Internet控制報(bào)文協(xié)議ICMP

實(shí)驗(yàn)五Internet控制報(bào)文協(xié)議ICMP實(shí)驗(yàn)?zāi)康?.掌握使用Ethereal工具對ICMP協(xié)議進(jìn)行抓包分析的方法。理解不同類型ICMP報(bào)文的具體意義。3．通過實(shí)驗(yàn)，進(jìn)一步了解ICMP協(xié)議。實(shí)驗(yàn)環(huán)境1?安裝Windows2000/2003Server/XP操作系統(tǒng)的PC計(jì)算機(jī)一臺。2.每臺PC具有一塊以太網(wǎng)卡，通過雙絞線與局域網(wǎng)相連。3．每臺PC運(yùn)行網(wǎng)絡(luò)協(xié)議分析軟件wireshark。實(shí)驗(yàn)原理ICMP是InternetControlMessageProtocol（Internet控制報(bào)文協(xié)議）的縮寫，是TCP/IP協(xié)議族的一個子協(xié)議，用于在主機(jī)和路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由器是否可用等網(wǎng)絡(luò)本身的消息。由于IP網(wǎng)絡(luò)的不可靠并且不能保證信息傳遞，因此當(dāng)發(fā)生問題時，通知發(fā)送者是很重要的。ICMP協(xié)議提供有關(guān)阻止數(shù)據(jù)包傳遞的網(wǎng)絡(luò)故障問題反饋信息的機(jī)制，它讓TCP等上層協(xié)議能夠意識到數(shù)據(jù)包沒有送達(dá)目的地，ICMP協(xié)議提供一種查出災(zāi)難性問題的方法。這些災(zāi)難性的問題包括“TTLExceeded”（超過生存時間）和“需要分更多的數(shù)據(jù)段”等。ICMP協(xié)議不報(bào)告IP校驗(yàn)失敗等常見的問題。這是因?yàn)榧俣═CP或者其他可靠的協(xié)議能夠處理這類數(shù)據(jù)包損壞的問題。而且，如果使用UDP等不可靠的協(xié)議，我們就不應(yīng)理會較小數(shù)量的數(shù)據(jù)損失。反之，如果網(wǎng)絡(luò)有問題則需要立即報(bào)告。例如，當(dāng)IP的TTL值（IP生存時間）將達(dá)到零，這就可能是網(wǎng)絡(luò)的某個部分發(fā)生了路由環(huán)路問題，這樣將沒有任何數(shù)據(jù)包能發(fā)送到目的地。端點(diǎn)系統(tǒng)需要了解這些類型的故障。ICMP是一種發(fā)送各種消息，用于報(bào)告網(wǎng)絡(luò)狀態(tài)的協(xié)議，而非僅僅是簡單的ping（連通性測試程序）?；貞?yīng)請求（EchoRequest）僅是ICMP協(xié)議提供的眾多消息之一。Ping信息可以被過濾掉。但是，大多數(shù)ICMP消息類型是IP、TCP和其他協(xié)議正常運(yùn)行所需要的。ICMP協(xié)議本身非常復(fù)雜。每一種類型的ICMP消息也稱“主要類型（MajorType）”，它擁有自己的“子類型編碼（MinorCodes）”。ICMP協(xié)議工作在第3層，因此，它能夠在互聯(lián)網(wǎng)上路由。一個ICMP數(shù)據(jù)包實(shí)際上就是一個IP數(shù)據(jù)部分包含ICMP協(xié)議數(shù)據(jù)的IP數(shù)據(jù)包。每一個ICMP消息都將包含引發(fā)這條ICMP消息的數(shù)據(jù)包的完全I(xiàn)P包頭，這樣端點(diǎn)系統(tǒng)就會知道實(shí)際上哪一個數(shù)據(jù)包沒有發(fā)送到目的地。ICMP協(xié)議消息包含不會變化的3個字段，隨后是ICMP數(shù)據(jù)，然后是引發(fā)此消息的源IP數(shù)據(jù)包包頭。不會變化的3個字段中，第1個字段包含ICMP類型（主要類型）、第2個字段包含了類型代碼、第3個字段是ICMP消息校驗(yàn)值。ICMP協(xié)議在某些情況下不會發(fā)送錯誤信息。ICMP不會對ICMP信息做出響應(yīng)。如果ICMP回應(yīng)其他ICMP消息，這些消息的數(shù)量會爆炸性增長而演變?yōu)橐粓鯥CMP消息風(fēng)暴。為了防止出現(xiàn)廣播風(fēng)暴，ICMP消息也不會回應(yīng)一個廣播或者多播地址。各種ICMP的報(bào)文格式如下：?目的不可達(dá)報(bào)文類型：3代碼：0至12檢驗(yàn)和未使用（全0）收到的IP數(shù)據(jù)報(bào)的一部分，包括IP首部以及數(shù)據(jù)報(bào)數(shù)據(jù)的前8個字節(jié)?源端抑制報(bào)文類型：4代碼：0 檢驗(yàn)和未使用（全0）收到的IP數(shù)據(jù)報(bào)的一部分，包括IP首部以及數(shù)據(jù)報(bào)數(shù)據(jù)的前8個字節(jié)?超時報(bào)文類型：11代碼：0或1 檢驗(yàn)和未使用（全0）收到的IP數(shù)據(jù)報(bào)的一部分，包括IP首部以及數(shù)據(jù)報(bào)數(shù)據(jù)的前8個字節(jié)?參數(shù)問題類型：12代碼：0或1檢驗(yàn)和指針未使用（全0）收到的IP數(shù)據(jù)報(bào)的-一部分，包括IP首部以及數(shù)據(jù)報(bào)數(shù)據(jù)的前8個字節(jié)?改變路由類型：5代碼：0到3 檢驗(yàn)和目標(biāo)路由器IP地址收到的IP數(shù)據(jù)報(bào)的一部分，包括IP首部以及數(shù)據(jù)報(bào)數(shù)據(jù)的前8個字節(jié)?回送請求和回答類型：8或0代碼：0檢驗(yàn)和標(biāo)識符序號由請求報(bào)文發(fā)送；由回答報(bào)文重復(fù)?時間戳請求和回答

類型：13或14 代碼：0檢驗(yàn)和標(biāo)識符序號原始時間戳接收時間戳發(fā)送時間戳?地址掩碼請求和回答類型：17或18代碼：0檢驗(yàn)和標(biāo)識符序號地址掩碼?路由詢問和通告類型：10代碼：0檢驗(yàn)和標(biāo)識符序號類型：9代碼：0檢驗(yàn)和地址數(shù)地址項(xiàng)目長度壽命路由器地址1優(yōu)先級1路由器地址2優(yōu)先級2???實(shí)驗(yàn)步驟一、ping命令使用的ICMP信息包Ping命令格式如下：ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS][-rcount][-scount][[-jhost-list]|[-khost-list]][-wtimeout]target_name這里對實(shí)驗(yàn)中可能用到的參數(shù)解釋如下：-t：用戶所在主機(jī)不斷向目標(biāo)主機(jī)發(fā)送回送請求報(bào)文，直到用戶中斷；-ncount:指定要Ping多少次，具體次數(shù)由后面的count來指定，缺省值為4；-1size:指定發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù)包的大小，默認(rèn)為32字節(jié)，最大值是65527；-wtimeout:指定超時間隔，單位為毫秒；target_name:指定要ping的遠(yuǎn)程計(jì)算機(jī)。1.啟動wireshark協(xié)議分析工具，開始抓包。

2.點(diǎn)擊“開始"菜單，在運(yùn)行中輸入“cmd”，進(jìn)入Windows系統(tǒng)的命令行模式,在命令行模式下輸入“ping192.168.*?*，如圖1所示。ping結(jié)束后，停止抓包程序，并在wireshark中的“Filter"域中輸入關(guān)鍵字“ICMP”，點(diǎn)擊“Apply”按鈕，將非ICMP數(shù)據(jù)包過濾掉。如圖2所示。在中間窗口的“InternetProtocol”中可以看到，協(xié)議號為01，表明是一個ICMP格式的數(shù)據(jù)包。圖2wireshark捕獲的ping程序數(shù)據(jù)包查看數(shù)據(jù)包內(nèi)容窗口中的“InternetControlMessageProtocol”，可以看到該ICMP數(shù)據(jù)包的協(xié)議類型為8(Type8)，代碼為0(Code0)，表明是一個ICMP請求(Request)數(shù)據(jù)包。如圖3所示，請注意其他字段“Identifier”“Sequencenumber"和“Data”的內(nèi)容。FileEditViewGoCaptureAnalyzeStatisticsTelephonyToolsHelp剽無曲飆獵FileEditViewGoCaptureAnalyzeStatisticsTelephonyToolsHelp剽無曲飆獵L白白沢◎咼丨瞪■?喬殳丨凰叵]丨0Q?門」皿回電雕丄?No.- TimeSourceDestinationPrut□匚口1Info342.9777155352I匚麗PEchoCpinq)request352.9778505253ICMPEcho(ping)reply453.9778705352ICMF1Echo(ping)request463.9780195253I匚MPEchoCpmg)reply534.9778915352ICMPEcho(ping)request544.9780525253ICMPEcho(ping)reply655.9778825352I匚MPEchoCpmg)request665.9780555253ICMPEcho(ping)replyFilter:icmpExpression...匚learApply00000010002000300040ping程序00000010002000300040ping程序icmp包擴(kuò)展ooooo7,^分*析看這^些「IC^MP協(xié)^議包護(hù)阿日畫答城^下問題:Profile:Default >>Frame34(74bytesonwire,74bytescaptured)>EthernetII,src:Realteks_46:2f:f2(00:e0:4c:46:2尸汁2),Dst:Realrek5_46:2f:d9(00:e0:4c:46:2f:d9)>InternetProtocol,Src:53(53),Dst：52(1^52)biinternetcontrolMessageProtocolType:8(Echo(ping)request)匚口匸佢：oC)checksum:ux^/dc[correct]鑒囂鳥霊穿人ICMP協(xié)議部分>Data(32bytes)(1)本機(jī)的IP地址是 目標(biāo)主機(jī)的IP地址是 ⑵一共截獲了幾個ICMP報(bào)文？分別屬于那種類型?(3)分析截獲的ICMP報(bào)文，查看表1中要求的字段值，填入表中。表1ICMP報(bào)文分析”*9源IP目標(biāo)IPICMP報(bào)文格式類型標(biāo)識(4)分析在上表中哪個字段保證了回送請求報(bào)文和回送應(yīng)答報(bào)文的一一對應(yīng)？二、traceroute程序使用的ICMP信息包Traceroute命令用來獲得從本地計(jì)算機(jī)到目的主機(jī)的路徑信息。在MSWindows中該命令為Tracert，而UNIX系統(tǒng)中為Traceroute。Tracert先發(fā)送TTL為1的回顯請求報(bào)文，并在隨后的每次發(fā)送過程將TTL遞增1，直到目標(biāo)響應(yīng)或TTL達(dá)到最大值，從而確定路由。它所返回的信息要比ping命令詳細(xì)得多，它把您送出的到某一站點(diǎn)的請求包，所走的全部路由均告訴您，并且告訴您通過該路由的IP是多少，通過該IP的時延是多少。Tracert命令同樣要在安裝了TCP/IP協(xié)議之后才可以使用，其命令格式為：tracert[-d][-hmaximum_hops][-jcomputer-list][-wtimeout]target_name參數(shù)含義為：-d:不解析目標(biāo)主機(jī)的名稱；-h:指定搜索到目標(biāo)地址的最大跳躍數(shù)；j按照主機(jī)列表中的地址釋放源路由；-w：指定超時時間間隔，程序默認(rèn)的時間單位是毫秒。啟動wireshark協(xié)議分析工具，開始抓包。然后點(diǎn)擊“開始"菜單，在運(yùn)行中輸入“cmd”，進(jìn)入Windows系統(tǒng)的命令行模式，在命令行模式下輸入“"，如圖4所示。圖4tracert程序tracert命令結(jié)束后，停止抓包，并在wireshark中的“Filter"域中輸入關(guān)鍵字“ICMP”，點(diǎn)擊“Apply”按鈕，將非ICMP數(shù)據(jù)包過濾掉。如圖5所示。

Destination2014.8690540202.108.22.5Destination2014.8690540202.108.22.5ICMPEchoCpIng)request2114.8701770ICMPTime-to-liveexceeded(Timeto1iveexceededintransit)2214.8708240202.108.22.5ICMPEcho(ping)request14.8716400工匚陰PTime-to-1iveexceeded(.Timetoliveexceeded1ntransit)2414.8717970202.108.22.5ICMPEcho(ping)request14.8726160ICMPTime-to-1iveexceeded(Timetoliveexceeded1ntransit)2815.8804530202.108.22.5ICMPEcho(ping)request%15.881739540ICMPTime-to-1iveexceeded(Timetoliveexceeded1ntransit)3015.8819800202.108.22.5ICMPEcho(ping)request3115.883001540工匚同pTime-to-1iveexceeded(Timeto1iveexceededintransit)3215.8832100ICMPEcho(ping)request3315.884220540工匚同pTime-to-1iveexceeded(Timeto1iveexceededintransit)3616.8911120ICMPEcho(ping)request3716.8929560□AlpTime-to-1iveexceeded(Timeto1iveexceededintransit)3816.8931150ICMPEcho(ping)request3916.8967020]?A1PTime-to-1iveexceeded(Timeto1iveexceededintransit)4016.8969610ICMPEcho(ping)request4116.90050801匚陰PTime-to-1iveexceeded(Timeto1iveexceededintransitjSFrame20(106bytesonwire,106bytescaptured)[3EthernetII,src:intelcorJLO:16:79(00:lf:3c:10:16:79),Dst:Tp-LinkT_31:bb:b2(00:23:cd:31:bb:b2)EinternetProtocol,Src:0(0),Dst:(202.108.22.5)Type:8(EchoCping)request)code:0OChecksum:Oxdbee[correct]idenfifier:0x0200Sequencenumber:6673(0x1all)SData(64