完整版网络层数据分组的捕获和解析

1、2 6 £ & 6 3 5 5 5 5 有S:TL=TL= 具 T I I T SSSS m m m m 0 1111 5 - = J_ - I.3-1 、 、1 - JA,2 nn no nn nH 5 2 2 2 2 7 3 3 3 3* =-=1?节节节节字节的教据:自L2J 修拈, 计扁帕 充龙L ila-SrIn=<£长 P送®<取 的, 0已计ns -5:估i 13备 X数W取 9.退实验二：网络层数据分组的捕获和解析1. 实验类别协议分析型2. 实验内容和实验目的本次实验内容：1 捕获在连接Internet过程中产生的网络层分组：

2、DHCP分组,ARP分组,IP数据分组,ICMP 分组.2分析各种分组的格式,说明各种分组在建立网络连接过程中的作用.3分析IP数据分组分片的结构.通过本次实验了解计算机上网的工作过程,学习各种网络层分组的格式及其作用,理解长度大于1500字节IP数据组分片传输的结构.3. 实验设备环境Windows XP 操作系统的 pc机,连接到Internet ,使用 WireShark 软件.4. 实验步骤4.1准备工作启动计算机,连接网络保证能够上网.4.2捕获和分析网络层分组开启监控,连接网络.一段时间后查看捕获的分组.分析各种分组的格式以及在上网过程中 所起的作用.4.3- 1发送ICMP分组,

3、捕获并分析格式闵 Cf.Wi nd pwsVsyst em 3 2'gmd.exeHind.怦§ 版本 &.L.F&团Bl<c) 2021 nicrosoft Gorparation« 保存所有权策#:xUsers kliuminCT>pinff uwu. baidu.cotnPing uuu.a.shifen119.75.213.50 白119-75.213.50 的119.75.213.50 的119.75.213.50 所ICMP 是(Internet Control Message Protocol ) Internet 限制报文

4、协议.它是 TCP/IP 协议族 的一个子协议,用于在IP主机、路由器之间传递限制消息.限制消息是指网络通不通、主机 是否可达、路由是否可用等网络本身的消息.这些限制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用.01010100001001011111110000001000&0000000101000101oooooooclOOCOOOOO00111100000010001010110100000000000000010000000003G0001I000000000000000011100101GOOLOllO0111011111010101四?四1JOOOQOQ

5、OOL1001L01nternet Protocol T Src: n&X如IMO.* (118. 229.130,. Dst: 119.75.213.51 C119.75version: 4Header Ierqth: 20 bytesD oiffGrcntiatcd services ricld: OxOD (dscp 0x00: Def ju11: ecu: 0x00) Toxal Length: &o irlentHfication: OxOfiad <2221)田 FlagFragment offset: 0Time to 1ive: 12GProLMOl :

6、KMP Q)Q H«ddar chscksun: 0x0000 ncorract, should ba OxxWSource; 110.2Z».13D.ZZ 018.229.130.ZZ)DPSTinarim: 11Q.75.213. 51 C11Q. 75. 71.)-internet controlprotocQlType: 8 (Echo ping request) code: O checksum; ax4ccd rcorreci Trjpnr-if i pr: OxDOOl 5equene rumber: 142 0x00昭) Sequence rumber (l

7、e)： 35352 (OxSeOO) Data (32 bytes)oaia：C0G9CaGb6CCd6eCf"O7L7Z?374757G77&1.L pngt Iit 170100为协议类型：4.0101为首部长度：5*4=20字节00000000为效劳类型.00000000 00111100为总长度：60 (20个头部,40个数据)00001000 10101101 为标识：0*08ad (2221 )000为标志位 MF=0 DF=000000 00000000 为片偏移：offest=010000000 为生存时间：12800000001 为协议：ICMP (1)00

8、000000 00000000为首部校验和：001110110 11100101 100000010 00010110 为源地址：128.229.130.2201110111 01001011 11010101 00110011 为目标地址:119.75.213.51iioioioi 00110311 m啊迎旗0110011101101L11011101110110100001101000 0111oooo 01100001 0110100101100Q0101101G010111000101100010011000100110101001110010011000110110001101101

9、011C111&011 011001001T 01100100 01101100 01110100 0110010101100101011011010111010101100110O11G01L0011011LO01110110O11O01L100001000为ICMP报文的类型：800000000 为 code : 001001100 11001101 为校验和：0x4ccd其后面的32为与ICMP的类型有关在后面的为数据局部.此ICMP为回送请求与回送答复报文4.3- 2发送ARP分组,捕获并分析格式ARP,即地址解析协议,实现通过 IP地址得知其物理地址.在 TCP/IP网络环境

10、下,每个主 机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址.为了让报文在物理网路上传送, 必须知道对方目的主机的物理地址. 这样就存在把IP地址变 换成物理地址的地址转换问题. 以以太网环境为例, 为了正确地向目的主机传送报文, 必须 把目的主机的32位IP地址转换成为48位以太网的地址.这就需要在互连层有一组效劳将 IP 地址转换为相应物理地址,这组协议就是 ARP协议.ARP 包：e Ethernet 11 Src: Asustftkc_fd:f8:12 (OOiFd:f8, Dst: Broadcast (fff rff:ff-Desiirat1 on：

11、 Broadcast (T伫ffAddr tissi 由 MJcasi (fT:1T: FT ： f 门* IG bit: Group address (nulticast/brcadtist) =LG biti Local!y adminlstereel address (this is MO' B source: A&Mstekc_fd:fS:12 <00:2t：i8：f Address; Aiustt!kc_fdl:ffl: 12 (00:26:15 . fd : TSilZ) . *.*0 .* *.,* * .,.* - IG bit: Individual a

12、ddress (unicast ,* = LG bit: Glabally unique address (factory default'Type: arp coxaeodj Trailer; DO00aOOCOODO0000001>00000000000000000 Address Rcsoluficn Frotocol (requeutj Hardware typ: Ftherri&t (0x0001) proiocol type: ip Coxoeoo riardHdr已 s i r« 6 nrctccol size: A Opcode: requt (

13、DkOOOI) is qratJitous: FalsJ 5end*r mac addrtsi： ASL3tekC_fd:fE:1Z (00:2G:13:fd:fS:L2) sender ip address: 11S.22D.130.57 <118-220*110.57) Target MftC address: 00:00:00_(0100:00 (00100:DO：0<l：00:DO) rarg«L IP address： 116,229.130*1 (113.229.130-L)本机希望知道ip为118.229.130.1主机的物理地址,如果本机的ARP缓存表中没

14、有目标IP地址,那么本机将会发送一个播送本机MAC地址是“00 26 : 18 : fd : f8: 12,这表示向同一网段内的所有主机发出这样的询问：我是118.229.130.1 ,我的硬件地址是"00 : 26 : 18:fd : f8 : 12".请问IP地址为192.168.1.1的MAC地址是什么 网络上其他主机并不响应ARP询问,只有目标主机接收到这个帧时,才向本机做出这样的回应：“118.229.130.1的MAC地址是xx-xx-xx-xx-xx- xx.这样,本机就知道了目标主机的MAC地址,它就可以向目标主机发送信息了.还同时都更新了自己(本机与目标的

15、)的 ARP缓存表(由于本机在询问的时 候把自己的IP和MAC地址一起告诉了目标主机),下次本机再向目标主机或者目标主机向本 机发送信息时,直接从各自的ARP缓存表里查找就可以了.4.3- 3发送DHCP分组,捕获并分析格式DHCP动态主机设置协议Dynamic Host Configuration Protocol 是一个局域网的网络协 议,使用UDP协议工作,主要有两个用途：给内部网络或网络效劳供应商自动分配IP地址给用户给内部网络治理员作为对所有计算机作中央治理的手段.Ns "imfcS our iffkslirijijcnDHCP DHCP RclCiUieTrdrdLta

16、ian 10.淑3如浦；5国 61. T?d2 57 0. 0.0.0 5M 6Z. 569aS 118.225-130.1 589 &A 569073 O. D.d.O992 62.5BB777 11B.111.130.1255.2S1.25S.25525,255.255. 255ZSh.255.255.255255-25.25,255OH匚pOnCP dsroivr-Transaction id Ox9f69d2SlDHCF OUCF OfferIDHCPDtCP Request - Transdction ID 0罚9Tb如ALcticporicp AtK- Transacrio

17、n id oxfG9d28i5B1: W2 byt«s dh wir# (27 36 bits) * M2 bytes captur (2736 bits)0, src： ufl«Lc_25 ：L3 : fC (00123 ； 54 ；25；b3：fc) , DSC：取口 Md T! ff ： ff f ： ff ： f F) d ocstinarlon: Broadcast:Fff ;ff ：ff)sgurce: AsutekC匚:&4 :bi :ft)ypt; tip (0x080033 IrrternEt Protocol , Sr c: O.D.O.O (0

18、.0. ft.*), Qst ： 35 5.25 5. ? 5S. 25 5 C2 5 5. ?55.35 5.verslwi: 1length: 20 b/l«sj Different lai cd !>crv1«c Field: oxo.(D£CP oxoo： KfauRi lc<: oxoo)Tata Length： 328Tdf'HTifiration: OKCbrr了弓浙3 Flags : QxOOftjgr«n-L offset: 0to12EPrOtCCGl: UDP (17)ii Header checksumQxcd

19、d9 correctSource： O.Q+Q,.(0+ Dn 0.0)r>pst inatnen: 2S5.255.?55 (75. 255. J5S. ?55)*口aisqr孙 prciocolp sre port: boutpc (es)T ps port: bootps (w)i 6 oct st i"Protocol首先释放当前的IP地址,然后再重新获取IP地址.然后向网络发出一个DHCP DISCOVER封包.封包的来源地址会为0.0.0.0,而目的地址那么为 255.255.255.255 ,然后再附上DHCP discover 的信息,向网络进行播送.当DHCP

20、效劳器监听到客户端发出的DHCP discover 播送后,它会从那些还没有租出的地址范围内,选择最前面的空置IP,连同其它 TCP/IP设定,响应给客户端一个DHCPOFFER封包.由于客户端在开始的时候还没有IP地址,所以在其 DHCP discover 封包内会带有其 MAC地址信息,并且有一个 XID编号来区分该封包,DHCP效劳器响应 的DHCP offer封包那么会根据这些资料传递给要求租约的客户.根据效劳器端的设定, DHCP offer封包会包含一个租约期限的信息.如果客户端收到网络上多台DHCP效劳器的响应,只会挑选其中一个DHCP offer而已通常是最先抵达的那个,并且会

21、向网络发送一个 DHCP request播送封包,告诉所有 DHCP 效劳器它将指定接受哪一台效劳器提供的IP地址. 同时,客户端还会向网络发送一个ARP封包,查询网络上面有没有其它机器使用该IP地址；如果发现该IP已经被占用,客户端那么会送出一个 DHCPDECLIENT 封包给DHCP效劳器,拒绝接受其 DHCP offer,并重新发送 DHCP discover 信息.当DHCP效劳器接收到客户端的DHCP request 之后,会向客户端发出一个DHCPACK响应,以确认IP租约的正式生效,也就结束了一个完整的DHCP工作过程.假设一直得不到响应的情况下,客户端一共会有四次 DHCP

22、discover播送包括第一次在内, 除了第一次会等待1秒之外,其余三次的等待时间分别是9、13、16秒.如果都没有得到DHCP效劳器的响应,客户端那么会显示错误信息,宣告DHCP discover的失败.之后,基于使用者的选择,系统会继续在5分钟之后再重复一次 DHCP discover 的过程.4.3- 2发送ip数据分组,捕狄并分析格式ip数据分组：血 C:WindowssysteiTi 3 2dTnrl, tieUindous<c) 2069 Nicocof t Corpov-at ion 保存所有权利伊*MiuBiuig pingf -1 8000 192.1G8.B. 1p超

23、超超超 Hu1 JJi m nr HUM具有8000子T的数据168-0.1的Pina统计信息7数据包：己安送 4,己玲板-0,丧失 4 <100K丧失,TIeSPl-fikxd t-nfoId Jt- 4 950 LlJU' : M口 5沛虱我 JKL72 <»?.16a.0.1prED-FBF142.1fh9町并卫事郭TCMF Frho 璀"fmhm nrKlrWl,If -ll , ises-n. rrl-lZS)T5W3pracr>-,'时 如口 icefl ip pro1 toCc-IjchP OtzzTp rragnrrrred

24、 111 prormcoiCpTMO-liW5%14占尊,1110,点1毋3弛,血1.TEF Echo (ping,此匚(3*血00】 miglX "乒访过功由里 计】7；?18其口 】-,Kk JJt孔M.6L1】! r】生 厦政典QarMAlW &.妇 BfTgJOM, TAijafr*)14-2?$-£312. iiB.Q-1if FriQneirrc&d ip prt9Wl (trM：i>i<j-"F 0x01. ofT-44 j., lojafiej-&M 412171«1nr-nrir-ilw、_j -.

25、u.:nB-tn :;n：.ieoi-ti.2171*1ijch.c- 1rm .nr i： . -m cot rpr«Q-T(*p 0-01, orr-iw,716& 217673 IIS.2M.IK. 22192*.IM, D.371'4n. 17(1 "B 11-a.1 IO. 221V2.1E-9. Ci-1? Edw (ping) r«qMs<(IdgxiNm. $<4(ib#yle>=iwni*iii trl=i2is) l-7 Fra.griQrrtad IP prcytouil CprDtO>£CM

26、* (Ml, HfalJlAO. IDdrQif)Frw ?17： 1H4 bytes M Mr骨(12U2 ElSL 15U bcs 做“r财 口以M bits) Etbcrhet II, 5rc： A31t5tekc_25(W；2J；, O5t ?归网漆加US打 1电:网 CDOsffff ；«?：64；1« ；MJwstan! 4Ho jdor Ic-ngith: ZD bytas,-DirTer<miiieci s«rvKe& Fit no；凶口.?响 f oxoo-t oernt; e.5；如 g) TOTll Leriffth： 500

27、Identif icai: ianii Chijhi9f E】iig* .口1 (mor* Frjig>n|inT：f) Fr jgrarTt rffsfft: L-CBO Tl« c.a 11mc: 124 Prfliocal i Iip Header ctiBEksuai OwOOOO in 匚orset. should be 0x2024Lood: faisem 回 Trur» iexiktt info CErrDF/chBcic»LMd： Bad checkauivj Lia.32t ljD.23 <llt.UD. 130.21)DtSHWxl

28、Qrt： *2应网上1 口熨.】创.0." Oata £145& bytes：JOOUL ClijOuD. JOOllLlH-KJOlDUllClQlGLVOLlll QlOOClOlO匚"5其0心L<lli?JOUL一000«OlOlGiOOM1U10HIMgOClOWU0U0WOIWIOIOOOUOMi遍LCW100OCHM1O11LD1110DWill 010IOT111L1OQ1KKKK)1Q1110O11ODW0W00000001.r ：.«1«KMMOD(KlOWMWQL1W1101

29、L11K1011««0100MW110UMMKWL0in0«pO2fl(KHWOQOD0000300101100001<nigOUDOlIBMilailDOtCH)0110010101100110. - abizdefjJ2>jiiwiuyi jiLyiaiu uiiyiun -11111 -±iiriiLi "-±11.111 j ir 11klirr发送一个8000字节的包通过6片就行分组传输.1010100 00100101 1011001111111100 00001000 00000000loiooowi 000

30、00000000001OL 11011100 001110100000(X)0.OOOOOQOO 01110110oicioooi 00100000 oaoooooo iiiooioi looaooio oaoiono10000000 ooooooai HOOOOOO 10101OCK)Cl 0 00aCO0 0QOOOQOlKrflMJWlUooooodoo 11101011 0101110100000000 00000031i omni n Giinoam onnnom ci wnnn ni won on on omni nnnnnn,= TnrsrrWT Protocol, Src： U

31、S. 22&.110. 22 (11£. 22. 130. 22) , Det: 1&2.16S. 0.1 (lQ2.1Sfl verslon； 4rieadei leiigthi 20 Lytes±)Olfterentiated servi ces Field: 0x00 DSCP CxOO: Detau 11; ECn : OnOO) lotal Length： 15001dent ificatior! OxaSl (14皎a Flags: 0x01 (More Fragments) Fragnent offset; O lime to live: 18

32、 Protocol: ICMP El|neader checksi.m: OiD&OO incarrct, should be O2L2bGood: hIweB lBad : Trued Expert irftj Errqr checlcsunj: B&d checksumsource: US.229.130.22 (118.229.130. 22)UesTinarion: 192.16,0.1 CL9LM8.G.L)日 internet centrol Message ProtocolType: 8 (Echo (pingj request)code: Ochecksur:

33、Oxebdidentifier: OxOOOlSpqiJpncp nuirtjtr : 151 (OrOflZ)Sequence number (LE): 3S65C C0x9700)® Data (147Z b/tes供 1500 个字节 id 为 0x3a51(14929)标志位为001:最低位为MF=1:后面还有分片中间位为DF=0:允许分片在后面包含源地址与目标地址.(前面已有分析,此处不再复述)IP协议头部后面是传输层的数据包含头部和数据局部,在此不再分析.数据的长度为1472.然后分析第二片可以得出,offset=1480 ,是由于前一片从传输层得到了1480的数据加上2

34、0个字节的头部信息最后在网络层形成了1500字节的包,然后此处的1480是传输层数据的断点°可以得出offset=1480*(N-1) N为第几片.由于后面还有片所以MF=1 DF=0=同理分析2 3 4 5片都具有相同数据.来分析下最后一片：internet Protocol, Src： 118.229,130.22 Ql». 229,130.22K Dst: 192.166,0,1 (192.1( versi on: 4Header lengxh: 20 bytes=)Different i at ed Serv-ces Field: 0x00 QSCP OxOD :

35、I2ef aul t J £CN : 0x00)OflOO OO. = Differ err i at ed Ser wi ces Codspo-i nt: Default (0x00).0. = ECM-Capble Transpart (匚£T)! D 0 = ECM-CC: 0Tctal Length: 62BZcertificsfion: Ox3a51 (14929)Q Flacs: GxOO0,. . ,. . Fteserved bit: Nor set.0. Don't fragment: Not sex-0- . More f ragnents: Not set Fracmerrt offset: 7400 Time to 1ive: 1?8 Protocol : icmp 0)刁 hecer