实验 利用Wireshark分析ICMP协议一、 实验目的分析ICMP协议二、 实验环境与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件三、 协议简介ICMP全称Internet Control Message Protocol,中文名为因特网控制报文协议它工作在0SI的 网络层,向数据通讯中的源主机报告错误ICMP可以实现故障隔离和故障恢复网络本身是不可靠的,在网络传输过程中,可能会发生许多突发事件并导致数据传输失败网络层 的IP协议是一个无连接的协议,它不会处理网络层传输中的故障,而位于网络层的ICMP协议却恰 好弥补了 IP的缺限,它使用IP协议进行信息传递,向数据包中的源端节点提供发生在网络层的错 误信息反馈ICMP的报头长8字节,结构如图1所示比特0 7 8 15 16 比特31• 类型:标识生成的错误报文,它是ICMP报文中的第一个字段;• 代码:进一步地限定生成ICMP报文该字段用来查找产生错误的原因;• 校验和:存储了 ICMP所使用的校验和值• 未使用:保留字段,供将来使用,起值设为0• 数据:包含了所有接受到的数据报的IP报头还包含IP数据报中前8个字节的数据;ICMP协议提供的诊断报文类型如表1所示。
类型描述0回应应答(Ping应答,与类型8的Ping请求一起使用)3目的不可达4源消亡5重定向8回应请求(Ping请求,与类型8的Ping应答一起使用)9路由器公告(与类型10 一起使用)10路由器请求(与类型9 一起使用)11超时12参数问题13时标请求(与类型14 一起使用)14时标应答(与类型13 —起使用)15信息请求(与类型16 一起使用)16信息应答(与类型15 一起使用)17地址掩码请求(与类型18 一起使用)18地址掩码应答(与类型17 一起使用)(表1 ICMP诊断报文类型)ICMP提供多种类型的消息为源端节点提供网络层的故障信息反馈,它的报文类型可以归纳为以下5个大类:• 诊断报文(类型8,代码0 ;类型0,代码0);• 目的不可达报文(类型3,代码0-15);• 重定向报文(类型5,代码0-4);• 超时报文(类型11,代码0-1);• 信息报文(类型12-18)Ping命令只有在安装了 TCP/IP协议之后才可以使用,其命令格式如下:ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count][[-j host-list] | [-k host-list]] [-w timeout] target_name 这里对实验中可能用到的参数解释如下:-t :用户所在主机不断向目标主机发送回送请求报文,直到用户中断;-n count :指定要Ping多少次,具体次数由后面的count来指定,缺省值为4 ;-l size :指定发送到目标主机的数据包的大小,默认为32字节,最大值是65,527 ;-w timeout :指定超时间隔,单位为毫秒;target_name :指定要ping的远程计算机。
Ping和traceroute命令都依赖于ICMPICMP可以看作是IP协议的伴随协议ICMP报 文被封装在IP数据报发送一些ICMP报文会请求信息例如:在ping中,一个ICMP回应请求报文被发送给远程 主机如果对方主机存在,期望它们返回一个ICMP回应应答报文一些ICMP报文在网络层发生错误时发送例如,有一种ICMP报文类型表示目的不可达 造成不可达的原因很多,ICMP报文试图确定这一问题例如,可能是主机关及或整个网 络连接断开有时候,主机本身可能没有问题,但不能发送数据报例如 IP 首部有个协议字段,它指明了什么协议应该处理IP数据报中的数据部分SANA公布了代表协议的数字的列表 例如,如果该字段是6,代表TCP报文段,IP层就会把数据传给TCP层进行处理;如果 该字段是1,则代表ICMP报文,IP层会将该数据传给ICMP处理如果操作系统不支持 到达数据报中协议字段的协议号,它将返回一个指明“协议不可达”的ICMP报文IANA 同样公布了 ICMP报文类型的清单Traceroute是基于ICMP的灵活用法和IP首部的生存时间字段的发送数据报时生存时 间字段被初始化为能够穿越网络的最大跳数。
每经过一个中间节点,该数字减1当该字段为0时,保存该数据报的机器将不再转发它相反,它将向源IP地址发送一个ICMP 生存时间超时报文生存时间字段用于避免数据报载网络上无休止地传输下去数据报的发送路径是由中间 路由器决定的通过与其他路由器交换信息,路由器决定数据报的下一条路经最好的 “下一跳”经常由于网络环境的变化而动态改变这可能导致路由器形成选路循环也会导致正确路径冲突在路由循环中这种情况很可能发生例如,路由器A认为数据报应 该发送到路由器B,而路由器B又认为该数据报应该发送会路由器A,这是数据报便处 于选路循环中生存时间字段长为 8位,所以因特网路径的最大长度为 28-1 即255跳大多数源主机 将该值初始化为更小的值(如128或64)将生存时间字段设置过小可能会使数据报不 能到达远程目的主机,而设置过大又可能导致处于无限循环的选路中Traceroute 利用生存时间字段来映射因特网路径上的中间节点为了让中间节点发送ICMP生存时间超时报文,从而暴露节点本身信息,可故意将生存时间字段设置为一个很 小的书具体来说,首先发送一个生存时间字段为1的数据报,收到ICMP超时报文,然后通过发送生存时间字段设置为2的数据报来重复上述过程,直到发送ICMP生存时 间超时报文的机器是目的主机自身为止。
因为在分组交换网络中每个数据报时独立的,所以由traceroute发送的每个数据报的 传送路径实际上互不相同认识到这一点很重要每个数据报沿着一条路经对中间节点 进行取样,因此traceroute可能暗示一条主机间并不存在的连接因特网路径经常变 动在不同的日子或一天的不同时间对同一个目的主机执行几次traceroute命令来探 寻这种变动都会得到不同的结果为了体现 Internet 路由的有限可见性,许多网络都维护了一个 traceroute 服务器 traceroute ° Traceroute服务器将显示出从本地网到一个特定目的地执行traceroute 的结果分布于全球的traceroute服务器的相关信息可在http://www.traceroute.org 上获得°四、实验步骤1、ICMP协议分析步骤1:分别在PC1和PC2上运行Wireshark,开始截获报文,为了只截获和实验内容有关的报文,将 Wireshark 的 Cap true Fil ter 设置为 “No Broadcas t and no Mul ticast” ;步骤2 :在PC1以PC2为目标主机,在命令行窗口执行Ping命令,要求ping通10次;Ping命令为: 将命令行窗口进行截图: 步骤3 :停止截获报文,分析截获的结果,回答下列问题:1) 将抓包结果进行截图(要求只显示ping的数据包):2) 截获的ICMP报文有几种类型?分别是:3)分析截获的ICMP报文,查看表5.1中要求的字段值,填入表中。
只需要填写6个报文信息 表5.1 ICMP报文分析报文号源IP目的IP报文格式类型代码标识序列号4)查看ping请求分组,ICMP的type是 和code是 并截图替换下图\-i FrariE C74 □□ n*i rci 7^ h>icj ^-apiur'Scriih Erharnflr irH -5rc! ^sust HfcC_ss:Ei5:al CQD=15 :r2! 3h:&5 salj-!* inren ifir proTGOl, 3FC 172.1&. Z9 LBO CL?2«1§» ZD.L®?,□ Incerner Conircl rtessjqB Prcrttsn Tiji-pci! B Cccrci ijilfigj FSi^jflsr) cmlPS 0"he'zksur: 口曲也5匚[correct]c Jit-n: 1F 1 Gii 2Secfjence rur^Er : CBJD4T a 心2 J口 DO D CiC-LCi jO?0 □cea limoAca dd tB BS 3b 0£> 15 tz =-c- b5aZ OB dO 4 5 >:■■] E 5i: 0 0 95 啊?Q 阳 01 C3 4] ac 10 1+ 64 ax Id5)查看相应得ICMP响应信息,ICMP的type是 和code是 并截图替换下图6)若要只显示ICMP的echo响应数据包,显示过滤器的规则为 并根据过滤规则进行抓包截图7)若要只显示ICMP的echo请求数据包,显示过滤器的规则为 并根据过滤规则进行抓包截图2. ICMP和Traceroute在Wireshark下,用Tracerou te程序俘获I CMP分组。
Tracerou te能够映射出通往特 定的因特网主机途径的所有中间主机源端发送一串I CMP分组到目的端发送的第一个分组时,TTL=1 ;发送第二个分组 时,TTL=2,依次类推路由器把经过它的每一个分组TTL字段值减1当一个分组到达 了路由器时的TTL字段为1时,路由器会发送一个ICMP错误分组(ICMP error packet) 给源端步骤4 :在PC1上运行Wireshark开始截获报文;步骤5 :在PC1上执行Tracert命令,如:Tracert ;将命令窗口进行截图c:: Er^Tr4.< iny wweifi lxi%.con .tn I1S1 Jkui n ■ hhm InuRi 34 Ihe-gNc 11t n#1叫1n#10.02.38.1zU ns<1 uCLns3<1 rw<1ClF151«.4.14.74242 Rt1 *22m-聊总IDl価Ct ns<1 T<1FIS16.4.14.^4h1 ni1 nx1F1I1 nsi ■>LnsIfS.M3 ・1S:=± ni2 BU±F1I1K.218A?・吕375 nsAns2«3.113.4-1.11.由■3* KF1I262.127-±tb_±l11H ns弭0ns召品:L・mn—12M ni汕BUF1I13HIKns121」于4・孔.£昭Vacccwtklece.C: - MldnUi Es-c图4 :命令提示窗口显示Traceroute程序结果(替换截图)设置显示过滤器为icmp,图5显示的是一个路由器返回的ICMP超时报告分组(ICMP error packet)。
注意到ICMP超时报告分组中包括的信息比Ping 。