收藏
下载资源

实验四IP协议分析

上传人:飞*** 文档编号:47491802 上传时间:2018-07-02 格式:PDF 页数:14 大小:380.69KB
返回 下载 相关 举报
实验四IP协议分析_第1页
第1页 / 共14页
实验四IP协议分析_第2页
第2页 / 共14页
实验四IP协议分析_第3页
第3页 / 共14页
实验四IP协议分析_第4页
第4页 / 共14页
实验四IP协议分析_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《实验四IP协议分析》由会员分享,可在线阅读,更多相关《实验四IP协议分析(14页珍藏版)》请在金锄头文库上搜索。

1、实验四IP 协议 /TCP 协议分析实验一、实验目的 通过对截获帧进行分析,验证TCP/IP 的主要协议和协议的层次结构,掌握对应数据包 的内部封装结构。二、实验内容 使用 Ethereal 网络监听软件对TCP/IP 体系下的以太网链路层MAC 帧,网络层ARP 协 议、 ICMP 协议和 IP 协议,传输层TCP 协议和 UDP 协议格式进行分析。三、实验知识 局域网按照网络拓扑结构可以分为星形网、环形网、 总线网和树形网,相应代表性的网 络主要有以太网、令牌环形网、令牌总线网等。局域网经过近三十年的发展,尤其是近些年来快速以太网(100Mb/s) 、吉比特以太网(1Gb/s)和 10 吉

2、比特以太网(10Gb/s)的飞速发 展,采用 CSMA/CD (Carrier sense,Multiple Access with Collision detection)接入方法的以 太网已经在局域网市场中占有绝对优势,以太网几乎成为局域网的同义词。因此, 本章的实 验以以太网为主。以太网 MAC 帧 常用的以太网MAC 帧格式有两种标准, 一种是 DIX Ethemet V2 标准, 另一种是 IEEE 的802.3 标准。图4-1 显示了这两种不同的MAC 帧格式。帧开始定界符前同步码1 字节7 字节431497 6 2 4 1 1 1 字节IP数据数据控制SSAP DSAP 1 1

3、1 数据控制SSAP DSAP 长度/类型源地址目的地址FCS 6 字节IP 层LLC 子层MAC 子层802.2 LLC 帧802.3 MAC 帧当长度/类型字段表示长度时IP 数据6 2 长度/类型源地址目的地址6 字节以太网 V2 MAC 帧461500 4 FCS MAC 子层IP 数据IP 层MAC 帧8 字节物理层10101010101010 ,101010101010 10101011 插入这种 802.3+802.2帧已经很少使用了图 4-1 Ethernet 和 IEEE 802.3/802.2 定义的帧封装结构Ethernet V2 标准的 MAC 帧格式DIX Ether

4、net V2标准是指数字设备公司(Digital Equipment Corp. ) 、英特尔公司(Intel Corp.)和 Xerox 公司在 1982 年联合公布的一个标准。它是目前最常用的MAC 帧格式,它 比较简单, 由 5 个字段组成。 第一、二字段分别是目的地址和源地址字段,长度都是6 字节; 第三字段是类型字段,长度是2字节,标志上一层使用的协议类型;第四字段是数据字段, 长度在 461500 字节之间;第五字段是帧检验序列FCS,长度是4 字节。 此外,为了使发送端和接收端达到位同步,实际传送时要在MAC 帧前设置前同步码 (7 字节)和帧开始界定符(1 字节) 。这两个字段

5、和帧检验序列FCS 在网卡接收MAC 帧时被 去掉了,因此实验中抓包软件截获报文中没有这些字段。Ethernet V2 标准定义MAC 帧都有最小长度要求,规定数据部分必须至少为46 字节。 为了保证这一点,必要时需要插入填充(pad)字节。IEEE 802.3 标准的 MAC 帧格式 1983 年, IEEE(电子电气工程师协会)802 委员会公布了一个和Ethernet V2 标准稍有 不同的标准集,局域网的数据链路层被拆成逻辑链路控制LLC 子层和媒体接入控制MAC 子层。MAC 子层中定义了几种不同的局域网标准,如 802.3 针对整个CSMA/CD 网络,802.4 针对令牌总线网络

6、,802.5 针对令牌环网络。如图4-1 所示, 802.2 和 802.3 定义了一个与DIX Ethernet V2 标准不同的以太网帧格式。 IEEE 802.3 标准设计的主要特点是MAC 层能够知道其有效数据的长度并能够为局域网 提供面向连接的服务。与DIX Ethernet V2 标准相比要复杂一些。IEEE 802.3 MAC 帧的第一、 二字段也分别是目的地址和源地址字段,长度都是6 字节; 第三字段是长度类型字段,如果该字段数值小于1500, 它就表示MAC 帧数据字段的长度; 如果其数值大于0x0600, 就表示类型, 即上层协议的类型,此时 802.3 的 MAC 帧和

7、Ethernet V2 的 MAC 帧一样。 当长度类型字段表示长度时,MAC 帧的数据部分为802.2 标准定义的LLC 子层的LLC 帧, 其长度就是长度类型字段的值。LLC 帧的首部有3个字段,目的服务访问点DSAP (Destination Service Access Point , l 字节)、 源服务访问点SSAP (Source Service Access Point,1 字节)和控制字段(1 或 2 字节)。DSAP 指出 LLC 帧的数据应当上交的协议,SSAP 指出 发送数据的协议,控制字段则指出LLC帧的类型。其数据字段、帧检验序列FCS 字段、MAC 帧前前同步码、

8、帧开始界定符,以及最小长度要求与Ethernet V2 标准类似。 此外, 802.3 标准为了能够更好地与Ethernet V2 标准兼容, 802 委员会又制定了802.3 子网接入协议SNAP(Sub-Network Access Protocol ) ,对 LLC 首部进行扩展。使用SNAP 协 议时, DSAP 和 SSAP 的值都设为0xaa, Control 字段的值设为3, 随后的 3 个字节 Organization Code 一般都置为0。再接下来的2 个字节类型字段和以太网帧格式一样。 显然,与 Ethernet V2 标准相比, 802.3 标准在 MAC 帧中增加了8

9、 个字节的开销,而且实践证明,这样做过于繁琐, 使得其在实际中很少得到使用。因此, 本实验中重点分析Ethernet V2 MAC帧的格式, 802.3 MAC 帧只做一般了解。TCP/IP 体系结构 当网络运行TCP/IP 协议时,其协议栈如错误!未找到引用源。所示。各种应用层协议网络接口层(TELNET, FTP, SMTP 等) 物理硬件运输层TCP, UDP 应用层ICMP IP RARP ARP 与各种网络接口网际层IGMP 图 4-2 TCP/IP 协议栈在错误!未找到引用源。 中,与 网际协议 IP 配套使用的还有地址解析协议ARP (Address Resolution Pro

10、tocol ) 、逆地址解析协议RARP(Reverse Address Resolution Protocol ) 、因特网 控制报文协议ICMP(Internet Control Message Protocol ) 和因特网组管理协议IGMP(Internet Group Management Protocol )等四个协议。其中ARP 和 RARP 画在最下面,因为IP 经常要 使用这两个协议。ICMP 和 IGMP 画在这一层的上部,因为它们要使用IP 协议。由于 IP、ARP 和 RARP 直接承载在MAC 数据包上,作为链路层数据帧的帧头,其帧 类型标识主要有:0x0800 IP

11、 0x0806 ARP 0x8035 RARP ARP 协议ARP(Address Resolution Protocol )是地址解析协议的简称。在实际通信中,物理网络 使用硬件地址进行报文传输,IP 地址不能被物理网络所识别。所以必须建立两种地址的映射关系,这一过程称为地址解析。用于将IP 地址解析成硬件地址的协议就被称为地址解析 协议( ARP 协议)。ARP 是动态协议,就是说这个过程是自动完成的。 在每台使用ARP 的主机中,都保留了一个专用的内存区(称为缓存),存放最近的IP 地址与硬件地址的对应关系。一旦收到ARP 应答, 主机就将获得的IP 地址和硬件地址的对 应关系存到缓存中

12、。当发送报文时, 首先去缓存中查找相应的项,如果找到相应项后,便将 报文直接发送出去;如果找不到, 再利用 ARP 进行解析。 ARP 缓存信息在一定时间内有效, 过期不更新就会被删除。同一网段的ARP 解析过程 处在同一网段或不同网段的主机进行通信时,利用 ARP 协议进行地址解析的过程不同。 在同一网段内通信时,如果在ARP 缓存中查找不到对方主机的硬件地址,则源主机直接发送 ARP 请求报文,目的主机对此请求报文作出应答即可。例如,如果主机A 需要发报文给 同一网段中主机B,如果在缓存中查找不到相应的记录,就必须先解析主机A 的硬件地址。主机 A 首先在网段内发出ARP 请求报文,主机B

13、 收到后,判断报文的目的IP 地址是自己 的 IP 地址,便将自己的硬件地址写入应答报文,发送给主机A,主机 A 收到后将其存入缓存,则解析成功。然后才将报文发往主机B。不同网段的ARP 解析过程 位于不同网段的主机进行通信时,源主机只需将报文发送给它的默认网关,即只需查找 或解析自己的默认网关地址即可。例如,如果主机A 要发报文给位于不同网段的主机B, 首先,主机A 分析目的地址不在同一网段,需要将报文先发给其默认网关,再由默认网关转发。如果没有找到默认网关的硬件地址,便发送ARP 请求报文,请求默认网关的硬件地 址,默认网关收到之后,将自己的硬件地址写入应答报文,发送给主机A。然后,主机A

14、到主机 B 的报文首先被送到默认网关,默认网关再查找或解析主机B 的硬件地址,将报文 送到主机 B 中。主机B 到主机 A 的报文以相反的顺序发送。ICMP 协议 ICMP (Internet Control Message Protocol )是因特网控制报文协议RFC792 的缩写,是 因特网的标准协议。ICMP 允许路由器或主机报告差错情况和提供有关信息,用以调试、监 视网络。 在网络中,ICMP 报文将作为IP 层数据报的数据, 封装在 IP 数据报中进行传输。 如图4-3 所示。但ICMP 并不是高层协议,而仍被视为网络层协议。ICMP 报头IP 报头ICMP 信息图 4-3 ICM

15、P 报文ICMP 报文的格式 由于 ICMP 报文的类型很多,且各自又有各自的代码,因此,ICMP 并没有一个统一的报文格式以供全部ICMP 信息使用,不同的ICMP 类别分别有不同的报文字段。ICMP 报文 只是在前4 个字节有统一的格式,共有类型、 代码和校验和3 个字段。 接着的 4 个字节的内 容与 ICMP 报文的类型有关。再后面的数据字段的长度取决于ICMP 报文的类型。 以回送请 求或应答报文为例,其ICMP 报文格式如图4-44 所示。16 标识8 31 校验和代码( 0)类型( 8/0)0 序列号数据部分,图 4-4 回送请求和应答报文格式其中类型字段表示ICMP 报文的类型

16、, 代码字段是为了进一步区分某种类型的几种不同 情况,校验和字段用来检验整个ICMP 报文。ICMP 报文的分类 ICMP 报文的种类可以分为ICMP 差错报告报文和ICMP 询问报文两种,它们各自对应 的报文类型及代码如错误!未找到引用源。所示。表 4-1 ICMP 报文的分类及各自对应的报文类型和代码ICMP报 文 种 类类型的值ICMP 报文的类型差错报告报文3 终点不可达4 源站抑制( Source Quench) 11 时间超过12 参数问题 5 路由重定向( Redirect)询问报文8 或 0 回送( echo)请求或应答 13 或 14 时间戳( Timestamp)请求或应答17 或 18 地址掩码( Address Mask)请求或应答 10 或 9 路由器询问( Router Soliciation )或通告ICMP 差错报告报文主要有终点不可达、源站抑制、 超时、参数问题和路由重定向5 种。 实验中主要涉及终点不可达和超时两种。其中终点不可达报文中需要区分的不同情况较多, 对应的代码列表如表4-22 所示。表 4-2 I

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号