分析IP报文结构

一、实验目的

1. 掌握使用Wireshark分析俘获trace文件的基本技能;

2. 深刻理解IP报文结构和工作原理。

二、实验内容和要求

1. 分析俘获的分组;

 2. 分析IP报文结构。

 3. 记录每一字段的值,分析它的作用

三、实验环境

运行Windows10操作系统的PC一台。

PC具有以太网卡一块,通过双绞线与校园网相连;或者具有适合的踪迹文件。

运行程序协议分析仪Wireshark 3.6.3。

四、操作方法和实验具体步骤

分析俘获的分组

打开踪迹文件,选中编号15的分组,用鼠标指向其源地址,打开如图1所示菜单,点击“选中”,就会出现如图2所示的界面。可见,系统已经自动用其源地址作为过滤条件,从众多分组中过滤出与编号为15的分组有关分组了。更一般的定义条件,可选用“分析/显示过滤器”功能,如图三所示。

5fce882f6c364a10874897431e79a3e8.png

 

图1分组列表窗口的弹出菜单

1fc3b5047a45404b9db8b416329a841b.png

 

图2以源地址作为条件进行过滤

34ad7bee2e60492f9c218f2628ce88d1.png

 

图3显示过滤器

有时为了清晰可见,需要屏蔽较高层协议的细节,可以点击“分析/启动的协议”打开窗口,若除去选择IP,则将屏蔽IP相关信息。

(2)分析IP报文结构

将计算机联入网络,打开Wireshark俘获分组,从本机向选定的Web服务器发送Ping报文。(图4)选中其中一条Ping报文,该帧中的协议结构是:Ethernet:IP:ICMP:data。为了进一步分析IP数据报结构,点击首部细节信息栏中的“Internet Protocol”行,有关信息展开如图5,6首部信息窗口所示。

25cd5c055fef422fb8f861df8715bbc6.png

 

图4发送ping报文

9a7a5f902ba143d9999bd3c8e0670618.png

 

图5

edd53fe4d6804c3d97888de371a6d0ad.png

 

图6“Internet Protocol”详细信息

查看本机IP(图7),得到自己的计算机IP地址是:IP v4 192.168.43.32

e560d61529e64de883cde5c661973704.png

 

图7查看IP

IP数据报(图 8)如下:

4500 020c 73b7 4000 3506 d8f5 7169 9a0d c0a8 2b20

7230fbbb65b0448b84fcbef6543448b3.png

 

图8 IP数据报

(1)版本:占4位,该IP数据报版本为4;

(2)首部长度:占4位,首部长度20个字节;

(3)区分服务:占8位,不区分服务;

(4)总长度:占16位,总长度524字节,其中首部20字节,数据504字节;

(5)标识:占16位,0x73b7,即29623;

(6)标志:占3位,目前只有两位有意义,DF=1,不能分片,MF=0,这已经是若干分片的最后一个;

(7)片偏移:占13位,该IP数据报片偏移为0;

(8)生存时间:占8位,TTL=53;

(9)首部检验和:占16位,该IP数据报首部检验和为0xd8f5,

(10)源地址:占32位,113.105.154.13;

(11)目的地址:占32位,192.168.43.32。

由上述信息我可以得到:

(1)我使用的计算机的IP地址是什么?

192.168.43.32

(2)在IP数据报首部,较高层协议字段中的值是什么?

1(ICMP)。

(3)IP首部有多少字节?载荷字段有多少字节

首部有20字节,载荷字段有40字节。

(4)该IP数据包分段了没有?如何判断该IP数据报有没有分段?

没有;片偏移为0则说明该IP数据报没有分段。

(5)关于高层协议有哪些有用信息?

通过高层协议可以看到正在做什么,是请求还是回应,还是传递信息等。

五、实验心得体会

从实验中我