARP -s inet_addr eth_addr if_addrARP -d inet_addr if_addrARP -a inet_addr -N if_addr其中： -s：在 ARP 緩存中添加表項(xiàng)：將 IP 地址 inet_addr 和物理地址 ether_addr 關(guān)聯(lián)，物理地址由以連字符分隔的 6 個(gè)十六進(jìn)制數(shù)給定，使用點(diǎn)分十進(jìn)制標(biāo)記指定 IP 地址，添加項(xiàng)是永久性的； -d：刪除由 inet_addr 指定的表項(xiàng)； -a：顯示當(dāng)前 ARP 表，如果指定了 inet_addr 則只顯示指定計(jì)算機(jī)的 IP 和物理地址； inet_addr：以點(diǎn)分

5、十進(jìn)制標(biāo)記指定 IP 地址； -N：顯示由 if_addr 指定的 ARP 表項(xiàng)； if_addr：指定需要選擇或修改其地址映射表接口的 IP 地址； ether_addr：指定物理地址；1.A.3、實(shí)驗(yàn)步驟1)、ICMP協(xié)議分析步驟1：分別在 PC1 和 PC2 上運(yùn)行 Wireshark，開始截獲報(bào)文，為了只截獲和實(shí)驗(yàn)內(nèi)容有關(guān)的報(bào)文，將 Wireshark 的 Captrue Filter 設(shè)置為“No Broadcast and no Multicast”；步驟2：在 PC1 以 PC2 為目標(biāo)主機(jī)，在命令行窗口執(zhí)行 Ping 命令；請寫出執(zhí)行的命令：ping 83

6、 步驟3：停止截獲報(bào)文，將截獲的結(jié)果保存為“ICMP-1-學(xué)號”，分析截獲的結(jié)果，回答下列問題：1）您截獲幾個(gè) ICMP 報(bào)文？分別屬于那種類型？答： 66個(gè) 33個(gè)請求報(bào)文33個(gè)回復(fù)報(bào)文 2）分析截獲的 ICMP 報(bào)文，查看表 1.A.1 中要求的字段值，填入表中。表 1.A.1 ICMP報(bào)文分析報(bào)文號源IP目的IP報(bào)文格式類型代碼標(biāo)識序列號1683reply00x000181783request00x000190883reply00x0001409192.16

7、8.3.383request00x000156183request00x0001316283reply00x000131【x為學(xué)號后兩位】實(shí)驗(yàn)捕獲的報(bào)文數(shù)據(jù)截圖：報(bào)文16報(bào)文17報(bào)文x報(bào)文x+1分析在上表中哪個(gè)字段保證了回送請求報(bào)文和回送應(yīng)答報(bào)文的一一對應(yīng)，仔細(xì)體會(huì)Ping 命令的作用。如何保證請求報(bào)文和應(yīng)答報(bào)文時(shí)一一對應(yīng)的？答： 序號保證了請求報(bào)文和回復(fù)報(bào)文的一一對應(yīng)。Ping可以檢驗(yàn)網(wǎng)絡(luò)能否想通。 步驟4：在 PC1 上運(yùn)行 Wireshark 開始截獲報(bào)文；步驟5：在PC1上執(zhí)行

8、Tracert命令，向一個(gè)本網(wǎng)絡(luò)中不存在的主機(jī)發(fā)送數(shù)據(jù)報(bào)，如：Tracert ；步驟6：停止截獲報(bào)文，將截獲的結(jié)果保存為“ICMP-2-學(xué)號”，分析截獲的報(bào)文，回答下列問題：截獲了報(bào)文中哪幾種 ICMP 報(bào)文？其類型碼和代碼各為多少？答： 兩種請求報(bào)文和回復(fù)報(bào)文。 目標(biāo)主機(jī)不可達(dá) Type: 3 (Destination unreachable) Code: 1 (Host unreachable) 在截獲的報(bào)文中，超時(shí)報(bào)告報(bào)文的源地址是多少？這個(gè)源地址指定設(shè)備和 PC1 有何關(guān)系？答： 這個(gè)地址是PC1 的網(wǎng)關(guān)地址。 通過對兩次截獲的 ICM

9、P 報(bào)文進(jìn)行綜合分析，仔細(xì)體會(huì) ICMP 協(xié)議在網(wǎng)絡(luò)中的作用。答：ICMP報(bào)文有兩種：差錯(cuò)報(bào)告報(bào)文和詢問報(bào)文。其中差錯(cuò)報(bào)告報(bào)文用來報(bào)告差錯(cuò)類型，詢問報(bào)文用與尋找目標(biāo)主機(jī)應(yīng)用有ping、tracert，時(shí)間戳可以用來計(jì)算RTT時(shí)間。 2)、IP協(xié)議分析步驟1：截獲 PC1 上 ping PC2 的報(bào)文，結(jié)果保存為“IP-學(xué)號”；步驟4：取序號為學(xué)號的數(shù)據(jù)報(bào)，分析 IP 協(xié)議的報(bào)文格式，完成下列各題：-1）分析 IP 數(shù)據(jù)報(bào)頭的格式，完成表 5.2；表 5.2 IP協(xié)議字段報(bào)文信息說明版本4IPV4頭長20 bytes服務(wù)類型0回復(fù)報(bào)文總長度60標(biāo)識0x0001標(biāo)志0x00片偏移0生存周期64協(xié)議

10、Icmp校驗(yàn)和0x7e97源地址目的地址83實(shí)驗(yàn)捕獲的報(bào)文數(shù)據(jù)截圖(突出顯示分析的報(bào)文)：1） 查看該數(shù)據(jù)報(bào)的源 IP 地址和目的 IP 地址，他們分別是哪類地址？體會(huì) IP 地址的編址方法。答：均為 C類地址。1-126為A類地址，128-191為B類地址，192-223為C類地址。 3)、IP數(shù)據(jù)報(bào)分片實(shí)驗(yàn)步驟1：在 PC1、PC2 兩臺計(jì)算機(jī)上運(yùn)行 Wireshark，為了只截獲和實(shí)驗(yàn)有關(guān)的數(shù)據(jù)報(bào)，設(shè)置 Wireshark 的截獲條件為對方主機(jī)的 IP 地址，開始截獲報(bào)文；步驟2：在 PC1 上執(zhí)行如下 Ping 命令，向主機(jī) PC2 發(fā)送 4

11、500B 的數(shù)據(jù)報(bào)文：Ping l 4500 n 6 PC2的IP地址步驟3：停止截獲報(bào)文，分析截獲的報(bào)文，回答下列問題：1）以太網(wǎng)的 MTU 是多少？答： 1500，以太網(wǎng)中規(guī)定MTU為1500B 2）對截獲的報(bào)文分析，將屬于同一ICMP 請求報(bào)文的分片找出來，主機(jī) PC1 向主機(jī) PC2發(fā)送的 ICMP 請求報(bào)文分成了幾個(gè)分片？答：4個(gè) 3）若要讓主機(jī)PC1向主機(jī)PC2發(fā)送的數(shù)據(jù)分為 3 個(gè)分片，則 Ping 命令中的報(bào)文長度應(yīng)為多大？為什么？答：1480*3=4440B，因?yàn)镸TU為1500，要使報(bào)文最長，則其首部應(yīng)最小即20字節(jié)，故報(bào)文長度最長為1480*3=4440 4）將第二個(gè) I

12、CMP 請求報(bào)文的分片信息填入表 5.3：表 5.3 ICMP請求報(bào)文分片信息分片序號標(biāo)識(Identification)標(biāo)志(Flag)片偏移(Fragment數(shù)據(jù)長度50x67bb0x0000-147960x67bb0x0014801480-295970x67bb0x0029604440-45074)、ARP協(xié)議分析實(shí)驗(yàn)步驟1：在 PC1、PC2 兩臺計(jì)算機(jī)上執(zhí)行如下命令，清除 ARP 緩存：答： ARP -d 步驟2：在 PC1、PC2 兩臺計(jì)算機(jī)上執(zhí)行如下命令，查看高速緩存中的 ARP 地址映射表的內(nèi)容：答： ARP -a 步驟3：在 PC1 和 PC2 上運(yùn)行 Wireshark 截

13、獲報(bào)文，為了截獲和實(shí)驗(yàn)內(nèi)容有關(guān)的報(bào)文，Wireshark 的 Captrue Filter 設(shè)置為默認(rèn)方式；步驟4：在主機(jī) PC1 上執(zhí)行 Ping 命令向 PC2 發(fā)送數(shù)據(jù)報(bào)；步驟5：執(zhí)行完畢，保存截獲的報(bào)文并命名為 “ARP-1-學(xué)號”；步驟6：在 PC1、PC2 兩臺計(jì)算機(jī)上再次執(zhí)行 ARP a 命令，查看高速緩存中的 ARP 地址映射表的內(nèi)容：1）這次看到的內(nèi)容和步驟 2的內(nèi)容相同嗎？結(jié)合兩次看到的結(jié)果，理解 ARP 高速緩存的作用。答：內(nèi)容結(jié)果不相同。ARP高速緩存是動(dòng)態(tài)的，每當(dāng)發(fā)送一個(gè)指定地點(diǎn)的數(shù)據(jù)報(bào)且高速緩存中不存在當(dāng)前項(xiàng)目時(shí)，ARP便會(huì)自動(dòng)添加該項(xiàng)目。計(jì)算機(jī)進(jìn)行路由選擇時(shí)首先在

14、ARP高速緩存中查找，如果沒有找到，再通過廣播請求消息來查找。 把這次看到到的高速緩存中的 ARP 地址映射表寫出來或給出截圖。接口IP地址IP地址Internet Address物理地址Physical Address類型Type備注00-19-e0-b8-50-f0動(dòng)態(tài)1301-00-5e-63-55-71靜態(tài)201-00-5e-40-58-2a靜態(tài)步驟7：重復(fù)步驟 45，將此結(jié)果保存為 “ARP-2-學(xué)號”；步驟8：打開 arp-1-學(xué)號，完成以下各題：1）在截獲的報(bào)文中由幾個(gè) ARP 報(bào)文？在以太幀中，ARP 協(xié)議類

15、型的代碼值是什么？答： 4個(gè)，在以太幀中，ARP 協(xié)議類型的代碼值是IP（0x0800） a） 分析 arp-1 中 ARP 報(bào)文的結(jié)構(gòu)，完成表 5.4。表 5.4 ARP報(bào)文分析ARP請求報(bào)文ARP應(yīng)答報(bào)文字段報(bào)文信息及參數(shù)字段報(bào)文信息及參數(shù)硬件類型Ethernet(1)硬件類型Ethernet(1)協(xié)議類型IP（0x0800）協(xié)議類型IP（0x0800）硬件地址長度6硬件地址長度6協(xié)議地址長度4協(xié)議地址長度4操作Request（1）操作Reply（2）源站物理地址（10:78：d2:9d:9b:dc）源站物理地址（10:78：d2：98:7b：42）源站IP地址源站I

16、P地址83目的站物理地址（10:78：d2：98:7b：42）目的站物理地址（10:78：d2:9d:9b:dc）目的站IP地址83目的站IP地址1.B 編程構(gòu)造IP數(shù)據(jù)包部分使用C語言構(gòu)造IP數(shù)據(jù)包程序。1) IPv4基本定長首部結(jié)構(gòu)體定義struct iphdr ip verlen ;u_char ip_tos;u_short ip_len;short ip_id;short ip_fragoff;u_char ip_ttl;u_char ip_prpto;short ip_cksum;IPadder ip_src;IPad

17、dr ip_dst;U_char ip_data1; 34;2)構(gòu)造IP報(bào)文unsigned char * Build_IP_Packet(unsigned int d_ip, unsigned int s_ip,unsigned char proto_type, const unsigned char *buf, int len,unsigned char * ippacket, int *iplen)*iplen=sizeof(struct iphdr)+len;Unsigned char *dbuf=ippacket+sizeof(strct iphdr);Strct iphdr *ip

18、h=(strct pihdr *)ippacket;Memcpy(dbuf,buf,len);Iph-version=4;Iph-ih1=5;Iph-tos=0;Iph-toto_len=htons(*iplen);Iph-id=htons(0x65d2);Iph-frag_off=htons(0);Iph-tt1=64;Iph-daddr=d_ip;Iph-saddr=s_ip;Iph-protocol=proto_type;Iph-check=0;Iph-check=checksum(unsigned short *)ippacket sizeof(strct iphdr);return ippacke