IGMP及抓包分析复习进程

具体抓包步骤一、首先打开wireshark进入主界面二、点选Capture Options 快捷键Ctrl+K 进入捕捉过滤器界面三、设置捕捉过滤器抓包方式为Capture packets in pcap-ng format混乱抓包，（Capture Filter具体过滤命令见wireshark详解，）四、点选Start开始进行抓包具体捕捉过滤设置如下：Wireshark抓包开始运行后，我们就可以打开我们需要抓包分析的应用了（在这之前，如果对端口号和IP不熟悉的用户，可以先打开路由web管理界面的内网监控看一下正在运行的连接，并记录下来）五、ikuai路由内网监控连接状态介绍如图所示，在系统状态下的内网流量监控里的某个IP下的终端连接详情里，我们可以看到某个IP下这台机器目前正在运行的一些网络连接的详细信息。

在这里我们着重讲下连接状态的定义1、已连接正在连接的数据流2、等待等待转发或连接的数据流3、-- 或无状态无交互性连接，例如UDP连接4、未定义未经路由向外网进行转发或者传输的数据连接。

例如内网数据通信六、具体针对某个软件进行抓包分析的步骤与过程1.具体步骤完成了上述操作后，我们运行需要抓包分析的软件（我们已迅雷为例）之后我们需要再次查看终端连接详情在这时我们可以看到，相对于运行迅雷以前的终端连接详情里，我们这里多出了一些链接，这些链接就是我们需要在wireshark里需要过滤分析的迅雷的数据连接了。

在这个例子里我们可以看到，在协议名称里，迅雷的协议已经成功识别，但是，在我们真实操作中，需要抓包分析的绝大多数软件的协议，在这里会被识别为:未知协议或错误为其他一些应用的协议，比如明明开启的是迅雷下载，但是协议里被识别为某个游戏，在这时，我们就需要根据抓包前记录的终端连接详情对比运行软件之后的进行对比，出现未知协议或错误协议名称的进程是否属于我们需要分析的软件进程。

（在这里我们建议对协议的端口号或IP不熟悉的用户，在抓包分析师，关闭所有需要网络连接的程序，已便于判断）如果确定是我们需要抓包的软件的进程的话，我们就可以在wireshark进行过滤分析了。

协议分析实验报告年级：姓名：学号：实验日期： 2013-04-10实验名称：利用wireshark分析IGMP协议一、实验目的分析IGMP协议二、实验环境与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、协议简介Internet组管理协议（IGMP）是因特网协议家族中的一个组播协议，用于IP主机向任一个直接相邻的路由器报告他们的组成员情况。

IGMP信息封装在IP报文中，其IP的协议号为2。

它用来在ip主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。

igmp不包括组播路由器之间的组成员关系信息的传播与维护，这部分工作由各组播路由协议完成。

所有参与组播的主机必须实现igmp。

报告报文字段说明：Type（8bit）0x22成员关系报告Reserved(8bit)和Reserved(16bit)：都是表示保留字段，不过在IGMP中为了使它们都保持对应的长度，所以才有了长度上的区别，它在发送的时候是以0填充，在接收的时候是不作任何处理的。

校验和校验和是对整个IGMP消息以16位为一段进行取反求和。

为了计算校验和，校验和字段首先必须被置0。

当收到一个数据，在处理之前，必须先对校验和进行验证。

Number_of_Group_Records(M)：该字段表示该报告报文中包含有几个组记录GroupRecord[i]（i从1到M）：一个主机可能需要点播多个组播地址的组播业务，每个记录包含了对应于其中一个组播地址的源地址列表等信息，它受到Number_of_Group_Records的大小的影响。

每一个组记录字段是一整块数据，其含有的信息是关于发送者在报告发送接口上的某一个多播组的成员关系。

每一个GroupReocrd的内部格式如下：字段说明：AuxDataLen：辅助数据长度含有在组记录中的辅助数据的实际长度，其单位是32bit字。

它有可能是0，这就表示辅助数据不存在。

IGMP学习心得：有关IGMP的RFC文档，本人看过后，感觉实在是太枯燥泛味了，深受其“害”，为此，我对其作了一个简单的总结，如有错误之处及时指出。

在IGMP协议中定义了各种烦琐的定时器，以下我罗列出了一些比较重要的定时器。

有助于我们理解IGMP协议具体的实现过程。

查询间隔（query-interval）查询间隔是指查询者发送普通查询（general query）之间的时间间隔。

查询报告间隔（max query response time）就是周期性普通查询数据报中的最大响应时间，缺省值是100(10秒)。

当一台主机收到一个普通查询，它为收到查询的那个接口所在的组设置延迟定时器。

每个定时器都被设置成不同的随机值（降低并发的概率），该随机值采用主机所能达到的最高时间精度，值的范围是(0，max query response time)组成员关系间隔组成员关系间隔是指一台多播路由器在确定某一个网络内的某一个组内没有成员之前，必须要经过的时长。

其它查询者存在间隔（querier timeout）通常情况下，每一个物理网络只有一个查询者。

所有的多播路由器在启动的时候，在它的每一个相连的网络中都是查询者。

如果一个多播路由器接收到另一台多播由器的一个查询消息，并且它的IP地址要比自己小，那它在该网络中要马上变成一个非查询者，因为一个子网内只允许存在一个查询者。

其它查询者存在间隔是指一台路由器在确定网络内没有其它作为查询者的路由器存在之前，必须要经过的时长。

启动查询间隔启动查询间隔是指在查询者启动的时候，发送普通查询之间的间隔。

因为在多播路由器启动的时候，为了快速并可靠地确定组成员信息，路由器应当间隔较小的发送多个普通查询。

它的缺省值是1/4的查询间隔。

最后一个成员查询间隔（Last member query response time）最后一个成员查询间隔是指为响应离开组消息而发送的指定组查询（group specific query）中的最大响应时间，同时它也是指定组查询间的时间间隔。

EIGRP基础首先我们先来了解下CISCO开发EIGRP的背景。

CISCO在开发EIGRP之前有个叫IGRP的协议，这个协议的开发主要是针对RIPv1的，也是个有类的协议。

后来RIPv2出来后，CISCO就想，我要是还是个有类的肯定活不长，所以必须得改，但他并不是像RIP那样增加了那么些个特性就完事了，关键是这个时候OSPF已经诞生了，鉴于OSPF的强大与变态，若是小改那肯定也是干不过他的，所以CISCO干脆就大改，整个能跟OSPF相抗衡的东西出来，EIGRP vs OSPF，于是乎EIGRP就出来了，而不是IGRPv2什么的。

当然，EIGRP也不是完全没用IGRP 的东西，像IGRP的composite mertic（符合度量值）这样的好特性EIGRP还是继承下来了，不然也不会叫增强型内部网关路由协议。

接下来，让我们来看看EIGRP到底有哪些子值得称道的特性。

一、Fast Convergence（快收敛）。

相对于RIP的30/180和IGRP的90/270而言，EIGRP 的Hello和Dead时间是5s/15s（这里想不考虑多点链路小于T1的情况）。

那这就很不得了了，收敛时间非常之快，也就更能满足现在网络对于路由性能的要求。

二、Loop Free（无环）。

其实，对于这个特性并没有什么好值得炫耀的，因为对于路由协议来讲，你有环那你还是路由协议吗，谁敢用你，但这里说的无环是指他引入了一些比较好的机制来保障他的无环，而不是像RIP那样通过各种“补丁”技术来保障其无环。

三、Simply Configure（配置简单）。

这一点是针对OSPF来讲的，玩过OSPF的人都知道，当你要使用OSPF来达到某些特性时他的配置那是无比蛋疼，异常复杂，在那个时候你会觉得EIGRP的配置那真是一个简单，好使。

四、Unequal Loadbalance（非等价负载平衡）。

这个特性是EIGRP所特有的，也被CISCO申请了专利，这个特性能让你的网络在保障冗余的同时，有较高的利用率。

拟 制 人时 间IGMP 协议详解与测试方法1 基本信息1.1 摘要本文主要介绍IGMP协议与我司终端产品IGMP的测试方法。

1.2关键字IGMP，SNOOPING1.3 缩略语IGMP Internet Group Management Protocol Internet 组管理协议SMB SmartBits 思博伦通信网络分析仪CPE Customer Premise Equipment 用户侧设备2 协议解释2.1 IGMP 作用¾ 实现一对多数据流业务，有很多种实现方式，如广播，但是浪费带宽，会造成广播风暴：¾ 如果用IGMP 的话，根据成员的需要去接受数据流业务：组播成员2组播成员12.2 IGMP协议¾IGMP协议用于IPv4系统向任何邻居组播路由器报告其组播成员资格。

IP组播路由器自己本身也可以是一到多个组播组的成员。

这时，组播路由器要实现协议的组播路由器部分和组成员部分。

¾报文格式IGMP V1 报文格式Ver Type Reserved ChecksumGroup AddressIGMP V2 报文格式Type Max Resp Time ChecksumGroup AddressMembership Query: 成员关系查询（0x11）V1 Membership Report: 版本 1 成员关系报告（0x12）V2 Membership Report: 版本 2 成员关系报告（0x16）Leave Group: 离开组报告（0x17）¾IGMP组播地址组播IP地址用于标识一个IP组播组。

IANA把D类地址空间分配给IP组播，其范围是从224.0.0.0到239.255.255.255。

如下图所示(二进制表示)，IP组播地址前四位均为1110。

八位组（1）八位组（2）八位组（3）八位组（4）1110XXXX XXXXXXXX XXXXXXXX XXXXXXXX组播地址的分类：保留——224.0.0.0 - 224.0.0.255用户组播地址——224.0.1.0 - 238.255.255.255本地管理组——239.0.0.0 - 239.255.255.255 （用于私人组播领域，类似私有IP地址）¾IGMP组播地址2层的MAC地址是如何与3层的IP地址进行映射的呢？通过将MAC地址的前25位强行规定位01.00.5e，而后23位对应IP地址的后23位，而组播IP地址的前4位均相同如：IP地址： 1110yyyy.yxxxxxxx.xxxxxxx.xxxxxxxxMAC地址： 00000001.00000000.01011110.0xxxxxxx.xxxxxxx.xxxxxxxx2.3 IGMP版本¾IGMP的不同版本Version 1：在[RFC-1112]中声明，是第一个广泛使用的IGMP版本。

网络层数据包抓包分析一.实验内容（1）使用Wireshark软件抓取指定IP包。

（2）对抓取的数据包按协议格式进行各字段含义的分析。

二.实验步骤（1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包；（2）打开浏览器，输入/网页打开后停止抓包。

（3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“Apply”进行过滤。

过滤的结果就是和刚才打开的网页相关的数据包。

（4）在过滤的结果中选择第一个包括http get请求的帧，该帧用于向/网站服务器发出http get请求（5）选中该帧后，点开该帧首部封装明细区中Internet Protocol 前的”+”号，显示该帧所在的IP包的头部信息和数据区：（6）数据区目前以16进制表示，可以在数据区右键菜单中选择“Bits View”以2进制表示：（注意:数据区蓝色选中的数据是IP包的数据，其余数据是封装该IP包的其他层的数据）回答以下问题：1、该IP包的“版本”字段值为_0100_(2进制表示)，该值代表该IP包的协议版本为：√IPv4□IPv62、该IP包的“报头长度”字段值为__01000101__(2进制表示)，该值代表该IP包的报头长度为__20bytes__字节。

3、该IP包的“总长度”字段值为___00000000 11101110___ (2进制表示)，该值代表该IP包的总长度为__238__字节，可以推断出该IP包的数据区长度为__218__字节。

4、该IP包的“生存周期”字段值为__01000000__ (2进制表示)，该值代表该IP包最多还可以经过___64__个路由器5、该IP包的“协议”字段值为__00000110__ (2进制表示) ，该值代表该IP包的上层封装协议为__TCP__。

6、该IP包的“源IP地址”字段值为__11000000 1010100000101000 00110011__ (2进制表示) ，该值代表该IP包的源IP地址为_192_._168_._40_._51_。

Linux命令技巧高级网络封包分析和抓包在Linux系统中，网络封包分析和抓包是网络管理员和安全专家必备的技能之一。

通过深入了解网络封包和分析工具，我们可以更好地理解和解决网络故障以及发现潜在的安全漏洞。

本文将介绍一些Linux 命令技巧，帮助您进行高级网络封包分析和抓包。

一、前言网络封包是网络通信中的基本单元，它包含了从源主机到目标主机的数据。

网络封包的分析可以帮助我们了解数据包的传输过程以及它们所携带的信息。

而抓包则是指在网络上捕获和记录封包，以便进行后续的分析和研究。

二、网络封包分析工具Linux系统提供了许多强大的网络封包分析工具，其中一些是开源的，可以免费使用。

以下是几个常用的网络封包分析工具：1. WiresharkWireshark 是一个功能强大的网络封包分析工具。

它可以运行在多个平台上，并提供了直观的图形界面。

Wireshark 可以捕获网络封包并显示它们的详细信息，包括源地址、目标地址、协议类型等。

除了基本的封包分析功能，Wireshark 还支持过滤器功能，以便您只查看感兴趣的封包。

2. tcpdumptcpdump 是一个命令行工具，它可以在终端中捕获和显示网络封包。

尽管它没有图形界面，但tcpdump 提供了丰富的过滤器选项和输出格式控制。

通过tcpdump，您可以根据协议、源地址、目标地址等条件过滤封包，并将结果保存到文件中供后续分析。

3. tsharktshark 是 Wireshark 的命令行版本，它提供了与 Wireshark 类似的封包分析功能。

tshark 可以读取 pcap 文件（Wireshark 的默认文件格式）并进行封包分析。

通过命令行选项，您可以指定要显示的字段、过滤要显示的封包等。

三、高级网络封包分析技巧除了常规的封包分析外，以下是几个高级网络封包分析技巧：1. 分析网络流量使用Wireshark等工具，我们可以捕获整个网络流量，包括各种协议的封包。

IGMP协议分析组播协议的工作机制IGMP（Internet Group Management Protocol，互联网组管理协议）是一种网络协议，用于多播的组播管理。

组播是一种网络传输方式，可以在单一数据流上同时发送给多个目标设备。

IGMP协议允许主机加入或离开一个多播组，以及路由器为特定多播组提供流量转发。

IGMP协议的工作机制基于主机和路由器之间的交互。

主机通过发送特定的IGMP报文向路由器注册加入或离开一个多播组的意图。

路由器则负责根据这些报文来进行相应的组播流量管理与转发。

在IGMP协议中，主机和路由器的交互可以分为两个角色：主机可以是一个多播组的成员，路由器则充当组播流量的转发和管理者。

主机角色中的IGMP报文主要分为三种类型：成员关系查询报文（Membership Query）、成员关系报告报文（Membership Report）和成员离开报文（Leave Group）。

成员关系查询报文用于路由器定期发送以查询网络中的主机是否还是某个多播组的成员。

成员关系报告报文则是主机向路由器发送的，用于通知路由器它们的成员关系。

成员离开报文则是主机主动发送给路由器，用于通知路由器其离开了某个多播组。

路由器角色中的IGMP报文主要有两种类型：成员关系查询报文（Membership Query）和成员关系报告报文（Membership Report）。

成员关系查询报文用于路由器周期性地向多播组的成员发送，以获取其成员关系，并维护组播组的活跃状态。

成员关系报告报文则是路由器在接收到主机发来的成员关系报告后，向其他路由器发送的，以便提供多播组的流量转发和管理。

IGMP协议的工作流程如下：1. 主机在加入一个多播组时，会向网络中的路由器发送成员关系报告报文，以通知路由器其加入了该组。

2. 路由器在收到成员关系报告报文后，会更新其组播组成员数据库，记录下该主机加入了该组。

3. 路由器会定时发送成员关系查询报文，以获取组播组的成员列表，并维护组播组的活跃状态。

IGMPIGMP 就是Internet Group Management Protocol(互联网组管理协议)的简称。

它就是TCP/IP 协议族中负责IP 组播成员管理的协议,用来在IP 主机与与其直接相邻的组播路由器之间建立、维护组播组成员关系。

到目前为止,IGMP 有三个版本:1、IGMPv1(由RFC 1112 定义)2、IGMPv2(由RFC 2236 定义)3、IGMPv3(由RFC 3376定义)一、IGMPv11、1报文格式1、版本:版本字段包含IGMP版本标识,因此设置为1。

2、类型:成员关系查询(0x11)成员关系报告(0x12)3、校验与4、组地址:当一个成员关系报告正被发送时,组地址字段包含组播地址。

当用于成员关系查询时,本字段为0,并被主机忽略。

1、2组成员加入过程当一个主机希望接收一个组播组的数据,则发送成员加入报告给组播组。

IGMPv1 join包如下:1、3查询与响应过程路由器RTA(IGMP查询器)周期性地(默认60秒)向子网内所有主机(224、0、0、1代表子网内所有主机)发送成员关系查询信息。

所有主机收到IGMPv1成员关系查询信息,一主机首先向组播组发送IGMPv1成员关系报告。

组的其她成员监听到报告后抑制自己的成员关系报告发送。

1、4 抑制机制当主机收到IGMP成员关系查询时,对它已经加入的每个组播组启动一个倒计数报告计时器。

各个报告计时器初始值为从0到最大响应之间一个随机数,默认值就是10秒。

计时器到时的主机则主动发送成员关系报告,目的地为该主机所属的组地址。

其它主机收到该成员关系报告,则抑制成员关系报告的发送,并删除计时器。

1、5 组成员离开过程主机“默不作声”地离开组(不发送报告了)。

路由器发送成员关系查询信息。

路由器没有收到该组的IGMP报告,则再发送成员关系信息(3次查询周期过后)。

组播组超时,剪枝。

二、IGMPv22、1报文格式1、类型成员关系查询(0x11)常规查询:用于确定哪些组播组就是有活跃的,即该组就是否还有成员在使用,常规查询地址由全零表示;特定组查询:用于查询某具体组播组就是否还有组成员。

IGMP协议解析组播管理的关键协议原理与应用组播（Multicast）是一种在网络中一对多进行数据传输的方式，它允许发送方将数据包发送给一组主机，而不是传统的一对一方式。

为了实现组播管理，网络协议中采用了一种被称为IGMP协议（Internet Group Management Protocol，互联网组管理协议）的协议。

一、协议原理IGMP协议用于主机和组播路由器之间的通信，通过该协议，主机可以加入到一个组播组，接收组播数据。

IGMP协议具体实现了以下几个重要原理：1. 组播组管理组播组是由一组主机共同组成的逻辑组，组播组成员可以通过IGMP协议加入或者离开组播组。

当主机需要接收某个组播组的数据时，它会向所连接的组播路由器发送IGMP报文，加入到该组播组中。

而当不再需要接收该组播组的数据时，主机会发送IGMP离开报文，通知组播路由器将其从组播组中移除。

2. 组播路由器查询为了了解主机的组播组成员情况，组播路由器会定期发送IGMP查询报文，询问所连接的主机是否还属于某个组播组。

主机在收到查询报文后，如果确实是该组播组的成员，则会发送IGMP成员报文回应，以告知组播路由器自己仍然是组播组的一员。

3. 组播数据转发当组播源发送数据时，它会向所在网络中的组播地址发送数据包。

组播路由器根据主机的组播组成员信息，将数据包仅转发给那些需要接收该组播组数据的主机。

这样，组播源只需发送一份数据包，就能够实现数据的一对多传输。

二、协议应用IGMP协议在各种网络环境中都有广泛的应用。

以下是几个主要领域中的应用示例：1. 视频流传输在IP视频会议、实时直播等场景中，使用组播技术可以实现高效的视频流传输。

IGMP协议的加入和离开机制保证了只有需要接收视频流的主机才会接收到数据，减轻了网络负载。

2. 软件升级和配置分发在大规模网络中，当需要对多个主机进行软件升级或者配置分发时，可以使用组播技术进行分发。

IGMP协议的组播数据转发机制可以确保数据只传输到需要接收的主机，提高了分发效率和节省了带宽资源。

1.IGMP（Internet Group Management Protocol）作为因特网组管理协议，是TCP/IP协议族中负责IP组播成员管理的协议，它用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。

该协议在接收者主机和组播路由器之间运行，定义了主机与路由器之间建立和维护组播成员关系的机制。

2.IGMP协议是IP组播在末端网络上使用的主机对路由器的信令机制，分为两个功能部分：主机侧和路由器侧。

3.IGMP工作机制如下所述：a)接收者主机向所在的共享网络报告组成员关系。

b)处于同一网段的所有使能了IGMP功能的组播路由器选举出一台作为查询器（查询器在不同的版本中有不同的选举机制），查询器周期性地向该共享网段发送组成员查询消息。

c)接收者主机接收到该查询消息后进行响应以报告组成员关系。

d)网段中的组播路由器依据接收到的响应来刷新组成员的存在信息。

如果超时无响应，组播路由器就认为网段中没有该组播组的成员，从而取消相应的组播数据转发。

4.所有参与组播传输的接收者主机必须应用IGMP协议。

主机可以在任意时间、任意位置、成员总数不受限制地加入或退出组播组。

5.支持组播的路由器不需要也不可能保存所有主机的成员关系，它只是通过IGMP协议了解每个接口连接的网段上是否存在某个组播组的接收者，即组成员。

而各主机只需要保存自己加入了哪些组播组。

6.从此体系结构中可以知道IGMP处于组播协议的最底层，是整个组播协议的基础。

在组播协议中，只有IGMP协议直接与点播主机联系，运行IGMP的路由器负责管理组用户主机的加入、离开，通过维护用户数据，发送组播数据到主机。

7.到目前为止，IGMP有三个版本：IGMPv1版本、IGMPv2版本和IGMPv3版本。

所有IGMP版本都支持ASM（Any-Source Multicast）模型。

IGMPv3可以直接应用于SSM （Source-Specific Multicast）模型，而IGMPv1和IGMPv2则需要SSM-Mapping技术的支持.。

1引言本文将介绍‎用于支持主‎机和路由器‎进行多播的‎I nter‎n et组管‎理协议（IGMP）。

它让一个物‎理网络上的‎所有系统知‎道主机当前‎所在的多播‎组。

多播路由器‎需要这些信‎息以便知道‎多播数据报‎应该向哪些‎接口转发。

IGMP在‎R FC 1112中‎定义[Deeri‎n g 1989].正如ICM‎P一样，IGMP 也被当作I‎P层的一部分‎。

IGMP报‎文通过IP‎数据报进行‎传输。

不像我们已‎经见到的其‎他协议，IGMP有‎固定的报文‎长度，没有可选数‎据。

图13-1显示了I‎G MP报文‎如何封装在‎I P数据报‎中。

IGMP（Inter‎n et组管‎理协议）报文及协议‎（图一）IGMP报‎文通过IP‎首部中协议‎字段值为2‎来指明。

2 IGMP报‎文图1 3 - 2显示了长‎度为8字节‎的IGMP‎报文格式。

IGMP（Inter‎n et组管‎理协议）报文及协议‎（图二）这是版本为‎1的IGM‎P.IGMP类‎型为1说明‎是由多播路‎由器发出的‎查询报文，为2说明是‎主机发出的‎报告报文。

检验和的计‎算和ICM‎P协议相同‎。

组地址为D‎类IP地址‎。

在查询报文‎中组地址设‎置为0，在报告报文‎中组地址为‎要参加的组‎地址。

在下一节中‎，当介绍IG‎M P如何操‎作时，我们将会更‎详细地了解‎它们。

3 IGMP 协议3.1 加入一个多‎播组多播的基础‎就是一个进‎程的概念（使用的术语‎进程是指操‎作系统执行‎的一个程序‎），该进程在一‎个主机的给‎定接口上加‎入了一个多‎播组。

在一个给定‎接口上的多‎播组中的成‎员是动态的‎—它随时因进‎程加入和离‎开多播组而‎变化。

这里所指的‎进程必须以‎某种方式在‎给定的接口‎上加入某个‎多播组。

进程也能离‎开先前加入‎的多播组。

这些是一个‎支持多播主‎机中任何A‎P I所必需‎的部分。

使用限定词‎“接口”是因为多播‎组中的成员‎是与接口相‎关联的。

详解IGMP(Internet组管理协议)报文及协议本文将介绍用于支持主机和路由器进行多播的Internet组管理协议（IGMP）。

它让一个物理网络上的所有系统知道主机当前所在的多播组。

多播路由器需要这些信息以便知道多播数据报应该向哪些接口转发。

IGMP在RFC 1112中定义[Deering 1989].也被当作IP 层的一部分。

IGMP报文通过IP数据报进行传输。

正如ICMP一样， IGMP 也被当作不像我们已经见到的其他协议， IGMP有固定的报文长度，没有可选数据。

图13-1显示了IGMP报文如何封装在IP数据报中。

IGMP（Internet组管理协议）报文及协议（图一）IGMP报文通过IP首部中协议字段值为2来指明。

2 IGMP报文显示了长度为8字节的IGMP报文格式。

图1 3 - 2IGMP（Internet组管理协议）报文及协议（图二）这是版本为1的IGMP.IGMP类型为1说明是由多播路由器发出的查询报文，为2说明是主机发出的报告报文。

检验和的计算和ICMP协议相同。

组地址为D类IP地址。

在查询报文中组地址设置为0，在报告报文中组地址为要参加的组地址。

在下一节中，当介绍IGMP如何操作时，我们将会更详细地了解它们。

协议3 IGMP3.1 加入一个多播组多播的基础就是一个进程的概念（使用的术语进程是指操作系统执行的一个程序），该进程在一个主机的给定接口上加入了一个多播组。

在一个给定接口上的多播组中的成员是动态的—它随时因进程加入和离开多播组而变化。

这里所指的进程必须以某种方式在给定的接口上加入某个多播组。

进程也能离开先前加入的多播组。

这些是一个支持多播主机中任何API所必需的部分。

使用限定词“接口”是因为多播组中的成员是与接口相关联的。

一个进程可以在多个接口上加入同一多播组。

Stanford大学伯克利版Unix中的IP 多播详细说明了有关socket API的变化，这些变化在Solaris 2.x和ip（7）的文档中也提供了。

一、实验目的：1、通过wireshark进行TCP报文抓包，分析TCP连接的三次握手以及关闭TCP2、利用wireshark分析ICMP报文3、利用ping测试网络联通性：1）ping 本机回环地址2）ping本机ip地址3）ping 网关ip4）ping 远程ip通过这几项可以检查网络是不是通的，以及如果不通，网络的问题出在哪熟悉ping的参数的使用；4、traceroute测试，同理（3）二、实验原理1、TCP握手协议在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。

第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV 状态；第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

还要再发送一次确认是为了，防止已失效的连接请求报文段突然又传到了B，因而产生错误。

已失效的报文段：正常情况下：A发出连接请求，但因为丢失了，故而不能收到B的确认。

于是A重新发出请求，然后收到确认，建立连接，数据传输完毕后，释放连接，A发了2个，一个丢掉，一个到达，没有“已失效的报文段”但是，某种情况下，A的第一个在某个节点滞留了，延误到达，本来这是一个早已失效的报文段，但是在A发送第二个，并且得到B的回应，建立了连接以后，这个报文段竟然到达了，于是B就认为，A又发送了一个新的请求，于是发送确认报文段，同意建立连接，假若没有三次的握手，那么这个连接就建立起来了（有一个请求和一个回应），此时，A收到B的确认，但A知道自己并没有发送建立连接的请求，因为不会理睬B的这个确认，于是呢，A也不会发送任何数据，而B呢却以为新的连接建立了起来，一直等待A发送数据给自己，此时B 的资源就被白白浪费了。

I G M P使用详解IGMP一、Internet 组管理协议IGMP 是Internet 组管理协议(Internet Group Management Protocol)的缩写。

IGMP 在TCP/IP 协议中的位置:应用层协议（FTP,HTTP,SMTP）TCP UDP ICMP IGMPIPARP RARPMACPHY在了解IGMP 协议的之前，我们首先看看以太网对报文的处理方法。

我们知道，目前使用的以太网（ethernet）有一个特点，当一个报文在一条线路上传输时，该线路上的所有主机都能够接收到这个报文。

只是当报文到达MAC 层时，主机会检测这个报文是不是发送给自己的，如果不是该报文就会被丢弃。

常用的抓包软件ethereal, sniffer 都可以捕获当前物理线路上的所有报文，不管该报文的目的地址是不是自己。

以太网中有一种特殊的报文广播包其目的mac 地址全为0xff，所有的主机都必须接收。

说到IGMP 不能不提“组播”的概念。

假如现在一个主机想将一个数据包发给网络上的若干主机，有什么方法可以做到呢？一个方法是采用广播包发送，这样网络上的所有主机都能够接收到，另一种方式是将数据包复制若干份分别发给目的主机。

这两个方法都存在问题：方法一，广播的方法导致网络上所有的主机都能接收到，占用了网络上其他主机的资源。

方法二，由于所有目的主机接收的报文都是相同的，采用单播方式显然效率很低。

为了解决上面所述的问题，人们提出了“组播”的概念，控制一个报文发送给对该报文感兴趣的主机，IGMP 就是组播管理协议。

我们来看一个简单的组播应用场景PC，如何处理呢？首先STB 要发起一个连接请求，也就是IGMP report 报文，加入到电视直播的组播组中。

同样当STB 要断开连接的时候就发送一个IGMP leave 报文。

Router 也需要知道当前有哪些STB 加入了组播组，防止有的STB 异常掉线了，却依然占用系统资源。

IGMP协议详解与测试方法IGMP（Internet Group Management Protocol，Internet组管理协议）是一种用于IP网络的组播协议。

它允许主机加入到特定的组播组，并通过查询和报告机制通知路由器有关组播组成员的信息。

本文将详细介绍IGMP协议的工作原理，并提供一种测试IGMP功能的方法。

IGMP的工作原理如下：1. 主机加入组播组：主机通过发送IGMP报文加入到组播组。

IGMP 消息有三种类型：查询（Query）、报告（Report）和离开（Leave）。

查询消息由路由器发出，用于了解网络中的组播组成员。

报告消息由主机发出，用于加入到组播组或报告存在。

离开消息由主机发出，用于离开组播组。

2.路由器维护组播组成员表：路由器通过接收IGMP消息维护一个组播组成员表。

当收到报告消息时，路由器将主机添加到对应的组播组成员表中。

当收到离开消息时，路由器将主机从对应的组播组成员表中删除。

3.路由器转发组播流量：当路由器接收到组播数据包时，它会查找组播组成员表，确定需要转发数据包的接口。

然后，路由器根据IP协议的特性将数据包转发到指定接口。

IGMP的测试方法如下：1.确保网络拓扑正确：首先，需要构建一个符合组播网络拓扑的实验环境。

包括至少一个路由器和多个主机，确保它们的IP地址和子网掩码设置正确，并且路由器启用了IGMP功能。

2.观察组播组成员表：使用网络管理工具或命令行工具，查看路由器的组播组成员表。

确认路由器能够正确维护主机的加入和离开。

3. 加入组播组和报告存在：在其中一个主机上执行加入组播组操作，并发送报告消息。

可以使用命令行工具如"igmp join <组播组IP>"执行加入操作，并使用网络抓包工具观察IGMP报文。

4. 离开组播组和报告离开：在加入组播组的主机上执行离开组播组操作，并发送离开消息。

可以使用命令行工具如"igmp leave <组播组IP>"执行离开操作，并使用网络抓包工具观察IGMP报文。

协议数据包的捕获与分析一、引言协议数据包的捕获与分析是网络安全领域中的重要技术之一。

通过捕获和分析网络数据包，可以深入了解网络通信的细节和行为，帮助发现潜在的安全威胁和漏洞，并采取相应的措施加以防范和修复。

本文将详细介绍协议数据包的捕获与分析的标准格式和步骤。

二、标准格式协议数据包的捕获与分析的标准格式如下：1. 任务名称：协议数据包的捕获与分析2. 任务描述：通过使用网络分析工具，捕获指定网络接口上的数据包，并对捕获到的数据包进行详细的分析和解读。

3. 目标：深入了解网络通信的细节和行为，发现潜在的安全威胁和漏洞。

4. 步骤：a) 准备工作：选择合适的网络分析工具，如Wireshark等，并安装配置好所需的软件和硬件环境。

b) 捕获数据包：打开网络分析工具，选择要捕获的网络接口，开始捕获数据包。

c) 分析数据包：对捕获到的数据包进行详细的分析和解读，包括源IP地址、目的IP地址、协议类型、数据包大小等信息。

d) 解码协议：根据协议类型，对数据包进行解码，还原出原始的数据内容。

e) 分析行为：根据数据包的内容和行为，分析网络通信的细节和特征，发现潜在的安全威胁和漏洞。

f) 生成报告：将分析结果整理成报告，包括数据包的统计信息、协议的使用情况、异常行为的发现等。

g) 建议措施：根据分析结果，提出相应的建议措施，包括加强网络安全防护、修复漏洞、优化网络通信等方面的建议。

三、详细内容在协议数据包的捕获与分析过程中，需要进行以下详细内容的处理和分析：1. 数据包捕获：选择要捕获的网络接口，并使用网络分析工具开始捕获数据包。

可以根据需要设置过滤器，只捕获特定协议或特定源/目的IP地址的数据包。

2. 数据包分析：对捕获到的数据包进行详细的分析和解读。

可以查看数据包的源IP地址、目的IP地址、协议类型、数据包大小等信息，以及数据包的时间戳和传输状态等。

3. 协议解码：根据协议类型，对数据包进行解码，还原出原始的数据内容。