《利用Wireshark分析ICMP和DHCP协议》由会员分享,可在线阅读,更多相关《利用Wireshark分析ICMP和DHCP协议(11页珍藏版)》请在金锄头文库上搜索。
1、实验四 利用Wireshark分析ICMP和DHCP协议一、实验目的分析ICMP和DHCP协议二、实验环境与因特网连接的计算机,操作系统为Windows,安装有Wireshark. IE等软件。三、实验步骤Ping和traceroute命令都依赖于ICMPoICMP可以看作是IP协议的伴随协议。ICMP 报文被封装在IP数据报发送。一些ICMP报文会请求信息。例如:在ping中,一个ICMP冋应请求报文被发送给 远程主机。如果对方主机存在,期望它们返回一个ICMPlHl应应答报文。一些ICMP报文在网络层发生错误时发送。例如,有一种ICMP报文类型表示目的 不可达。造成不可达的原因很多,ICM
2、P报文试图确定这一问题。例如,可能是主机关 及或整个网络连接断开。有时候,主机本身可能没有问题,但不能发送数据报。例如IP首部有个协议字段, 它指明了什么协议应该处理IP数据报中的数据部分。IANA公布了代表协议的数字的列 表。例如,如果该字段是6,代表TCP报文段,IP层就会把数据传给TCP层进行处理; 如果该字段是1,则代表ICMP报文,IP层会将该数据传给ICMP处理。如果操作系统 不支持到达数据报中协议字段的协议号,它将返冋一个指明“协议不可达”的ICMP报 文。IANA同样公布了 ICMP报文类型的清单。Traceroute是基丁 ICMP的灵活用法和IP首部的生存时间字段的。发送数
3、据报时生 存时间字段被初始化为能够穿越网络的最大跳数。每经过一个中间节点,该数字减1。 当该字段为0吋,保存该数据报的机器将不再转发它。相反,它将向源IP地址发送一 个ICMP生存吋间超吋报文。生存时间字段用于避免数据报载网络上无休止地传输下去。数据报的发送路径是由 中间路由器决定的。通过与其他路由器交换信息,路由器决定数据报的下一条路经。最 好的“下一跳”经常由于网络环境的变化而动态改变。这可能导致路由器形成选路循环 也会导致正确路径冲突。在路由循环中这种情况很可能发生。例如,路由器A认为数据 报应该发送到路由器B,而路由器B又认为该数据报应该发送会路由器A,这是数据报 便处于选路循环中。生
4、存时间字段长为8位,所以因特网路径的最大长度为28 -1即255跳。大多数源 主机将该值初始化为更小的值(如128或64)。将生存时间字段设置过小可能会使数据 报不能到达远程目的主机,而设置过大又可能导致处于无限循环的选路中。Traceroute利用生存时间字段來映射因特网路径上的中间节点。为了让中间节点发 送ICMP生存时间超时报文,从而暴霜节点本身信息,可故意将生存时间字段设置为一 个很小的书。具体来说,首先发送一个生存时间字段为1的数据报,收到ICMP超时报 文,然后通过发送生存时间字段设置为2的数据报来重复上述过程,直到发送ICMP生 存时间超时报文的机器是目的主机自身为止。因为在分组
5、交换网络中每个数据报时独立的,所以由traceroute发送的每个数据报 的传送路径实际上互不相同。认识到这一点很重要。每个数据报沿着一条路经对中间节 点进行取样,因此traceroute可能暗示一条主机间并不存在的连接。因特网路径经常变 动。在不同的日子或一天的不同时间对同一个目的主机执行儿次traceroute命令来探寻 这种变动都会得到不同的结果。为了体现Internet路由的有限可见性,许多网络都维护了一个traceroute服务器 traceroute Traceroute服务器将显示出从本地网到一个特定0的地执彳亍traceroute的结果。 分布于全球的traceroute服务器
6、的相关信息可在http:/www.traceroute.org上获得。1、ping 和 ICMP利用Ping程序产生ICMP分组。Ping向因特网中的某个特定主机发送特殊的探测 报文并等待表明主机在线的回复。具体做法:(1) 打开 Windows 命令提示符窗口( Windows Command Prompt)。(2) 启动Wireshark分组嗅探器,在过滤显示窗口 (filter display window)中输入 icmp,开始Wireshark分组俘获。(3) 输入aping -n 10 hostname 。英中10指明应返回10条ping信息。(4) 当ping程序终止时,停止Wi
7、reshark分组俘获。实验结束后会出现如图所示的命令窗口:c C:WINDOWSsystem32cmd.exewith 32 bytes of data:D:Docunents and Settingswserping -n 10 www.ust.hkPinging wv/w.ust .hk 143.89.14.343peply Pepiy Peply geply pepiy Pepiy peply eply Reply Replyf ron f ron f ron f ron f ron f 1*OR f ron f ron f ron f ron143.89.14.34: bytes=3
8、2 143.89.14.34: bytes=32 143.89.1434: bytes=32 143.89.14.34: bytes=32 143.89.14.34: bytes-32 143.89.14.34: bytes=32 143.89.14.34: bytes=32 143.89.1434: bytes=32 143.89.14.34: bytes=32 143.89.14.34: bytes=32time=168ns tine=175ns tine=180ns time=166ns tinea173ns time=185ns time=194ns tine=187ns time=1
9、82ns tine=190nsTTL=240TTL=240TTL=240TTL=240TTL-240TTL=240TTL=240TTL=240TTL=240TTL=240& 13 xS春殳WCUT8 Q 415 &9 514 2 弓二43不IZ7T557Tmn:旦Qxccr.Cdr Appiy6 :L 4 316847 200652B8 23小巧9 B00635610 3.32112111 00639U12 4.54550113 5.006454 1-1 53 6、43 口15 6. 02211616 6 4QJ4/D17 702221518 7.42321419 8022 24 9 70 .
10、42(71 R21 9.02225422 9dS丄ixl-3匕9 二34 192丄63JL LOL 1-43.89.S4.34 192:16呂丄10X 143.5.14.3-5 19? 丄 6U 丄.10X 143.89.14.19N 丄 68 1 101 l- 3二43攵 1Q2 169.1.101 14 3匕91434192 JL63 1. 1011-13.89.14.34 192.丄丄0九Na二J.茲1921691101 JLmo. M192丄6区丄XOX 12 . RO. 14 卫 192 :L6Y 1 101 14 3. 89.14. ?d 1921GB1101 14 3 B9:L“
11、 MS14 J U9.ZL4. 12丄C8丄.101 143.09.14.34 192丄OB丄XOX 143.8Q.14.24 192 :L6Y 1 101 143. 89.14.54 192 1G8 1 10: 143. 89.24. 1C%?.16R.1.101 143. B9.14.34 1M2;LbS人LUL replyCr- nng) 厂aqiio/tuo Cpi ng; rep ly nc* u (- *f 9)广冬ques t FCho (.pi ng) reply LCro Cp-t rqp roquosT cba (pi ng) rply E fply = reply Cch
12、a (pi ng) raquast 二co Cpt rg)reply = equs t -c-o 6?q、eply Zc*-o p*i nq; request Cl图1:命令窗口停止分组俘获后,会出现如图2所示的界面:Icnwi-etlipreal-irat e1 - Wieestkwkf rrome 3 (74 bytes on irc 74 b/tes capturedw Fthf r IT, W oellcrrv 4f :3G: ?3 (00: OR: 74:4:16 :73)t Dvr : ; “ ck rtd :Af : 71 (D0:0r.:?5 : dA :Af :71? S T
13、nt ArnM Protoral . *%rc : : O? .HkR.I.IM 1 Q7 .ICR.l lCn. Dst :Id.PQ (14 RC. 14 . 4)version: 4Holder 1 ength: 20 by:80 Oiffcrcnti at cd Services ricid: DxDO (DSCP 0x00: Default: DZN: JxOO)Total Length: 60TdnrF rAtnn: Oxrfld (53757)田 Plags:0*00Er旳morTT off : OTimo to 11 vq: X28Protocol : ICI4P (0x01)
14、m Hcoder check sun: 0x093b Ccorrectsource: 19?丄68.1.101(1921681101)Destination: 143.89.14.S4 (145.89.14.54)ea【nrafriQT u nrr仃i “亠毛只尸 二厂门mu门图2:停ll:分组俘获Ju Wireshark的界而图3是在分组内容窗口中显示了ICMP协议的详细信息。观察这个ICMP分组,可以看出,此ICMP分组的Type 8 and Code 0即所谓的ICMP “echo request分组。Or Edit Zrw 5n Qr卜 w ptiyrn 3扌Vies tinpe? El *S冋中中0奋业|曰3电Q Q今 pib 比 n, Clear Apply*Fltei: i HD3图3: ICMP协议详细信息在实验报告中回答卜面问题:(1) 你所在主机的IP地址是多少?目的主机的IP地址是多少?(2) 查看ping请求分组,ICMP的type和code是多少?(3) 查看相应得ICMP响应信息,ICMP的type和code乂是多少?2. 1CMP和Traceroute在Wireshark卜,用Traceroute程序俘获I
