试验5使用Wireshark分析IP协议

1、实验五 使用 Wireshark 分析IP协议一、实验目的1、分析ip协议2、分析IP数据报分片二、实验环境与因特网连接的计算机，操作系统为 Windows,安装有 Wireshark、IE等软件。三、实验步骤IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而 形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址，然后被发送到网络中。如果源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机器 将接收被传送的数据报，并且将其发送到距离目的端最近的下一个路由器。这个过程就 是分

2、组交换。IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协 定。IP能够使数据报适应丁其途径的每个网络。例如，每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。打开已俘获的分组，分组名为：dhcp isolated.cap 感兴趣的同学可以在有动态分配IP的实验环境下俘获此分组，此分组具体俘获步骤如下：1、使用DHCP获取IP地址(1) 打开命令窗口 川动Wireshark。(2) 输入ipconfig /release”。这条命令会释放主机目前的IP地址，此时，主机IP 地址会变为(3) 然后输入ipconfig

3、/renew”命令。这条命令让主机获得一个网络配置，包括 新的IP地址。(4) 等待，直到ipconfig /renew”终止。然后再次输入ipconfig /renew”命令。(5) 当第二个命令ipconfig /renew”终止时，输入命令 “ipconfigrelease释放原 来的已经分配的IP地址(6) 停止分组俘获。如图1所示：d bcp_nokitr<irC>3p - WwCThairkEile Edrt View Go Capture Analyze Statistics Help款*尊函 * 冬|回 4a *由夺殳 |g|of2oortofOODrtloort4

4、fdQono o o o o nD o o o o neoeoonooooort9O1O9Cdluoodn701 QFC8 o o o 8 n322o3n5- o 7 o 5 n9 5 3 0 9 e 9 5 o e7 14o7rt OLloart o o 1 o o n sooan r 3 o n 十04。0 c r o o o o rt r o o o ori- W 44 00 oot 4 00 on r aooonor If Bort 4-ofbDnooo 010 0200030 040 nn G/iiFile: CADocuments and SettingsYAdministrato

5、rMHI.P: 16 D: 16 M- 0Filter.1-Expr&sicin.Clear Atpply,TimeSourceDestinationProtocol Info1 0.000000192.L6S.0.100DHCPDHCP Rtl2 5* B4O362O* O. O. O255*255.255.255HCPDHCP D13 5. B43247L i nk:SySG_8d : be : IdBroadeastARPwh-ts has4 6, 842017192, 1(5S- 0-12 55'. 25 5. 255. 255DHGPDHGP O

6、ff5 6.8422860.0. Q. 0255.255. 2 5 5, 255DHCPDHCP Rec66.$46拓4168.0.1255.255.25S.255DHCPDHCP ACK7 Sx E4B643lrlLel_5B ： 87Broadcast:AJRPeraruirc8365276Irtrel_53:87:d9Broadcast:ARPGr atuiiccCl a 3 4； E -> 3 -li GT InE? -m r*l r r 妙a rn nL L r ti -t，L4k酎 Frame 2 (342 bytes on wire, 342 bytes captured)

7、 Ethernet llp src: intel_51:87 :cl9 (oo :07 :9 : 53 : 87:, Dst: Broadcast (ff :f"f 令> Desfination: Broadcast Cff:ff:ff:ff：ff:ff)> source i IHT：el_53 i 87 ： d9 fOOiOZ i e9 : 53 187 : d9)图1: Wireshark俘获的分组下面，我们对此分组进行分析：IPconfig命令被用丁显示机器的IP地址及修改IP地址的配置。当输入命ipconfig /release命令时，用来释放机器的当前IP地址。

8、释放之后，该机没有有效的IP地址并在 分组2中使用地址作为源地址。分组2是一个DHCP Discover(发现)报文，如图2所示。当一台没有IP地址的计算 机申请IP地址时将发送该报文。DHCP Discovery报文被发送给特殊的广播地址：55,该地址将到达某个限定广播范围内所有在线的主机。理论上， 55能够广播到整个因特网上，但实际上并不能实现，因为路由器为了阻止 大量的请求淹没因特网，不会将这样的广播发送到本地网之外。在DHCP Discover报文中，客户端包括自身的信息。特别是，它提供了自己的主机 名(MATTHEWS

9、)和其以太网接口的物理地址 (00:07:e9:53:87:d9)。这些信息都被 DHCP 用来标识一个已知的客户端。DHCP服务器可以使用这些信息实现一系列的策略，比如， 分配与上次相同的IP地址，分配一个上次不同的IP地址，或要求客户端注册其物理层 地址来获取IP地址。在DHCP Discover报文中，客户端还详细列出了它希望从 DHCP服务器接收到的信 息。在Parameter Request Lis中包含了除客户端希望得到的本地网络的IP地址之外的其他数据项。这些数据项中许多都是一台即将连入因特网的计算机所需要的数据。例如， 客户端必须知道的本地路由器的标识。任何目的地址不在本地网的

10、数据报都将发送到这台路由器上。也就是说，这是发向外网的数据报在通向目的端的路径上遇到的第一台中间路由器dlricp_i.sal al: ed. c ap = Vxzresliazrkit+国eccxp T I ags :uxuuuu cum cast p cl i ent IP addr see :0.0 <0- 0- 0 . OJYour (ullEfrt) IP address : 0. 0. 0. 0 <0, 0.0.0) Next server IP address: 0+ 0-0* 0 C0< 0< 0.0> pel ay agenr ip addres

11、s: o.o.o.o <o.o* o.o> cl1 ent mac address: Server hosx name nqt ecct: file name not Magic coki e: (OK) opt i on: Opt1 on:1 =7yOption ; Ct = 5,】=&)lnteT_53:87:d9 <00:07:e9:53:37:d9 gi vengivenDHCP Message Type DHCP Discaver cl 1 eni: 1 dent If 1 er Requested ip Address = 192.168*.100No .

12、TimeSourceDe st mat i onProtoi10-000000192-168B 0-1001Q2.168,0.1DHCP25,84 03 620.0. 0. 0255.255-255-255DHCP|E3 opr 1 on: Qr 12,1 8 j host Name = MatthewsI + oct 1 on: ct=60.1=3j vendor cl ass identn fier = 'msft 5,0'M01200CL3O014001507030U7一eylooo60OOTecy 328 e02OO 30 eQ 20 5f Bf Qb 22 4 49

13、b5f 061 o 4 2 8Bf a51 odf C42"0 旦IFrot。Init1。W*»eF 16 D： IB M： 图 2: DHCP Discovery客户端必须知道自己的子网掩码。子网掩码是一个32位的数，用来与IP地址进行TimeSourceDestinationProtocolInfo1二0.000000192.16S.0.100DHCPDHCPRel25.8403655DHCPDHCP：-3l|1 35.843247LinksvsG_8d:be:IdBroadcastARPwho卜as Fi

14、lter: Expression. Clear Applyd hcp_tsolated.cap - WiresharkFile Edit View Go Capture Analyze Statj sties Helpoption:l=8J vendor class Identltler = "msft 5.0 t option: (t=55,1=11) Parameter Request ListOpti on: (55) Parameter Request Li stLength: 11Value： 010F03062C2E2F1F21F92B1 = Subnet Mask15

15、= Domain Name3 = Router6 = Domain Name ServerU JLUU01100120013001400150kJW UW WkJ 00 00 00 00 07 e9 54 54 48 37 Ob 01 00 00 00wu uu w 00 DO 00 53 87 d9 45 57 53 剧 03 06 00 00 002 4 8 e8 0 0 23 2 c c6 3 3 2UM WV UU UU UU UU VU IJW 5M 63 35 01 01 3d 07 01 cO a8 00 64 0c 08 4d 41 4d 53 46 54 20 35 2e 3

16、0 2f If 21 2b ff 00 00Sc5.=. .d . . MAMSFT 5.0P: 16 D: 16M:0Proto InrtO.' byte图 2： Parameter Request List位逻辑与运算”从而得出网络地址。所有可以直接通信而不需要路由器参与的机器 都有相同的网络地址。因此，子网掩码用来决定数据报是发送到本地路由器还是直接发 送到本地目的主机。客户端还必须知道它们的域名和它们在本地域名服务器上的标识。域名是一个可读的网络名。IP地址为的DHCP服务器回复了一个 DHCP OFFER报文。该报文也广 播到5

17、5因为尽管客户端还不知道自己的IP地址，但它将接收到发送到 广播地址的报文。这个报文中包含了客户端请求的信息，包括 IP地址、本地路由器、 子网掩码、域名和本地域名服务器。在分组5中，客户端通过发送DHCP Request （请求）报文表明自己接收到的IP地 址。最后，在分组6中DHCP服务器确认请求的地址并结束对话。此后,在分组 7中客 户端开始使用它的新的IP地址作为源地址。在分组3和分组7到12的地址ARP协议引起了我们的注意。在分组 3中，DHCP 服务器询问是否有其它主机使用IP地址00（该请求被发送到广播地址）。这就允许DHCP服务器在分配IP之前再次确认没有

18、其它主机使用该IP地址。在获取其IP地址之后，客户端会发送3个报文询问其他主机是否有与自己相同的 IP地址。前4 个ARP请求都没有回应。在分组10-13中，DHCP服务器再次询问哪个主机拥有IP 地址00,客户端两次回答它占有该IP同时提供了自己的以太网地址。通过DHCP分配的IP地址有特定的租用时间。为了保持对某个 IP的租用，客户端 必须更新租用期。当输入第二个命令ipconfig /renew后，在分组14和15中就会看到更 新租用期的过程。DHCP Request请求更新租用期。DHCP ACK包括租用期的长度。如 果在租用期到期之前没有 DHCP Reques

19、t发送，DHCP服务器有权将该IP地址重新分配 给其他主机。最后，在分组16时输入命令ipconfig /release后的结果。在DHCP服务器接收到这 个报文后，客户停止对该IP的使用。如有需要DHCP服务器有权重新对IP地址进行分 配。2、分析IPv4中的分片在第二个实验中，我们将考察IP数据报首部。俘获此分组的步骤如下：(1) 启动 Wireshark,开始分组俘获(“Capture- "interface - “start)(2) 启动 pingplotter( pingplotter 的下载地址为 )，在 “Addressto trace:下面的输入框里输入目的地址，选择

20、菜单栏"Edit- “Options-' “Packet在，“ Packet size(in bytes defaults=56):”右边输入IP数据报大小：5000,按下“OK。最后按下按钮 “Trace你将会看到pingplotter窗口显示如下内容，如图 3所示:图 3: ping plotter(3)停止Wireshark。设置过滤方式为：IP,在Wireshark窗口中将会看到如下情形，如图4所示在分组俘获中，你应该可以看到一系歹0你自己电脑发送的“ICMP Echo Requests由中问路由器返回到你电脑的ICMP TTL-exceeded messagesSa

21、mping! CH 卜 IrkS. ZZ2S1Tr InteW-200 201-50D1Dtm* 1D minutvAddr-=51o Trace-:WMW.gOOfltejCMffi wwwjoqu.eiiu cn www.cspu.Bdiu cn www* 也 ccm w¥w.ckwrtaM ccm www p n三 r.oasWWTV;3fl0¥fen.Ct>m 2lB.92.1-S0.22iNe=c.fl SltlyylP129251 ERRTarget Name: www.gflChgk.tflmIF" 649,89.147*哄钳11 MQ7-H

22、0 ZU14 55 - 2M7-S-18 XT7 10Kqp| 心 IPDHSNnw1 202.2QZ2101 2 19e.1E&553 俊168.5.渤4 219.15&30 更 130.151213 瓦 nMLccKq中顽匚1 以地 comcn5 22217&Q129-一2».17R212372221花之幻 $ 1Q 2Q?."37 轮-，“，3侦10倾，11 SO 2D2.57.315J 15 MctmSspg ha I EpressEn. Onr 由卬iyTgSourceDestnatcn5 4.» 7.4364293 7.7065

23、56dUZ u d UZ l iX'J u _L_L4141202.202 .210.127202210.127卅¥1财皿自96 S.13516297 8iM721B98 ©.742141100 10.492310IftL 10.75CQ22102 10.756472192.168.-551112D2.202.210.LD5£0142Q2r2Q2r21Qrll202r2U2r210rl0511192.168,. 2 50 冲rML/m顷 ?02P?02r?1

24、0P127 ML MW-MSI" ?0Z.20Z.208.111Z005Protocol 伸心 NBNS NBNS UDP UDP news nbns IN0NS DNS DNSDnfoi -ir dX llUri HD I b.4U_nib.K<UlJi>Ragi strati on N6 T£ACHER<ClCli>RegiEtration NB TEACH£R<dO>Source part: 6144D Dsstination port: 614-jIOsource port: 61440 Desti

25、nation pcirt: 14405traxion NB TEACHEftl4<2Q> st rax ion nb TCACHCfl.i4<20> 5-x rail on mb teacheri4<20>standard query a w.goagler comsrandard query response cnwe ck.ame旷 Qmcci 104 10. 003105 10.903106202.202.21O.1D5IPFragmented_=fjIPFracperrtEdn 1Echo tpi ng) requstI OTPFEieni.eIP7

26、IQ, 904011lUE Lli202.202.21u.105ICMPTime-to-1iveExcEeded (_ime tn Iive exceedediGS-10. B07SM202 u 2132 u 210ulfl5SA. 24. 891.24 7TPFragment End IPprotocolCpirotn=ICMP 0x01,. off = 0)心iw10.0O7S37202u202u210.105敏M如眄.147IPFracniantEod IPpratoc口1prota=ICMP DxOl,. off=185T747106 10. 00342C 202

27、.202.210.105I 时 加匚 EM蜃rotn-ICMP£ Fraine 103 (1514 byres on wire. 1511 byres capturedQQQO QD CIO F8 CIO Q7 QQ Q50010 OS de. Oe 3a 20 OQ 01 01QQZQ网93Q8>QQQ322Q2000030SO6C6f7C网&572320040&7506c6f7M746572nl 一4 rl 虹 jr ld- c 4 _e23 4 EJ- 2 392 O-EJO u d CJ 4 3 _. 5.=L5 o -O 4C4 rq m r 1301

28、06 - 3 c 333 0 7 2-6 E 3 2 0-32.5 2e9 -o446弓 5OQ- 7 Qh? r *i n i! s 4，IF* n E L J li L J 4 L 4 it 1 B m n 3, OEPl ng plotter? r6D0EPln gPlotter 2.6OOEP1吊 Ethernet Ilg. 5rc: Northsta_a&:31:46 (D0OS:34 : a8:31:46) p D5t: Fuj ian5t_f6:dOzCl7 CQO:d0:f8:f6: dQ :07) E internet Protocol, Srcr 202,202,2

29、10.105 (202» 202» 210s 105 Dst: 66S% 1” 66ZS启曳MF)ver?ion: 4Header lengths 20 byres书 Different!ated Services Fields 0x0& (D5CP 0x00; Default; ECN: 0x00)Total Length: 1500Identif1car1on:± Fl ags: OxDZ Cwore Fragtienrs)Fragment offset; 0Time to live: 1Pratocol: ICMP COxQl)jd Header c

30、hecksum:correctSrtiir<-P： PD?.7O?.?1 D.10?ft?. 710.1 011图4：用W ireshark所俘狄的分组(4)IP分片分组文件:fragment 5000 isolated.cap 然后在 Wireshark 中，选择菜单栏 "File-' “Oper#入上述 文件进行学习。下面，我们来分析fragment_5000_isolated.cap中的具体分组：IP层位丁传输层和链路层之间。在fragment_5000_isolated.cag传输层协议是UDP, 链路层协议是以太网。发送两个 UDP数据报，每个包含5000个字

31、节的数据部分和8字 节的UDP首部。在分组1到4和分组5到8分别代表了先后发送的两个 UDP数据报。当IP层接收到5008字节的UDP数据报时，它的工作是将其作为IP数据报在以太 网传输。以太网要求一次传输的长度不大丁 1514个字节，其中有14字节是以太网帧首 部。IP被迫将UDP数据报作为多个分片发送。每个分片必须包含以太网帧首部、 IP数 据报首部。每个分片还会包含 UDP数据报的有效负载（首部和数据）的一部分。IP将原始数据报的前1480个字节（含1472个字节的数据和含8个字节的UDP首 部）放在第一个分片中。后面两个分片每个均含1480个字节的数据，最后一个分片中包含的数据为568

32、个字节）。为了让接收段重组原始数据，IP使用首部的特殊字段对分片进行了编号。标识字段用丁将所有的分片连接在一起。分组 1到4含有相同的标识号0xfd2b,分组5到8的标 识号是0xfd2c.片偏移量指明了分组中数据的第一个字节在UDP数据报中的偏移量。例如分组1和分组5的偏移量都是0,因为它们都是第一个分片。最后在标识字段中有一位用来指明这个分片后是否还有分片。分组1到分组3和分组5到分组7均对该位置进行了置位。分组4和分组8由丁是最后一个分片而没有对该 位置位。四、实验报告内容打开文件 dhcp_isolated.cap fragment_5000_isolated.cap 回答以下问题（每

33、个问题 能截图的尽量截图并配以文字说明）：1、DHCP服务器广播的本地路由器或默认网关的IP地址是多少？. 842017Z55u 2 55-255. 2 55DHCP5W DHCP Off er - Transactl Dn ID DxdlO2bB3,9Mi c cook"i -e i DHCPOpt1om: Cdhcp Message Type3 opTi on: C1L> subnet MaskLength: 4Subnet Mask: 255.255.255.O C255.255-255-OS OpT i on :z C 3) Routeri opt1 on:Dometl

34、 n Naime ser ver本地路由器或默认网关的IP地址是：2、在dhcp_isolated.cag,由DHCP服务器分配的域名是多少?E Opti on :RoulLerl+. Opti on:石) Doniai n Name Servert; opr 1 on: (15> Domain NameLengt h: 13Domai n Name: 比 Option: (51J TP Address Lease Time(t Opt ion: 54 DHCP Ser ver idenfi Ti erI _ h anTta E* ETn-sDHCP服务器分配的

35、域名是：3、在fragment_5000_isolated.ca时，我们看到通过UDP数据报发送的5000字节被分成了多少分片？他们的标志Flag分别是？答：发送的5000字节被分为4个分片，标志Flag分别为:0x01、0x01、0x01、0x00<截图如下：第一分片:-F1 mgs:0.o.1.Fragment0x01Core Fragments) Reserved bit: Not set Don't fragment: More fvagments:Not set setoffset: 0Ti me to 11 ve : 123Protocol: UDP <17第二

36、分片：A F1ags: 0x01 More Fragments0=Reserved bit: Not set.Q=Don' t fragment: Net set-+1- - - - - = More fragments: set Fragment offset: 1480 Time to 1ive: 128protocol; udp C17第三分片:B Flags： 0x01 (More Fragments) 0*-Reserved bit: Nor set.0=Don' t f ragment: Not set.1* . More fragments: set Fragme

37、nt offset: 2960 Time to live： 128 Protocol: UDP (17)第四分片：B FIags: 0x000-=Reserved bit: Not set.0 =Don11 fragment: not set。=More fragments: Not setFragment offset: 4440Time to live: 128Protocol: UDP (17)4、在网络中,一次能传输且不需要分片的最大数据单元有多大？答：一次能传输且不需要分片的最大数据单元有 1480字节截图如下，H匕图为 分组1的图，分组1就是第一个分片，第一个分片肯定达到能传输且不

38、需要分片的最大数据单元。图中数据长度为1480字节。Frame 1i 1514 byres on wire (12112 b1ts, 1S14 bytes captured (12112 bits)Ethernet TIt Src: Tnte'l_53:B7:d9 (00:07:e9:53:87:d9)( Cst: Agere_44:e5:07 (00:02:2d：44:e5:07 internet Protocol version 4 » 5rc; 192.16B.0.100 (192.16B.0.100)h D5t: 192.16B.0.102 C192.16B. Data <1480 bytes)Data: