实验三 基本报文分析

实验三基本报文分析

1实验拓扑图

两人一组实验，使用ping命令在两台实验主机之间发送数据报文。分析IP数据报文格式。注意将与网络切换器相连的实验主机的网络切换器拨到B的位置（A为与网络测试接口TAP的连接），以保证其直接接入实验室网络交换机。同时，请将TAP中TAP/IN和TAP/OUT 接口上的网线拔出。以避免与TAP中host接口相连的计算机不能正常上网。

交换机

实验主机A实验主机B

2实验步骤

步骤1:请同学们分好组,两人一组,然后各自启动实验主机,进入到Windows 2000操作系统.步骤2:系统启动完成之后,请查看各自实验主机的IP地址信息,并且请记住所同组组员实验主机的IP地址信息.例如在本实验中以实验组一为例,实验主机A的IP地址为172.16.32.61,实验主机B的IP地址为172.16.32.62.(查看本机IP地址等信息,可以在命令提示符中输入ipconfig/all命令进行查看)

步骤3:在各自运行实验主机上,双击运行桌面上的“Ethereal”图标来启动网络分析器,如图:

步骤4:启动完成之后,先进行配置.点击“Capture->Options”选项或图标,在弹出来的对话框中进行设置.

步骤5:设置捕捉接口,在Interface栏中选择IP地址为172.16.32.61的接口,如图:

反过来,在实验主机B中也是如此,选择IP地址为172.16.32.62的接口.

步骤6:由于该实验中我们只需要捕获相对应的ICMP数据包,因此在“Capture Filter”栏中直接输入过滤条件“host 172.16.32.62”,172.16.32.62是实验主机B的IP地址,如图:

如果是在实验主机B上则输入实验主机A的IP地址.

步骤7:然后设置捕获过程中的包显示选项“Display Options”,选中“Update list of packets in real time”,“Automatic scrolling in live capture”和“Hide capture info dialog”该三个复选框,如图:

在实验主机B中也是如此选择这些复选框.

步骤8:这样所有配置就已经完成,然后就可以进行包捕获了,点击“Start”按钮来启动.

步骤9:然后在其中一台实验主机上进行ping命令操作,例如在实验主机A中的命令提示符中进行ping实验主机B的IP地址操作.

步骤10:观察在网络分析器上所捕获的报文,然后点击图标来停止报文捕获操作,观察网络分析器所捕捉的报文,将该结果保存下来,以3-学号.pcap进行命名,最后进行报文分析。

步骤11:随意选择一个ICMP数据报文进行分析.查看其IP协议报文.

注意:各个小组的IP地址是不同的,因此请同学们根据自己和实验小组的IP地址信息进行正确的操作.

3实验作业

(1)根据IP报文格式来查找相关的字段信息,如版本,源IP地址等.

(2)分析该报文的源IP地址和目的IP地址属于哪类地址?

源地址：192.168.1.14 C类地址

目的地址：192.168.1.15 C类地址

(3)要求了解掌握IP数据报各字段格式的含义

IP数据包由报头和数据两部分组成。报头的前一部分是固定长度，共20字节。在报头的固定部分的后面是可选部分——IP选项和填充域。

首部各字段的含义如下

1、版本

占4位，指IP协议的版本。

2、报头长度

占4位，该字段的单位是32位字（1个32位字长是4字节），因此当IP报头长度为1111时，报头长度就达到最大值60字节。当IP分组的首部长度不是4字节的整数倍是，就需要对填充域加以填充。最常用的报头长度为20位(报头长度值为0101)，这时不使用任何选项。

3、区分服务（服务类型）

占8位，在一般情况下都不使用这个字段。

4、总长度

指报头和数据之和的长度，单位是字节。总长度字段为16位，故IP数据报的最大长度为65535。

每一种数据链路层都有其自己的帧格式，其中包括帧格式中的数据字段的最大长度，这称为最大传送单元MTU。当IP数据报封装成链路层的帧时，此数据报的总长度不能超过对应MTU的值。若数据报长度超过对于MTU的值，就将数据报进行分片处理，此时数据报首部中的“总长度“字段是指分片后的每一个分片的报头长度和数据长度之和。

5、标识

占16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，

并赋给标识字段。当数据报进行分片处理后，每个分片的标识值都与原数据报的标识值相同，则在接收端具有相同标识值的分片就能最终正确的重装成为原来的数据报。

6、标志

占3位，但目前只有两位有意义。

最低位记为MF。MF=1即表示后面”还有分片“的数据包。MF=0表示这已是若干数据包片中的最后一个。

中间位记为DF，意思是”不能分片“。只有当DF=0时才允许分片。

7、片偏移

占13位。表示每个数据报的分片在原数据报中的相对位置。片偏移以8个字节为偏移单位，即每个分片的长度一定是8字节的整数倍。

8、生存时间

占8位。表示数据报在网络中的寿命。最初以秒为TTL值为单位，现在以跳数为单位，则目前的最大数据为255.

9、协议

占8位，指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给那个处理过程。

TCP对应协议字段值6；UDP对应协议字段值17

10、首部校验和

占16位，该字段只校验数据报的报头，但不包括数据部分。

11、源地址

占32位

12、目的地址

占32位