實(shí)驗(yàn)課程名稱 實(shí)驗(yàn)項(xiàng)目名稱分析ICMP協(xié)議數(shù)據(jù)包格式年 級(jí)08 專 業(yè)電子信息科學(xué)與技術(shù) 學(xué)生姓名 學(xué) 號(hào) 理學(xué)院實(shí)驗(yàn)時(shí)間：2010年5月18日實(shí)驗(yàn)六分析ICMP協(xié)議數(shù)據(jù)包格式一、 實(shí)驗(yàn)?zāi)康恼莆誌CMP協(xié)議的作用和格式理解ICMP數(shù)據(jù)包首部各字段的含義理解ICMP協(xié)議與IP協(xié)議的封裝關(guān)系二、 實(shí)驗(yàn)原理ICMP協(xié)議是IP協(xié)議的補(bǔ)充，用于IP層的差錯(cuò)報(bào)告、擁塞控制、路徑控制以及路由器或主機(jī)信息的獲取。ICMP與IP協(xié)議位于同一個(gè)層次（IP層）；但I(xiàn)CMP報(bào)文是封裝在IP數(shù)據(jù)報(bào)的數(shù)據(jù)部分進(jìn)行傳輸?shù)?。ICMP報(bào)文由首部和數(shù)據(jù)段組成。首部為定長(zhǎng)的8個(gè)字節(jié)，前4個(gè)字節(jié)是通用部分，后4個(gè)字節(jié)隨報(bào)文類型不同有所差異。ICMP報(bào)文的一般格式如圖所示。0 8 16 31”類型"代碼"校驗(yàn)和"首部其它部分"數(shù)據(jù)"ICMP報(bào)文格式"2、ICMP報(bào)文雖然細(xì)分為很多類，但總的來看可以分為如圖所示的三大類：差錯(cuò)報(bào)告、控制報(bào)文和請(qǐng)求應(yīng)答報(bào)文。3、數(shù)據(jù)包超時(shí)報(bào)告在數(shù)據(jù)包的傳輸過程中，首部的TTL值用于防止數(shù)據(jù)報(bào)因路由表的問題而無(wú)休止的在網(wǎng)絡(luò)中傳輸。當(dāng)TTL值為0時(shí)，路由器會(huì)丟棄當(dāng)前的數(shù)據(jù)報(bào)，并產(chǎn)生一個(gè)ICMP數(shù)據(jù)報(bào)超時(shí)報(bào)告。另外在信宿進(jìn)行分片重組時(shí)會(huì)啟動(dòng)重組定時(shí)器，一旦重組定時(shí)器超時(shí)，信宿就會(huì)丟棄當(dāng)前正在重組的數(shù)據(jù)報(bào)，然后產(chǎn)生一個(gè)ICMP數(shù)據(jù)報(bào)超時(shí)報(bào)告，并向信源發(fā)送該超時(shí)報(bào)告。數(shù)據(jù)報(bào)超時(shí)報(bào)告的類型和代碼的含義如表所示。類型值11表示是數(shù)據(jù)超時(shí)報(bào)文，代碼“0”表示TTL超時(shí)，代碼“1”表示分片重組超時(shí)。4、Tracert程序的實(shí)現(xiàn)方法Tracert程序的設(shè)計(jì)是利用ICMP即IPheader的TTL（TimetoLive）字段。首先，Tracert送出一個(gè)TTL是1的IPdatagram（其實(shí)，每次送出的為3個(gè)40字節(jié)的包，包括源地址，目的地址和包發(fā)出的時(shí)間標(biāo)簽）到達(dá)目的地，當(dāng)路徑上的第一個(gè)路由器（router）收到這個(gè)datagram時(shí)，它將TTL減1。此時(shí)，TTL變?yōu)?了，所以該路由器會(huì)將此datagram丟棄，并送回一個(gè)［ICMPtimeexceeded］消息（包括發(fā)IP包的源地址，IP包的所有內(nèi)容及路由器的IP地址），Tracert收到這個(gè)消息后，便知道這個(gè)路由器存在于這個(gè)路徑上，接著Tracert再發(fā)送出另一個(gè)TTL是2的datagram，發(fā)現(xiàn)第二個(gè)路由器 Tracert每次將送出的datagram的TTL加1來發(fā)現(xiàn)另一個(gè)路由器，這個(gè)重復(fù)的動(dòng)作一直持續(xù)到某個(gè)datagram抵達(dá)目的地。當(dāng)datagram到達(dá)目的地后，該主機(jī)并不會(huì)送回ICMPtimeexceeded消息，因?yàn)樗咽悄康牡亓?。三、?shí)驗(yàn)內(nèi)容及步驟1、打開網(wǎng)絡(luò)協(xié)議分析軟件，選擇菜單命令“Capture” “Interfaces…”子菜單項(xiàng)。彈出“Ethereal：CaptureInterfaces”對(duì)話框。單擊“Prepare”按鈕，彈出“Ethereal:CaptureOptions”對(duì)話框。在“Capturefilter”字段填入：“icmp”，單擊“Start”按鈕開始數(shù)據(jù)包的捕獲：類型報(bào)文代碼描述11超時(shí)0路由器TTL超時(shí)1分片重組超時(shí)

2、打開“命令提示符”窗口，使用“Ping”命令測(cè)試本機(jī)與網(wǎng)關(guān)的連通性:C：\>ping192.168.1.1Ringing192.168.1.1with32bytesofdata：■Replyfrom■Replyfrom■Replyfrom■Replyfrom192.168.1.1：■Replyfrom■Replyfrom■Replyfrom■Replyfrom192.168.1.1：192.168.1.1：192.168.1.1：192.168.1.1：bytes=32time=3msTTL=64bytes=32time=liiisTTL=64bytes=32time=4msTTL=64bytes=32t TTL=64^ingstatisticsfor192.188.1.1：Packets:Sent=4,Receiued=4,Lost=0<0xloss>,Approximateroundtriptlinesinmilli-seconds:Minimum=0ms,Slaximum=4ms,Average=2ms分析:在使用“Ping”命令測(cè)試本機(jī)與網(wǎng)關(guān)的連通性時(shí)，本地計(jì)算機(jī)向網(wǎng)關(guān)發(fā)送4個(gè)ICMP數(shù)據(jù)包，網(wǎng)關(guān)也會(huì)向本地計(jì)算機(jī)發(fā)送四個(gè)應(yīng)答報(bào)文。因此，這八個(gè)報(bào)文都將被網(wǎng)絡(luò)協(xié)議分析軟件捕獲。由上面的結(jié)果可知，本計(jì)算機(jī)與網(wǎng)關(guān)是連通著的。No.* Time Source Iiestination ProtocolInfoNo.* Time Source Iiestination ProtocolInfo且捕獲到的八個(gè)網(wǎng)絡(luò)分析軟件的報(bào)文如下：00000010002000300040oo1sff

oooFaaM6861100000010002000300040oo1sff

oooFaaM686111o

oo

os

eoo

p-oo96boe

o62d6律b466o_d

o65Cor肝68「...」2671167-5567-66670.000000 192.168,1.177 192.168.1.1 ICMPEchoCpinq')request0.001898 192.168.1.1 192.168.1.177 ICMP Echo (ping) reply0.999005 192.168.1.177 192.168.1.1 ICMP Echo (ping) request1.000271 192.168.1.1 192.168.1.177 ICMP Echo (ping) reply1.999132 192.168.1.177 192.168.1.1 ICMP Echo (ping) request2.003283 192.168.1.1 192.168.1.177 ICMP Echo (ping) reply3.000270 192.168.1.177 192.168.1.1 ICMP Echo (ping) request3.001207 192.168.1.1 192.168.1.177 ICMP Echo (ping) replyEFrame1(74bytesonwirm,74bytescapturmd)EEthernetII,Src:Foxconn_9c:c4:98(00:15:58:9c:c4:98),Dst:00:ld:Of:69:8e:(00:ld:Of:69:8e:6e)SinternetProtocol,Src:192.168.1.177(192.168.1.177),Dst:192.168.1.1(192.168.1.1)EiinternmtcontrolMessageProtocolType:8(Echo(ping)request)code:0匚hecksum:0x4a5c[cor「euz]identif1er:0x0200sequencenumber:256(0x0100)DataQ32bytes)3、單擊“Stop”按鈕，中斷網(wǎng)絡(luò)協(xié)議分析軟件的捕獲進(jìn)程，主界面顯示捕獲到的ICMP數(shù)據(jù)包。觀察協(xié)議樹區(qū)中ICMP數(shù)據(jù)包結(jié)構(gòu)，是否符合ICMP請(qǐng)求與應(yīng)答的報(bào)文格式：

分析：經(jīng)過對(duì)比ICMP的報(bào)文格式，得知在此ICMP數(shù)據(jù)包中，類型Type:11(rlme-ta-liveexceeded)為十六進(jìn)制0b，代碼Co[Je:CTimet&1iveewteededInt「mn才t為00,校驗(yàn)和■■■■ ■-，: ■--■■■■'為f4ff；而且在這個(gè)數(shù)據(jù)包中，還包括有另外一個(gè)ICMPEinternet亡口nirolMessageProrocolType:8(ecNs retjue$t)CadeiQGrbecksun;O?(asf@[cerrect]Identifier:0x0300數(shù)據(jù)包 -■-■■■■：■■- ■■''，但這整個(gè)ICMP數(shù)據(jù)包是符合了ICMP請(qǐng)求與應(yīng)答的報(bào)文格式的！4、重新開始網(wǎng)絡(luò)數(shù)據(jù)包捕獲進(jìn)程，在“命令提示符”窗口中使用"Tracert”命令，停止網(wǎng)絡(luò)數(shù)據(jù)報(bào)捕獲，分析捕獲的數(shù)據(jù)包：5、重新開始網(wǎng)絡(luò)數(shù)據(jù)包捕獲進(jìn)程，在“命令提示符”窗口中使用'Ping127.0.0.1”命令，停止網(wǎng)絡(luò)數(shù)據(jù)包捕獲進(jìn)程，分析捕獲的數(shù)據(jù)包：Pinging127.8.8.1uith32bytesofEReplyPeplyPeplyfReplyfromfromfromfrom127.0.0.1：127.0.0.1：EReplyPeplyPeplyfReplyfromfromfromfrom127.0.0.1：127.0.0.1：127.0.0.1：127.0.0.1：bytes=32bytes=32bytes=32bytes=32time<lmstime<lmstime<lmstime<lmsTTL=128TTL=128TTL=128TTL=128Pingstatisticsfor127.B.8.1:Packets:Sent=4,Receiued=4,Lost=3<0>：loss>,Jlppr^ximateroundtriptimesinmilli-seconds:Minimum=0ms,Maxlnum=Snts,Auerajje=3ms分析：沒有結(jié)果，沒有捕獲到ICMP數(shù)據(jù)包。產(chǎn)生的原因可能是本計(jì)算機(jī)里安裝的或是自帶的某些防火墻的緣故，也可能是由于我們學(xué)校使用的校園網(wǎng)的緣故。但是，本計(jì)算機(jī)的TCP/IP是正常工作的，只是不能從這個(gè)命令中看到杰倫罷了。6、重新開始網(wǎng)絡(luò)數(shù)據(jù)包捕獲進(jìn)程，在“命令提示符”窗口中使用'Ping”命令，參數(shù)為本機(jī)名或本機(jī)IP地址，停止網(wǎng)絡(luò)數(shù)據(jù)包捕獲，分析捕獲的數(shù)據(jù)包：t：\>ping192.16B-1.177Pinging192.1-177uith32bytesofdata：from192..168..i..177：bytes=32time<lmsTTL=12Sfrom192..168..i..177：bytes=32time<lmsTTL=12Sfrom192..168..1..177：bytes=32time<lmsTTL=126from192..168..1..177：bytes=32time<lmsTTL=126jReplyJteplyTleplyTleplyPingstatri.sticsfor192-16S.1-177Packets：Sent=4,Receiued=4,Los七=0<0Xloss>,Approxiniateroundtriptimesinmilli-seconds.：Minimum=0ms,Maximuni=0ms,Auerage=0ms分析