网络层数据分组的捕获和解析

1、 实验二：网络层数据分组的捕获和解析1. 实验类别协议分析型2. 实验内容和实验目的本次实验内容：1）捕获在连接Internet过程中产生的网络层分组：DHCP分组，ARP分组，IP数据分组，ICMP分组。2）分析各种分组的格式，说明各种分组在建立网络连接过程中的作用。3）分析IP数据分组分片的结构。通过本次实验了解计算机上网的工作过程，学习各种网络层分组的格式及其作用，理解长度大于1500字节IP数据组分片传输的结构。3. 实验设备环境Windows XP 操作系统的pc机，连接到Internet，使用WireShark软件。4. 实验步骤4.1 准备工作启动计算机，连接网络确保能够上网。4

2、.2 捕获和分析网络层分组开启监控，连接网络。一段时间后查看捕获的分组。分析各种分组的格式以及在上网过程中所起的作用。4.3-1 发送ICMP分组，捕获并分析格式ICMP是（Internet Control Message Protocol）Internet控制报文协议。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。0100为协议类型：4.0101为首部长度：5*4=20字节00000000为服务类型。00000000 001

3、11100 为总长度：60（20个头部，40个数据）00001000 10101101为标识：0*08ad（2221）000为标志位 MF=0 DF=000000 00000000为片偏移：offest=010000000 为生存时间：12800000001为协议：ICMP（1）00000000 00000000 为首部校验和：001110110 11100101 100000010 00010110为源地址：01110111 01001011 11010101 00110011为目标地址：00001000为ICMP报文的类型：800000000为code：001001100 11001101

4、 为校验和：0x4ccd其后面的32为与ICMP的类型有关在后面的为数据部分。此ICMP为回送请求与回送回答报文4.3-2 发送ARP分组，捕获并分析格式ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组

5、协议就是ARP协议。ARP包：本机希望知道ip为主机的物理地址， 如果本机的ARP缓存表中没有目标IP地址，那么本机将会发送一个广播本机MAC地址是“00：26：18：fd：f8：12”，这表示向同一网段内的所有主机发出这样的询问：“我是，我的硬件地址是"00：26：18：fd：f8：12".请问IP地址为的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有目标主机接收到这个帧时，才向本机做出这样的回应：的MAC地址是xx-xx-xx-xx-xx-xx”。这样，本机就知道了目标主机的MAC地址，它就可以向目标主机发送信息了。还同时都更新了自己（本机与目标的）的ARP

6、缓存表（因为本机在询问的时候把自己的IP和MAC地址一起告诉了目标主机），下次本机再向目标主机或者目标主机向本机发送信息时，直接从各自的ARP缓存表里查找就可以了。4.3-3 发送DHCP分组，捕获并分析格式DHCP动态主机设置协议（Dynamic Host Configuration Protocol）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。首先 释放当前的IP地址，然后再重新获取IP地址。然后向网络发出一个 DHCP DISCOVER 封包。封包的来源地址会为 .0 ，而目

7、的地址则为 255.255.255.255 ，然后再附上 DHCP discover 的信息，向网络进行广播。当 DHCP 服务器监听到客户端发出的 DHCP discover 广播后，它会从那些还没有租出的地址范围内，选择最前面的空置 IP ，连同其它 TCP/IP 设定，响应给客户端一个 DHCP OFFER 封包。 由于客户端在开始的时候还没有 IP 地址，所以在其 DHCP discover 封包内会带有其 MAC 地址信息，并且有一个 XID 编号来辨别该封包，DHCP 服务器响应的 DHCP offer 封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定，DHCP off

8、er 封包会包含一个租约期限的信息。如果客户端收到网络上多台 DHCP 服务器的响应，只会挑选其中一个 DHCP offer 而已(通常是最先抵达的那个)，并且会向网络发送一个DHCP request广播封包，告诉所有 DHCP 服务器它将指定接受哪一台服务器提供的 IP 地址。 同时，客户端还会向网络发送一个 ARP 封包，查询网络上面有没有其它机器使用该 IP 地址；如果发现该 IP 已经被占用，客户端则会送出一个 DHCPDECLIENT 封包给 DHCP 服务器，拒绝接受其 DHCP offer ，并重新发送 DHCP discover 信息。当 DHCP 服务器接收到客户端的 DHC

9、P request 之后，会向客户端发出一个DHCPACK 响应，以确认 IP 租约的正式生效，也就结束了一个完整的 DHCP 工作过程。若一直得不到响应的情况下，客户端一共会有四次 DHCP discover 广播(包括第一次在内)，除了第一次会等待 1 秒之外，其余三次的等待时间分别是 9、13、16 秒。如果都没有得到 DHCP 服务器的响应，客户端则会显示错误信息，宣告 DHCP discover 的失败。之后，基于使用者的选择，系统会继续在 5 分钟之后再重复一次 DHCP discover 的过程。4.3-2 发送IP数据分组，捕获并分析格式IP数据分组：发送一个8000字节的包通

10、过6片就行分组传输。供1500个字节 id为0x3a51(14929)标志位为001：最低位为MF=1：后面还有分片 中间位为DF=0：允许分片在后面包含源地址 与目标地址。（前面已有分析，此处不再复述）IP协议头部后面是传输层的数据包含头部和数据部分，在此不再分析。数据的长度为1472.然后分析第二片可以得出，offset=1480，是因为前一片从传输层得到了1480的数据加上20个字节的头部信息最后在网络层形成了1500字节的包，然后此处的1480是传输层数据的断点。可以得出offset=1480*(N-1) N为第几片。因为后面还有片 所以MF=1 DF=0。同理分析 2 3 4 5 片

11、都具有相同数据。来分析下最后一片：可以看出MF=0 DF=0。说明这是最后一个分片。而且只有628个字节的长度，表示所剩的数据的全部。加上前面五个片的数据共有8000字节。然后分析下一数据包 可以得出其中的标识发生了变化，来与前一个数据包加以区别。其他的头部部分与前面ICMP协议的时候相同。5. 实验心得通过此次实验，对于各个协议有了很深的了解，尤其是对于网络层上的几个协议，如DHCP分组，ARP分组，IP数据分组，ICMP分组。对于每种分组的详细分析，已经对几个分组的内部结构与原理有了一定程度的认知，把课堂上讲到的知识应用于实践之中。在此次实验中同样遇到了很多的问题，先是wireshark软

12、件的使用，由于是初次使用，很多指令与方法都不能很多的了解，但是通过实验指导书与软件自带的指导手册，对于软件的使用方法及软件的作用有了一定的了解。还有就是对于抓包，刚开始比较乱，不能对抓包这个概念有很好的理解，但是渐渐的分析了一些包之后，发现了其中的结构组成及内在的作用，还是发现学习了很多。而且能将课堂上讲的协议在实践中很好的体现出来，还是收益匪浅的。接着就是对于抓包的分析过程，发现在ip协议头部的前面还有很多的数据，刚开始的时候误认为ip协议的头部。发现不合理，然后通过软件的自带的分析，发现不是ip协议的头部，个人认为可能是在数据链路层上头部包括本机的mac地址与对方的mac地址。而且在此次实验的抓包中发现了一些现象，例如你在进行语音或许视频的通信，在抓包的过程中UDP包就显的尤其的多，可以得出视频与语音通信采用的是不可靠连接的服务。在去掉了ip协议的头部之后后面跟着的是传输层上的数