武汉大学信息管理学院实验报告第1页共9页计算机网络实验报告实验名称:ICMP协议和IP数据报分片分析姓名:张祎立学号:2011302330050专业:信息管理与信息系统班级:信管二班指导教师:实验成绩:批阅教师签字:武汉大学信息管理学院实验报告第2页共9页一、实验目的1.理解ICMP协议报文类型和格式;2.理解ping命令的工作原理;3.理解traceroute的工作原理;4.理解IP协议报文类型和格式。二、实验内容与实验步骤1.使用wireshark抓包软件分析ICMP协议报文的类型;2.分析ping命令的工作原理;3.分析tracert命令的工作原理;4.使用wireshark抓包软件分析IP协议报文以及报文分片。三、实验环境与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。四、实验过程与分析1.分析ICMP协议步骤1:在PC1运行Wireshark,开始截获报文,为了只截获和实验内容有关的报文,将Wireshark的CaptrueFilter设置为“NoBroadcastandnoMulticast”;步骤2:在PC1以为目标主机,在命令行窗口执行Ping命令,要求ping通8次;Ping命令为:ping–n8将命令行窗口进行截图:武汉大学信息管理学院实验报告第3页共9页步骤3:停止截获报文,分析截获的结果,回答下列问题:1)将抓包结果进行截图(要求只显示ping的数据包):输入过滤规则ip.addr==119.75.217.562)截获的ICMP报文有几种类型?两种。分别是:0(回应应答)和8(回应请求)3)分析截获的ICMP报文,按下表要求,将各字段信息填入表中,要求填写前4个报文的信息。报文号源IP目的IP报文格式类型代码标识序列号125192.168.217.56119.75.217.56800x02003840|15126119.75.217.56192.168.217.56000x02003840|15127192.168.217.56119.75.217.56800x02004096|16128119.75.217.56192.168.217.56000x02004096|164)查看ping请求信息,ICMP的type8是和code是0武汉大学信息管理学院实验报告第4页共9页并截图:5)查看相应得ICMP响应信息,ICMP的type0是和code是0并截图:6)若要只显示ICMP的echo响应数据包,显示过滤器的规则为icmp.type==8并根据过滤规则进行抓包截图:7)若要只显示ICMP的echo请求数据包,显示过滤器的规则为icmp.type==0并根据过滤规则进行抓包截图:武汉大学信息管理学院实验报告第5页共9页2.分析traceroute的工作原理步骤1:在PC1上运行Wireshark开始截获报文;步骤2:在PC1上执行Tracert命令,如:tracert;将命令窗口进行截图;步骤3:在wireshark里设置显示过滤器为icmp;步骤4:停止截获报文,分析截获的报文,回答下列问题:1)截获了报文中哪几种ICMP报文?其类型码和代码各为多少?三种报文:①Time-to-liveexceeded,类型11,代码0;②Request,类型8,代码0;③Reply,类型0,代码0。2)在截获的报文中,哪些是超时报告报文,请截图显示所有超时报文并指出超时报告报文的源地址分别是多少?Time-to-liveexceeded类为超时报文,筛选icmp.type==11。超市报文源地址为:220.20.217.1;172.17.2.150;172.16.254.14;172.17.11.218;172.17.11.254;218.197.158.254;101.4.113.162;101.4.116.69;101.4.112.1;101.4.116.194;219.224.103.10;192.168.0.5武汉大学信息管理学院实验报告第6页共9页3)查看ICMPecho分组,是否这个分组和前面使用ping命令的ICMPecho一样?若不一样,请分析使用tracert命令后收到的分组里TTL值的变化规律。不一样;变化规律:使用tracert命令后收到的分组里TTL的值逐渐增大,而使用Ping命令收到的分组里的TTL值不变。4)对照ICMP协议,分析一下ICMP超时报告分组比ICMPecho分组多包含的信息有哪些?超时报告分组比echo分组多包含IP数据报的首部以及TCP或UDP协议的端口号。5)对于ICMP超时报告分组,找出与命令提示窗口截图中的第五跳路由器的接口IP地址为多少?wireshark抓包图中截图与第五跳路由器的接口IP地址对应的部分并截图。第五跳路由器的接口IP地址为:172.17.11.254筛选规则输入:ip.src==172.17.11.2543.IP协议分析步骤1:分别在PC1和PC2上运行wireshark,开始截获报文,为了只截获和实验内容有关的报文,将wireshark的CaptrueFilter设置为“NoBroadcastandnoMulticast”;步骤2:PC1pingPC2;武汉大学信息管理学院实验报告第7页共9页步骤3:停止截获报文,分析截获的结果,回答下列问题:1)任取一个有IP协议的数据报并截图:2)分析该IP协议的报文格式,完成下表。表IP协议字段报文信息说明版本4IPv4头长520bytes服务类型00总长度6060bytes标识0x0001标志00片偏移00生存周期64协议01ICMP校验和源地址192.168.1.108目的地址192.168.1.1014.IP数据报分片实验步骤1:在PC1、PC2两台计算机上运行Wireshark,为了只截获和实验有关的数据报,设置Wireshark的捕获条件为对方主机的IP地址的icmp协议;步骤2:在PC1上执行如下Ping命令,向主机PC2发送大小为7000个字节的数据报文;步骤3:停止截获报文并回答下列问题:1)以太网的最大传输单元(MTU)是多少?怎么计算得出的?武汉大学信息管理学院实验报告第8页共9页以太网的MTU是1500。由于以太网传输电气方面的限制,每个以太网帧都有最小的大小64bytes,最大不能超过1518bytes,抛去以太网帧的帧头(DMAC目的MAC地址48bit=6Bytes+SMAC源MAC地址48bit=6Bytes+Type域2bytes)14Bytes和帧尾CRC校验部分4Bytes,那么剩下承载上层协议的地方也就是Data域最大就只能有1500Bytes,2)分析截获的报文,将属于同ICMP请求报文的分片找出来并从wireshark中截图:主机PC1向主机PC2发送的ICMP请求报文分成了5个分片。3)ICMP报文各分片的数据长度是多少?各个分片的数据长度分别是1480,1480,1480,1480,1088在wireshark里截图显示:4)若要让主机PC1向主机PC2发送的数据分为2个分片,则Ping命令中的报文长度应为多大范围?为什么?ping命令中的报文长度范围为:1473-2952个字节。因为当一个IP数据包封装成链路层的帧时,其数据报的总长度(即首部加上数据部分)一定不能超过武汉大学信息管理学院实验报告第9页共9页链路层的MTU,即1500字节。在网络层,因为IP首部一般为20字节,所以这里的MTU为1500-20=1480。在传输层,UDP包的首部为8字节,数据的净荷部分预留是1500-20-8=1472字节。如果数据部分大于1472字节,就会出现分片现象。同理:若要分为两片则数据部分应为为1500*2-20*2-8=2952个字节。五、实验结果总结与思考从实验过程来看,很好的熟悉了WireShark的使用,做过实验之后比单纯的看指南PPT印象深刻得多,从比较抽象的概念变成了切身体验。在实验内容上,经过老师的演示和请教同学,基本内容可以完成,一些原先做的不对的也有了改正,比如各个过滤器筛选规则,以ping为例,原先甚至不知道ip.addr==119.75.217.56的规则,对报文中的数据包显得无从下手。当然这和对之前的实验不熟悉、没有十分仔细地阅读指南PPT等因素有关,属于上课不专心,应当反思。当然之后这类问题都得到了解决。