实验5利用Wireshark分析IP协议.docx

1、实验5利用Wireshark分析IP协议实验五 利用Wireshark分析IP协议一、实验目的一、分析IP协议二、分析IP数据报分片二、实验环境与因特网连接的运算机，操作系统为Windows，安装有Wireshark、IE等软件。三、实验步骤IP协议是因特网上的中枢。它概念了独立的网络之间以什么样的方式协同工作从而形成一个全世界户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每一个数据报标有源IP地址和目的IP地址，然后被发送到网络中。若是源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机械将接收被传送的数据报，而且将其发送到距离目的端最近

2、的下一个路由器。那个进程确实是分组互换。IP许诺数据报从源端途经不同的网络抵达目的端。每一个网络有它自己的规那么和协定。IP能够使数据报适应于其途径的每一个网络。例如，每一个网络规定的最大传输单元各有不同。IP许诺将数据报分片并在目的端重组来知足不同网络的规定。打开已俘获的分组，分组名为：。感爱好的同窗能够在有动态分派IP的实验环境下俘获此分组，此分组具体俘获步骤如下：1、利用DHCP获取IP地址（1）打开命令窗口,启动Wireshark。（2）输入“ipconfig /release”。这条命令会释放主机目前的IP地址，现在，主机IP地址会变成（3）然后输入“ipconfig /renew”

3、命令。这条命令让主机取得一个网络配置，包括新的IP地址。（4）等待，直到“ipconfig /renew”终止。然后再次输入“ipconfig /renew” 命令。（5）当第二个命令“ipconfig /renew” 终止时，输入命令“ipconfig /release” 释放原先的已经分派的IP地址（6）停止分组俘获。如图1所示： 图1：Wireshark俘获的分组下面，咱们对此分组进行分析：IPconfig 命令被用于显示机械的IP地址及修改IP地址的配置。当输入命ipconfig /release命令时，用来释放机械的当前IP地址。释放以后，该机没有有效的IP地址并在分组2中利用地址作

4、为源地址。分组2是一个DHCP Discover(发觉)报文，如图2所示。当一台没有IP地址的运算机申请IP地址时将发送该报文。DHCP Discovery报文被发送给特殊的广播地址：，该地址将抵达某个限定广播范围内所有在线的主机。理论上，能够广播到整个因特网上，但事实上并非能实现，因为路由器为了阻止大量的请求淹没因特网，可不能将如此的广播发送到本地网之外。在DHCP Discover报文中，客户端包括自身的信息。专门是，它提供了自己的主机名(MATTHEWS)和其以太网接口的物理地址(00:07:e9:53:87:d9)。这些信息都被DHCP用来标识一个已知的客户端。DHCP效劳器能够利用这

5、些信息实现一系列的策略，比如，分派与上次相同的IP地址，分派一个上次不同的IP地址，或要求客户端注册其物理层地址来获取IP地址。在DHCP Discover报文中，客户端还详细列出了它希望从DHCP效劳器接收到的信息。在Parameter Request List中包括了除客户端希望取得的本地网络的IP地址之外的其他数据项。这些数据项中许多都是一台即将连入因特网的运算机所需要的数据。例如，客户端必需明白的本地路由器的标识。任何目的地址不在本地网的数据报都将发送到这台路由器上。也确实是说，这是发向外网的数据报在通向目的端的途径上碰到的第一台中间路由器。 图2：DHCP Discovery客户端必

6、需明白自己的子网掩码。子网掩码是一个32位的数，用来与IP地址进行“按 图2：Parameter Request List位逻辑与运算”从而得出网络地址。所有能够直接通信而不需要路由器参与的机械都有相同的网络地址。因此，子网掩码用来决定数据报是发送到本地路由器仍是直接发送到本地目的主机。客户端还必需明白它们的域名和它们在本地域名效劳器上的标识。域名是一个可读的网络名。IP地址为的DHCP效劳器答复了一个DHCP OFFER报文。该报文也广播到，因为尽管客户端还不明白自己的IP地址，但它将接收到发送到广播地址的报文。那个报文中包括了客户端请求的信息，包括IP地址、本地路由器、子网掩码、域名和本地

7、域名效劳器。在分组5中，客户端通过发送DHCP Request（请求）报文说明自己接收到的IP地址。最后，在分组6中DHCP效劳器确认请求的地址并终止对话。尔后，在分组7中客户端开始利用它的新的IP地址作为源地址。在分组3和分组7到12的地址ARP协议引发了咱们的注意。在分组3中，DHCP效劳器询问是不是有其它主机利用IP地址（该请求被发送到广播地址）。这就许诺DHCP效劳器在分派IP之前再次确认没有其它主机利用该IP地址。在获取其IP地址以后，客户端会发送3个报文询问其他主机是不是有与自己相同的IP地址。前4个ARP请求都没有回应。在分组1013中，DHCP效劳器再次询问哪个主机拥有IP地址

8、，客户端两次回答它占有该IP同时提供了自己的以太网地址。通过DHCP分派的IP地址有特定的租历时刻。为了维持对某个IP的租用，客户端必需更新租用期。当输入第二个命令ipconfig /renew后，在分组14和15中就会看到更新租用期的进程。DHCP Request请求更新租用期。DHCP ACK包括租用期的长度。若是在租用期到期之前没有DHCP Request发送，DHCP效劳器有权将该IP地址从头分派给其他主机。最后，在分组16时输入命令ipconfig /release后的结果。在DHCP效劳器接收到那个报文后，客户停止对该IP的利用。如有需要DHCP效劳器有权从头对IP地址进行分派。2

9、、分析IPv4中的分片在第二个实验中，咱们将考察IP数据报首部。俘获此分组的步骤如下：（1）启动Wireshark，开始分组俘获（“Capture”-“interface”-“start”）。（2）启动pingplotter（pingplotter 的下载地址为）,在“Address to trace:”下面的输入框里输入目的地址，选择菜单栏“Edit”-“Options”-“Packet”,在“Packet size(in bytes defaults=56):”右边输入IP数据报大小：5000，按下“OK”。最后按下按钮“Trace”,你将会看到pingplotter窗口显示如下内容，如图

10、3所示： 图3：ping plotter（3）停止Wireshark。设置过滤方式为：IP，在Wireshark窗口中将会看到如下情形,如图4所示。在分组俘获中，你应该能够看到一系列你自己电脑发送的“ICMP Echo Request”和由中间路由器返回到你电脑的“ICMP TTL-exceeded messages。 图4：用ireshark 所俘获的分组（4）若是你无法取得上图的分组信息，也可利用已经下载的IP分片分组文件：。然后在Wireshark中，选择菜单栏“File”-“Open”导入上述文件进行学习。下面，咱们来分析中的具体分组：IP层位于传输层和链路层之间。在中传输层协议是UD

11、P，链路层协议是以太网。发送两个UDP数据报，每一个包括5000个字节的数据部份和8字节的UDP首部。在分组1到4和分组5到8别离代表了前后发送的两个UDP数据报。当IP层接收到5008字节的UDP数据报时，它的工作是将其作为IP数据报在以太网传输。以太网要求一次传输的长度不大于1514个字节，其中有14字节是以太网帧首部。IP被迫将UDP数据报作为多个分片发送。每一个分片必需包括以太网帧首部、IP数据报首部。每一个分片还会包括UDP数据报的有效负载（首部和数据）的一部份。IP将原始数据报的前1480个字节（含1472个字节的数据和含8个字节的UDP首部）放在第一个分片中。后面两个分片每一个均

12、含1480个字节的数据，最后一个分片中包括的数据为568个字节）。为了让接收段重组原始数据，IP利用首部的特殊字段对分片进行了编号。标识字段用于将所有的分片连接在一路。分组1到4含有相同的标识号0xfd2b,分组5到8的标识号是0xfd2c.片偏移量指明了分组中数据的第一个字节在UDP数据报中的偏移量。例如分组1和分组5的偏移量都是0，因为它们都是第一个分片。最后在标识字段中有一名用来指明那个分片后是不是还有分片。分组1到分组3和分组5到分组7均对该位置进行了置位。分组4和分组8由于是最后一个分片而没有对该位置位。四、实验报告内容打开文件、，回答以下问题（每一个问题能截图的尽可能截图并配以文字

13、说明）：1、DHCP效劳器广播的本地路由器或默许网关的IP地址是多少？答： 2、本地路由器或默许网关的IP地址是：在中，由DHCP效劳器分派的域名是多少？答：3、DHCP效劳器分派的域名是：在中，咱们看到通过UDP数据报发送的5000字节被分成了多少分片？他们的标志Flag别离是？答：发送的5000字节被分为4个分片，标志Flag别离为:0x0一、0x0一、0x0一、0x00。截图如下： 第一分片：第二分片：第三分片：第四分片：4、在网络中，一次能传输且不需要分片的最大数据单元有多大？答：一次能传输且不需要分片的最大数据单元有1480字节截图如下，此图为分组1的图，分组1确实是第一个分片，第一

14、个分片确信达到能传输且不需要分片的最大数据单元。图中数据长度为1480字节。5、按时刻排序后，在中，说明第八个分组中如下内容别离是什么。截图如下：1）IP数据报中的版本号答：版本号（version）为4。2）首部长度答：首部长度（header length）是20字节。3）数据报总长度答：数据报总长度（total length）：588字节。4）标识Identification答：标识Identification为：0xfd2c(64812)。5) 标志Flags答：标志Flag为: 0x00。6) 数据报片偏移offset答:数据报片偏移offset为：4440字节。7）TTL(Time to live)答：TTL(Time to live)为：128秒。8）交付上层哪个协议？答：交付上层的UDP协议9）首部检查和checksum答：首部检查和checksum为：0xb72ecorrect。10）源主机IP地址答：源主机IP地址：。11）目的主机IP地址答：目的主机IP地址：。