实验5 分析IP报文结构

实验五、IP协议分析实验报告

实验五、IP协议分析实验报告1．实验目的：分析IP协议报文格式.2．实验环境：局域网环境，或者是联网的单机。

3．实验步骤：（1）启动ethereal软件，开始报文捕获。

（2）捕获IP的数据包（3）停止捕获报文。

4．实验分析，回答下列问题（1）请说明你是如何获得IP的捕获文件，并附上捕获的截图。

答：清空浏览器缓存，打开ethereal软件，开始报文捕获。

启动某个基于TCP的应用程序，打开浏览器输入。

等出现浏览的网页后停止数据包的捕获。

出现协议分析界面，将filter 一栏填入ip，则只显示ip协议信息（2）通过捕获的数据包分析IP的报文结构，将IP协议树中各名字字段，字段长度，字段名字段长度字段值字段表达信息Version 4B 4 表示当前正运行的IP版本信息Header length IP 4B 20bytes 表示以32比特为单位的信息中数据包报头（3）请举例说明IP协议中IP分组分片和组装的过程。

答：IP协议在传输数据包时，将数据报文分为若干分片进行传输，并在目标系统中进行重组。

这一过程称为分片（fragmentation）。

IP 分片（Fragmentation）发生在要传输的IP报文大小超过最大传输单位MTU(Maximum Transmission Unit)的情况。

比如说，在以太网（Ethernet）环境中可传输最大IP报文大小（MTU）为1500字节。

如果要传输的报文大小超过1500字节，则需要分片之后进行传输。

由此可以看出，IP分片在网络环境中是经常发生的事件。

5.实验总结，总结你在实验过程中遇到的问题和解决的方法。

答：（1）、实验过程中由于对ip协议的不熟悉，不明白各个字段的具体含义与作用，通过看书和查看相关的资料能够很好的完成实验。

（2）对ip协议的分组分片和组装的过程的知识掌握还不是彻底，还是不能熟练、正确的对其进行分析。

（3）通过这次试验对ip协议有了更深入的了解。

实验五IP报文的捕获与分析

如果未捕获到ICMP报文，或是捕获到了除这两种之外的其他类型报文 – 检查Sniffer捕获条件中的Address和 Advanced是否按要求设置
2.4.4 实验报告
完成
– 实验指导书中规定的
实验数据及结果分析思考题实验结论
– 总结及心得体会 – 对本实验过程及方法、手段的改进建议
组格式
实验操作预习
– Sniffer捕获操作 – IP协议捕获操作
完成预习题
完成实验报告
– 实验项目名称 – 实验学时 – 实验原理 – 实验目的 – 实验内容 – 实验器材 – 实验步骤
实验步骤
1.根据实验拓扑设置主机TCP/IP配置参数。运行sniffer软件，设置捕获条件：
– Address
实验拓扑操作事项数据记A1 A2
2人一组
子网B B1 B2
检查Sniffer的工作情况
按照步骤1设置Sniffer捕获条件 – 提示：ICMP报文封装在IP分组中发送
然后启动Sniffer捕获 – Ping组内任意一台主机的IP地址 – Ping通后停止捕获
提交
– 纸质实验报告
实验五：IP报文捕获与分析
实验学时：2学时
内容
实验目的实验预习实验软件实验要求
5.1 实验目的
掌握Sniffer软件的报文捕获操作掌握IP报文格式
5.2 实验预习
预习实验指导书
– 目的、原理 – 内容、步骤 – 数据分析 – 实验结论 – Sniffer软件 – 以太帧、ARP和IP分
Type = IP，Mode = Include Station 1 = 本机IP地址，Station 2 =
any
– Advanced

IP协议的报文格式分析

IP协议的报文格式分析IP协议的报文格式分析1）分析IP 数据报头的格式，完成表9；表9 IP 协议报文分析字段报文信息说明版本头长服务类型总长度标识标志片偏移生存周期协议校验和源地址目的地址其中主要字段的意义和功能如下：* 版本：指IP协议的版本；* 头长：是指IP数据报的报头长度，它以4 字节为单位。

IP报头长度至少为20 字节，如果选项部分不是4 字节的整数倍时，由填充补齐；* 总长度：为整个IP 数据报的长度；* 服务类型：规定对数据报的处理方式；* 标识：是IP协议赋予数据报的标志，用于目的主机确定数据分片属于哪个报文；* 标志：为三个比特，其中只有低两位有效，这两位分别表示该数据报文能否分段和是否该分段是否为源报文的最后一个分段；* 生存周期：为数据报在网络中的生存时间，报文每经过一个路由器时，其值减1，当生存周期变为0 时，丢弃该报文；从而防止网络中出现循环路由；* 协议：指IP数据部分是由哪一种协议发送的；* 校验和：只对IP 报头的头部进行校验，保证头部的完整性；* 源IP地址和目的IP地址：分别指发送和接收数据报的主机的IP 地址。

IP文件头的详细内容(如图13所示)，图13 IP文件头信息包括：Version(版本)：版本序号为4，代表IPv4。

Header length：Internet文件头长度，为20个字节。

Type of service(服务类型值)：该值为00，我们会看到ToS下面一直到总长度部分都是0。

这里可以提供服务质量(QoS)信息;每个二进制数位的意义都不同，这取决于最初的设定。

例如，正常延迟设定为0，说明没有设定为低延迟，如果是低延迟，设定值应该为1。

Total length(总长度)：显示该数据的总长度，为Internet文件头和数据的长度之和。

Identification：该数值是文件头的标识符部分，当数据包被划分成几段传送时，接收数据的主机可以用这个数值来重新组装数据。

IP协议的基本原理、报文结构和抓包分析

IP协议的基本原理、报⽂结构和抓包分析IP协议的基本原理、报⽂结构和抓包分析基本原理：IP 协议提供了⼀种分层的、与硬件⽆关的寻址系统，它可以在复杂的路由式⽹络中传递数据所需的服务。

IP 协议可以将多个交换⽹络连接起来，在源地址和⽬的地址之间传送数据包。

同时，它还提供数据重新组装功能，以适应不同⽹络对数据包⼤⼩的要求。

在⼀个路由式⽹络中，源地址主机向⽬标地址主机发送数据时，IP协议是如何将数据成功发送到⽬标主机上的呢，由于⽹络分同⽹段和不同⽹段两种情况，⼯作⽅式如下：同⽹段：如果源地址主机和⽬标地址主机在同⼀⽹段，⽬标 IP 地址被 ARP 协议解析为 MAC 地址，然后根据 MAC 地址，源主机直接把数据包发给⽬标主机。

不同⽹段：⽹关（⼀般为路由器）的 IP 地址被 ARP 协议解析为 MAC 地址。

根据该 MAC 地址，源主机将数据包发送到⽹关。

⽹关根据数据包中的⽹段 ID 寻找⽬标⽹络。

如果找到，将数据包发送到⽬标⽹段；如果没找到，重复步骤（1）将数据包发送到上⼀级⽹关。

数据包经过⽹关被发送到正确的⽹段中。

重复同⽹段，⽬标IP地址被ARP协议解析为 MAC 地址。

根据该 MAC 地址，数据包被发送给⽬标地址的主机。

报⽂结构：⽤ IP 协议传输数据的包被称为 IP 数据包，每个数据包都包含 IP 协议规定的内容。

IP 协议规定的这些内容被称为 IP 数据报⽂（IP Datagram）或者 IP 数据报。

IP 数据报⽂由⾸部（称为报头）和数据两部分组成。

⾸部的前⼀部分是固定长度，共 20 字节，是所有 IP 数据报必须具有的。

在⾸部的固定部分的后⾯是⼀些可选字段，其长度是可变的。

字段含义版本version4位，通信双⽅ip协议版本必须⼀样，⼀般是4版本⾸部长度4位，最⼤的⼗进制数为15，单位为32位字长即4字节，⾸部最⼤长度位60字节,若⾸部长度不是4字节整数倍需要⽤最后的填充字段区分服务tos8位，只有区分服务类型时才起作⽤。

IP数据报文分析

计算机科学与技术学院实验报告（电子版）
课程：TCP/IP协议分析
实验名称
IP数据包格式
指导老师
姓名
学号
班级
实验地点
实验日期
成绩
一、实验内容：
抓取IP数据包进行分析
二、实验目的：
熟悉ip数据包的格式。
分析iP数据包
三、涉及实验的相关情况介绍（包含使用软件或实验设备等情况）：
Windows系统抓包软件
四、程序清单与测试数据：
08 00：协议类型
45:4代表版本号IPV4，5代表首部长度。当前为标准IP头4*5=20
00：服务类型
00 3C :IP数据包总长度
04 5A：标识
00 00：标志+片偏移
80：生存时间
01：ICMP协议
8ห้องสมุดไป่ตู้ 25 :首部校验和
C0 A8 21 04：源IP地址
C0 A806ED:目的IP地址
2、IP数据包分片：
五、实验结果、分析、体会等：
简单的了解ip报文格式，对ip数据报有了更进一步的认识。
执行ping命令：
图4-1
抓取数据包:
图4-2
图4-3
图4-4
图4-5
图4-6
图4-3、图4-4、图4-5和图4-6为IP分片包，标识为7e ca，图4-3、图4-4与图4-5标志为001，DF位为0，代表分片。MF为1，代表后面有分片。图4-5标志为000，DF位为0，代表分片。MF为0，代表最后一个分片
一、IP数据包分析：
1、IP数据包格式：
图1-1
本机信息：
图2-1
IP：192.168.33.4MAC:8C-89-A5-3B-90-4B

实验5-IP数据包的结构分析

实验5IP数据包的结构分析1．实验目的1.学习并分析IP数据包的结构、含义2．实验设备与环境1．Ethereal网络分析软件2．实验文件“网络协议的层次观察.cap”3．相关知识⏹一个 IP 数据报由首部和数据两部分组成。

⏹首部的前一部分是固定长度，共 20 字节，是所有 IP 数据报必须具有的。

⏹在首部的固定部分的后面是一些可选字段，其长度是可变的。

⏹IP首部最大长度60字节。

首部可变部分4．实验内容4.1 ARP地址解析协议数据打开文件“网络协议的层次观察.cap”，这是一个包括100个分组的网络通信记录，详细记录了分组的序号、相对时间、源地址、目标地址、协议类型、内容，如图1是对第1个分组的详细信息。

在协议框内，分别显示了该分组的各层协议：接口层以太网协议(eth)、ARP 地址解析协议。

图1 ARP地址解析协议数据从中可以发现它是一个广播形式的ARP地址解析协议数据，IP为219.222.162.254的主机需要知道219.222.162.36的物理地址。

4．2 IP数据包的结构和含义分析观察文件内第6个分组的IP数据包详细信息，见图2。

●它的前8位是45（H）＝0100 0101（B），其中0100（B）＝4 ，表示IP协议的版本是4； 0101（B）＝5，表示首部长度是20字节（一个单位为 4 字节，合计5个单位）。

●差异服务类型字段为00000000(B)，没有使用。

●总长度——占 16 bit，指首部和数据之和的长度，00 3E（H）＝62字节●标识(identification) 占 16 bit，它是一个计数器，用来产生数据报的标识，便于重装分片的同一数据报，当前值为0AE2;●标志(flag) 占 3 bit,，当前值是000，表明可以分片（注：如果数据报的长度超过网络的MTU，需将数据包分片；否则事实上不进行分片），该分组是最后的一个分片，再结合后面的片偏移，可以确定它是完整的未分片。

实验五-IP协议分析

实验五IP协议分析在这个实验里，我们将研究IP协议，通过执行traceroute程序来分析IP数据包发送和接收的过程。

我们将研究IP数据包的各个字段，详细学习IP数据包的分片。

一、捕获traceroute为了产生一个IP数据包，我们将使用traceroute程序来向一些目的地发送不同大小的数据包，这个软件我们在第一个实验已作过简单的尝试了。

但我们试图在IP头部首先发送一个或者更多的具有TTL的数据包，并把TTL的值设置为1；然后向同一个目的地发送一系列具有TTL值为2的数据包；接着向同一个目的地发送一系列具有TTL值为3的数据包等等。

路由器在每次接收数据包时消耗掉一个TTL，当TTL达到0时，路由器将会向源主机返回一个ICMP的消息（类型为11的TTL溢出），这样一个TTL值为1的数据包将会引起路由器从发送者发回一个ICMP的TTL溢出消息产生一跳，TTL值为2的数据包发送时会引起路由器产生两跳，TTL值为3的数据包则会引起路由器产生3跳。

基于这种方式，主机可以执行traceroute观察ICMP的TTL溢出消息，记录每个路由器的ICMP的溢出消息的源IP地址，即可标识出主机和目的地之间的所有路由器。

我们要运行traceroute让它发送多种长度的数据包，由Windows提供的tracert程序不允许改变由tracert程序发送的ICMP的回复请求消息的大小，在Windows下比较好的一个是pingplotter，它可以在以下网站下载共享版本（现在已下载好存在共享文件夹的压缩包中）：安装pingplotter标准版（你有一个30天的试用期），通过对你所喜欢的站点执行一些traceroute来熟悉这个工具。

ICMP回复请求消息的大小可以在pingplotter中设置：Edit-> Options->Default Setting->enginet，在packet size字段中默认包的大小是56字节。

分析IP报文

总长度（TL）
2Байду номын сангаас
标识标志片偏移
2 3/8（3比特） 15/8（13比特）
生存期（TTL）
1
协议
1
首部校验值
2
源地址
4
目的地址选项填充数据
4 可变的可变的可变的
理解IP报文每一字段的具体意义
子字段名称预留 DF 长度（字节）长度（字节） 1/8（1比特） 1/8（1比特）未使用当设为1时，这说明数据报不应该被分片。由于分片过程通常不为较高层所见，大部分的协议并不关心这个过程，也不设置该标志。然而，它可用于测试一条链路的最大传输单元（MTU）当设为0时，指明是报文的最后一片；当设为1时，它指示被分片的报文中还有许多分片未到达。如果对一个报文没有分片，只存在一个分片（整个报文），该标志为0。如果使用分片，除了最后一个分片外该标志都是1，因而接收方可以知道什么时候所有的分片都已发送协议预留 ICMP IGMP GGP IP-in-IP封装 TCP EGP UDP 封装安全性负载（ESP）扩展首部鉴别首部（AH）扩展首部描述
详细分析IP报文
详细分析IP报文
理解IP报文每一字段的具体意义演示：取证IP报文的每一字段的作用与意义
理解IP报文每一字段的具体意义
字段名版本号首部长度（IHL）服务类型（TOS）
长度（字节）长度（字节） 1/2（4比特） 1/2（4比特） 1
描述
标识用来产生数据报的IP版本。相对于IPv4，该号为4。这个字段确保可能运行不同IP版本的的设备之间的兼容性。以32比特的字来定义IP首部的长度。一个用于携带提供服务质量特征信息的字段，如IP数据报的优先交付。该字段并没有如初始定义被广泛使用，它的含义被一个称为区分服务的技术而重新定义使用指定了IP数据报的总长度，按字节计。由于这个字段是16比特宽，一个IP数据报的最大长度是65535字节，尽管大多数都小得多以便交付过程中在路由器上必须要分片时使用。接收方使用该字段来重新组装报文而不会意外地把来自不同报文的分片混在一起。需要该字段是因为分片可能来自混合在一起的多个报文，因为来自于任一台设备的IP数据报可以被无序地接收 3个控制标志，两个用于管理分片，一个是预留的。参见表2 当一个报文出现分片时，该字段指定了在这个分片中的数据位于报文中的偏移量，或位置，偏移值以8字节为单位（64比特）。第一个分片的偏移量是0 该字段指定了数据报在网络上允许存活的时间，以路由器跳数计。每个路由器在发送数据报前会减少这个字段的值（减1）：如果TTL字段减到0，该数据报被认为历经了一条太长的路由，则被丢弃标识在数据报中携带的较高层协议（通常是一个运输层协议或封装的网络层协议）。表3说明了该字段的协议值，这些值最初由IETF“地址分配”标准RFC1700定义，现在由因特网地址分配委员会（IANA）维护检验和在首部上进行计算，提供传输中基本的差错保护。它不是数据链路层技术如以太网等常用的较复杂的循环冗余检测（CRC）码；它只是一个16比特检验和。它通过把首部字节分为两个字（一个字是两字节）然后相加而计算得到。著有首部（不是数据）被计算检验和。在每一跳，设备收到数据报都要做检查和计算，如果两个检验和不相同，它认为数据报损坏将其丢弃它是数据报的发起者的32比特IP地址。注意即使中间设备如路由器可能处理该数据报，它们通常不把它们的地址放入该字段，这个地址总是最初发送该数据报的设备的地址它是数据报的期望接收方的32比特IP地址。同样，即使如路由器等设备可能是数据报的中间目标，该字段总是用于定义最终目的地一种或几种类型的选项可能被包含在某个IP数据报标准首部的后面。如果包含一个或多个选项，且用于它们的比特数不是32的倍数，那么就需要添加足够的0来填充首部，使它成为32比特的倍数（4字节）这时在数据报中要传输的数据。它是一个完整的较高层报文或报文的一个分片

实验五、IP协议分析实验报告

实验五、IP协议分析实验报告一、实验目的本次实验的主要目的是深入理解 IP 协议的工作原理和机制，通过实际的抓包分析，掌握 IP 数据包的格式、IP 地址的分类与分配、子网掩码的作用以及路由选择的基本过程。

二、实验环境1、操作系统：Windows 102、抓包工具：Wireshark三、实验原理1、 IP 协议概述IP（Internet Protocol）协议是 TCP/IP 协议簇中最为核心的协议之一，它负责为网络中的设备提供逻辑地址（即 IP 地址），并实现数据包的路由和转发。

2、 IP 数据包格式IP 数据包由头部和数据部分组成。

头部包含了源 IP 地址、目的 IP地址、协议类型、生存时间（TTL）等重要信息。

3、 IP 地址分类IP 地址分为 A、B、C、D、E 五类，其中 A、B、C 类为常用的单播地址，D 类用于组播，E 类为保留地址。

4、子网掩码子网掩码用于确定 IP 地址中的网络部分和主机部分，从而实现子网划分。

5、路由选择路由器根据 IP 数据包中的目的地址和路由表，选择合适的路径将数据包转发到下一跳。

四、实验步骤1、打开 Wireshark 软件，选择合适的网络接口进行抓包。

2、在网络中进行一些常见的网络操作，如访问网页、发送邮件等，以获取 IP 数据包。

3、停止抓包，并对抓取到的数据包进行筛选，只显示 IP 协议的数据包。

4、逐个分析 IP 数据包的头部信息，包括源 IP 地址、目的 IP 地址、协议类型、TTL 等。

5、观察不同类型的 IP 地址，并分析其网络部分和主机部分。

6、研究子网掩码在数据包中的作用，以及如何通过子网掩码确定子网范围。

7、分析路由选择过程，观察数据包在网络中的转发路径。

五、实验结果与分析1、 IP 数据包格式分析通过对抓取到的 IP 数据包进行分析，我们可以看到其头部格式如下：版本（Version）：通常为 4，表示 IPv4 协议。

头部长度（Header Length）：以 4 字节为单位，指示头部的长度。

实验5分析IP报文结构

实验5分析IP报文结构IP（Internet Protocol）是一种基于分组交换的网络层协议，它负责将数据包从源主机发送到目的主机。

IP报文是在网络中传输的数据包的格式和结构。

IP报文的结构主要由首部和数据两部分组成。

首部是固定长度的部分，它储存了关于IP包的一些必要信息，如版本、首部长度、服务类型、总长度、时间戳、标识、标志、分片偏移、生存时间、协议、首部校验和、源IP地址、目的IP地址等。

数据部分则是要传输的实际数据。

首先，IP报文首部的第一个字段是版本（Version），它占4位，表示IP协议的版本号。

当前主要使用的版本是IPv4（版本号为4）和IPv6（版本号为6）。

其次，首部长度（Header Length）占4位，表示首部的长度，以4个字节为单位。

最小值是20字节，最大值是60字节。

由于首部长度字段只有4个位，它的最大值是15（1111），需要加上首部中其他字段的长度才能得到实际的首部长度。

接下来，服务类型（Type of Service）字段占8位，用于标识数据包的优先级和处理要求。

例如，分为低成本、高可靠性、最大吞吐量、最小延迟等不同类型。

标识（Identification）字段占16位，用于标识与此数据包相关的数据报的序列号。

标志（Flags）字段占3位，用于控制数据报的分段与重组。

其中，最高位表示是否允许分段，中间位保留，最低位用于指示是否为最后一个分段。

分片偏移（Fragment Offset）字段占13位，表示数据报分段在原始数据报中的位置，以8个字节为单位。

生存时间（Time to Live）字段占8位，表示数据包在网络中可以经过的最大路由器跳数。

每经过一个路由器，该字段会减1，当它减为0时，数据包将被丢弃。

协议（Protocol）字段占8位，表示上层协议，例如TCP或UDP。

首部校验和（Header Checksum）字段占16位，用于检测IP头部的错误。

它通过对首部进行求和、取反及移位等操作得到校验和值。

IP协议分析实验

IP协议分析实验1. 引言IP协议是互联网中最为基础的网络层协议之一，负责实现主机之间的数据传输。

在本实验中，我们将对IP协议进行深入分析，以了解其工作原理和功能。

2. IP协议概述IP协议（Internet Protocol）是互联网中最为常用的一种网络层协议。

作为TCP/IP协议族中的重要组成部分，它负责将数据包从源主机传输到目标主机。

3. IP报文格式IP报文是IP协议传输数据的基本单位，它由报文头和报文体两部分组成。

报文头包含了一系列字段，用于描述报文的相关信息，如源IP地址、目标IP地址、报文长度等。

4. IP地址IP地址是IP协议中用于标识主机的一种地址方式。

IPv4地址由32位二进制数组成，通常以点分十进制形式表示。

IPv6地址则采用128位地址，以冒号分隔的八进制形式表示。

5. IP路由IP路由是指数据包在网络中传输时的路径选择过程。

IP协议采用了一系列路由选择算法，通过比较路由表中的各项指标来确定数据包的下一跳目标。

6. IP分片当IP数据包的大小超过网络的最大传输单元（MTU）时，IP协议会将其进行分片，拆分成多个较小的片段进行传输。

接收方主机会根据片段的标识字段将其重新组装成完整的数据包。

7. IP协议的工作原理IP协议的工作原理可以分为发送过程和接收过程两部分。

在发送过程中，源主机将数据包封装成IP报文并添加报文头，然后根据目标IP 地址选择下一跳路由器。

接收过程中，目标主机根据IP头部中的目标IP地址将数据包交给上层协议进行处理。

8. IP协议的特点和限制IP协议具有以下特点：- 简单灵活：IP协议只提供最基本的数据传输服务，没有连接状态的概念，能够适应不同网络环境。

- 不可靠性：IP协议无法保证数据包的可靠传输，可能丢包、重复传输或乱序传输。

- 无连接性：IP协议不建立连接，每个数据包之间独立处理，不会保留传输状态信息。

同时，IP协议也存在一些限制：- 寻址问题：IPv4地址资源有限，随着互联网的发展，已经面临地址枯竭的问题。

实验5分析ip报文结构

实验5 分析IP报文结构
1．实验目的
1）深入理解IP报文结构和工作原理；
2）掌握用Wireshark分析俘获的踪迹文件的基本技能。

2．实验环境
1）PC一台；
2）具有以太网卡一块，通过双绞线与校园网相连，或者具有适合的踪迹文件；
3）每台PC运行程序协议分析仪Wireshark。

3．实验步骤
1）分析俘获的分组
打开踪迹文件，对其源地址进行选择
根据源地址作为过滤条件，获得与192.168.1.113相关的分组
有时为了清晰起见，屏蔽掉高层协议的细节，可以点击“Analyze Enable Protocols”打开“Profile:Default”窗口，若去除选择IP，则屏蔽IP相关的信息。

1)分析IP报文结构
将计算机连入网络，打开Wireshark俘获分组，从本机向选定的Web服务器发送Ping
报文。

选定其中一条Ping报文，该帧中的协议结构是：Ethernet IP:ICMP:data。

为了进一步分析IP数据报结构，点击首部细节信息栏中的“Internet Protocol”行，有关信息展开如下。

回答下列问题：
1)你使用的计算机的IP地址是多少？
答：192.168.1.113
2)在IP数据报首部，较高层协议字段中的值是什么？
答：17
3)IP首部有多少字节？载荷字段有多少字节？
答：20 75
4)该IP数据报分段啦没有？如何判断？
答：没有，片偏移为0.
5)关于高层协议有哪些有用信息？
答：我们可以看到正在做什么，是请求还是回应，还是在传递信息。

IP报文分析与IP分片实验

姓名系别计算机实验地点学号年级班试验时间2011年9月29日实验项目实验五IP报文分析与IP分片实验。

实验内容及步骤实验步骤：1. 利用协议分析软件分析IP协议报文；2. 利用ping命令实现IP报文分片，并通过协议分析软件抓包对各分片数据包进行分析。

实验内容：IP协议报文分析1.主机A与主机B属于同一个子网内的两台计算机；2. 在主机A上启动报文捕获工具，指定源IP地址为主机A的地址，目的IP地址为主机B的地址，分析IP协议报文内容；3. 在主机A的命令提示符下，运行“ping 主机B”命令向主机B发送echo 请求报文，考虑在主机B联网和未联网两种情况下，捕获IP数据包，记录并分析IP数据包中各字段的含义，并与IP数据包格式进行比较。

掌握IP协议报文格式和各字段含义；掌握IP报文分片的基本方法。

其中捕捉过滤src 172.40.78.9 and dst 172.40.78.10。

1. IP数据报中的首部检验和并不检验数据报中的数据。

这样做的最大好处是减少路由器转发数据的时间开销。

坏处是差错能力有限。

2. 使用大的MTU有可以充分利用网络资源。

使用小的MTU有避免通过物理网络时有可能的分片麻烦。

IP协议报文分片在指定网络中，如果源主机向目标主机发送的数据包大于网关MTU，则该数据包在传输过程中会被IP协议分片传输。

在以太网中，默认MTU值为1500Byte，为了达到分片的效果，应该传输大于1500Byte字节的数据包，才能使该数据包分段传输。

在实验室环境中，考虑从本机发送一个3000字节的数据包到局域网另一台主机或外网一台指定的主机为例，在传输过程中，同时开启协议分析软件进行抓包，并查看分片结果。

以ping命令为例，在Windows命令提示符下输入：ping 目标主机IP -l 3000。

实验5分析IP数据报格式

实验5 分析IP数‎据报格式5.1 实验目的了解IP数‎据报的格式‎；理解IP 各个数据项‎的涵义；5.2 相关背景知‎识1. Winpc‎a p基本介‎绍数据报捕获‎的原理：为了进行数‎据报,网卡必须被‎设置为混杂‎模式。

在现实的网‎络环境中,存在着许多‎共享式的以‎太网络。

这些以太网‎是通过Hu‎b连接起来的‎总线网络。

在这种拓扑‎结构的网络‎中,任何两台计‎算机进行通‎信的时候,它们之间交‎换的报文全‎部会通过H‎u b 进行转发,而Hub以‎广播的方式‎进行转发,网络中所有‎的计算机都‎会收到这个‎报文,不过只有目‎的机器会进‎行后续处理‎,而其它机器‎简单的将报‎文丢弃。

目的机器是‎指自身MA‎C地址与消息‎中指定的目‎的MAC 地址相匹配‎的计算机。

网络监听的‎主要原理就‎是利用这些‎原本要被丢‎弃的报文,对它们进行‎全面的分析‎,这样就可以‎得到整个网‎络中信息的‎现状。

Tcpdu‎m p的简单‎介绍：Tcpdu‎m p是Un‎i x平台下‎的捕获数据‎报的一个架‎构。

Tcpdu‎m p最初有‎美国加利福‎尼亚大学的‎伯克利分校‎洛仑兹实验‎室的Cra‎i g Leres‎、Van Jcaob‎s on和S‎t eve McCan‎n e共同开‎发完成，它可以收集‎网上的IP‎数据报文，并用来分析‎网络可能存‎在的问题。

现在，Tcpdu‎m p已被移‎植到几乎所‎有的UNI‎X系统上，如：HP-UX、SCO UNIX、SGI Irix、SunOS‎、Mach、Linux‎和Free‎B SD等等‎。

更为重要的‎是Tcpd‎u mp是一‎个公开源代‎码和输出文‎件格式的软‎件，我们可以在‎T cpdu‎n p的基础‎上进行改进‎，加入辅助分‎析的功能，增强其网络‎分析能力。

（详细信息可‎以参看相关‎的资料）。

Winpc‎a p的简单‎介绍：Winpc‎a p是由意‎大利Ful‎v io Risso‎和Lori‎s Degio‎a nni等‎人提出并实‎现的应用于‎W in32‎平台的数据‎报捕获与分‎析的一种软‎件包，包括内核级‎的数据报监‎听设备驱动‎程序、低级动态链‎接库(Packe‎t.dll) 和高级系统‎无关库(Winpc‎a p.dll)。

ip协议报文的基本结构

ip协议报文的基本结构IP协议报文是计算机网络中进行数据传输所必需的一个重要协议，在互联网等大规模的计算机网络中尤其重要。

而IP协议报文的基本结构，是所有与其相关的网络通讯传输操作的核心，其发展历程也十分漫长。

首先，IP协议报文是指在计算机网络中，在数据包中传输的内容。

与其他网络协议相比，IP协议的报文结构很简单，其报文头包含20个字节，而可选的报文总共不超过40个字节。

IP协议报文的基本结构可以分为以下四个步骤：一、数据包封装。

该步骤的目的是将传输的数据按照一定的格式进行封装，以使数据能够在网络中进行传输。

具体而言，数据包可以被视为一个容器，其主要包括报文头和报文数据两部分，报文头主要用于描述数据包的来源、目的以及传输方式等信息，而报文数据则是实际需要传输的内容。

二、IP地址确定。

IP地址是唯一指定互联网上每台计算机的一个地址，通过IP地址，计算机可以在互联网上进行相互通信。

在IP 协议报文中，IP地址是非常重要的一部分，它包含了源主机IP地址和目的主机IP地址两个部分。

源主机IP地址指的是发起通信的主机地址，而目的主机IP地址指的则是接收通信信息的主机地址。

三、传输层协议确定。

IP协议是互联网中最基本的传输层协议，其主要的功能是提供基础性的数据传输服务，如将数据从源主机传输到目的主机。

在IP协议报文中，IP协议提供了传输层协议的选项，以使网络的传输更加有效和可靠。

四、负载数据的传输。

完成以上三个步骤之后，IP协议报文会将数据包发送至网络中，以完成数据的传输。

在传输的过程中，IP协议会监控整个过程，以确保数据传输的可靠性和有效性。

综上所述，IP协议报文的基本结构可以概括为数据包封装、IP 地址确定、传输层协议确定以及负载数据的传输四个步骤。

理解这些步骤的基本原理，不仅可以帮助我们更好地理解互联网等大规模计算机网络的运作原理，也为我们进行网络开发以及网络安全性检测等实践操作提供了重要的理论基础。

什么是报文？IP报文的结构

什么是报⽂？IP报⽂的结构⽹络之间互连的协议也就是为计算机⽹络相互连接进⾏通信⽽设计的协议。

在因特⽹中，它是能使连接到⽹上的所有计算机⽹络实现相互通信的⼀套规则，规定了计算机在因特⽹上进⾏通信时应当遵守的规则。

什么是报⽂？报⽂(message)是⽹络中交换与传输的数据单元，即站点⼀次性要发送的数据块。

报⽂包含了将要发送的完整的数据信息，其长短很不⼀致，长度不限且可变。

⼀、IP数据报⽂结构如下：各字段解释如下： 1，version：版本号，4bits，指IP协议的版本。

2，header length：⾸部长度，4bits，单位为4字节，故最⼤长度为4*(2^4-1)=60字节，⾸部固定部分长度为20字节，可变部分为0~40字节。

3，differentiated services：服务类型，8bits，组成如下：过程字段：3位，设置了数据包的重要性，取值越⼤数据越重要，取值范围为：0(正常)~ 7(⽹络控制) 延迟字段：1位，取值：0(正常)、1(期特低的延迟) 流量字段：1位，取值：0(正常)、1(期特⾼的流量) 可靠性字段：1位，取值：0(正常)、1(期特⾼的可靠性) 成本字段：1位，取值：0(正常)、1(期特最⼩成本) 保留字段：1位，未使⽤ 4，total length：总长度，16bits，⾸部加上数据的长度总和，单位为字节，故数据报最⼤长度为2^16-1=65525字节。

另外总长度必须不超过最⼤传送单元MTU。

5，identification：标识，16bits，计数器，作为数据报标识。

当数据报需要分⽚时，该标识⽤来表⽰同属⼀个数据报的分⽚。

需要分⽚时结合以下flags、fragment offset⼀起使⽤。

6，flags：标志，3bits，记为D0-D1-D2，各⾃意义如下： D0：1表⽰有后续分⽚，0表⽰该数据报为最后⼀⽚。

D1：1表⽰不分⽚，0表⽰分⽚。

D2：保留位，未使⽤。

TCPIP协议分析_实验5_ICMP协议分析

《TCP/IP协议分析》实验报告实验序号：5 实验项目名称：ICMP协议分析20网工学号姓名专业、班实验地点指导教师实验时间2022-10-5 一、实验目的、要求、步骤和结果动手项目5-1：在网络上使用ICMPv4 Echo请求消息ping另一个设备项目目标：往网络中的某个主机发送Echo请求消息，接收Echo应答消息，并在Wireshark 软件中捕获这个处理过程。

过程描述：本项介绍如何在Windows 命令提示符下使用ping 实用工具，测试与另一台本地计算机的连通性，使用Wireshark数据包分析器捕获ICMPv4数据包的交换。

（1）单击“开始”按钮，单击“运行”，在“打开”文本框中输入cmd，之后单击“确定”按钮。

打开一个命令提示符窗口。

（2）在命令提示符下，输入ping 命令并按Enter键，查看可用的命令行参数。

在遵循下述步骤打开Wireshark 程序的过程中，保持命令行提示符窗口为打开状态。

（3）单击“开始”按钮，将鼠标指针移动到“所有程序”上，然后单击Wireshark。

（4）在菜单栏单击Capture，然后单击Interfaces。

（5）确定活动网卡，然后单击右侧的Start按钮（可能会有多个网卡，这也没有问题）。

（6）单击任务栏上的“命令提示符”按钮切换到命令提示符窗口，或使用Alt ＋Tab键让命令提示符窗口处于活动状态。

（7）输入ping ip＿address命令，其中ip＿address是网络上另一台设备的地址。

在Wireshark跟踪缓冲区中应该有一些数据包。

（8）不要关闭命令提示符窗口。

单击任务栏上的Wireshark按钮，或使用Alt ＋Tab键让Wireshark 窗口处于活动状态。

（9）单击菜单栏的Capture，然后单击Stop按钮，使Wireshark停止捕获更多的数据包。

（10）滚动浏览捕获在跟踪缓冲区中的数据包。

你应该能够看到几个ICMP Echo 请求和ICMP Echo应答数据包。

传输层------IP报文结构

传输层------IP报文结构1、TCP数据段格式TCP是一种可靠的、面向连接的字节流服务。

源主机在传送数据前需要先和目标主机建立连接。

然后，在此连接上，被编号的数据段按序收发。

同时，要求对每个数据段进行确认，保证了可靠性。

如果在指定的时间内没有收到目标主机对所发数据段的确认，源主机将再次发送该数据段。

如图1所示，是TCP头部结构（RFC 793、1323）。

图1 TCP头部结构●源、目标端口号字段：占16比特。

TCP协议通过使用"端口"来标识源端和目标端的应用进程。

端口号可以使用0到65535之间的任何数字。

在收到服务请求时，操作系统动态地为客户端的应用程序分配端口号。

在服务器端，每种服务在"众所周知的端口"（Well-Know Port）为用户提供服务。

●顺序号字段：占32比特。

用来标识从TCP源端向TCP目标端发送的数据字节流，它表示在这个报文段中的第一个数据字节。

●确认号字段：占32比特。

只有ACK标志为1时，确认号字段才有效。

它包含目标端所期望收到源端的下一个数据字节。

●头部长度字段：占4比特。

给出头部占32比特的数目。

没有任何选项字段的TCP头部长度为20字节；最多可以有60字节的TCP头部。

●标志位字段（U、A、P、R、S、F）：占6比特。

各比特的含义如下：◆URG：紧急指针（urgent pointer）有效。

◆ACK：确认序号有效。

◆PSH：接收方应该尽快将这个报文段交给应用层。

◆RST：重建连接。

◆SYN：发起一个连接。

◆FIN：释放一个连接。

●窗口大小字段：占16比特。

此字段用来进行流量控制。

单位为字节数，这个值是本机期望一次接收的字节数。

●TCP校验和字段：占16比特。

对整个TCP报文段，即TCP头部和TCP数据进行校验和计算，并由目标端进行验证。

●紧急指针字段：占16比特。

它是一个偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。