首 页 行业热点 新车 试驾评测 养车用车 车型库
当前位置:首页实验5使用Wireshark分析IP协议

实验5使用Wireshark分析IP协议

2024-06-10 来源:好土汽车网
导读 实验5使用Wireshark分析IP协议


实验五 使用Wireshark分析IP协议

一、实验目的

1、分析IP协议 2、分析IP数据报分片 二、实验环境

与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。

三、实验步骤

IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址,然后被发送到网络中。如果源主机和目的主机不在同一个网络中,那么一个被称为路由器的中间机器将接收被传送的数据报,并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。

IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。IP能够使数据报适应于其途径的每个网络。例如,每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。

打开已俘获的分组,分组名为:dhcp_isolated.cap。感兴趣的同学可以在有动态分配IP的实验环境下俘获此分组,此分组具体俘获步骤如下:

1、使用DHCP获取IP地址 (1)打开命令窗口,启动Wireshark。

(2)输入“ipconfig /release”。这条命令会释放主机目前的IP地址,此时,主机IP地址会变为0.0.0.0

(3)然后输入“ipconfig /renew”命令。这条命令让主机获得一个网络配置,包括新的IP地址。

(4)等待,直到“ipconfig /renew”终止。然后再次输入“ipconfig /renew” 命令。

1 / 17

(5)当第二个命令“ipconfig /renew” 终止时,输入命令“ipconfig /release” 释放原来的已经分配的IP地址

(6)停止分组俘获。如图1所示:

2 / 17

图1:Wireshark俘获的分组 下面,我们对此分组进行分析:

IPconfig 命令被用于显示机器的IP地址及修改IP地址的配置。当输入命ipconfig /release命令时,用来释放机器的当前IP地址。释放之后,该机没有有效的IP地址并在分组2中使用地址0.0.0.0作为源地址。

分组2是一个DHCP Discover(发现)报文,如图2所示。当一台没有IP地址的计算机申请IP地址时将发送该报文。DHCP Discovery报文被发送给特殊的广播地址:255.255.255.255,该地址将到达某个限定广播范围内所有在线的主机。理论上,255.255.255.255能够广播到整个因特网上,但实际上并不能实现,因为路由器为了阻止大量的请求淹没因特网,不会将这样的广播发送到本地网之外。

在DHCP Discover报文中,客户端包括自身的信息。特别是,它提供了自己的主机名(MATTHEWS)和其以太网接口的物理地址(00:07:e9:53:87:d9)。这些信息都被DHCP用来标识一个已知的客户端。DHCP服务器可以使用这些信息实现一系列的策略,比如,分配与上次相同的IP地址,分配一个上次不同的IP地址,或要求客户端注册其物理层地址来获取IP地址。

在DHCP Discover报文中,客户端还详细列出了它希望从DHCP服务器接收到的信息。在Parameter Request List中包含了除客户端希望得到的本地网络的IP地址之外的其他数据项。这些数据项中许多都是一台即将连入因特网的计算

机所需要的数据。例如,客户端必须知道的本地路由器的标识。任何目的地址不在本地网的数据报都将发送到这台路由器上。也就是说,这是发向外网的数据报在通向目的端的路径上遇到的第一台中间路由器。

图2:DHCP Discovery

客户端必须知道自己的子网掩码。子网掩码是一个32位的数,用来与IP地址进行“按

图2:Parameter Request List

位逻辑与运算”从而得出网络地址。所有可以直接通信而不需要路由器参与的机器都有相同的网络地址。因此,子网掩码用来决定数据报是发送到本地路由器还是直接发送到本地目的主机。

客户端还必须知道它们的域名和它们在本地域名服务器上的标识。域名是一个可读的网络名。

IP地址为192.168.0.1的DHCP服务器回复了一个DHCP OFFER报文。该报文也广播到255.255.255.255,因为尽管客户端还不知道自己的IP地址,但它将接收到发送到广播地址的报文。这个报文中包含了客户端请求的信息,包括IP地址、本地路由器、子网掩码、域名和本地域名服务器。

在分组5中,客户端通过发送DHCP Request(请求)报文表明自己接收到的IP地址。最后,在分组6中DHCP服务器确认请求的地址并结束对话。此后,在分组7中客户端开始使用它的新的IP地址作为源地址。

在分组3和分组7到12的地址ARP协议引起了我们的注意。在分组3中,DHCP服务器询问是否有其它主机使用IP地址192.168.0.100(该请求被发送到广播地址)。这就允许DHCP服务器在分配IP之前再次确认没有其它主机使用

该IP地址。在获取其

IP地址之后,客户端会发送3个报文询问其他主机是否有与自己相同的IP地址。前4个ARP请求都没有回应。在分组10—13中,DHCP服务器再次询问哪个主机拥有IP地址192.168.0.100,客户端两次回答它占有该IP同时提供了自己的以太网地址。

通过DHCP分配的IP地址有特定的租用时间。为了保持对某个IP的租用,客户端必须更新租用期。当输入第二个命令ipconfig /renew后,在分组14和15中就会看到更新租用期的过程。DHCP Request请求更新租用期。DHCP ACK包括租用期的长度。如果在租用期到期之前没有DHCP Request发送,DHCP服务器有权将该IP地址重新分配给其他主机。

最后,在分组16时输入命令ipconfig /release后的结果。在DHCP服务器接收到这个报文后,客户停止对该IP的使用。如有需要DHCP服务器有权重新对IP地址进行分配。

2、分析IPv4中的分片

在第二个实验中,我们将考察IP数据报首部。俘获此分组的步骤如下: (1) 启

Wireshark

(“Capture”-----“interface…”----“start”)。

(2) 启动pingplotter(pingplotter 的下载地址为www.pingplotter.com),在“Address to trace:”下面的输入框里输入目的地址,选择菜单栏“Edit”---“Options”---“Packet”,在“Packet size(in bytes defaults=56):”

右边输入IP数据报大小:5000,按下“OK”。最后按下按钮“Trace”,你将会看到pingplotter窗口显示如下内容,如图3所示:

图3:ping plotter

(3) 停止Wireshark。设置过滤方式为:IP,在Wireshark窗口中将会看到如下情形,如图4所示。

在分组俘获中,你应该可以看到一系列你自己电脑发送的“ICMP Echo Request”和由中间路由器返回到你电脑的“ICMP TTL-exceeded messages。

图4:用Wireshark 所俘获的分组

(4) 如果你无法得到上图的分组信息,也可使用已经下载的IP分片分组文件:fragment_5000_isolated.cap。然后在Wireshark中,选择菜单栏“File”---“Open”导入上述文件进行学习。

下面,我们来分析fragment_5000_isolated.cap中的具体分组:

IP层位于传输层和链路层之间。在fragment_5000_isolated.cap中传输层协议是UDP,链路层协议是以太网。发送两个UDP数据报,每个包含5000个字节的数据部分和8字节的UDP首部。在分组1到4和分组5到8分别代表了先后发送的两个UDP数据报。

当IP层接收到5008字节的UDP数据报时,它的工作是将其作为IP数据报在以太网传输。以太网要求一次传输的长度不大于1514个字节,其中有14字节是以太网帧首部。

IP被迫将UDP数据报作为多个分片发送。每个分片必须包含以太网帧首部、IP数据报首部。每个分片还会包含UDP数据报的有效负载(首部和数据)的一部分。

IP将原始数据报的前1480个字节(含1472个字节的数据和含8个字节的

UDP首部)放在第一个分片中。后面两个分片每个均含1480个字节的数据,最后一个分片中包含的数据为

568个字节)。

为了让接收段重组原始数据,IP使用首部的特殊字段对分片进行了编号。标识字段用于将所有的分片连接在一起。分组1到4含有相同的标识号0xfd2b,分组5到8的标识号是0xfd2c.片偏移量指明了分组中数据的第一个字节在UDP数据报中的偏移量。例如分组1和分组5的偏移量都是0,因为它们都是第一个分片。

最后在标识字段中有一位用来指明这个分片后是否还有分片。分组1到分组3和分组5到分组7均对该位置进行了置位。分组4和分组8由于是最后一个分片而没有对该位置位。 四、实验报告内容

打开文件dhcp_isolated.cap、fragment_5000_isolated.cap,回答以下问题(每个问题能截图的尽量截图并配以文字说明):

1、

DHCP服务器广播的本地路由器或默认网关的IP地址是多少?

答:

本地路由器或默认网关的IP地址是:255.255.255.0 2、

在dhcp_isolated.cap中,由DHCP服务器分配的域名是多少?

答:

DHCP服务器分配的域名是:twcny.rr.com 3、

在fragment_5000_isolated.cap中,我们看到通过UDP数据报发送的

5000字节被分成了多少分片?他们的标志Flag分别是?

答:发送的5000字节被分为4个分片,标志Flag分别为:0x01、0x01、0x01、0x00。

截图如下: 第一分片:

第二分片:

第三分片:

第四分片:

4、

在网络中,一次能传输且不需要分片的最大数据单元有多大?

答:一次能传输且不需要分片的最大数据单元有1480字节

截图如下,此图为分组1的图,分组1就是第一个分片,第一个分片肯定达到能

传输且不需要分片的最大数据单元。图中数据长度为1480字节。

5、 按时间排序后,在fragment_5000_isolated.cap中,说明第八个分组中

如下内容分别是什么。

截图如下:

1)IP数据报中的版本号 答:版本号(version)为4。

2)首部长度

答:首部长度(header length)是20字节。

3)数据报总长度

答:数据报总长度(total length):588字节。

4)标识Identification

答:标识Identification为:0xfd2c(64812)。

5) 标志Flags

答:标志Flag为: 0x00。

6) 数据报片偏移offset

答:数据报片偏移offset为:4440字节。

7)TTL(Time to live)

答:TTL(Time to live)为:128秒。

8)交付上层哪个协议?

答:交付上层的UDP协议

9)首部检查和checksum

答:首部检查和checksum为:0xb72e[correct]。

10)源主机IP地址

答:源主机IP地址:192.168.0.100。

11)目的主机IP地址

答:目的主机IP地址:192.168.0.102。

-温馨提示:如不慎侵犯了您的权益,可联系文库删除处理,感谢您的关注!

因篇幅问题不能全部显示,请点此查看更多更全内容