实验5-分析IP

20实验5：分析IP1.实验目的1)深入理解IP报文结构和工作原理。2)掌握用Wireshark分析俘获的踪迹文件的基本技能。2.实验环境1)运行Windows2008Server/WindowsXP/Windows7操作系统的PC一台。2)PC具有以太网卡一块，通过双绞线与校园网相连；或者具有适合的踪迹文件。3)每台PC运行程序协议分析仪Wireshark。3.实验步骤1)分析俘获的分组打开踪迹文件，用鼠标点选感兴趣的帧，按右键出现如图菜单。该菜单提供了许多非常有用的功能，详细情况可以参见系统软件自带的“Wireshark用户指南”的表6.1。例如，当选中编号10的分组，用鼠标指向其源地址，打开如图23所示菜单，点击“Selected”，就会出现如图24所示的界面。可见，系统已经自动用其源地址作为过滤条件，从众多分组中过滤出与192.168.1.106有关分组了。更一般的定义过滤条件，可以选用“Analyze/DisplayFilters”功能。有关过滤条件的表示，可以参见“Wireshark用户指南”6.4节的内容。分组列表窗口的弹出菜单21以源地址作为条件进行过滤有时为了清晰起见，需要屏蔽掉较高层协议的细节，可以点击“Analyze/EnableProtocols”打开“Profile:Default”窗口，若去除选择IP，则将屏蔽IP相关的信息。2)分析IP报文结构将计算机联入网络，打开Wireshark俘获分组，从本机向选定的Web服务器发送Ping报文。选中其中一条Ping报文，该帧中的协议结构是：Ethernet:IP:ICMP:data。为了进一步分析IP数据报结构，点击首部细节信息栏中的“InternetProtocol”行，有关信息展开如图首部信息窗口所示。“InternetProtocol”详细信息22回答下列问题：(1)你使用的计算机的IP地址是什么？192.168.1.102(2)在IP数据报首部，较高层协议字段中的值是什么？在IP数据报首部，较高层协议字段中的值是1(3)IP首部有多少字节？载荷字段有多少字节？IP首部有20个字节，载荷字段有32字节。(4)该IP数据报分段了没有？如何判断该IP数据报有没有分段？该IP数据报没有分段，如何判断该IP数据报有没有分段？fragmentoffset：0，即片偏移为零(5)关于高层协议有哪些有用信息？关于高层协议有以下有用信息，对方服务器mac地址6c:e8:73:1e:37:5e4.相关概念1)网际协议(InternetProtocol，IP)数据报格式。它是TCP/IP体系中两个最主要的协议之一，也是最重要的因特网标准协议[RFC791]之一。图显示了IP数据报的格式。2)互联网控制报文协议报文格式。互联网控制报文协议(InternetControlMessageProtocol，ICMP)由[RFC792]定义，它用于主机路由器彼此交互网络层信息。ICMP最典型的用途是差错报告。图为ICMP的报文格式。235.注意事项Wireshark还有很多其他功能，用户可以自行阅读软件带有的“Wireshark用户指南”，学习使用。6．实验小结通过该实验对IP地址格式有了进一步了解，从中可读出协议的版本，源地址及目的地址等，学会了对Wireshark的应用，同时也了解了ICMP报文由IP地址封装，应用于Ping报文进行纠错。