(完整word版)网络层数据分组的捕获和解析

1、实验二：网络层数据分组的捕获和解析1 .实验类别协议分析型2 .实验内容和实验目的本次实验内容：1）捕获在连接Internet过程中产生的网络层分组：DHCP分组，ARP分组，IP数据分组，ICMP分组。2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。3）分析IP数据分组分片的结构。通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节IP数据组分片传输的结构。3 .实验设备环境Windows XP 操作系统的 pc机，连接到Internet ,使用 WireShark 软件。4 .实验步骤4.1 准备工作启动计算机，连接网络确保能够上

2、网。4.2 捕获和分析网络层分组开启监控，连接网络。一段时间后查看捕获的分组。分析各种分组的格式以及在上网过程中 所起的作用。4.3 -1发送ICMP分组，捕获并分析格式Wind口曰 版本1.?&B01<c> 2009 nicrosof t Gorparation« 保留所有权系J 4：xUsers kliuminCT>pinff uwu. baidu.cotng士.ALgli nnPins wuu.a.shifen119.75.213.50119.75.213.5B119.75.213.50119.75.213,502 6 G 6 6 3 5 5 5 5

3、有TLTLTLTL- 具； SSSS m m m m 0 1111 5 = 一一 J_ - 3- % + 4 r 1 二1 丁2 nn no nn nH *5 2 2 2 2 7 3 3 3 3 * = 1?节节节节 2±±±于子节的数据:srma - In-<£长 p送四取 的, 0已计ns ,5:估i 13舄, 雪数百阪 9.返ICMP 是(Internet Control Message Protocol ) Internet 控制报文协议。它是 TCP/IP 协议族 的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不

4、通、主机 是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。ver si on: 4Header Iergrh: 20 bytesa Differentiated services cld : OxOD (dscp 0x00: Deflch: 0x00) Toxal Length: &o TdpntHfi cation: OxOfiad <2221)E Fl dgs; OxCXJFragment offset: 0 Time to 1ive: 12G FTQTD91 : KMP QJ Q|H«ddar chs

5、cksun: OxOOOQ ncorract, should ba Ox&e打 Source; 118.229.liQ.Z2 (113.129.13。，22) DPSTinarinn: 11Q.75.213. 51 (11% 75, m, 311 一internet control Mgf叫士 protocQlType: 8 (Echo Cplng request) code: O chccksuin; ax4ccd rcorreci rcipnt-ifipr： <1x001 5equene rumber; 142 t(JxOO6e) Sequence rumber (le):

6、36352 (OxSeOO) Data (32 bytes) oaia：飞的guaGbus比的""立货了矶.l pngrh: 170100为协议类型：4.0101为首部长度：5*4=20字节00000000为服务类型。00000000 00111100 为总长度:60 (20个头部，40个数据)00001000 10101101 为标识：0*08ad (2221 )000为标志位 MF=0 DF=000000 00000000 为片偏移：offest=010000000 为生存时间：12800000001 为协议：ICMP (1)00000000 00000000为首部校验

7、和：001110110 11100101 100000010 00010110 为源地址：128.229.130.2201110111 01001011 11010101 00110011为目标地址：119.75.213.5111010101 00110311 的于支OIL.0110011101101111011101110110100001101000 0111oooo 01100001 011010010110000101101G0101110001011000100110001001101010011100100110001101100011 01101011C1115011011001

8、0001100100 0110110001110100 0110010101100101011011010111010101100110O11G01L0 OllOllLO OlliOlLO 0110011100001000为ICMP报文的类型：800000000 为 code : 001001100 11001101为校验和：0x4ccd其后面的32为与ICMP的类型有关在后面的为数据部分。此ICMP为回送请求与回送回答报文4.3- 2发送ARP分组，捕获并分析格式ARP ,即地址解析协议，实现通过 IP地址得知其物理地址。在 TCP/IP网络环境下，每个主 机都分配了一个32位的IP地址，这

9、种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例， 为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。ARP 包：e Ethernet 工工, Src: Asusttkc_fd:f8:12 (OOiFd:ffi, Dst: Broadcast (fff rff-Desi irat 1 on： Broadcast (Tf :什：仃：开二Tf) Addr t

10、issi 酊 adJcaqiFT 二ff. 1 * *， ,*，. *，*.* IG bit: Group address (nulticast/brcadtist)*. *.L =LG biti Local!y adminlstereel address (this is MO'B source: A&Mstekc_fd:fS:12 <00:2t：i8：fAddress; Aiusttikc_fdl:ffl: 12 (00:26:15 . fd : TSilZ),., .*0 .* »， * * ,. ,*. - IG bit: Individual addr

11、ess (unicast ,* = LG bit: Globally unique address (fact口# default'Type: arp coxaeodj Trailer; DO00aOOCOODO0000001)00000000000000000 Address Rcsoluficn Frotocol (requeutj Hardware typw 二 Ftherri&t (0x0001) proiocol type: ip Coxoeoo riarUH'de s i r« 6 nrctocol size: 4Opcode: requt (Dk

12、OOOI) is qratJitous: FalsJ 5end*r mac addrtsi： ASL3tekC_fd:fE:1Z (00:2G:13:fd:fS:L2) sender ip address: 118,220* L30.57 <118-220*110.57) Target mm address: 00:00:00.(0100100 (001001DO：0(l：00:DO) rarg«L IP address： 116,229.130*1 (113.229.130(L)本机希望知道ip为118.229.130.1主机的物理地址，如果本机的ARP缓存表中没有目标IP地

13、址，那么本机将会发送一个广播本机MAC地址是“00 26 : 18: fd: f8: 12"，这表示向同一网段内的所有主机发出这样的询问：我是118.229.130.1 ,我的硬件地址是"00: 26: 18:fd: f8: 12".请问IP地址为192.168.1.1的MAC地址是什么？ ”网络上其他主机并不响应ARP询问，只有目标主机接收到这个帧时，才向本机做出这样的回应：“118.229.130.1的MAC地址是xx-xx-xx-xx-xx- xx"。这样，本机就知道了目标主机的MAC地址，它就可以向目标主机发送信息了。还同时都更新了自己(本机与目

14、标的)的 ARP缓存表(因为本机在询问的时 候把自己的IP和MAC地址一起告诉了目标主机)，下次本机再向目标主机或者目标主机向本 机发送信息时，直接从各自的ARP缓存表里查找就可以了。4.3-3发送DHCP分组，捕获并分析格式DHCP动态主机设置协议（Dynamic Host Configuration Protocol ）是一个局域网的网络协 议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。"imtSoutf LbPrtitDtQ Irio1211, tH- dL>DHCPR克1肥油仁t

15、tm-lUcniIDsiAjnf5吕1斗，门玉0. 0. D. 0Z55.ZS5.25S. 255cmcpDiscover. Tr junsicrion10tn <rffiqc7si56362.56798B255.Z55.255.255DHCPHCFoffer-Tram actionID0f69d2810. .0.0上55IDHCPDf-CPRequest.-TrarDactiont:U.-.9F 刃。血59262.SBS777UI. ZKallO.l295. 291. 2». 253emepemepACK-TtansacricinIDO«9fiM2aLFi jiin

16、i* 5B1: W2dh wire (273C hits) ± M2 bytes captur (?736 bits)HEUwrnqc 工工，src:b3 ； fc (00123 ； 54 ；25；b3：fc), ost: sr"fd ocstinarlon: Broadcast 厅:土ff :ff ;ff ：ff) T1 Sgurce: AsutekC匚: 54 : bi :fc)-ypt; tip (0x080033 IrrternEt Protocol , Sr c: O.D.O.O (0.0. ft.*), Qst ： 35 5.25 5. ? 5S. 25 5 C

17、2 5 5. ;55.35 5. verslwi: 1 h也adr length: 20j Different lai cd !>crv1«c Field: ox。(D£CP oxoo： KfauRi km 口如 oTata Length： 328Tdf'HTifiration: OKCbrr3 Flags : QxOO ftjgr«n-L offset: 0 Im to 12EPrOtCCGl： UDP (17)ii Header checksumQxcdd9 correctsoiree: 0.Q+0,。10+口,口.。)r>pst inat

18、nen:内限 255. 251 755 (75. 255. J5S. 755)出 user 口鼻TaqrM prciocolp sre port: boutpc (es)T cat port; bootps W) u B口ot$ta二 Protocol首先释放当前的IP地址，然后再重新获取IP地址。然后向网络发出一个DHCP DISCOVER封包。封包的来源地址会为0.0.0.0 ,而目的地址则为 255.255.255.255 ,然后再附上DHCP discover 的信息，向网络进行广播。当DHCP服务器监听到客户端发出的DHCP discover 广播后，它会从那些还没有租出的地址范围内

19、，选择最前面的空置IP ,连同其它 TCP/IP设定，响应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP地址，所以在其 DHCP discover 封包内会带有其 MAC地址信息，并且有一个XID编号来辨别该封包，DHCP服务器响应的DHCP offer封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定， DHCP offer封包会包含一个租约期限的信息。如果客户端收到网络上多台DHCP服务器的响应，只会挑选其中一个DHCP offer而已（通常是最先抵达的那个），并且会向网络发送一个 DHCP request广播封包，告诉所有 DHCP 服务器它将指定接受哪一

20、台服务器提供的IP地址。 同时，客户端还会向网络发送一个ARP封包，查询网络上面有没有其它机器使用该IP地址；如果发现该IP已经被占用，客户端则会送出一个DHCPDECLIENT 封包给DHCP服务器，拒绝接受其 DHCPoffer ,并重新发送 DHCP discover 信息。当DHCP服务器接收到客户端的DHCP request 之后，会向客户端发出一个DHCPACK响应，以确认IP租约的正式生效，也就Z束了一个完整的DHCP工作过程。若一直得不到响应的情况下，客户端一共会有四次DHCP discover广播（包括第一次在内）,除了第一次会等待 1秒之外，其余三次的等待时间分别是9、13

21、、16秒。如果都没有得到DHCP服务器的响应，客户端则会显示错误信息，宣告DHCP discover的失败。之后,基于使用者的选择，系统会继续在5分钟之后再重复一次DHCP discover 的过程。4.3-2发送ip数据分组，捕获并分析格式IP数据分组:皿 C:WindowssysteiTi 3 2cmrl, tieUindous6.76目目J<c> 2069 Nicocof t Corpov-at ion 保留所有权利*MiuBiuig pingf -1 8000 192.1G8.B. 1p超超超超在"1 -JJI HUM01具有8000子的数据.168.0.1的Pi

22、na统计信息；敝据包：己爱送心已匐攵-0,丢失 4 <100K丢失>,Pi-fikx d t-nfoilL Jfi.49-5092 11.LUTCMF Frho CgiiFqb /单匚hit nrKlrWl,t» Tf)11雷65百，rrl-lZS)(prcKD-TCFF Chi in,cri0r101fprcK313F £>ii DIE口 W5a5TJ519 Jlia4M099 HSa229.1JOu22IP FragaefTtiBd IF protDDOil CpTOC.iD-jKMF afc-Cd, Oir-5S2QB JDJa5A)健MEdam晶(

23、I5好1.X；工的 14日普1 婚cm,现 1IEF nho (ping)4仙工曲DPI kqbe3n打入 HIT；?可39-±1 工厂UE h二C ”1一;1/：11=.！_：”0101.1二 1 /二.二TMQTZP71TQ 11M 3Ma 1 WCJj艮 0.1 ra,METd 】电%由T (prcHgICJWf mni. pff7M53 4i. 31717614-32S>-ilQ-2312, iiB.Q-1ifftaqiuerrcejlifpr9Wl(trocp-iCFFftuCa .ofT-44 J,zc-jfiej'&M 41_217151lia-?

24、23,ll0,22oTTTtflToTItra-nr-tr -mlim ' 'u- )1 .rtr_r 0：m；1：心-：1R 7flm21*riFRiL I-"用MamTCpr 断 uM”0肌一”-&!：，716 £. 217673 IIS.IK, 22192.IM, 口1T1 严 4n. 1711 *B 11-a.1 IO. 221V2. IE-9. O,1? Edw (ping) r«qMs<矶 ”1=12町 l-7 Fra.griQrrtad IP prcytouilprDt5>£CM* (Ml,ID而fjFr

25、w 717: 1H4 bytes Q。(12U2 E1至，15U bC5 加工“3 口工之 E")Et berhet II, 5rc： ASlt5tekC_25(W；23-rM：；bJ；tc). 05t ? HanQzhoiL«：le ： Bl CD0：fft；«?：64；l«；BaJhojdor 10ngith：上口 bytos,1 口m电便s«rvKe& Fitid：飙口0 (f oxoq： 口前如it; e.5; Tffral Lerifftn： j 500IdehEifitatinn Chijhi9f(1 %-1r.9。(1工方

26、)Fr jgrarrt of Fsnt: L4BCT1« C.Q live： 124PFQTOCgl E IOP (1)Header checks ub: OwCngO 口 n匚bect . should be O12Q24J 国必：nisejTrur- gpeE 】nf口 CErTrj£hedk»LMQ: &ad 匚heckauwjJe： LlHZM.nCLMa. 10.21)Desi inax ion： 1制朝3口921.OJJ- ME C145& bytes：JOOU L ClijOuD . JOOllL lH-KJOlD CllClQlO

27、LV0L112Q lOOClOlO 匚"口；勿000 L<I1U'JOUL000« OlOlGiOO M1U10L 14110011 111 HIM MOCIOW U0U0W OIWIOI OOOUOMi 逐一一. M1Q0OCHM1O11LD1110DWill 010IOT111L1OQ1KKKK)1Q1110O11ODW0W00000001.r ：.Ml.KMMOD(KlOWMWQL1W1101L11K1011««0100MW110UMMKWL0in0«明.pO2fl(KHWOQOD0000300101100001(ni

28、71;KkLDOllffimi0110010101100110. abizdefJJ2>.Li.JLJQUJilwluylJlLylUlDullyiunILCrlLl-LlrllLl-±11. Ill JLf 1 Iklllt发送一个8000字节的包通过6片就行分组传输。101010000100101 10110011 11111100 00001000 00000000101000101 000000000000101WOOD。ODOOOOOOiionioo ooinoio oioioooi ooiooooo oaoooooo looooooo ooooooai 000000

29、00 01110110 11100101 IQOOOOIO 00010110 IIOOOOOO 10101000DOOOOQOllDOO'0 OOOO'OOOO 11101011 01011101 000000001 nmoi 11 niinoam 01 innom niwnmi flimnino nnoniai nnaonn,=i TnrsrrWT Protocol, Src： US. 22&i110. 22 (11£. 22a. 130. 22) , Det: 1&2.16S. 0.1 (lQ2.1Sfl verslon； 4 rieadei le

30、iigthi 20 Lytes±)Olfterentiated servi ces Field: 0x00 (DSCP CxOO: Detau 11; ECn : 0x00) lotal Length： 15001 de nt if i cati or ! OxaSl (14 G&)a Flagw: 0x01 (lore FracTnentsFragnent offset; Olime to live: 18Protocol：工CMP Cl)El|neader checksi.m: OiD&OO incarrct, should be O2L2b GQQd：日 |1B

31、.d: Trued Expert irftj Errqr checlcsunj: 6ad checksumsource: US.229,130.22 (118.229.130. 22)UesTinarion: 192.16,0,1 (192.168. JU m internet control Messmgw ProtocolType: 8 (Echo (ping) request)3dR： Ochecksur: Oxeb5d 口加ntifiw; OxOOOl SpqiJpncp nu描wr : 151 (OrOflQZ) Sequence number (LE); 38656 C0x9700

32、) ® Data (147Z b/tes供 1500 个字节 id 为 0x3a51(14929)标志位为001:最低位为MF=1:后面还有分片中间位为DF=0:允许分片在后面包含源地址 与目标地址。(前面已有分析，此处不再复述) IP协议头部后面是传输层的数据包含头部和数据部分，在此不再分析。 数据的长度为1472.然后分析第二片可以得出，0fset=1480 ，是因为前一片从传输层得到了1480的数据加上20个字节的头部信息最后在网络层形成了1500字节的包，然后此处的1480是传输层数据的断点°可以得出0fset=1480*(N-1) N为第几片。因为后面还有片所以M

33、F=1 DF=0=同理分析2 3 4 5片都具有相同数据。来分析下最后一片：irrerret PcotocoI, Src: 118,2?9.130. 22 (llfi, 2?9,130. 22 Dst: 192.166,0,1 (192,1( versi on:4Header lengxh: 20 bytes=)Different i at ed Serv-ces Field: 0x00 (口与亡 P OxOD : 加干 mult： £CN : 0x00) OflOO 00. = Differ err i at ed Ser wi ces Codspo-i nt: Def au 11

34、 t0x00).0. = ECM-Cap3ble Transpart f二七T)： D= ECM-CC: 0Tctal Length: 62BZcertificsfion: Ox3a51 (14929) 曰 Flacs: GxOO0,. . . Fteserved bit: Nor 占七.0. . Don't fragment: Not sex.G. . . More fragnents: Not setFracmerrt offset: 7400Time to 1ive: 1?8Protocol: icmp (1)三 hecer checksum； 0x000Q Ei neorrect, ahould be 0x4Qf6j