計算機網(wǎng)絡(luò)實驗-使用Wireshark分析IP協(xié)議

1、實驗三 使用Wireshark分析IP協(xié)議一、實驗?zāi)康?、分析IP協(xié)議2、分析IP數(shù)據(jù)報分片二、實驗環(huán)境與因特網(wǎng)連接的計算機，操作系統(tǒng)為Windows，安裝有Wireshark、IE等軟件。三、實驗步驟IP協(xié)議是因特網(wǎng)上的中樞。它定義了獨立的網(wǎng)絡(luò)之間以什么樣的方式協(xié)同工作從而形成一個全球戶聯(lián)網(wǎng)。因特網(wǎng)內(nèi)的每臺主機都有IP位置。數(shù)據(jù)被稱作數(shù)據(jù)報的分組形式從一臺主機發(fā)送到另一臺。每個數(shù)據(jù)報標有源IP位置和目的IP位置，然后被發(fā)送到網(wǎng)絡(luò)中。如果源主機和目的主機不在同一個網(wǎng)絡(luò)中，那么一個被稱為路由器的中間機器將接收被傳送的數(shù)據(jù)報，并且將其發(fā)送到距離目的端最近的下一個路由器。這個過程就是分組交換。IP允

2、許數(shù)據(jù)報從源端途經(jīng)不同的網(wǎng)絡(luò)到達目的端。每個網(wǎng)絡(luò)有它自己的規(guī)則和協(xié)定。IP能夠使數(shù)據(jù)報適應(yīng)于其途徑的每個網(wǎng)絡(luò)。例如，每個網(wǎng)絡(luò)規(guī)定的最大傳輸單元各有不同。IP允許將數(shù)據(jù)報分片并在目的端重組來滿足不同網(wǎng)絡(luò)的規(guī)定。表1.1 DHCP報文報文類型主要功能DHCP-DISCOVERDHCP客戶端廣播發(fā)送的，用來查找網(wǎng)絡(luò)中可用的DHCP服務(wù)器DHCP-OFFERDHCP服務(wù)器用來響應(yīng)客戶端的DHCP-DISCOVER請求，并為客戶端指定相應(yīng)配置參數(shù)DHCP-REQUESTDHCP客戶端廣播發(fā)送DHCP服務(wù)器，用來請求配置參數(shù)或者續(xù)借租用DHCP-ACKDHCP服務(wù)器通知客戶端可以使用分配的IP位置和配置參

3、數(shù)DHCP-NAKDHCP服務(wù)器通知客戶端位置請求不正確或者租期已過期，續(xù)租失敗DHCP-RELEASEDHCP客戶端主動向DHCP服務(wù)器發(fā)送，告知服務(wù)器該客戶端不再需要分配的IP位置DHCP-DECLINEDHCP客戶端發(fā)現(xiàn)位置沖突或者由于其它原因?qū)е挛恢貌荒苁褂茫瑒t發(fā)送DHCP-DECLINE報文，通知服務(wù)器所分配的IP位置不可用DHCP-INFORMDHCP客戶端已有IP位置，用它來向服務(wù)器請求其它配置參數(shù)圖3.1 DHCP報文1、使用DHCP獲取IP位置（1）打開命令窗口,啟動Wireshark。（2）輸入“ipconfig /release”。這條命令會釋放主機目前的IP位置，此時，

4、主機IP位置會變?yōu)?.0.0.0（3）然后輸入“ipconfig /renew”命令。這條命令讓主機獲得一個網(wǎng)絡(luò)配置，包括新的IP位置。（4）等待，直到“ipconfig /renew”終止。然后再次輸入“ipconfig /renew” 命令。（5）當?shù)诙€命令“ipconfig /renew” 終止時，輸入命令“ipconfig /release” 釋放原來的已經(jīng)分配的IP位置（6）停止分組俘獲。如圖3.2所示： 圖3.2 Wireshark俘獲的分組下面，我們對此分組進行分析：IPconfig 命令被用于顯示機器的IP位置及修改IP位置的配置。當輸入命ipconfig /release命

5、令時，用來釋放機器的當前IP位置。釋放之后，該機沒有有效的IP位置并在分組2中使用位置0.0.0.0作為源位置。分組2是一個DHCP Discover(發(fā)現(xiàn))報文，如圖3.2所示。當一臺沒有IP位置的計算機申請IP位置時將發(fā)送該報文。DHCP Discovery報文被發(fā)送給特殊的廣播位置：255.255.255.255，該位置將到達某個限定廣播范圍內(nèi)所有在線的主機。理論上，255.255.255.255能夠廣播到整個因特網(wǎng)上，但實際上并不能實現(xiàn)，因為路由器為了阻止大量的請求淹沒因特網(wǎng)，不會將這樣的廣播發(fā)送到本地網(wǎng)之外。在DHCP Discover報文中，客戶端包括自身的信息。特別是，它提供了自

6、己的主機名和其以太網(wǎng)接口的物理位置。這些信息都被DHCP用來標識一個已知的客戶端。DHCP服務(wù)器可以使用這些信息實現(xiàn)一系列的策略，比如，分配與上次相同的IP位置，分配一個上次不同的IP位置，或要求客戶端注冊其物理層位置來獲取IP位置。在DHCP Discover報文中，客戶端還詳細列出了它希望從DHCP服務(wù)器接收到的信息。在Parameter Request List中包含了除客戶端希望得到的本地網(wǎng)絡(luò)的IP位置之外的其他數(shù)據(jù)項。這些數(shù)據(jù)項中許多都是一臺即將連入因特網(wǎng)的計算機所需要的數(shù)據(jù)。例如，客戶端必須知道的本地路由器的標識。任何目的位置不在本地網(wǎng)的數(shù)據(jù)報都將發(fā)送到這臺路由器上。也就是說，這是

7、發(fā)向外網(wǎng)的數(shù)據(jù)報在通向目的端的路徑上遇到的第一臺中間路由器。 圖3.3 DHCP Discovery客戶端必須知道自己的子網(wǎng)掩碼。子網(wǎng)掩碼是一個32位的數(shù)，用來與IP位置進行“按位邏輯與運算”從而得出網(wǎng)絡(luò)位置。所有可以直接通信而不需要路由器參與的機器都有相同的網(wǎng)絡(luò)位置。因此，子網(wǎng)掩碼用來決定數(shù)據(jù)報是發(fā)送到本地路由器還是直接發(fā)送到本地目的主機。 圖3.4 Parameter Request List客戶端還必須知道它們的域名和它們在本地域名服務(wù)器上的標識。域名是一個可讀的網(wǎng)絡(luò)名。IP位置為192.168.1.1的DHCP服務(wù)器回復(fù)了一個DHCP OFFER報文。該報文也廣播到255.255.25

8、5.255，因為盡管客戶端還不知道自己的IP位置，但它將接收到發(fā)送到廣播位置的報文。這個報文中包含了客戶端請求的信息，包括IP位置、本地路由器、子網(wǎng)掩碼、域名和本地域名服務(wù)器。在分組5中，客戶端通過發(fā)送DHCP Request（請求）報文表明自己接收到的IP位置。最后，在分組6中DHCP服務(wù)器確認請求的位置并結(jié)束對話。此后，客戶端開始使用它的新的IP位置作為源位置。在分組3和分組7的位置ARP協(xié)議引起了我們的注意。在分組3中，DHCP服務(wù)器詢問是否有其它主機使用IP位置192.168.1.100（該請求被發(fā)送到廣播位置）。這就允許DHCP服務(wù)器在分配IP之前再次確認沒有其它主機使用該IP位置。

9、在獲取其IP位置之后，客戶端會發(fā)送3個報文詢問其他主機是否有與自己相同的IP位置。前4個ARP請求都沒有回應(yīng)。DHCP服務(wù)器再次詢問哪個主機擁有IP位置192.168.1.100，客戶端兩次回答它占有該IP同時提供了自己的以太網(wǎng)位置。通過DHCP分配的IP位置有特定的租用時間。為了保持對某個IP的租用，客戶端必須更新租用期。當輸入第二個命令ipconfig /renew后，在分組中就會看到更新租用期的過程。DHCP Request請求更新租用期。DHCP ACK包括租用期的長度。如果在租用期到期之前沒有DHCP Request發(fā)送，DHCP服務(wù)器有權(quán)將該IP位置重新分配給其他主機。最后，在輸入

10、命令ipconfig /release后的結(jié)果。在DHCP服務(wù)器接收到這個報文后，客戶停止對該IP的使用。如有需要DHCP服務(wù)器有權(quán)重新對IP位置進行分配。2、分析IPv4中的分片在第二個實驗中，我們將考察IP數(shù)據(jù)報首部。俘獲此分組的步驟如下：（1） 啟動Wireshark，開始分組俘獲（“Capture”-“interface”-“start”）。（2） 啟動pingplotter（pingplotter 的下載位置為aaapingplotteraaa）,在“Address to trace:”下面的輸入框里輸入目的位置，選擇菜單欄“Edit”-“Options”-“Packet”,在“Pa

11、cket size(in bytes defaults=56):”右邊輸入IP數(shù)據(jù)報大?。?000，按下“OK”。最后按下按鈕“Trace”,你將會看到pingplotter窗口顯示如下內(nèi)容，如圖3所示： 圖3 ping plotter（3） 停止Wireshark。設(shè)置過濾方式為：IP，在Wireshark窗口中將會看到如下情形,如圖4所示。在分組俘獲中，你應(yīng)該可以看到一系列你自己電腦發(fā)送的“ICMP Echo Request”和由中間路由器返回到你電腦的“ICMP TTL-exceeded messages。 圖4 用Wireshark 所俘獲的分組下面，我們來分析具體分組：IP層位于傳輸

12、層和鏈路層之間。在傳輸層協(xié)議是UDP，鏈路層協(xié)議是以太網(wǎng)。發(fā)送兩個UDP數(shù)據(jù)報，每個包含5000個字節(jié)的數(shù)據(jù)部分和8字節(jié)的UDP首部。在分組103-105和分組108-110分別代表了先后發(fā)送的兩個UDP數(shù)據(jù)報。當IP層接收到5008字節(jié)的UDP數(shù)據(jù)報時，它的工作是將其作為IP數(shù)據(jù)報在以太網(wǎng)傳輸。以太網(wǎng)要求一次傳輸?shù)拈L度不大于1514個字節(jié)，其中有14字節(jié)是以太網(wǎng)幀首部。IP被迫將UDP數(shù)據(jù)報作為多個分片發(fā)送。每個分片必須包含以太網(wǎng)幀首部、IP數(shù)據(jù)報首部。每個分片還會包含UDP數(shù)據(jù)報的有效負載（首部和數(shù)據(jù)）的一部分。IP將原始數(shù)據(jù)報的前1480個字節(jié)（含1472個字節(jié)的數(shù)據(jù)和含8個字節(jié)的UDP

13、首部）放在第一個分片中。后面兩個分片每個均含1480個字節(jié)的數(shù)據(jù)，最后一個分片中包含的數(shù)據(jù)為568個字節(jié)）。為了讓接收段重組原始數(shù)據(jù)，IP使用首部的特殊字段對分片進行了編號。標識字段用于將所有的分片連接在一起。分組103-105含有相同的標識號0xfd2b,分組108-110的標識號是0xfd2c.片漂移量指明了分組中數(shù)據(jù)的第一個字節(jié)在UDP數(shù)據(jù)報中的偏移量。例如分組103和分組108的偏移量都是0，因為它們都是第一個分片。最后在標識字段中有一位用來指明這個分片后是否還有分片。分組103到分組104和分組108到分組109均對該位置進行了置位。分組105和分組110由于是最后一個分片而沒有對該位置位。四、實驗報告內(nèi)容回答以下問題：1、選擇你的電腦所發(fā)送的第一個ICMP 請求消息，在包詳細信息窗口擴展包的Internet協(xié)議部分。你的電腦的IP 位置是多少？2、在IP 包頭部，上層協(xié)議區(qū)域的值是多少？ 3、IP 頭部有多少字節(jié)？IP 數(shù)據(jù)包的有效載荷是多少字節(jié)？解釋你是怎樣確定有效載荷的數(shù)量的？4、這個IP 數(shù)據(jù)包被分割了嗎？解釋你是怎樣確定這個數(shù)據(jù)包是否被分割？5、接下來單擊列名按IP 源位置排序