實(shí)驗(yàn)五-IP協(xié)議分析

1、精選優(yōu)質(zhì)文檔-傾情為你奉上實(shí)驗(yàn)五 IP協(xié)議分析在這個實(shí)驗(yàn)里，我們將研究 IP協(xié)議，通過執(zhí)行 traceroute程序來分析 IP數(shù)據(jù)包發(fā)送和接收的過程。我們將研究 IP數(shù)據(jù)包的各個字段，詳細(xì)學(xué)習(xí) IP數(shù)據(jù)包的分片。一、捕獲 traceroute 為了產(chǎn)生一個 IP數(shù)據(jù)包，我們將使用 traceroute程序來向一些目的地發(fā)送不同大小的數(shù)據(jù)包，這個軟件我們在第一個實(shí)驗(yàn)已作過簡單的嘗試了。但我們試圖在 IP頭部首先發(fā)送一個或者更多的具有 TTL的數(shù)據(jù)包，并把 TTL的值設(shè)置為 1；然后向同一個目的地發(fā)送一系列具有 TTL值為 2的數(shù)據(jù)包；接著向同一個目的地發(fā)送一系列具有 TTL值為 3的數(shù)據(jù)包等等

2、。路由器在每次接收數(shù)據(jù)包時消耗掉一個 TTL，當(dāng) TTL達(dá)到 0時，路由器將會向源主機(jī)返回一個 ICMP的消息（類型為 11的 TTL溢出），這樣一個 TTL值為 1的數(shù)據(jù)包將會引起路由器從發(fā)送者發(fā)回一個 ICMP的 TTL溢出消息產(chǎn)生一跳，TTL值為 2的數(shù)據(jù)包發(fā)送時會引起路由器產(chǎn)生兩跳， TTL值為 3的數(shù)據(jù)包則會引起路由器產(chǎn)生 3跳。基于這種方式，主機(jī)可以執(zhí)行 traceroute觀察 ICMP的 TTL溢出消息，記錄每個路由器的 ICMP的溢出消息的源 IP地址，即可標(biāo)識出主機(jī)和目的地之間的所有路由器。我們要運(yùn)行 traceroute讓它發(fā)送多種長度的數(shù)據(jù)包，由 Windows提供的

3、tracert程序不允許改變由 tracert程序發(fā)送的 ICMP的回復(fù)請求消息的大小，在 Windows下比較好的一個是 pingplotter，它可以在以下網(wǎng)站下載共享版本（現(xiàn)在已下載好存在共享文件夾的壓縮包中）： 安裝 pingplotter標(biāo)準(zhǔn)版（你有一個 30天的試用期），通過對你所喜歡的站點(diǎn)執(zhí)行一些 traceroute來熟悉這個工具。 ICMP回復(fù)請求消息的大小可以在 pingplotter中設(shè)置：Edit-> Options->Default Setting->enginet，在 packet size字段中默認(rèn)包的大小是 56字節(jié)。 pingplotter發(fā)

4、送一系列 TTL值漸增的包時，Trace時間間隔的值和間隔的個數(shù)在 pingplotter中能夠設(shè)置。按下面步驟做： 1 啟動Iris，開始包捕獲； 2 啟動pingplotter，然后在“Address to Trace”窗口輸入目的地目標(biāo)的名字： 172.16.1.1 （1島 輸入172.16.6.1）在“# of times to Trace”區(qū)域輸入 3。然后選擇 Edit-> Options->Default Setting->engine，確認(rèn)在 packet size字段的值為 56，點(diǎn) OK。然后按下 Trace按鈕。你看到的 pingplotter窗口類似如

5、上： 1. 接下來，發(fā)送一組具有較長長度的數(shù)據(jù)包，通過Edit-> Options->Default Setting->engine在包大小區(qū)域輸入值為 2000，點(diǎn) OK。接著按下 Resume按鈕； 2. 再發(fā)送一組具有更長長度的數(shù)據(jù)包，通過 Edit-> Options->Default Setting->enginet在包大小區(qū)域輸入值為 3500，點(diǎn) OK。接著按下 Resume按鈕； 3. 使用Iris 跟蹤捕獲 tracing；（下圖為Ethereal捕獲數(shù)據(jù)，僅供參考）二、觀察捕獲的數(shù)據(jù)你應(yīng)該能看到由你的電腦和通過中間的路由器返回到你的電腦里

6、的 ICMP的 TTL溢出消息所發(fā)送的 ICMP序列，把這些數(shù)據(jù)保存出來。然后回答以下問題：Q1.選擇你的電腦所發(fā)送的第一個 ICMP請求消息，在包詳細(xì)信息窗口擴(kuò)展包的 Internet協(xié)議部分。你的電腦的 IP地址是多少？（192.168.157.120）Q2.在 IP包頭部，上層協(xié)議區(qū)域的值是多少？Q3.IP頭部有多少字節(jié)？（20bytes）IP數(shù)據(jù)包的有效載荷是多少字節(jié)？（36bytes）解釋你是怎樣確定有效載荷的數(shù)量的？（3）總長度減去IP首部長度Q4.這個 IP數(shù)據(jù)包被分割了嗎？（沒有）解釋你是怎樣確定這個數(shù)據(jù)包是否被分割？接下來單擊列名按 IP源地址排序數(shù)據(jù)包，選擇你的電腦發(fā)送的第

7、一個 ICMP請求消息，擴(kuò)展顯示 IP協(xié)議的數(shù)據(jù)。 Q5.在包捕獲列表窗口，你能看到在第一個 ICMP下的所有并發(fā)的 ICMP消息嗎？ Q6.往同一 IP的數(shù)據(jù)包哪些字段在改變，而且必須改變？（首部檢驗(yàn)和，標(biāo)識）為什么？哪些字段是保持不變的，而且必須保持不變？ （版本，首部長度，區(qū)分服務(wù)，協(xié)議，源地址）Q7.描述一下在 IP數(shù)據(jù)包的 Identification字段的值是什么樣的？（11650）接下來找到通過昀近的路由器發(fā)送到你的電腦去的 ICMP的 TTL溢出回復(fù)的系列，回答以下問題： Q8.Identification字段和 TTL字段的值是多少？ （30366，128）Q9.所有的通過昀

8、近的路由器發(fā)送到你的電腦去的 ICMP的 TTL溢出回復(fù)是不是值都保持不變呢？為什么？（是）接下去研究一下分片，先按時間順序排序數(shù)據(jù)包，找出在 pingplotter中把包的大小改成 2000后，你的電腦所發(fā)送的第一個 ICMP請求消息?；卮鹨韵聠栴}： Q10.那個消息是否傳送多于一個 IP數(shù)據(jù)包的分片？（是）看第一個被分割的 IP數(shù)據(jù)包的片段，在 IP頭部有什么信息指出數(shù)據(jù)包已經(jīng)被分割？在 IP頭部有什么信息指出這是否是第一個與后面片段相對的片段？這個 IP數(shù)據(jù)包的長度是多少？ Q11.看被分割的 IP數(shù)據(jù)包的第二個片段。在 IP頭部有什么信息指出這不是第一個數(shù)據(jù)包片段？有更多的片段嗎？（沒

9、有）你是怎么知道的？和上一個分片的長度加起來是 2000嗎？ （不是，是2020）Q12.哪個字段在第一個和第二個片段之間的 IP頭部改變了？(總長度,標(biāo)志,片偏移，首部檢驗(yàn)和)Identification變了嗎？（沒有）再找出在 pingplotter中把包的大小改成 3500后，你的電腦所發(fā)送的第一個 ICMP請求消息?；卮鹨韵聠栴}： Q13.從原始的數(shù)據(jù)包中產(chǎn)生了多少片段？（3片）片偏移分別為多少？（0， 1480，2960）Q14.在片段之中 IP頭部哪些字段改變了？（片偏移，總長度，標(biāo)志，首部檢驗(yàn)和）Identification變了嗎？（沒有）自主設(shè)計(jì)實(shí)驗(yàn)現(xiàn)在我們已經(jīng)會分析 IP協(xié)議

10、的數(shù)據(jù)包頭部結(jié)構(gòu)了，利用剛才收集的數(shù)據(jù)，自己想辦法描繪和分析一下到你訪問的服務(wù)器間的各個路由器的示意圖，看是不是和 pingplotter得到的結(jié)果一致？再測試一下到 172.16.1.1的路由情況。實(shí)驗(yàn)六 ICMP協(xié)議分析在這個實(shí)驗(yàn)中，我們將探索 ICMP協(xié)議，如由 Ping程序產(chǎn)生的 ICMP消息、由 Traceroute程序產(chǎn)生的 ICMP消息和 ICMP消息的格式與內(nèi)容等。一、ICMP與 Ping 按以下步驟進(jìn)行： 1. Windows命令行提示符； 2. IRis Network Analyzer，開始捕捉數(shù)據(jù)包； 3. MS-DOS命令行下輸入： ping n 10 172.16.

11、1.1（1島 輸入172.16.6.1）參數(shù)“-n 10”說明需要發(fā)送 10個 ping消息。 （下圖為Ethereal捕獲數(shù)據(jù)，僅供參考）4.當(dāng) Ping程序終止后，停止用Iris捕獲包。我們可以看到源端發(fā)出了 10個查問包并收到了 10個響應(yīng)，可以對每一個響應(yīng)源端計(jì)算往返時間（RTT），也不妨計(jì)算一下這 10個包平均 RTT。在第一個實(shí)驗(yàn)中作過類似的操作，讓我們現(xiàn)在先看一下Iris捕獲的包。先用“icmp”作為關(guān)鍵字過濾，注意到包列表顯示出 20個包：源端發(fā)出的 10個 Ping詢問和收到的 10個 Ping響應(yīng)。另外注意到源端的 IP地址是形如 172.16.X.X的私有地址，目的地的

12、IP地址是 172.16.1.1的 Web服務(wù)器的地址?，F(xiàn)在讓我們展開由客戶端發(fā)出的第一個包，在上圖中包內(nèi)容區(qū)提供了這個包的信息。我們看到包內(nèi)的 IP數(shù)據(jù)包有協(xié)議號 01（這是 ICMP的協(xié)議號），這說明這個 IP數(shù)據(jù)包承載的是一個 ICMP包。然后我們展開 ICMP協(xié)議部分的信息，我們觀察到這個 ICMP包的 Type為 8而 Code 為 0，這稱為一個 ICMP“請求”包。我們還注意到這個 ICMP包中包括一個 checksum、一個 identifier和一個 sequence number。把數(shù)據(jù)保存出來后，回答下面的問題： Q1.你主機(jī)的 IP地址是什么？遠(yuǎn)程主機(jī)的 IP地址是什么

13、？ Q2.為什么一個 ICMP包沒有源和目標(biāo)端口號？ Q3.檢查由你主機(jī)發(fā)送的一個 Ping請求包。ICMP type和 code是多少？這個 ICMP包包含了哪些其他的字段？Checksum、sequence number和 identifier字段的值各為多少？ Q4.檢查相應(yīng)的 Ping回應(yīng)包， ICMP type和 code是多少？這個 ICMP包包含了哪些其他的字段？Checksum、sequence number和 identifier字段的值各為多少？二、ICMP與 Traceroute 現(xiàn)在讓我們捕獲由 Traceroute程序產(chǎn)生的 ICMP包以便繼續(xù)我們的實(shí)驗(yàn)，我們將采用

14、Windows自帶的 tracert程序，按以下步驟進(jìn)行： 1.進(jìn)入 Windows命令提示符； 2.開啟 Iris Network Analyzer，開始捕捉數(shù)據(jù)包； 3.在 MS-DOS命令行下輸入： tracert 172.16.1.1 （1島 輸入172.16.6.1）4.當(dāng) Traceroute程序終止后，停止用Iris捕獲包。在運(yùn)行結(jié)束后我們可以看到對每一個 TTL值，源端發(fā)出了三個探測包。 Traceroute顯示了每一個探測包的 RTT值，以及返回 ICMP TTL耗盡消息的路由器的 IP地址（也可能包括名稱）。下圖的 Ethereal窗口則顯示了由一個路由器返回的 ICMP包。注意這個 ICMP error包（TTL溢出包）和 ICMP Ping消息相比多了許多字段。（下圖為Ethereal捕獲數(shù)據(jù)，僅供參考）將捕獲的數(shù)據(jù)保存后，完成以下問題： Q5.你主機(jī)的 IP地址是什么？遠(yuǎn)程主機(jī)的 IP地址是什么？ Q6.檢查 ICMP echo包，它和前半部分實(shí)驗(yàn)中的 ICMP ping查問包有否不同？如有，具體在何處？ Q7.檢查 ICMP error包，它的類型是什么， code是什么。它和 echo包相比有更多的字段，這些字段中包含了什么？