抓包分析ICMP协议

wiresharkicmp、mac地址分析
ICMP
1表明源ip地址和⽬的ip地址 icmp 协议是icmp
2类型是0表明这是回显响应
3代码为0
4检验和为0x4d4e
5序列号为0x000d与请求包相同
6请求帧为126帧
mac帧格式分析
mac帧格式是有5部分组成，由⽬的mac和源mac以及类型组成、数据、fcs
1：⽬的mac f8:28:19:da:de:a7
2: 源 mac d8:9a:34:35:ef
3: 类型为IPv4
4、数据字段（46-1500）：正式名称是MAC客户数据字段最⼩长度64 字节-18字节的⾸部和尾部 = 数据字段的最⼩长度
5、FCS字段（4 字节）：当数据字段的长度⼩于 46 字节时，应在数据字段的后⾯加⼊整数字节的填充字段，以保证以太⽹的MAC帧长不⼩于64 字节
MAC地址分析
MAC地址的长度为48位(6个字节)，通常表⽰为12个16进制数，d8:9a:34:35:ef就是⼀个MAC地址，其中前6位16进制数d8:9a_34代表⽹络硬件制造商的编号，它由IEEE(电⽓与电⼦⼯程师协会)分配，⽽后6位16进制数34:35:ef代表该制造商所制造的某个⽹络产品(如⽹卡)的系列号。

实验利用Wireshark分析ICMP协议一、实验目的分析ICMP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、协议简介ICMP全称Internet Control Message Protocol，中文名为因特网控制报文协议。

它工作在OSI的网络层，向数据通讯中的源主机报告错误。

ICMP可以实现故障隔离和故障恢复。

网络本身是不可靠的，在网络传输过程中，可能会发生许多突发事件并导致数据传输失败。

网络层的IP协议是一个无连接的协议，它不会处理网络层传输中的故障，而位于网络层的ICMP协议却恰好弥补了IP的缺限，它使用IP协议进行信息传递，向数据包中的源端节点提供发生在网络层的错误信息反馈。

ICMP的报头长8字节，结构如图1所示。

比特0 7 8 15 16 比特31（图1 ICMP报头结构）●类型：标识生成的错误报文，它是ICMP报文中的第一个字段；●代码：进一步地限定生成ICMP报文。

该字段用来查找产生错误的原因；●校验和：存储了ICMP所使用的校验和值。

●未使用：保留字段，供将来使用，起值设为0●数据：包含了所有接受到的数据报的IP报头。

还包含IP数据报中前8个字节的数据；ICMP协议提供的诊断报文类型如表1所示。

（表1 ICMP诊断报文类型）ICMP提供多种类型的消息为源端节点提供网络层的故障信息反馈，它的报文类型可以归纳为以下5个大类：●诊断报文（类型8，代码0；类型0，代码0）；●目的不可达报文（类型3，代码0-15）；●重定向报文（类型5，代码0-4）；●超时报文（类型11，代码0-1）；●信息报文（类型12-18）。

Ping 命令只有在安装了TCP/IP 协议之后才可以使用，其命令格式如下：ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count][[-j host-list] | [-k host-list]] [-w timeout] target_name这里对实验中可能用到的参数解释如下：-t ：用户所在主机不断向目标主机发送回送请求报文，直到用户中断；-n count：指定要Ping 多少次，具体次数由后面的count 来指定，缺省值为4；-l size：指定发送到目标主机的数据包的大小，默认为32 字节，最大值是65,527；-w timeout：指定超时间隔，单位为毫秒；target_name：指定要ping 的远程计算机。

IP 协议分析一、实验目的学会使用协议分析软件分析IP 数据包 了解IP 协议的首部 学会使用Ping 命令 验证IP 分片过程 掌握ICMP 协议的首部二、实验原理1.IP 协议1）IP 协议是因特网上最重要的网络层协议。

2）IP 协议是无连接、不可靠的协议。

3）IP 协议分ipv4和ipv6两个版本，目前大多设备都支持ipv4,但ipv4占主流。

4）ipv4包含20个字节的固定首部和可变长的可选首部。

2.IPv4首部格式 1）2）可首比3）4）5）6）7）8）3、IP分片三、实验步骤1.打开虚拟机，打开wireshark2.虚拟机与主机确定能互ping3.Ping通后虚拟机向主机发包3200字节的包分析第一帧版本号:ipv4首部长度：20字节总共长度：1500字节MF为1：表示后面还有分片片偏移：0（第一个分片从0开始）保活时间：128（未经过路由器）协议类型：ICMP校验和：0xb041(十六进制b041) 源地址：172.16.6.3目标地址：172.16.6.1数据：1500-20=1480字节第二帧：版本号:ipv4首部长度：20字节总共长度：1500字节MF为1：表示后面还有分片片偏移：1480（第二个分片接第一个分片尾部）保活时间：128（未经过路由器）协议类型：ICMP校验和：0xaf88(十六进制af88)源地址：172.16.6.3目标地址：172.16.6.1数据：1500-20=1480字节第三帧版本号:ipv4首部长度：20字节总共长度：268字节MF为0：表示后面没有分片了片偏移：2960（第三个分片接第二个分片尾部）保活时间：128（未经过路由器）协议类型：ICMP校验和：0xd39f(十六进制d39f)源地址：172.16.6.3目标地址：172.16.6.1Icmp首部8个字节数据：268-20-8=240字节因为是最后一帧，附带ip包分片信息分为三个包，第一个和第二个都是1480，第三个是248字节（包含8个字节的icmp首部）；分片结束。

北京理工大学珠海学院实验报告ZHUHAI CAMPAUS OF BEIJING INSTITUTE OF TECHNOLOGY班级：学号：姓名：指导教师：成绩实验题目：实验时间：一、实验目的：掌握ICMP协议的工作原理，理解ICMP协议的分组结构。

二、实验内容实验内容用ping命令和科莱网络分析系统分析ICMP包的基本结构以及会先请求与应答消息、目标不可达、超时等消息的ICMP报文的异同。

实验步骤：1.回显请求及其应答消息。

（1）在PC1上运行命令：ping 临机IP。

（2）命令执行后，停止抓包，分析ICMP报文，查看报文结构和首部格式以及首部中个字段的内容。

（3）说明ICMP报文首部个字段的含义以及所捕获的的数据报属于什么报文。

（4）对PC2上捕获到的包进行分析，说明ICMP报文首部各字段的含义以及所捕获的数据报属于什么报文。

2.超时消息。

（1）在PC1上运行命令：ping不存在或者没有开机的计算机的IP。

（2）停止抓包，分析ICMP报文，查看报文结构个首部格式中各字段的内容。

（3）说明ICMP报文首部各字段的含义以及所捕获的数据报属于什么报文。

（4）对PC2上捕获到的包惊醒分析，说明ICMP报文首部各字段的含义以及所捕获的数据报属于什么报文。

3.端口不可达消息。

（1）在PC1上启动TFTP服务器软件。

（2）在PC2上启动科莱网络分析系统，开始抓包。

（3）在PC1的命令窗口运行命令：tftp -i PC2的IP get 文件名（该文件可能不存在）；三、实验结果1.回显请求及其应答消息。

PC1发来的数据包PC2回应PC1的数据报2.超时消息。

Ping 10.16.7.250抓到的数据包3.端口不可达消息。

使用TFTP服务器软件，抓到的额数据包四、思考与讨论1.通过查资料，请描述协议不可达报文的结构以及首部字段的含义。

答：ICMP目标不可达报文如图所示,是ICMP目标不可达报文头部格式｡其中代码字段的不同值又代表不同的含义,如,0代表网络不可达､1代表主机不可达等。

计算机网络原理实验报告实验名称ICMP抓包观察及IP层协议相关队别姓名学号实验日期 2012实验报告要求： 1.实验目的 2.实验要求 3.实验环境 4.实验作业 5.问题及解决6.思考问题7.实验体会【实验目的】理解ICMP,掌握ICMP帧结构；掌握IP协议原理，理解IP帧结构。

【实验要求】在进行实验的主机上运行Windows 7操作系统，并将它接入到无线局域网。

实验主机的网卡设置为通常模式。

按要求进行数据包的捕获。

【实验环境】在装有Windows7的笔记本，接入无线局域网，使用WireShark 1.8.2版本抓包，并将主机网卡设置将为非混杂模式。

【实验作业】一、ICMP抓包观察1、观察ICMP目标不可达消息使用ping命令，去ping一个不存在的主机IP。

如10.104.125.344（见图一.1）。

使用WireShark 接获数据包。

进行分析（具体见图一.2）2、观察ICMP超时消息使用ping命令，输入ping -i 2把ttl设置成一个很小的数字。

去ping一个比较远的服务器。

出现超时（见图二.1）。

截取数据包（具体见图二.2）3、观察ICMP请求应答消息使用ping命令，正常打开WireShark，截取数据包（具体见图三.1.2）二、IP层协议相关1.观察通常的IP分组（版本、头长、服务类型、协议）按照普通的方法截获数据包。

分别分析各字段我的操作步骤是，ping 百度域名 -t接下来使用wireshark捕获数据包，在ICMP、IPV4、以及UDP等协议的数据包中，都有IP数据报的字段。

打开数据包进行观察即可。

（见图五）2.观察分片（标识，标志，分片偏移）使用ping命令，加上[-l 65500 -f]这样一个既控制帧长又限制分片的要求被提示出错（见图六.1）接下来去掉[-f]，打开wireshark。

显然会发现一连串的ICMP数据帧。

其中分片偏移是一个等差数列，这里间隔是1480。

ICMP协议功能与作用
ICMP是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。

控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

我们在网络中经常会使用到ICMP协议，只不过我们觉察不到而已。

比如我们经常使用的用于检查网络通不通的Ping命令，这个“Ping”的过程实际上就是ICMP 协议工作的过程。

还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。

基本的功能是测试网络是否畅通。

ICMP协议分析
在PC 以为目标主机，在命令行窗口执行Ping 命令；
Ping命令为：ping
将命令行窗口进行截图：
抓包结果
1：报文格式类型
类型为8。

2：报文格式代码
报文格式代码为0。

3：报文格式标识
标识为0x4d32
4：报文格式序列号
5:。

arp,ip,icmp协议数据包捕获分析实验报告数据篇一：网络协议分析实验报告实验报告课程名称计算机网络实验名称网络协议分析系别专业班级指导教师学号姓名实验成绩一、实验目的掌握常用的抓包软件，了解ARP、ICMP、IP、TCP、UDP 协议的结构。

二、实验环境1．虚拟机（VMWare或Microsoft Virtual PC）、Windows XX Server。

客户机A客户机B2．实验室局域网，WindowsXP三、实验学时2学时，必做实验。

四、实验内容注意：若是实验环境1，则配置客户机A的IP地址:/24,X为学生座号；另一台客户机B的IP地址:（X+100）。

在客户机A上安装EtherPeek（或者sniffer pro）协议分析软件。

若是实验环境2则根据当前主机A的地址，找一台当前在线主机B完成。

1、从客户机A ping客户机B ，利用EtherPeek（或者sniffer pro）协议分析软件抓包，分析ARP 协议；2、从客户机A ping客户机B，利用EtherPeek（或者sniffer pro）协议分析软件抓包，分析icmp协议和ip协议；3、客户机A上访问，利用E(转载于: 小龙文档网:arp,ip,icmp协议数据包捕获分析实验报告数据)therPeek（或者sniffer pro）协议分析软件抓包，分析TCP和UDP 协议；五、实验步骤和截图（并填表）1、分析arp协议，填写下表12、分析icmp协议和ip协议，分别填写下表表一：ICMP报文分析233、分析TCP和UDP 协议，分别填写下表4表二： UDP 协议 5篇二：网络层协议数据的捕获实验报告篇三：实验报告4-网络层协议数据的捕获实验报告。

网络抓包分析实验报告一：实验目的：1. 学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析IP，ICMP的报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构5、抓ICMP时在开始->运行cmd->tracert 五：分析1：IP报文分析报文格式：截图：分析：由图可知：IP报文版本号是IPV4，首部长度：20 bytes，数据包总长度：58，标示符：0x7335，标志：0x00，比特偏移：0，寿命：112，上层协议：UDP，首部校验和：0x071d，并且是正确的。

源IP地址：61.142.208.196目的IP地址：192.168.1.102二：ＩＣＭＰ报文分析截图如下：ICMP格式有抓包显示截图可知：类型：8 （回显请求）代码/编码：0校验和：0xf2ff（正确的校验和）标示符：0x0300；序列号：512(0x0200)通过这次试验，培养了自己动手的能力，另外，通过对wireshark抓包软件的使用，用其来抓取数据包，对ip, icmp报文的格式有了进一步的了解，通过对报文格式的分析，并且把课本上多学的理论知识与实践结合起来，对以前的知识得到深化和巩固，为以后学习新的知识打下基础，也提高了学习的兴趣，收获很大。

Wireshark抓包分析TCP.IP.UDP.ICMP报⽂格式（移动互联⽹⽅向）TCP 报⽂格式分析：TCP 报⽂段的报头有 10 个必需的字段和 1 个可选字段。

报头⾄少为 20 字节。

1）源端⼝（16位）：标识发送报⽂的计算机端⼝或进程。

⼀个 TCP 报⽂段必须包括源端⼝号，使⽬的主机知道应该向何处发送确认报⽂。

2）⽬的端⼝（16位）：标识接收报⽂的⽬的主机的端⼝或进程。

由抓包数据可得源端⼝号为12762，⽬的端⼝号为803）序号（也叫序列号）（32位）：⽤于标识每个报⽂段，使⽬的主机可确认已收到指定报⽂段中的数据。

当源主机⽤于多个报⽂段发送⼀个报⽂时，即使这些报⽂到达⽬的主机的顺序不⼀样，序列号也可以使⽬的主机按顺序排列它们。

在建⽴连接时发送的第⼀个报⽂段中，双⽅都提供⼀个初始序列号。

TCP 标准推荐使⽤以 4ms 间隔递增 1 的计数器值作为这个初始序列号的值。

使⽤计数器可以防⽌连接关闭再重新连接时出现相同的序列号。

序列号表达达到2^32 - 1后⼜从0开始，当建⽴⼀个新的连接时，SYN标志为1，系列号将由主机随机选择⼀个顺序号由图可得现序列号为25e4d8a84）确认号（32位）:⽬的主机返回确认号，使源主机知道某个或⼏个报⽂段已被接收。

如果 ACK 控制位被设置为 1，则该字段有效。

确认号等于顺序接收到的最后⼀个报⽂段的序号加 1，这也是⽬的主机希望下次接收的报⽂段的序号值。

返回确认号后，计算机认为已接收到⼩于该确认号的所有数据。

由图可得现确认号为59eafa0c5）数据偏移（⾸部长度）（4位）TCP 报⽂段的数据起始处距离 TCP 报⽂段的起始处有多远，即⾸部长度。

由于 TCP 报头的长度随 TCP 选项字段内容的不同⽽变化，因此报头中包含⼀个指定报头字段的字段。

该字段以 32 ⽐特为单位，所以报头长度⼀定是 32 ⽐特的整数倍，有时需要在报头末尾补 0 。

由抓包图有偏移量在0x50中，占4bit,0x50转化为⼆进制数0101 0000 所以偏移量是 0101=5，所以TCP报⽂⾸部长度为5* 4 = 20字节。

黄鸟抓包中的协议的意思黄鸟抓包是一种网络抓包工具，用于分析和捕获网络数据包。

在进行网络通信时，计算机之间需要遵循一定的通信协议来进行数据交换。

黄鸟抓包工具可以通过监听网络接口，捕获到通过这些接口传输的数据包，并将其解析成可读格式，以便分析和研究。

协议是指计算机网络中的通信规则和约定，它定义了数据的传输方式、数据格式、错误检测和纠正等内容。

黄鸟抓包工具可以识别并解析各种不同的协议，包括但不限于以下几种：1. HTTP协议：用于在Web浏览器和Web服务器之间传输超文本的协议。

通过抓包可以查看HTTP请求和响应的详细信息，包括URL、请求方法、请求头、响应状态码、响应体等。

2. HTTPS协议：是在HTTP协议基础上加入了SSL/TLS加密传输的安全协议。

通过抓包可以查看HTTPS请求和响应的加密内容。

3. DNS协议：用于将域名转换为IP地址的协议。

通过抓包可以查看DNS查询和响应的详细信息，包括域名、IP地址、TTL等。

4. TCP/IP协议：是互联网通信的基础协议，包括TCP（传输控制协议）和IP（互联网协议）。

通过抓包可以查看TCP连接建立、数据传输和连接关闭的过程。

5. UDP协议：是一种无连接的传输协议，用于在计算机之间发送数据报。

通过抓包可以查看UDP数据包的来源、目的地和内容。

6. ICMP协议：是互联网控制消息协议，用于在IP网络中传输控制消息。

通过抓包可以查看ICMP消息的类型、代码和内容，如ping 命令所使用的ICMP Echo请求和Echo回应。

黄鸟抓包工具可以帮助网络管理员、开发人员等分析网络通信过程中的问题，了解数据包的传输情况，检测网络故障或安全问题，并进行性能优化和调试。

实验五Internet控制报文协议ICMP 实验目的1．掌握使用WIRESHARK工具对ICMP协议进行抓包分析的方法。

2．理解不同类型ICMP报文的具体意义。

3．通过实验，进一步了解ICMP协议。

实验环境1．安装Windows2000/2003Server/XP操作系统的PC计算机一台。

2．每台PC具有一块以太网卡，通过双绞线与局域网相连。

3．每台PC运行网络协议分析软件WIRESHARK。

实验原理ICMP是Internet Control Message Protocol(Internet控制报文协议)的缩写，是TCP/IP协议族的一个子协议，用于在主机和路由器之间传递控制消息。

控制消息是指网络通不通、主机是否可达、路由器是否可用等网络本身的消息。

由于IP 网络的不可靠并且不能保证信息传递，因此当发生问题时，通知发送者是很重要的。

ICMP协议提供有关阻止数据包传递的网络故障问题反馈信息的机制，它让TCP等上层协议能够意识到数据包没有送达目的地，ICMP协议提供一种查出灾难性问题的方法。

这些灾难性的问题包括“TTL Exceeded”(超过生存时间)和“需要分更多的数据段”等。

ICMP协议不报告IP校验失败等常见的问题。

这是因为假定TCP或者其他可靠的协议能够处理这类数据包损坏的问题。

而且，如果使用UDP等不可靠的协议，我们就不应理会较小数量的数据损失。

反之，如果网络有问题则需要立即报告。

例如，当IP的TTL值(IP生存时间)将达到零，这就可能是网络的某个部分发生了路由环路问题，这样将没有任何数据包能发送到目的地。

端点系统需要了解这些类型的故障。

ICMP是一种发送各种消息，用于报告网络状态的协议，而非仅仅是简单的ping(连通性测试程序)。

回应请求(Echo Request)仅是ICMP协议提供的众多消息之一。

Ping信息可以被过滤掉。

但是，大多数ICMP消息类型是IP、TCP和其他协议正常运行所需要的。

IPICMP协议分析实验IP ICMP（Internet Protocol Internet Control Message Protocol）是Internet协议族中的两个重要协议。

IP协议是网络层协议，负责将数据包从源主机路由到目标主机，而ICMP协议是网络控制协议，用于报告错误、传递管理信息和查询目标主机的可达性等。

首先，IPICMP协议在网络通信中起到了至关重要的作用。

它提供了网络中各个主机之间的可达性和连通性检测。

其中，IP协议通过定义IP包的结构和交换规则来实现在网络中传送数据的功能。

而ICMP协议则负责通过控制报文在主机之间传递控制和错误信息。

IP协议通过IP包来传递数据，每个IP包都由报头和数据两部分组成。

报头中包含了目标IP地址、源IP地址以及其他一些与数据传输相关的控制信息。

IP包在网络中是以路由的方式发送的，通过查找路由表来确定数据包的最佳路径。

ICMP协议则主要用于网络故障排除、错误报告和网络可达性检测。

ICMP报文通常包含一个报头和一个数据部分。

报头中包含了一些与ICMP报文相关的控制信息，而数据部分用于传递具体的错误或其他控制信息。

例如，当目标主机不可达时，ICMP协议会发送一个目标不可达的报文给源主机，以通知源主机无法到达目标主机。

在进行IPICMP协议分析实验时，可以通过抓包工具捕获网络中传输的IP和ICMP报文，然后对报文进行解析和分析。

可以通过观察IP包的报头来了解源主机和目标主机的IP地址，以及其他与数据传输相关的信息。

同时，还可以通过分析ICMP报文来了解网络中的错误情况，如目标不可达、超时等。

在实验中，可以模拟不同的网络故障情况，如主机不可达、路由器故障等，并观察捕获的ICMP报文来分析故障的原因和影响。

此外，还可以通过发送ICMP请求报文来测试目标主机的可达性，以及计算网络的延迟和丢包率等性能指标。

总之，IPICMP协议分析实验是一项重要的实验，通过了解和分析IP 和ICMP报文，可以深入理解网络通信中的关键机制和问题。

计算机网络实验报告实验名称：ICMP 协议和IP 数据报分片分析姓名：张祎立学号：2011302330050 专业：信息管理与信息系统班级：信管二班指导教师：实验成绩：批阅教师签字：一、实验目的1. 理解 ICMP 协议报文类型和格式；2. 理解 ping 命令的工作原理；3. 理解 traceroute 的工作原理；4. 理解 IP 协议报文类型和格式。

二、实验内容与实验步骤1. 使用 wireshark 抓包软件分析ICMP 协议报文的类型；2. 分析 ping 命令的工作原理；3. 分析 tracert 命令的工作原理；4. 使用 wireshark 抓包软件分析IP 协议报文以及报文分片。

三、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE 等软件。

四、实验过程与分析1. 分析 ICMP 协议步骤1：在 PC1 运行 Wireshark，开始截获报文，为了只截获和实验内容有关的报文，将Wireshark 的Captrue Filter 设置为“No Broadcast and no Multicast”；步骤2：在 PC1 以 为目标主机，在命令行窗口执行 Ping 命令，要求ping通8 次；Ping 命令为：ping –n 8将命令行窗口进行截图：步骤3：停止截获报文，分析截获的结果，回答下列问题：1)将抓包结果进行截图（要求只显示ping 的数据包）：输入过滤规则ip.addr==119.75.217.562)截获的ICMP 报文有几种类型？两种。

分别是：0（回应应答）和8（回应请求）3) 分析截获的ICMP 报文，按下表要求，将各字段信息填入表中，要求填写前4 个报文的信息。

报文号源IP 目的IP 报文格式类型代码标识序列号 125 192.168.217.56 119.75.217.56 8 0 0x0200 3840|15 126 119.75.217.56 192.168.217.56 0 0 0x0200 3840|15 127 192.168.217.56 119.75.217.56 8 0 0x0200 4096|16 128 119.75.217.56 192.168.217.56 0 0 0x0200 4096|16 4)查看ping 请求信息，ICMP 的type 8是和code 是0并截图：5) 查看相应得ICMP 响应信息，ICMP 的type 0是和code 是0并截图：6) 若要只显示ICMP的echo响应数据包，显示过滤器的规则为icmp.type == 8并根据过滤规则进行抓包截图：7) 若要只显示ICMP的echo请求数据包，显示过滤器的规则为icmp.type == 0并根据过滤规则进行抓包截图：2. 分析traceroute 的工作原理步骤1：在 PC1 上运行 Wireshark 开始截获报文；步骤2：在PC1上执行Tracert命令，如：tracert ；将命令窗口进行截图；步骤3：在wireshark里设置显示过滤器为icmp；步骤4：停止截获报文，分析截获的报文，回答下列问题：1）截获了报文中哪几种 ICMP 报文？其类型码和代码各为多少？三种报文：①Time-to-live exceeded，类型11，代码0；②Request，类型8，代码0；③Reply，类型0，代码0。

1.ARP 基础知识学习1.1.ARP 协议的概念ARP ,即地址解析协议，实现通过IP得知其物理地址。

在CP/IP网络环境下，每个主机分配了一个32位的IP地址，这种互联网地址是在网际范围表示主机的一种逻辑地址。

为了让报文在物理线路上的传输，必须知道对方目的主机的物理地址。

这样就存在把IP地址变成物理地址的转换问题。

一以太网环境为例，为了正确的向目的主机传送报文，就必须将主机的32位IP地址转换成48位的以太网的地址。

这就需要在互联层有一组服务将IP地址转换成物理地址，这组协议就是ARP协议。

1.2 ARP 协议实现的基本功能在以太网协议中，同一局域网中的一台主机要和另一台主机进行直接通信，必须知道目标主机的MAC地址。

而在TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址。

这就导致再以太网中使用IP协议时，数据链路层的以太网协议连接到上层IP协议提供的数据中，只包含目的的IP地址。

于是需要一种方法，更具目的主机的IP的地址，获取其MAC 地址。

这就是ARP协议要做的事。

所谓地址解析（address resolution）就是主机再发送阵前将目标地址转换成目标MAC地址的过程。

另外，当发送主机和目标及不在同一个局域网时，即便知道目的主机的MAC地址，两者也不能直接通信，必须有路由转发才行。

所以此时，发送主机通过ARP协议获得的将不是目的主机的真实MAC地址，而是一台可以通往局域网外地路由器的某个端口的MAC 地址。

于是此后发送主机发送目的和主机的所有帧，都将发往该路由，通过他向外发送。

这种情况成为ARP代理（ARP Proxy）.1.3 工作的原理每台装有TCP/IP协议的电脑里都有一个ARP缓存表，表里IP与MAC地址是一一对应的。

例如，主机A (192.168.1.5)主机B（192.168.1.1）发送数据.当发送数据时，主机A 会在自己的ARP缓存表中查找是否有目标IP地址。

Wireshark⽹络抓包（三）——⽹络协议⼀、ARP协议ARP（Address Resolution Protocol）地址解析协议，将IP地址解析成MAC地址。

IP地址在OSI模型第三层，MAC地址在OSI第⼆层，彼此不直接通信；在通过以太⽹发⽣IP数据包时，先封装第三层（32位IP地址）和第⼆层（48位MAC地址）的报头；但由于发送数据包时只知道⽬标IP地址，不知道其Mac地址，且不能跨越第⼆、三层，所以需要使⽤地址解析协议。

ARP⼯作流程分请求和响应：在dos窗⼝内“ping”某个域名抓取到的包：⼆、IP协议IP（Internet Protocol）互联⽹协议，主要⽬的是使得⽹络间能够互相通信，位于OSI第三层，负责跨⽹络通信的地址。

当以⼴播⽅式发送数据包的时候，是以MAC地址定位，并且需要电脑在同⼀⼦⽹络。

当不在同⼀⼦⽹络就需要路由发送，这时候就需要IP地址来定位。

同样在dos窗⼝内“ping”某个域名抓取到的包：三、TCP协议TCP（Transmission Control Protocol）传输控制协议，⼀种⾯向连接、可靠、基于IP的传输层协议，主要⽬的是为数据提供可靠的端到端传输。

在OSI模型的第四层⼯作，能够处理数据的顺序和错误恢复，最终保证数据能够到达其应到达的地⽅。

1）标志位SYN：同步，在建⽴连接时⽤来同步序号。

SYN=1， ACK=0表⽰⼀个连接请求报⽂段。

SYN=1，ACK=1表⽰同意建⽴连接。

FIN：终⽌，FIN=1时，表明此报⽂段的发送端的数据已经发送完毕，并要求释放传输连接。

ACK：确认，ACK = 1时代表这是⼀个确认的TCP包，取值0则不是确认包。

DUP ACK：重复，重复确认报⽂，有重复报⽂，⼀般是是丢包或延迟引起的，从这个报⽂看应该是丢包了。

URG：紧急，当URG=1时，表⽰报⽂段中有紧急数据，应尽快传送PSH：推送，当发送端PSH=1时，接收端尽快的交付给应⽤进程RST：复位，当RST=1时，表明TCP连接中出现严重差错，必须释放连接，再重新建⽴连接2）端⼝客户端与不同服务器建⽴连接时，源端⼝和⽬标端⼝可不同。

实验报告实验课题：ICMP包的生成与分析ICMP包的生成与分析1.实验目的（1）掌握ICMP报文格式。

（2）掌握ICMP数据包的捕捉过程。

2.实验内容ICMP包的捕获与分析。

3.实验原理ICMP协议是一种面向连接的协议，用于传输出错报告控制信息。

它是TCP/IP 协议族的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。

当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。

它是一个非常重要的协议，它对于网络安全具有极其重要的意义。

在网络中经常会使用到ICMP协议，比如用于检查网络通不通的Ping命令（Linux和Windows 中均有），这个Ping的过程实际上就是ICMP协议工作的过程。

还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。

如图6-23、6-24所示为ICMP协议格式及其和IP包的关系。

图6-23 ICMP数据包格式分析图6-24 IP和ICMP关系4.实验环境交换式网络、Windows操作系统，Wireshark网络抓包工具5.实验步骤（1）开启抓包工具，在过滤工具栏中输入ICMP，并点击apply按钮。

（2）点击主工具栏中第一个图标，接口按钮，弹出接口列表对话框。

（3）点击接口列表对话框中的start，即可捕捉到ICMP包。

（4）ICMP包的生成与捕获发起一个ICMP包：Ping 默认网关同时捕捉到的ICMP包为：由表可以看出，ping 命令发出四个包，收到4个包，无一丢失。

ICMP封装在IP包中，类型字段为8（请求/应答），code为0表示请求。

6.实验结论通过该实验，我学会了如何使用wireshark抓ICMP包并进行分析。

通过分析ICMP包内容，可以知道网络通不通、主机是否可达、路由是否可用等网络本身的消息，对与保证网络安全很重要。

实验3抓ICMP包及动态路由包并进行协议分析
福建工程学院国脉信息学院实验指导书
实验三抓ICMP包及动态路由包并进行协议分析
一、实验目的
1、掌握仿真环境中抓包工具的应用
2、掌握抓常见ICMP报文并进行分析
3、掌握抓RIP报文并进行协议分析
二、实验环境
TCP/IP协议分析仿真实验平台（DY、Linux、Win2003、wireshark或Sniffer 等）
三、实验任务
1、实验环境的配置与整合[注意在两个路由器之间启用RIPv2协议]
2、抓网络不可达的ICMP差错报告报文并进行分析
3、抓主机不可达的ICMP差错报告报文并进行分析
4、抓端口不可达的ICMP差错报告报文并进行分析
5、抓通信正常的ICMP查询报文并进行分析
6、抓RIPv2路由协议并进行分析
四、实验步骤
1、实验环境的配置与整合[注意在两个路由器之间启用RIPv2协议]
2、抓网络不可达的ICMP差错报告报文并进行分析
3、抓主机不可达的ICMP差错报告报文并进行分析
4、抓端口不可达的ICMP差错报告报文并进行分析
5、抓通信正常的ICMP查询报文并进行分析
6、抓RIPv2路由协议并进行分析
【思考题】
1、请简述ICMP协议的功能及其所处在TCP/IP中的位置。

2、请简述ICMP报文的种类？
3、请简述Tracerroute的原理和功能。

五、实验小结（实验过程中遇到什么问题？如何解决？）。