实验利用wireshark对IP协议及分片分析

1、实验 IP协议分析一、实验目的理解IP协议报文类型和格式，掌握IP V4 地址的编址方法。二、实验方式每两位同学为一小组，每小组各自独立完成实验。三、实验内容Ping 命令只有在安装了 TCP/IP 协议之后才可以使用，其命令格式如下：ping -t -a -n count -l size -f -i TTL -v TOS -r count -s count-j host-list | -k host-list -w timeout target_name这里对实验中可能用到的参数解释如下：-t ：用户所在主机不断向目标主机发送回送请求报文 ，直到用户中断；-n count： 指定要 Ping

2、 多少次，具体次数由后面的 count 来指定 ，缺省值为 4；-l size： 指定发送到目标主机的数据包的大小 ，默认为 32 字节，最大值是 65,527；-w timeout：指定超时间隔，单位为毫秒；target_name：指定要 ping 的远程计算机。1、IP协议分析实验使用 Ping 命令在两台计算机之间发送数据报，用 Wireshark 截获数据报，分析 IP 数据报的格式，理解 IP V4 地址的编址方法，加深对 IP 协议的理解。2、IP 数据报分片实验 我们已经从前边的实验中看到，IP 报文要交给数据链路层封装后才能发送。理想情况下，每个 IP 报文正好能放在同一个物理

3、帧中发送。但在实际应用中，每种网络技术所支持的最大帧长各不相同。例如：以太网的帧中最多可容纳 1500 字节的数据；FDDI帧最多可容纳 4470 字节的数据。这个上限被称为物理网络的最大传输单元（MTU，MaxiumTransfer Unit）。TCP/IP 协议在发送 IP 数据报文时，一般选择一个合适的初始长度。当这个报文要从一个 MTU 大的子网发送到一个 MTU 小的网络时，IP 协议就把这个报文的数据部分分割成能被目的子网所容纳的较小数据分片，组成较小的报文发送。每个较小的报文被称为一个分片（Fragment）。每个分片都有一个 IP 报文头，分片后的数据报的 IP 报头和原始 I

4、P 报头除分片偏移、MF 标志位和校验字段不同外，其他都一样。图 5.2 显示了 Wireshark 捕获的 IP 数据报分片的分析情况，可参考。图 5.2 IP 数据报分片示例重组是分片的逆过程，分片只有到达目的主机时才进行重组。当目的主机收到 IP 报文时，根据其片偏移和标志 MF 位判断其是否一个分片。若 MF 为 0，片偏移为 0，则表明它是一个完整的报文；否则，则表明它是一个分片。当一个报文的全部分片都到达目的主机时，IP 就根据报头中的标识符和片偏移将它们重新组成一个完整的报文交给上层协议处理。四、实验步骤1、IP协议分析步骤1：分别在 PC1 和 PC2 上运行 Wireshar

5、k，开始截获报文，为了只截获和实验内容有关的报文，将 Wireshark 的 Captrue Filter 设置为“No Broadcast and no Multicast”；步骤2： PC1 ping PC2.步骤3：停止截获报文，分析截获的结果，回答下列问题：1） 任取一个有IP协议的数据报并截图替换下图2） 分析该 IP 协议的报文格式，完成下表表 IP协议字段报文信息说明版本4IP所使用版本号头长20bytesIP头的长度服务类型0x00优先级标志位和服务类型标志位，被路由器用来进行流量的优先排序总长度40IP头与数据包中数据的长度标识0x6f0b一个唯一的标识数字，用来识别一个数据

6、包或者被分片数据包的次序标志0x02用来标记一个数据包是否是一组分片数据包的一部分片偏移0一个数据包是一个分片，这个域中的值就会被用来将数据包以正确的顺序重新组装生存周期2用来定义数据包的生存周期，以经过路由器的跳数/秒数进行描述协议TCP用来识别在数据包序列中上层协议数据包的类型校验和0x0000一个错误检测机制，用来确认IP头的内容没有被损坏或者篡改源地址发出数据包的主机的IP地址目的地址数据包目的地的IP地址2、IP数据报分片实验步骤1：在 PC1、PC2 两台计算机上运行 Wireshark，为了只截获和实验有关的数据报，设置 Wireshark 的捕获条件为对方主机的 IP 地址的i

7、cmp协议，则在PC1上设置的捕获条件为 ip.dst_host and icmp ，开始截获报文；步骤2：在 PC1 上执行如下 Ping 命令，向主机 PC2 发送 5000B 的数据报文：ping的命令为 ping 并截图替换下图。步骤3：停止截获报文并截图替换下图：分析截获的报文，回答下列问题：1）以太网的 MTU 是 1500 A）对截获的报文分析，将属于同一ICMP 请求报文的分片找出来并截图替换下图，主机 PC1 向主机 PC2发送的 ICMP 请求报文分成了 4 个分片B）若要让主机PC1向主机PC2发送的数据分为 3 个分片，则 Ping 命令中的报文长度应为多大范围。_3） 在有分片存在时，ICMP协议报文是存在于每个分片中还是只是在最后一个分片中？ 在最后一个分片中 4）将第二个 ICMP 请求报文的分片信息填入表并分别对每条分析进行截图：表 ICMP请求