实验五 IP协议分析

1、在这个实验里，我们将研究IP协议，通过执行traceroute程序来分析IP数据包发送和 接收的过程。我们将研究IP数据包的各个字段，详细学习IP数据包的分片。一、捕获 traceroute为了产生一个IP数据包，我们将使用traceroute程序来向一些目的地发送不同大小的 数据包，这个软件我们在第一个实验已作过简单的尝试了。但我们试图在IP头部首先发送一个或者更多的具有TTL的数据包，并把TTL的值设 置为1；然后向同一个目的地发送一系列具有TTL值为2的数据包；接着向同一个目的地 发送一系列具有TTL值为3的数据包等等。路由器在每次接收数据包时消耗掉一个TTL， 当TTL达到0时，路由器

2、将会向源主机返回一个ICMP的消息（类型为11的TTL溢出）， 这样一个TTL值为1的数据包将会引起路由器从发送者发回一个ICMP的TTL溢出消息 产生一跳，TTL值为2的数据包发送时会引起路由器产生两跳，TTL值为3的数据包则会 引起路由器产生3跳。基于这种方式，主机可以执行traceroute观察ICMP的TTL溢出消息， 记录每个路由器的ICMP的溢出消息的源IP地址，即可标识出主机和目的地之间的所有路 由器。我们要运行traceroute让它发送多种长度的数据包，由Windows提供的tracert程序不 允许改变由tracert程序发送的ICMP的回复请求消息的大小，在Windows

3、下比较好的一个 是pingplotter，它可以在以下网站下载共享版本（现在已下载好存在共享文件夹的压缩 包中）：安装pingplotter标准版（你有一个30天的试用期），通过对你所喜欢的站点执行一些 traceroute来熟悉这个工具。ICMP回复请求消息的大小可以在 pingplot ter中设置：Edit- Options-Default Setting-enginet，在 packet size字段中默认包的大小是 56字节。pingplotter 发送一系列TTL值渐增的包时，Trace时间间隔的值和间隔的个数在pingplotter中能够设置。 按下面步骤做：启动Iris，开始包

4、捕获；启动pingplotter，然后在“ Address to Trace ”窗口输入目的地目标的名字：172.16.1.1 （1 岛 输入 172.16.6.1）在“ of times to Trace ”区域输入3。然后选择 Edit- Options-DefaultSetting-engine，确认在packet size字段的值为56，点OK。然后按下Trace按钮。你看到的pingplotter窗口类似如上：1.接下来，发送一组具有较长长度的数据包，通过Edit- Options-Default Setting-engine 在包大小区域输入值为2000，点OK。接着按下Resum

5、e按钮；2.再发送一组具有更长长度的数据包，通过Edit- Options-Default Setting-enginet在包大 小区域输入值为3500，点OK。接着按下Resume按钮；3.使用Iris跟踪捕获tracing；（下图为Ethereal捕获数据，仅供参考）二、观察捕获的数据你应该能看到由你的电脑和通过中间的路由器返回到你的电脑里的ICMP的TTL溢出 消息所发送的ICMP序列，把这些数据保存出来。然后回答以下问题：Q1.选择你的电脑所发送的第一个ICMP请求消息，在包详细信息窗口扩展包的Internet协 议部分。你的电脑的IP地址是多少？ （192.168.157.120）Q

6、2.在IP包头部，上层协议区域的值是多少？Q3.IP头部有多少字节？ （20bytes）IP数据包的有效载荷是多少字节？ （36bytes）解释你是怎样确定有效载荷的数量的？ （3）总长度减去IP首部长度Q4.这个IP数据包被分割了吗？（没有）解释你是怎样确定这个数据包是否被分割？接下来单击列名按IP源地址排序数据包，选择你的电脑发送的第一个ICMP请求消息， 扩展显示IP协议的数据。Q5,在包捕获列表窗口，你能看到在第一个ICMP下的所有并发的ICMP消息吗？Q6.往同一 IP的数据包哪些字段在改变，而且必须改变？（首部检验和，标识）为什么？哪些字段是保持不变的，而且必须保持不变？（版本，首

7、部长度，区分服务，协议，源地址）Q7.描述一下在IP数据包的Identification字段的值是什么样的？ （11650）接下来找到通过昀近的路由器发送到你的电脑去的ICMP的TTL溢出回复的系列，回 答以下问题：Q8.Identification字段和 TTL 字段的值是多少？（30366，128）Q9.所有的通过昀近的路由器发送到你的电脑去的ICMP的TTL溢出回复是不是值都保持 不变呢？为什么？（是）接下去研究一下分片，先按时间顺序排序数据包，找出在pingplotter中把包的大小改成2000后，你的电脑所发送的第一个ICMP请求消息。回答以下问题：Q10.那个消息是否传送多于一个I

8、P数据包的分片？（是）看第一个被分割的IP数据包的片段，在IP头部有什么信息指出数据包已经被分割？日国 Flags: 0 x20ioii| 0=Reservedioii| 且.=Dont Fragment.1=More Frags:1011在IP头部有什么信息指出这是否是第一个与后面片段相对的片段？FragEept 口庵豉：口这个IP数据包的长度是多少?Total length: 1500 bytes CorrectQ11.看被分割的IP数据包的第二个片段。在IP头部有什么信息指出这不是第一个数据包片段?有更多的片段吗？（没有）你是怎么知道的？和上一个分片的长度加起来是2000吗?（不是，是

9、2020)Total length:bytes匚口花这)Q12.哪个字段在第一个和第二个片段之间的IP头部改变了？（总长度，标志，片偏移，首部检验和）Identification 变了吗？（没有）再找出在pingplotter中把包的大小改成3500后，你的电脑所发送的第一个ICMP请求 消息。回答以下问题：Q13.从原始的数据包中产生了多少片段？ （3片）片偏移分别为多少？ （0，1480，2960）Q14.在片段之中IP头部哪些字段改变了？（片偏移，总长度，标志，首部检验和）Identification 变了吗？（没有）自主设计实验）现在我们已经会分析IP协议的数据包头部结构了，利用刚才收

10、集的数据，自己想办法描绘 和分析一下到你访问的服务器间的各个路由器的示意图，看是不是和pingplotter得到的结 果一致？再测试一下到172.16.1.1的路由情况。实验六ICMP协议分析在这个实验中，我们将探索ICMP协议，如由Ping程序产生的ICMP消息、由Traceroute程序产生的ICMP消息和ICMP消息的格式与内容等。一、ICMP与 Ping 按以下步骤进行：Windows命令行提示符；IRis Network Analyzer，开始捕捉数据包;MS-DOS命令行下输入：ping n 10 172.16.1.1( 1 岛输入 172.16.6.1)参数-n 10”说明需要发

11、送10个ping消息。（下图为Ethereal捕获数据，仅供参考）icmpHa. r j Tlnm IsauTBPioiocdrr/ad. aaia & io?, lc-h. i. lolC-u4L5O9Ei.aaa27QLCIORM2.324479EM邱8 Id 3.3ZLL214 u 10636+.3433DI打l6g1415 6.0221.16 M 6.W3g 17 7-022213 13 7.4-232M 19 &.UI22A9 M 6.423016 21 孔。W&W22瓦4 MM挪BE-. 14.34 1Q2.1C.&.1. LOL1 19Z.16B.1.L0CLB9ai4.4 19

12、Z.16B.1.LQ1 14.3.05.14. 34 192.166.1. Lul H3,69.14,34 192.166.1.1011 192.166.1.101 143. B9.14.34 192.166.1.101 143Id.Sd 192.16B.1.LQ1 .4 . .二.- 192.166.1. LOL 143.BD.14. 34192.16E_l.LCd_ZL4M. -相1+3.59-14.3ly2.166.lAUl 14*9. W 142.166.1.101 143.$9.14.igZ.16B-l.LQLA-igZ.l&S-lrLQL157.166 LL皿 -.4-l=i?.1

13、66 l.LOL1-=12.166.1.101 1,睥 IL* IW.lbS.l.LOd.Eho chn E-2hG Echo E-:hoEcho Echo Eho echo Echo Gcho Echo Echo Echo echo fecho Echo Echo Echo(Pingj1p1ng) CpinqJ (plngj (ping) fpin口) Cplng Cpg) (ping) S怕gj ping) pingj (pingj (plugJ tPlqj 涔葛 顷ng)rc-qm-sr reply request reply requer replyreciL+esr reply re

14、quest reply request: reply request reply reqiier reply reqiJfisr .：.p Frumc- 3!；7-4 bytas; an wira?74DytascapEuraoib ErhErnet II, 5r： 0Q?C6：7i ：-4-Fs36：23, C-St ： 30：06：25?d：af ；73A IrflZETHet Pot58L Md” 1L：1 时.LICQ CL9L1 喝，L LOLLM 浙；L3,&孔:LLM 1村.明PrOTCiCCilTytie： E： (e; ou rplntij request jT irirer

15、rteT COCiTr-rt I HS5cade: DCheck sun: de5j. C correct j IdaniIFi or: 0102OD SEquence tiuber: 0 x6701 Oata 32 hyt*)|L： (U fd -30 00 30 01 g 辿 E 脆 01 65 ：3f 任4.当Ping程序终止后，停止用Iris捕获包。我们可以看到源端发出了 10个查问包并收到了 10个响应，可以对每一个响应源端计算往返时间（RTT），也不妨计算一下这10个包平均RTT。在第一个实验中作过类似的操作，让我们现在先看一下Iris捕获的包。先用“icmp”作为关键字过滤，注意

16、到包列表显示出20个包：源端发出的10个Ping询 问和收到的10个Ping响应。另外注意到源端的IP地址是形如172.16.X.X的私有地址，目 的地的IP地址是172.16.1.1的Web服务器的地址。现在让我们展开由客户端发出的第一个 包，在上图中包内容区提供了这个包的信息。我们看到包内的IP数据包有协议号01 （这是 ICMP的协议号），这说明这个IP数据包承载的是一个ICMP包o然后我们展开ICMP协议部分的信息，我们观察到这个ICMP包的Type为8而Code 为0，这称为一个ICMP“请求”包。我们还注意到这个ICMP包中包括一个checksum、一 个 identifier和一

17、个 sequence number。把数据保存出来后，回答下面的问题：Q1.你主机的IP地址是什么？远程主机的小地址是什么？Q2.为什么一个ICMP包没有源和目标端口号？Q3.检查由你主机发送的一个Ping请求包。I CMP type和code是多少？这个ICMP包包 含了哪些其他的字段？ Checksum、sequence number和identifier字段的值各为多少？ Q4.检查相应的Ping回应包，ICMP type和code是多少？这个ICMP包包含了哪些其他 的字段？ Checksum、sequence number和 identifier字段的值各为多少？二、ICMP与 Tr

18、aceroute现在让我们捕获由Traceroute程序产生的ICMP包以便继续我们的实验，我们将采用Windows自带的tracert程序，按以下步骤进行：进入 Windows命令提示符；开启Iris Network Analyzer，开始捕捉数据包；3.在 ms-dos命令行下输入：tracert 172.16.1.1 （1 岛 输入 172.16.6.1）4.当Traceroute程序终止后，停止用Iris捕获包。在运行结束后我们可以看到对每一个TTL值，源端发出了三个探测包。Traceroute显 示了每一个探测包的RTT值，以及返回ICMP TTL耗尽消息的路由器的IP地址（也可能包 括名称）。下图的Ethereal窗口则显示了由一个路由器返回的ICMP包。注意这个ICMP error 包（TTL溢出包）和ICMP Ping消息相比多了许多字段。（下图为Ethereal捕获数据，仅供 参考）将捕获的数据保存后，完成以下问题：Q5.你主机的IP地址是什么？远程主机的IP地 址是什么？ Q6.检查ICMP echo包，它和前半部分实验中的ICMP ping查问包有否不 同？