实验：利用Wireshark分析ICMP协议

1、实验利用 Wireshark 分析ICMP协议、实验目的分析ICMP协议二、实验环境与因特网连接的电脑，操作系统为 Windows，安装有Wireshark、IE等软件。三、协议简介OSI的ICMP 全称 In ternet Control Message Protocol 网络层，向数据通讯中的源主机报告错误。，中文名为因特网控制报文协议。它工作在 ICMP可以实现故障隔离和故障恢复。网络本身是不可靠的，在网络传输过程中，可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议，它不会处理网络层传输中的故障，而位于网络层的ICMP协议却恰好弥补了 IP的缺限，它使用IP协

2、议进行信息传递，向数据包中的源端节点提供发生在网络层的错 误信息反应。ICMP的报头长8字节，结构如图1所示。比特07815 16比特31类型：标识生成的错误报文，它是ICMP报文中的第一个字段；代码：进一步地限定生成ICMP报文。该字段用来查找产生错误的原因； 校验和：存储了 ICMP所使用的校验和值。未使用：保存字段，供将来使用，起值设为0数据：包含了所有接受到的数据报的IP报头。还包含IP数据报中前8个字节的数据;ICMP协议提供的诊断报文类型如表1所示。类型描述0:回应应答Ping应答，与类型8的Ping请求一起使用3目的不可达4源消亡5重定向8回应请求Ping请求，与类型8的Ping

3、应答一起使用9路由器公告与类型 10 一起使用10路由器请求与类型 9 一起使用11超时12参数问题13时标请求与类型14 一起使用14时标应答与类型13 一起使用15信息请求与类型16 一起使用16:信息应答与类型15 一起使用17地址掩码请求与类型 18 一起使用18地址掩码应答与类型 17 一起使用表1 ICMP诊断报文类型ICMP提供多种类型的消息为源端节点提供网络层的故障信息反应，它的报文类型可以归纳为以下5个大类：诊断报文类型 8,代码0;类型0，代码0；目的不可达报文类型 3，代码0-15；重定向报文类型 5,代码0-4；超时报文类型 11,代码0-1；信息报文类型12-18。P

4、ing命令只有在安装了TCP/IP协议之后才可以使用，其命令格式如下：ping -t -a -n coun t -1 size -f -i TTL -v TOS -r coun t -s count-j host-list | -k host-list -w timeout target_ name这里对实验中可能用到的参数解释如下：-t :用户所在主机不断向目标主机发送回送请求报文，直到用户中断；-n count:指定要Ping多少次，具体次数由后面的count来指定，缺省值为 4 ；-I size :指定发送到目标主机的数据包的大小，默认为32字节，最大值是 65,527;-w timeo

5、ut :指定超时间隔，单位为毫秒；target_name:指定要 ping 的远程电脑。Ping和traceroute命令都依赖于ICMP。ICMP可以看作是IP协议的伴随协议。ICMP报 文被圭寸装在IP数据报发送。一些ICMP报文会请求信息。例如：在ping中，一个ICMP回应请求报文被发送给远程 主机。如果对方主机存在，期望它们返回一个ICMP回应应答报文。一些ICMP报文在网络层发生错误时发送。例如，有一种ICMP报文类型表示目的不可达。造成不可达的原因很多，ICMP报文试图确定这一问题。例如，可能是主机关及或 整个网络连接断开。有时候，主机本身可能没有问题，但不能发送数据报。例如IP

6、首部有个协议字段，它指明了什么协议应该处理IP数据报中的数据局部。IANA公布了代表协议的数字的列表。 例如，如果该字段是6,代表TCP报文段,IP层就会把数据传给TCP层进行处理；如果 该字段是1那么代表ICMP报文，IP层会将该数据传给ICMP处理。如果操作系统不支 持到达数据报中协议字段的协议号，它将返回一个指明“协议不可达的 ICMP 报文。 IANA 同样公布了 ICMP 报文类型的清单。Traceroute是基于ICMP的灵活用法和IP首部的生存时间字段的。发送数据报时生存时 间字段被初始化为能够穿越网络的最大跳数。每经过一个中间节点，该数字减1。当该字段为0时，保存该数据报的机器

7、将不再转发它。相反，它将向源IP地址发送一个ICMP 生存时间超时报文。生存时间字段用于防止数据报载网络上无休止地传输下去。 数据报的发送路径是由中间 路由器决定的。通过与其他路由器交换信息，路由器决定数据报的下一条路经。最好的 “下一跳经常由于网络环境的变化而动态改变。这可能导致路由器形成选路循环也会 导致正确路径冲突。 在路由循环中这种情况很可能发生。 例如，路由器 A 认为数据报应 该发送到路由器B，而路由器B又认为该数据报应该发送会路由器 A，这是数据报便处 于选路循环中。生存时间字段长为 8位，所以因特网路径的最大长度为 28 -1即 255跳。大多数源主机 将该值初始化为更小的值如

8、 128或 64。将生存时间字段设置过小可能会使数据报不 能到达远程目的主机，而设置过大又可能导致处于无限循环的选路中。Traceroute 利用生存时间字段来映射因特网路径上的中间节点。为了让中间节点发送ICMP 生存时间超时报文，从而暴露节点本身信息，可成心将生存时间字段设置为一个 很小的书。具体来说， 首先发送一个生存时间字段为 1的数据报，收到 ICMP 超时报文， 然后通过发送生存时间字段设置为 2 的数据报来重复上述过程， 直到发送 ICMP 生存时 间超时报文的机器是目的主机自身为止。因为在分组交换网络中每个数据报时独立的，所以由traceroute发送的每个数据报的传送路径实际

9、上互不相同。认识到这一点很重要。每个数据报沿着一条路经对中间节点进 行取样，因此traceroute可能暗示一条主机间并不存在的连接。因特网路径经常变动。 在不同的日子或一天的不同时间对同一个目的主机执行几次traceroute命令来探寻这种变动都会得到不同的结果。为了表达In ternet路由的有限可见性，许多网络都维护了一个traceroute月效劳器traceroutaTraceroute效劳器将显示出从本地网到一个特定目的地执行traceroute的结果。分布于全球的traceroute效劳器的相关信息可在上获得。四、实验步骤1、ICMP协议分析步骤1:分别在 PC1和PC2上运行 W

10、ireshark，开始截获报文，为了只截获和实验内容有关的报文，将 Wireshark 的 Cap true Filter 设置为"No Broadcast and no Multicast；步骤2：在PC1以PC2为目标主机，在命令行窗口执行Ping命令，要求ping通10次;Pi ng命令为：将命令行窗口进行截图：步骤3:停止截获报文，分析截获的结果，答复以下问题：1将抓包结果进行截图要求只显示 ping的数据包2截获的ICMP报文有几种类型？分别是:3分析截获的ICMP报文，查看表 5.1中要求的字段值，填入表中。只需要填写6个报文信息。表5.1 ICMP报文分析扌艮文号源IP

11、目的IP报文格式类型代码标识序列号4查看ping请求分组，ICMP的type是 和code是 并截图替换以下列图MirMTTJ IC1MJ和 5 XIrn:mnFr - 口口1：|-口fv雪目書口晝厂口! a C治常T/pc! fi C110r-aEpifl)CM! 0亡h eck TLj in; 口i昌 I匚 Qcor上匸匸 x dlifinclf far 也?equienc * "兄町 r: 0 ：d (<i 口ATS XS ?口弓 J> A-Frans ； flgn wirci 74t-ac-sursGT« irharnrt ir. arc：踊st 吆匚:

12、曲：泌 coD：ii 3a：!M wcernK“1曲啊，寸町；"比丄巾左<ll> am.“Z(L佃九5查看相应得ICMP响应信息，ICMP的type是和code是 并截图替换以下列图6假设要只显示ICMPl勺echo响应数据包，显示过滤器的规那么为 并根据过滤规那么进行抓包截图7假设要只显示ICMPl勺echo请求数据包，显示过滤器的规那么为 并根据过滤规那么进行抓包截图2. ICMP 和 Traceroute在Wireshark 下，用Traceroute程序俘获ICMP分组。Traceroute能够映射出通往特定的因特网主机途径的所有中间主机。源端发送一串ICMP分组

13、到目的端。发送的第一个分组时，TTL=1 ;发送第二个分 组时，TTL=2，依次类推。路由器把经过它的每一个分组 TTL字段值减1。当一个分组到 达了路由器时的TTL字段为1时，路由器会发送一个ICMP错误分组ICMP error packet : 给源端。步骤4：在PC1上运行 Wireshark开始截获报文；步骤5:在PC1上执行Tracert命令，如：Tracert sina;将命令窗口进行截图。图4 :命令提示窗口显示Traceroute程序结果替换截图设置显示过滤器为icmp，图5显示的是一个路由器返回的ICMP超时报告分组ICMP error packe。注意到ICMP超时报告 分

14、组中包括的信息比Pi ng ICMP中超时报告分组包 含的信息多。tqptvriHC- f rvi KvaJAvk IC/jM/lMJD B4JW<nFt VIC(- r：r*uf I" 35Scf heIE.i L« li 1HMder le<ngthr 科 bw-nlTTBrantlitAd swic i=1-&'lili xud (ds>zf Dauu>: D«rdLilt: scu. uju.Tetil mnh; *iZicte-m:lITicat 1 cti2 futiZa (4544&J F"i

15、g: QxWFf t-HYT Cff £St J 0T ff»e W 1 *¥*&£ LXprwiiKal e iov (1)he-±der chzks-uiz CwjEL zarrectscurctL緘e 1过.曲亠沖"©C-Sinii Ui. L,C>,2P3 CLU-XW. 293)=enter net control wEssioe ProtocolType: (echo CM ng:) rc-qirst)ccxJe:" S.lu-4 |ii<lTEq 趾TrJJwla曲匚 F B X

16、2电書生S (il a til 憧"毎iilt4T L<9J*1D_m?impmgLN nnt-tG-li sUm ii 4leh0 _3血亡nILuH Edio 口1 ng r密quhi：旳：百址人 百电住陀/!电j:? 5彌4.啲| itT1 口巾 & "ElOQ.；'ID. . 10i.lvaTH=»L1WTTFID. 37. 3C.41皿 L I， -川.违1； Pkt- .'=廿， TT'.j"M4IIrn-tE-'h a a- >:>:-»dod.-cc-dacaloMdfi

17、dCTliiaTanwfiiaMCfifidHdriW 7. *65 >51C- B2. JO.J?12L.1CJ . 0.2 05IOi3UQ Edrm CM'hgi) reguats«q0bEZle)-Z 0349/1Q31.竝1廿lii 已：L跖K10 0?. 30 19121.194.D. ZD3IZW1:M F -h - 1工耳丁 l些丁凸'r H zR HO -11广：环厂巴：肝：.： ：M 工工T £iz*i=,l：-7 乩 IINi -r.10 R?_ 10 曲ICH3TJuft Fchs 叮 -qun 门 |±口同Q - -

18、 qi r p/ i»'；i*：j3 . tt 7 -ft1!-4 -Z门滋理IQ R/ 10朴KW»IZW3HZM=>二口* E：ii： i0ngi yquut121.JLMLD-2DI51ZH=Xi'S E-zh: iQng requestkMO：, - =qi E/" =.：«-： 79/1. itJ-iFTs .TCC 工 ariu. A9二:呻 ；-4Q:. 5-tqi CZ ifi j-； 01t<'/LlQ, TXll-iI-FFIfii； 'J&L-.'IZFF-. '.

19、叮li. H. .» i I丄21們LMns ?:川 I.：1=1 . rpqiir i. IcMh-左即叮I M I f . 18J "+l IQ- Ik . i!U"£ =i12L-1S!- iEl osIDF迈FlEdiH Whg： r»aqijm MijYiJiDW 孔口“巧-丄日啦日必口. tFlT)3局3：口OOWU 2 fl o O.". ued-u-u- s V c c c r 4 7 0 0 0- &-琵战；： ? ? D Q D c 1 a a. Li dBDDrl 餐當黒 葛霜黑 u d 4 o o A

20、IJJaJ!jd！ .H oci ODA r DfQ n A 1- I- o 1 .u r J u I li®" P2do 口 -2 5 c Q 口 C 忘 uIDQIDIr 歹 w o Q o A.1 UK- 1M：mr-It*-冲17 ««4nt. &Trf il« lib vjIiKF甩 Cit5'* t* . w*.*3 ! t. raft . A ui.图5: 个扩展ICMP超时报告分组信息的 Wireshark窗口替换截图步骤6:停止截获报文，分析截获的报文，答复以下问题：1截获了报文中哪几种ICMP报文？其类型码和

21、代码各为多少？ICMP报文类型类型码type代码code2在截获的报文中，超时报告报文的源地址分别是多少?3查看ICMP echo分组，是否这个分组和前面使用 ping命令的ICMP echo 一样？对于TTL值有什么变化规律。4查看ICMP超时报告分组，它比ICMP echo分组包括的信息多。对照ICMP协议，分析 一下ICMP超时报告分组比ICMP echo分组多包含的信息有哪些？5对于ICMP超时报告分组，找出与命令提示窗口截图中的第二跳路由器的接口 IP地址为，在Wireshark抓包图中截图与 第二跳路由器的接口 IP地址对应的局部并截图。6同理，找出第四跳路由器的接口 IP地址为，

22、在Wireshark抓包图中截图与第二跳路由器的接口 IP地址对应的局部并截图。举例如下，命令提示窗口截图：it.t.ie.tav ox彈ZLRt.l?3Dzee,112.bi iW. li3r；3 1G3RKL1注，切 *"<*0百 ¥&A»d wv i«.tLwd wt * liEf t t L*td Hqwalr tin#d wit. BtalfMOB I IL LMVll Mil _ 阳年心盲 昭HI 号MH It LI|j lit =其中，第二跳路由器的接口 IP地址为 .22，在Wireshark抓包图中截图与第二跳路由器的接口

23、 IP地址对应的局部并截图如下。»3Mrn Is£忙 LQ JLL號 f 呂!=¥J.rdLll:IEFr.rj«9 P4-毘Ly 4*F -ZSr-J3LPrJ"11-l-r.Jp;4；Ur丁!.£ SA «£-su& - » s E*3|°.2|1"*"3|;1茁*酎孑 Edi口 料寸!&'EBUJegt Hdi-MMCDIP§:-!_JLS prtuNLIplBIll防BrlE-MIIJIIDjllhrl3m" pi-AaEl

24、l.ldc:® AIAE-1时$ !5ft-< n>I'5-F5SII-I.- - MJ wl.-l-.-j-a_Je: T-l-.Eld一¥3hF.lMMFril1<Ei>tl-irIIIICIJ: I;|齐 Ech口Jr-IMM r-j.I-J M:FJ二AI c=:彳JpA Q«q匸LM DJL XfcjSzoXIi-i1Fg zI5-ik'd卜t-qC.II'i*i=6f =T?：!ZE$Lb? il!- il.mN a uM m i:r.lHrr!.J-.'-:-.匕：-5因-5 Tim : tei-hiw 3.UE: 1覽 一一口旳 g 生B L1D7J51: :TH*n曳 Mr - 営卸-Imarn£ £ 曰口 I：已.fcalMdLpkJcsFgLlpJL 富二 IpeL.p兰 O.FS2,30>S $£on" 4r£ff E ss31 口亠 Sd-v 亠 ces 马l.d" _?g" l&EfauH'Ti