完整版網(wǎng)絡(luò)層數(shù)據(jù)分組的捕獲和解析

1、2 6 £ & 6 3 5 5 5 5 有S:TL=TL= 具 T I I T SSSS m m m m 0 1111 5 - = J_ - I.3-1 、 、1 - JA,2 nn no nn nH 5 2 2 2 2 7 3 3 3 3* =-=1?節(jié)節(jié)節(jié)節(jié)字節(jié)的教據(jù):自L2J 修拈, 計(jì)扁帕 充龍L ila-SrIn=<£長 P送®<取 的, 0已計(jì)ns -5:估i 13備 X數(shù)W取 9.退實(shí)驗(yàn)二：網(wǎng)絡(luò)層數(shù)據(jù)分組的捕獲和解析1. 實(shí)驗(yàn)類別協(xié)議分析型2. 實(shí)驗(yàn)內(nèi)容和實(shí)驗(yàn)?zāi)康谋敬螌?shí)驗(yàn)內(nèi)容：1 捕獲在連接Internet過程中產(chǎn)生的網(wǎng)絡(luò)層分組：

2、DHCP分組,ARP分組,IP數(shù)據(jù)分組,ICMP 分組.2分析各種分組的格式,說明各種分組在建立網(wǎng)絡(luò)連接過程中的作用.3分析IP數(shù)據(jù)分組分片的結(jié)構(gòu).通過本次實(shí)驗(yàn)了解計(jì)算機(jī)上網(wǎng)的工作過程,學(xué)習(xí)各種網(wǎng)絡(luò)層分組的格式及其作用,理解長度大于1500字節(jié)IP數(shù)據(jù)組分片傳輸?shù)慕Y(jié)構(gòu).3. 實(shí)驗(yàn)設(shè)備環(huán)境Windows XP 操作系統(tǒng)的 pc機(jī),連接到Internet ,使用 WireShark 軟件.4. 實(shí)驗(yàn)步驟4.1準(zhǔn)備工作啟動(dòng)計(jì)算機(jī),連接網(wǎng)絡(luò)保證能夠上網(wǎng).4.2捕獲和分析網(wǎng)絡(luò)層分組開啟監(jiān)控,連接網(wǎng)絡(luò).一段時(shí)間后查看捕獲的分組.分析各種分組的格式以及在上網(wǎng)過程中 所起的作用.4.3- 1發(fā)送ICMP分組,

3、捕獲并分析格式閔 Cf.Wi nd pwsVsyst em 3 2'gmd.exeHind.怦§ 版本 &.L.F&團(tuán)Bl<c) 2021 nicrosoft Gorparation« 保存所有權(quán)策#:xUsers kliuminCT>pinff uwu. baidu.cotnPing uuu.a.shifen119.75.213.50 白119-75.213.50 的119.75.213.50 的119.75.213.50 所ICMP 是(Internet Control Message Protocol ) Internet 限制報(bào)文

4、協(xié)議.它是 TCP/IP 協(xié)議族 的一個(gè)子協(xié)議,用于在IP主機(jī)、路由器之間傳遞限制消息.限制消息是指網(wǎng)絡(luò)通不通、主機(jī) 是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息.這些限制消息雖然并不傳輸用戶數(shù)據(jù),但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用.01010100001001011111110000001000&0000000101000101oooooooclOOCOOOOO00111100000010001010110100000000000000010000000003G0001I000000000000000011100101GOOLOllO0111011111010101四?四1JOOOQOQ

5、OOL1001L01nternet Protocol T Src: n&X如IMO.* (118. 229.130,. Dst: 119.75.213.51 C119.75version: 4Header Ierqth: 20 bytesD oiffGrcntiatcd services ricld: OxOD (dscp 0x00: Def ju11: ecu: 0x00) Toxal Length: &o irlentHfication: OxOfiad <2221)田 FlagFragment offset: 0Time to 1ive: 12GProLMOl :

6、KMP Q)Q H«ddar chscksun: 0x0000 ncorract, should ba OxxWSource; 110.2Z».13D.ZZ 018.229.130.ZZ)DPSTinarim: 11Q.75.213. 51 C11Q. 75. 71.)-internet controlprotocQlType: 8 (Echo ping request) code: O checksum; ax4ccd rcorreci Trjpnr-if i pr: OxDOOl 5equene rumber: 142 0x00昭) Sequence rumber (l

7、e)： 35352 (OxSeOO) Data (32 bytes)oaia：C0G9CaGb6CCd6eCf"O7L7Z?374757G77&1.L pngt Iit 170100為協(xié)議類型：4.0101為首部長度：5*4=20字節(jié)00000000為效勞類型.00000000 00111100為總長度：60 (20個(gè)頭部,40個(gè)數(shù)據(jù))00001000 10101101 為標(biāo)識(shí)：0*08ad (2221 )000為標(biāo)志位 MF=0 DF=000000 00000000 為片偏移：offest=010000000 為生存時(shí)間：12800000001 為協(xié)議：ICMP (1)00

8、000000 00000000為首部校驗(yàn)和：001110110 11100101 100000010 00010110 為源地址：128.229.130.2201110111 01001011 11010101 00110011 為目標(biāo)地址:119.75.213.51iioioioi 00110311 m啊迎旗0110011101101L11011101110110100001101000 0111oooo 01100001 0110100101100Q0101101G010111000101100010011000100110101001110010011000110110001101101

9、011C111&011 011001001T 01100100 01101100 01110100 0110010101100101011011010111010101100110O11G01L0011011LO01110110O11O01L100001000為ICMP報(bào)文的類型：800000000 為 code : 001001100 11001101 為校驗(yàn)和：0x4ccd其后面的32為與ICMP的類型有關(guān)在后面的為數(shù)據(jù)局部.此ICMP為回送請(qǐng)求與回送答復(fù)報(bào)文4.3- 2發(fā)送ARP分組,捕獲并分析格式ARP,即地址解析協(xié)議,實(shí)現(xiàn)通過 IP地址得知其物理地址.在 TCP/IP網(wǎng)絡(luò)環(huán)境

10、下,每個(gè)主 機(jī)都分配了一個(gè)32位的IP地址,這種互聯(lián)網(wǎng)地址是在網(wǎng)際范圍標(biāo)識(shí)主機(jī)的一種邏輯地址.為了讓報(bào)文在物理網(wǎng)路上傳送, 必須知道對(duì)方目的主機(jī)的物理地址. 這樣就存在把IP地址變 換成物理地址的地址轉(zhuǎn)換問題. 以以太網(wǎng)環(huán)境為例, 為了正確地向目的主機(jī)傳送報(bào)文, 必須 把目的主機(jī)的32位IP地址轉(zhuǎn)換成為48位以太網(wǎng)的地址.這就需要在互連層有一組效勞將 IP 地址轉(zhuǎn)換為相應(yīng)物理地址,這組協(xié)議就是 ARP協(xié)議.ARP 包：e Ethernet 11 Src: Asustftkc_fd:f8:12 (OOiFd:f8, Dst: Broadcast (fff rff:ff-Desiirat1 on：

11、 Broadcast (T佇ffAddr tissi 由 MJcasi (fT:1T: FT ： f 門* IG bit: Group address (nulticast/brcadtist) =LG biti Local!y adminlstereel address (this is MO' B source: A&Mstekc_fd:fS:12 <00:2t：i8：f Address; Aiustt!kc_fdl:ffl: 12 (00:26:15 . fd : TSilZ) . *.*0 .* *.,* * .,.* - IG bit: Individual a

12、ddress (unicast ,* = LG bit: Glabally unique address (factory default'Type: arp coxaeodj Trailer; DO00aOOCOODO0000001>00000000000000000 Address Rcsoluficn Frotocol (requeutj Hardware typ: Ftherri&t (0x0001) proiocol type: ip Coxoeoo riardHdr已 s i r« 6 nrctccol size: A Opcode: requt (

13、DkOOOI) is qratJitous: FalsJ 5end*r mac addrtsi： ASL3tekC_fd:fE:1Z (00:2G:13:fd:fS:L2) sender ip address: 11S.22D.130.57 <118-220*110.57) Target MftC address: 00:00:00_(0100:00 (00100:DO：0<l：00:DO) rarg«L IP address： 116,229.130*1 (113.229.130-L)本機(jī)希望知道ip為118.229.130.1主機(jī)的物理地址,如果本機(jī)的ARP緩存表中沒

14、有目標(biāo)IP地址,那么本機(jī)將會(huì)發(fā)送一個(gè)播送本機(jī)MAC地址是“00 26 : 18 : fd : f8: 12,這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：我是118.229.130.1 ,我的硬件地址是"00 : 26 : 18:fd : f8 : 12".請(qǐng)問IP地址為192.168.1.1的MAC地址是什么 網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng)ARP詢問,只有目標(biāo)主機(jī)接收到這個(gè)幀時(shí),才向本機(jī)做出這樣的回應(yīng)：“118.229.130.1的MAC地址是xx-xx-xx-xx-xx- xx.這樣,本機(jī)就知道了目標(biāo)主機(jī)的MAC地址,它就可以向目標(biāo)主機(jī)發(fā)送信息了.還同時(shí)都更新了自己(本機(jī)與目標(biāo)的

15、)的 ARP緩存表(由于本機(jī)在詢問的時(shí) 候把自己的IP和MAC地址一起告訴了目標(biāo)主機(jī)),下次本機(jī)再向目標(biāo)主機(jī)或者目標(biāo)主機(jī)向本 機(jī)發(fā)送信息時(shí),直接從各自的ARP緩存表里查找就可以了.4.3- 3發(fā)送DHCP分組,捕獲并分析格式DHCP動(dòng)態(tài)主機(jī)設(shè)置協(xié)議Dynamic Host Configuration Protocol 是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié) 議,使用UDP協(xié)議工作,主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)效勞供應(yīng)商自動(dòng)分配IP地址給用戶給內(nèi)部網(wǎng)絡(luò)治理員作為對(duì)所有計(jì)算機(jī)作中央治理的手段.Ns "imfcS our iffkslirijijcnDHCP DHCP RclCiUieTrdrdLta

16、ian 10.淑3如浦；5國 61. T?d2 57 0. 0.0.0 5M 6Z. 569aS 118.225-130.1 589 &A 569073 O. D.d.O992 62.5BB777 11B.111.130.1255.2S1.25S.25525,255.255. 255ZSh.255.255.255255-25.25,255OH匚pOnCP dsroivr-Transaction id Ox9f69d2SlDHCF OUCF OfferIDHCPDtCP Request - Transdction ID 0罰9Tb如ALcticporicp AtK- Transacrio

17、n id oxfG9d28i5B1: W2 byt«s dh wir# (27 36 bits) * M2 bytes captur (2736 bits)0, src： ufl«Lc_25 ：L3 : fC (00123 ； 54 ；25；b3：fc) , DSC：取口 Md T! ff ： ff f ： ff ： f F) d ocstinarlon: Broadcast:Fff ;ff ：ff)sgurce: AsutekC匚:&4 :bi :ft)ypt; tip (0x080033 IrrternEt Protocol , Sr c: O.D.O.O (0

18、.0. ft.*), Qst ： 35 5.25 5. ? 5S. 25 5 C2 5 5. ?55.35 5.verslwi: 1length: 20 b/l«sj Different lai cd !>crv1«c Field: oxo.(D£CP oxoo： KfauRi lc<: oxoo)Tata Length： 328Tdf'HTifiration: OKCbrr了弓浙3 Flags : QxOOftjgr«n-L offset: 0to12EPrOtCCGl: UDP (17)ii Header checksumQxcd

19、d9 correctSource： O.Q+Q,.(0+ Dn 0.0)r>pst inatnen: 2S5.255.?55 (75. 255. J5S. ?55)*口aisqr孫 prciocolp sre port: boutpc (es)T ps port: bootps (w)i 6 oct st i"Protocol首先釋放當(dāng)前的IP地址,然后再重新獲取IP地址.然后向網(wǎng)絡(luò)發(fā)出一個(gè)DHCP DISCOVER封包.封包的來源地址會(huì)為0.0.0.0,而目的地址那么為 255.255.255.255 ,然后再附上DHCP discover 的信息,向網(wǎng)絡(luò)進(jìn)行播送.當(dāng)DHCP

20、效勞器監(jiān)聽到客戶端發(fā)出的DHCP discover 播送后,它會(huì)從那些還沒有租出的地址范圍內(nèi),選擇最前面的空置IP,連同其它 TCP/IP設(shè)定,響應(yīng)給客戶端一個(gè)DHCPOFFER封包.由于客戶端在開始的時(shí)候還沒有IP地址,所以在其 DHCP discover 封包內(nèi)會(huì)帶有其 MAC地址信息,并且有一個(gè) XID編號(hào)來區(qū)分該封包,DHCP效勞器響應(yīng) 的DHCP offer封包那么會(huì)根據(jù)這些資料傳遞給要求租約的客戶.根據(jù)效勞器端的設(shè)定, DHCP offer封包會(huì)包含一個(gè)租約期限的信息.如果客戶端收到網(wǎng)絡(luò)上多臺(tái)DHCP效勞器的響應(yīng),只會(huì)挑選其中一個(gè)DHCP offer而已通常是最先抵達(dá)的那個(gè),并且會(huì)

21、向網(wǎng)絡(luò)發(fā)送一個(gè) DHCP request播送封包,告訴所有 DHCP 效勞器它將指定接受哪一臺(tái)效勞器提供的IP地址. 同時(shí),客戶端還會(huì)向網(wǎng)絡(luò)發(fā)送一個(gè)ARP封包,查詢網(wǎng)絡(luò)上面有沒有其它機(jī)器使用該IP地址；如果發(fā)現(xiàn)該IP已經(jīng)被占用,客戶端那么會(huì)送出一個(gè) DHCPDECLIENT 封包給DHCP效勞器,拒絕接受其 DHCP offer,并重新發(fā)送 DHCP discover 信息.當(dāng)DHCP效勞器接收到客戶端的DHCP request 之后,會(huì)向客戶端發(fā)出一個(gè)DHCPACK響應(yīng),以確認(rèn)IP租約的正式生效,也就結(jié)束了一個(gè)完整的DHCP工作過程.假設(shè)一直得不到響應(yīng)的情況下,客戶端一共會(huì)有四次 DHCP

22、discover播送包括第一次在內(nèi), 除了第一次會(huì)等待1秒之外,其余三次的等待時(shí)間分別是9、13、16秒.如果都沒有得到DHCP效勞器的響應(yīng),客戶端那么會(huì)顯示錯(cuò)誤信息,宣告DHCP discover的失敗.之后,基于使用者的選擇,系統(tǒng)會(huì)繼續(xù)在5分鐘之后再重復(fù)一次 DHCP discover 的過程.4.3- 2發(fā)送ip數(shù)據(jù)分組,捕狄并分析格式ip數(shù)據(jù)分組：血 C:WindowssysteiTi 3 2dTnrl, tieUindous<c) 2069 Nicocof t Corpov-at ion 保存所有權(quán)利伊*MiuBiuig pingf -1 8000 192.1G8.B. 1p超

23、超超超 Hu1 JJi m nr HUM具有8000子T的數(shù)據(jù)168-0.1的Pina統(tǒng)計(jì)信息7數(shù)據(jù)包：己安送 4,己玲板-0,喪失 4 <100K喪失,TIeSPl-fikxd t-nfoId Jt- 4 950 LlJU' : M口 5沛虱我 JKL72 <»?.16a.0.1prED-FBF142.1fh9町并衛(wèi)事郭TCMF Frho 璀"fmhm nrKlrWl,If -ll , ises-n. rrl-lZS)T5W3pracr>-,'時(shí) 如口 icefl ip pro1 toCc-IjchP OtzzTp rragnrrrred

24、 111 prormcoiCpTMO-liW5%14占尊,1110,點(diǎn)1毋3弛,血1.TEF Echo (ping,此匚(3*血00】 miglX "乒訪過功由里 計(jì)】7；?18其口 】-,Kk JJt孔M.6L1】! r】生 廈政典QarMAlW &.婦 BfTgJOM, TAijafr*)14-2?$-£312. iiB.Q-1if FriQneirrc&d ip prt9Wl (trM：i>i<j-"F 0x01. ofT-44 j., lojafiej-&M 412171«1nr-nrir-ilw、_j -.

25、u.:nB-tn :;n：.ieoi-ti.2171*1ijch.c- 1rm .nr i： . -m cot rpr«Q-T(*p 0-01, orr-iw,716& 217673 IIS.2M.IK. 22192*.IM, D.371'4n. 17(1 "B 11-a.1 IO. 221V2.1E-9. Ci-1? Edw (ping) r«qMs<(IdgxiNm. $<4(ib#yle>=iwni*iii trl=i2is) l-7 Fra.griQrrtad IP prcytouil CprDtO>£CM

26、* (Ml, HfalJlAO. IDdrQif)Frw ?17： 1H4 bytes M Mr骨(12U2 ElSL 15U bcs 做“r財(cái) 口以M bits) Etbcrhet II, 5rc： A31t5tekc_25(W；2J；, O5t ?歸網(wǎng)漆加US打 1電:網(wǎng) CDOsffff ；«?：64；1« ；MJwstan! 4Ho jdor Ic-ngith: ZD bytas,-DirTer<miiieci s«rvKe& Fit no；兇口.?響 f oxoo-t oernt; e.5；如 g) TOTll Leriffth： 500

27、Identif icai: ianii Chijhi9f E】iig* .口1 (mor* Frjig>n|inT：f) Fr jgrarTt rffsfft: L-CBO Tl« c.a 11mc: 124 Prfliocal i Iip Header ctiBEksuai OwOOOO in 匚orset. should be 0x2024Lood: faisem 回 Trur» iexiktt info CErrDF/chBcic»LMd： Bad checkauivj Lia.32t ljD.23 <llt.UD. 130.21)DtSHWxl

28、Qrt： *2應(yīng)網(wǎng)上1 口熨.】創(chuàng).0." Oata £145& bytes：JOOUL ClijOuD. JOOllLlH-KJOlDUllClQlGLVOLlll QlOOClOlO匚"5其0心L<lli?JOUL一000«OlOlGiOOM1U10HIMgOClOWU0U0WOIWIOIOOOUOMi遍LCW100OCHM1O11LD1110DWill 010IOT111L1OQ1KKKK)1Q1110O11ODW0W00000001.r ：.«1«KMMOD(KlOWMWQL1W1101

29、L11K1011««0100MW110UMMKWL0in0«pO2fl(KHWOQOD0000300101100001<nigOUDOlIBMilailDOtCH)0110010101100110. - abizdefjJ2>jiiwiuyi jiLyiaiu uiiyiun -11111 -±iiriiLi "-±11.111 j ir 11klirr發(fā)送一個(gè)8000字節(jié)的包通過6片就行分組傳輸.1010100 00100101 1011001111111100 00001000 00000000loiooowi 000

30、00000000001OL 11011100 001110100000(X)0.OOOOOQOO 01110110oicioooi 00100000 oaoooooo iiiooioi looaooio oaoiono10000000 ooooooai HOOOOOO 10101OCK)Cl 0 00aCO0 0QOOOQOlKrflMJWlUooooodoo 11101011 0101110100000000 00000031i omni n Giinoam onnnom ci wnnn ni won on on omni nnnnnn,= TnrsrrWT Protocol, Src： U

31、S. 22&.110. 22 (11£. 22. 130. 22) , Det: 1&2.16S. 0.1 (lQ2.1Sfl verslon； 4rieadei leiigthi 20 Lytes±)Olfterentiated servi ces Field: 0x00 DSCP CxOO: Detau 11; ECn : OnOO) lotal Length： 15001dent ificatior! OxaSl (14皎a Flags: 0x01 (More Fragments) Fragnent offset; O lime to live: 18

32、 Protocol: ICMP El|neader checksi.m: OiD&OO incarrct, should be O2L2bGood: hIweB lBad : Trued Expert irftj Errqr checlcsunj: B&d checksumsource: US.229.130.22 (118.229.130. 22)UesTinarion: 192.16,0.1 CL9LM8.G.L)日 internet centrol Message ProtocolType: 8 (Echo (pingj request)code: Ochecksur:

33、Oxebdidentifier: OxOOOlSpqiJpncp nuirtjtr : 151 (OrOflZ)Sequence number (LE): 3S65C C0x9700)® Data (147Z b/tes供 1500 個(gè)字節(jié) id 為 0x3a51(14929)標(biāo)志位為001:最低位為MF=1:后面還有分片中間位為DF=0:允許分片在后面包含源地址與目標(biāo)地址.(前面已有分析,此處不再復(fù)述)IP協(xié)議頭部后面是傳輸層的數(shù)據(jù)包含頭部和數(shù)據(jù)局部,在此不再分析.數(shù)據(jù)的長度為1472.然后分析第二片可以得出,offset=1480 ,是由于前一片從傳輸層得到了1480的數(shù)據(jù)加上2

34、0個(gè)字節(jié)的頭部信息最后在網(wǎng)絡(luò)層形成了1500字節(jié)的包,然后此處的1480是傳輸層數(shù)據(jù)的斷點(diǎn)°可以得出offset=1480*(N-1) N為第幾片.由于后面還有片所以MF=1 DF=0=同理分析2 3 4 5片都具有相同數(shù)據(jù).來分析下最后一片：internet Protocol, Src： 118.229,130.22 Ql». 229,130.22K Dst: 192.166,0,1 (192.1( versi on: 4Header lengxh: 20 bytes=)Different i at ed Serv-ces Field: 0x00 QSCP OxOD :

35、I2ef aul t J £CN : 0x00)OflOO OO. = Differ err i at ed Ser wi ces Codspo-i nt: Default (0x00).0. = ECM-Capble Transpart (匚£T)! D 0 = ECM-CC: 0Tctal Length: 62BZcertificsfion: Ox3a51 (14929)Q Flacs: GxOO0,. . ,. . Fteserved bit: Nor set.0. Don't fragment: Not sex-0- . More f ragnents: Not set Fracmerrt offset: 7400 Time to 1ive: 1?8 Protocol : icmp 0)刁 hecer