实验五IP协议分析

《实验五IP协议分析》由会员分享，可在线阅读，更多相关《实验五IP协议分析（8页珍藏版）》请在装配图网上搜索。

1、实验五IP协议分析在这个实验里，我们将研究IP协议，通过执行traceroute程序来分析IP数据包发送和接收的过程。我们将研究IP数据包的各个字段，详细学习IP数据包的分片。一、捕获traceroute为了产生一个IP数据包，我们将使用traceroute程序来向一些目的地发送不同大小的数据包，这个软件我们在第一个实验已作过简单的尝试了。但我们试图在IP头部首先发送一个或者更多的具有TTL的数据包，并把TTL的值设置为1;然后向同一个目的地发送一系列具有TTL值为2的数据包；接着向同一个目的地发送一系列具有TTL值为3的数据包等等。路由器在每次接收数据包时消耗掉一个TTL，当TTL达到0时，

2、路由器将会向源主机返回一个ICMP的消息（类型为11的TTL溢出），这样一个TTL值为1的数据包将会引起路由器从发送者发回一个ICMP的TTL溢出消息产生一跳，TTL值为2的数据包发送时会引起路由器产生两跳，TTL值为3的数据包则会引起路由器产生3跳。基于这种方式，主机可以执行traceroute观察ICMP的TTL溢出消息,记录每个路由器的ICMP的溢出消息的源IP地址，即可标识出主机和目的地之间的所有路由器。我们要运行traceroute让它发送多种长度的数据包，由Windows提供的tracert程序不允许改变由tracert程序发送的ICMP的回复请求消息的大小，在Windows下比较

3、好的一个是pingplotter，它可以在以下网站下载共享版本（现在已下载好存在共享文件夹的压缩包中）：安装pingplotter标准版（你有一个30天的试用期），通过对你所喜欢的站点执行一些traceroute来熟悉这个工具。ICMP回复请求消息的大小可以在pingplotter中设置：Edit-Options-DefaultSetting-enginet,在packetsize字段中默认包的大小是56字节。pingplotter发送一系列TTL值渐增的包时,Trace时间间隔的值和间隔的个数在pingplotter中能够设置。按下面步骤做：启动Iris，开始包捕获；启动pingplotte

4、r，然后在“AddresstoTrace”窗口输入目的地目标的名字：172.16.1.1(1岛输入172.16.6.1)”区域输入。然后选择Edit-Options-DefaultSetting-engine，确认在字段的值为，点K然后按下按钮。你看到的窗口类似如上：接下来，发送一组具有较长长度的数据包，通过Edit-Options-DefaultSetting-engine在包大小区域输入值为2000,点OK。接着按下Resume按钮；再发送一组具有更长长度的数据包，通过Edit-Options-DefaultSetting-enginet在包大小区域输入值为3500，点OK。接着按下Res

5、ume按钮；使用Iris跟踪捕获tracing；（下图为捕获数据，仅供参考）3iDortnyjon日JdrnfcerretProtocol(to).20中虫IdlkSupoio003000401|(liD-edierBai-lab-tifacBl-EtherealSOUFDO45 bICMPICMPICMPICMP:匚MPICMPICMPARPS5DPS5DPS5DP55DPSED尸ICMPNTTP/1.1MIIH/l.丄KTTP/1.1HTTPl-lHTTP/l-.lHTTPyd-.lww*Echo(pinqjrw口uesx192.163.1.102 24BZ18.0.153192.168.

6、1.102 24-12S.190.197J92.1&a.L.10324,128.0.101192.163.1.102128.59.192.1t.a.LuUa2128.5.23.100192,10.1,102123.59.23.1QD128.592気MID1U18062&11 520295712 20059713 6.23450514 6.23059515 6.257672lb6.25B750whohas192.16S.1.117?M-SEAR匚HM-i-LAHLIiM-SEAR匚HM-SEARCHM-SEARCHM-SEAR匚HICMPTime-to-1ivee?:CHedeoU.OOOOOD

7、4.3663&74,81501475.36353ib5.36479S5.S654616.163M5TaSfTce292.163. X.1QD92.1*53丄ulOU192.163-1.100192.163.1.100119疋LILQU102.1Sa.i.100192.163. -102EroadcasT192.163.1.192.1b8.-l192.163.1.1192.168.1-1丄152.1Sa.l.l12STEhMH.lQDEcho(pinq)requestTlme-to-live皀h匚eadedEchofpinqrequestTlrne-To-TRBeexceededEchofp1n

8、a?)口UBSTTittie-TO-livEexceededE匚hcifpingDrequestBt&映gUtfME占凶烬乳吐icsfcjap飞ALb-si曽护加Hlx：阴Efc=r;IpFraine9(.7(1bytesonwire,7JbytescapturedBEthernerII,Src!00!06：25uda：73?Dt:DO：3O:eO：S3：701Laoo00oi皿作16coasoie-6aosbit显侗ooT7ca03SO5(105Version:4Headerlengih:byresADirri&*iiLidl!=!d5t!ruiF11!1dlU.i.i-0LDSCPDa30

9、-匚I且5t;1tse-LurECU;OxDOjtotjILenguh:ideni:If!car-口仃；FlagssClsOuFraiienroffser;0Timetolive:255卩广口上口匚口1:ICMP(0x011Header匚hecksum:OxcaOC匚orrectSswr-iEIXCu23GuXu口.!1.Z2口丄)Dt1n咼Thein192.L6S.1-102C192.16E.11D2)卜rnternetCont-olMessageProtocalTeTI192.J63.1L1134二、观察捕获的数据你应该能看到由你的电脑和通过中间的路由器返回到你的电脑里的ICMP的TTL溢

10、出消息所发送的ICMP序列，把这些数据保存出来。然后回答以下问题：Q1.选择你的电脑所发送的第一个ICMP请求消息，在包详细信息窗口扩展包的Internet协议部分。你的电脑的IP地址是多少？（192.168.157.120）Q2.在IP包头部，上层协议区域的值是多少？Q3.IP头部有多少字节？（20bytes）IP数据包的有效载荷是多少字节？（36bytes）解释你是怎样确定有效载荷的数量的？（3）总长度减去IP首部长度Q4.这个IP数据包被分割了吗？（没有）解释你是怎样确定这个数据包是否被分割？接下来单击列名按IP源地址排序数据包，选择你的电脑发送的第一个ICMP请求消息，扩展显示IP协议

11、的数据。Q5.在包捕获列表窗口，你能看到在第一个ICMP下的所有并发的ICMP消息吗？Q6往同一IP的数据包哪些字段在改变，而且必须改变？（首部检验和，标识）为什么？哪些字段是保持不变的，而且必须保持不变？（版本，首部长度，区分服务，协议，源地址）Q7.描述一下在IP数据包的Identification字段的值是什么样的？（11650）接下来找到通过旳近的路由器发送到你的电脑去的ICMP的TTL溢出回复的系列，回答以下问题：Q8.Identification字段和TTL字段的值是多少？（30366,128）Q9.所有的通过旳近的路由器发送到你的电脑去的ICMP的TTL溢出回复是不是值都保持不变

12、呢？为什么？（是）接下去研究一下分片，先按时间顺序排序数据包，找出在pingplotter中把包的大小改成2000后，你的电脑所发送的第一个ICMP请求消息。回答以下问题：Q10.那个消息是否传送多于一个IP数据包的分片？（是）看第一个被分割的IP数据包的片段，在IP头部有什么信息指出数据包已经被分割？-QFlags:0x20!ion0=Reserfedion.0=DontFragment.1=Mo色Frags在IP头部有什么信息指出这是否是第一个与后面片段相对的片段？:-JFragrriEnt咂旦t：D这个IP数据包的长度是多少？Totallength:1500bytes(Correct)Q

13、ll看被分割的IP数据包的第二个片段。在IP头部有什么信息指出这不是第一个数据包片段？FragEEri-t隠旦t:148。有更多的片段吗？（没有）.0=MoreFrags1.匝你是怎么知道的？-和上一个分片的长度加起来是2000吗？不是，是2020)TotalIength:52口b杭旦e(匚oite戊)Q12.哪个字段在第一个和第二个片段之间的IP头部改变了？（总长度,标志,片偏移，首部检验和）Identification变了吗？（没有）再找出在pingplotter中把包的大小改成3500后，你的电脑所发送的第一个ICMP请求消息。回答以下问题：Q13.从原始的数据包中产生了多少片段？（3片

14、）片偏移分别为多少？（0，1480，2960）Q14.在片段之中IP头部哪些字段改变了？（片偏移，总长度，标志，首部检验和）Identification变了吗？（没有）自主设计实验现在我们已经会分析IP协议的数据包头部结构了，利用刚才收集的数据，自己想办法描绘和分析一下到你访问的服务器间的各个路由器的示意图，看是不是和pingplotter得到的结果一致？再测试一下到172.16.1.1的路由情况。实验六ICMP协议分析在这个实验中，我们将探索ICMP协议，如由Ping程序产生的ICMP消息、由Traceroute程序产生的ICMP消息和ICMP消息的格式与内容等。、ICMP与Ping按以下步

15、骤进行：Windows命令行提示符；IRisNetworkAnalyzer，开始捕捉数据包；MS-DOS命令行下输入：ping-n10172.16.1.1（1岛输入172.16.6.1）捕获数据，仅供参考）参数“-n10”说明需要发送10个ping消息。（下图为ILH-ETICMP匚匚h口PioiocdTg知drW|咎肚rppthwe帀卜:nac时-tttierelr|eAtvjphQoreftui?li-aiWustJelp圃巴因m密2园牛Gg雾坐旳Etw；jiCHW+EfTTOKTi.j.rfearAjjc+r-d.aaia&iqj.lc-b.i.lol4 Du415O9E5 i.aas2

16、70巧：L/ML6曲7a2.32447993rQ(356Id3.321211243旳PE12 +.3433E1133354H入茹REQ156.0221.16US6.4Q3d7D177-02221313 7.4232M19&U22249216.42301621 事益225422 &.420631J3.B5_14.34lflZ.lC.B.l.LOLU3.Bt.lfl.34192.166.1.101 1J3.69.14.24l?2,16Brl,LQL.4/.:-ly2.lt.6ul.l_ul113,59.14,34192.166.1.101 143.69.14.4192.166.1.101143.B

17、9.14.3d192.166.1.10114-3.B9.14.34192.16B.2.LQ1.4.:I._152.16B.1.L0L143.BD.14.34192丄6E-luL01143.S0-14192.166- 1AU1143.59.1+.192.166.1.ICO.143.59.1+.192.166- 1.Ltd.143.89.14. 119Z.1BE.1.LQL.4.：二.-igZ.l&B.I.LQl-.4.:r.亠192.16Bl.LftL143.8-14-34192.16B1.101143.99.14. 1192.166- 1.101143.S&U.Sd1U2.166-1.101I

18、IIIIIIIIIIIIII1IIIE-cho(pingjreplyEchofpfngjrc-quastEchotplriijjreplyEchofpirigirequestEchoCplng)replyEcho(ping)requestEchoimErnerProtacol,5rc.Addr:(192.1,1,101),Ostddr:US,B9rH,3口仃占乳1轧討jrIATErVISTCDCiIZrOlMPSSaOfPfOTOCCilType：Ei：pl仃gjrequestcode:DCheckaLm:CccrrectjIdam1F1or:ODSequencenutiher:DX670LO

19、atasequencenumber和identifier字段的值各为多少？Q4.检查相应的Ping回应包，ICMPtype和code是多少？这个ICMP包包含了哪些其他的字段？Checksumsequencenumber和identifier字段的值各为多少？二、ICMP与Traceroute现在让我们捕获由Traceroute程序产生的ICMP包以便继续我们的实验，我们将采用Windows自带的tracert程序，按以下步骤进行：1. 进入Windows命令提示符；2. 开启IrisNetworkAnalyzer，开始捕捉数据包；3.在MS-DOS命令行下输入：tracert172.16.1

20、.1（1岛输入172.16.6.1）4.当Traceroute程序终止后，停止用Iris捕获包。在运行结束后我们可以看到对每一个TTL值，源端发出了三个探测包。Traceroute显示了每一个探测包的RTT值，以及返回ICMPTTL耗尽消息的路由器的IP地址（也可能包括名称）。下图的Ethereal窗口则显示了由一个路由器返回的ICMP包。注意这个ICMPerror包（TTL溢出包）和ICMPPing消息相比多了许多字段。（下图为捕获数据，仅供参考）I己曰J己10.OtMOOD1Q2.1SS.1.1D1匚chaCpingjtqut,呻ScuteCfcMtreiiaiEfe*労曲ggirW曲M紳

21、：illcwtLet*136.98146212.166.1.101L3B.Q6.1J6.2L42.16B.L.lJdl136u96.146-2lQZ.L&B.L.iaiL3B.9.14.2L92.LtB.L.iniL3B.9G.14iS_Z192,LBr1,101i?G-iiiL-I-i卫3600325BId.025551192.168.1.1CC15 0.0356346 0.03171/1.09353?H-1.054M3ID：1Ub3a4b11 1.OM75112 l.QSOB!Q2.1taS.l.LD1ICl.216.223.1lyiuleul.lCl24.213.D.L5S192,1SS

22、,1.1CO.W210.153192.1GB.1.LD124.21B.D.L53ei：horutETTirie-ta-11vstxceededLdia(jalnq)FDquc-ctTifie-Teaice&jedEchoQaingZ1requestTiria-ra-lfuaexcc-cdadEdiaCp1r&)ruesT：Tlne-ro-UveExceeded2JFrarne2(?OyiesjnTiirei7GTes:aprured)【、Cth&rnocII,ODi呂mdd：!zPi!OD!0S:71:-Hf!36:2SBInttrnac口ot口匚d1,E匚Addr:LO.?LO.22S.1(

23、10.218.22E.1J,DsrtAddr:1B2.1M.1.1口1(15Z.L6B-L.1QL)vInternetControlHessge-ProtacolType:11CTinie-t口ilTurejficeededjCLdeLCiCrlrtieio11veexceeded尊仃irareltjcreeksijtitix2cl6Ccorrecc)pinrerneiFT-orKOL卯匚对cH(12.1&5.L.101LDSC(13696.146.2)pinrerrifiTcontrolnsssaQe叶口匸匸屹小Type:6(Edna(Kdrifl)rEquestCcclfizD匚hci=k

24、sLn:Cfx51fa(carrBizt)rdenxlfier:0x0200Sequencenuiher:Dx-s4Ij1uo-u:rl口oMca.ccQ324o1DBuKo4鬥o匚zaDdM朽CZLA-o-I-乡.02ri-*F5oID44o0074gdcibm.也-w-85fle-u36Qq-oo止-udior-J.fxa5禹4005ddv6s&Q7dG6D50cddD廿?阳o1c2口cr5QED2ofr09.-tOCiS-.s.c.g.E.1II|lltlKEI、lEniie|F.knp出亡圧aiiM“将捕获的数据保存后，完成以下问题：Q5.你主机的IP地址是什么？远程主机的IP地址是什

25、么？Q6.检查ICMPecho包，它和前半部分实验中的ICMPping查问包有否不同？如有，具体在何处？Q7.检查ICMPerror包，它的类型是什么，code是什么。它和echo包相比有更多的字段，这些字段中包含了什么？Q8.检查源端收到的旳后三个ICMP包。它们和ICMPerror包有何不同？为什么不同？Q9.在tracert测算中是否有延迟明显高于其它的链路？基于路由器的名字，你能否猜测一下这两条链路末端路由器的所在位置？自主设计实验第一个实验中我们学过PING命令的各种参数，请自己设计一个实验尝试用32到2048不同大小的数据包去完成PING操作，记录并分析RTT值变化的过程、ICMP回应数据的结果，有什么特殊情况出现吗？是什么原因？