实验：利用Wireshark分析ICMP协议

实验利用Wireshark分析ICMP协议一、实验目的分析ICMP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、协议简介ICMP全称InternetControlMessageProtocol，中文名为因特网控制报文协议。它工作在OSI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。网络本身是不可靠的，在网络传输过程中，可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议，它不会处理网络层传输中的故障，而位于网络层的ICMP协议却恰好弥补了IP的缺限，它使用IP协议进行信息传递，向数据包中的源端节点提供发生在网络层的错误信息反馈。ICMP的报头长8字节，结构如图1所示。比特0781516比特31类型（0或8）代码（0）检验和为使用数据（图1ICMP报头结构）类型：标识生成的错误报文，它是ICMP报文中的第一个字段；代码：进一步地限定生成ICMP报文。该字段用来查找产生错误的原因；校验和：存储了ICMP所使用的校验和值。未使用：保留字段，供将来使用，起值设为0数据：包含了所有接受到的数据报的IP报头。还包含IP数据报中前8个字节的数据；ICMP协议提供的诊断报文类型如表1所示。类型描述0回应应答（Ping应答，与类型8的Ping请求一起使用）3目的不可达4源消亡5重定向8回应请求（Ping请求，与类型8的Ping应答一起使用）9路由器公告（与类型10一起使用）10路由器请求（与类型9一起使用）11超时12参数问题13时标请求（与类型14一起使用）14时标应答（与类型13一起使用）15信息请求（与类型16一起使用）16信息应答（与类型15一起使用）17地址掩码请求（与类型18一起使用）18地址掩码应答（与类型17一起使用）（表1ICMP诊断报文类型）ICMP提供多种类型的消息为源端节点提供网络层的故障信息反馈，它的报文类型可以归纳为以下5个大类：诊断报文（类型8，代码0；类型0，代码0）；目的不可达报文（类型3，代码0-15）；重定向报文（类型5，代码0-4）；超时报文（类型11，代码0-1）；信息报文（类型12-18）。Ping命令只有在安装了TCP/IP协议之后才可以使用，其命令格式如下：ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS][-rcount][-scount][[-jhost-list]|[-khost-list]][-wtimeout]target_name这里对实验中可能用到的参数解释如下：-t：用户所在主机不断向目标主机发送回送请求报文，直到用户中断；-ncount：指定要Ping多少次，具体次数由后面的count来指定，缺省值为4；-lsize：指定发送到目标主机的数据包的大小，默认为32字节，最大值是65,527；-wtimeout：指定超时间隔，单位为毫秒；target_name：指定要ping的远程计算机。Ping和traceroute命令都依赖于ICMP。ICMP可以看作是IP协议的伴随协议。ICMP报文被封装在IP数据报发送。一些ICMP报文会请求信息。例如：在ping中，一个ICMP回应请求报文被发送给远程主机。如果对方主机存在，期望它们返回一个ICMP回应应答报文。一些ICMP报文在网络层发生错误时发送。例如，有一种ICMP报文类型表示目的不可达。造成不可达的原因很多，ICMP报文试图确定这一问题。例如，可能是主机关及或整个网络连接断开。有时候，主机本身可能没有问题，但不能发送数据报。例如IP首部有个协议字段，它指明了什么协议应该处理IP数据报中的数据部分。IANA公布了代表协议的数字的列表。设置显示过滤器为icmp，图5显示的是一个路由器返回的ICMP超时报告分组（ICMPerrorpacket）。注意到ICMP超时报告分组中包括的信息比PingICMP中超时报告分组包含的信息多。图5：一个扩展ICMP超时报告分组信息的Wireshark窗口（替换截图）步骤6：停止截获报文，分析截获的报文，回答下列问题：1）截获了报文中哪几种ICMP报文？其类型码和代码各为多少？ICMP报文类型类型码（type）代码（code）2）在截获的报文中，超时报告报文的源地址分别是多少？_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________3)查看ICMPecho分组，是否这个分组和前面使用ping命令的ICMPecho一样？对于TTL值有什么变化规律。______________________________________________________________________________________________________________________________________________________________4)查看ICMP超时报告分组，它比ICMPecho分组包括的信息多。对照ICMP协议，分析一下ICMP超时报告分组比ICMPecho分组多包含的信息有哪些？______________________________________________________________________________________________________________________________________________________________5）对于ICMP超时报告分组，找出与命令提示窗口截图中的第二跳路由器的接口IP地址为，在Wireshark抓包图中截图与第二跳路由器的接口IP地址对应的部分并截图。6）同理，找出第四跳路由器的接口IP地址为