实验二.利用Wireshark分析IP协议
- 实验目的
- 掌握Wireshark软件简单的过滤语法
- 掌握IP数据报的组成格式
- 掌握IP分片的计算方法
- 学会利用Wireshark抓包分析IP协议
- 实验环境
- Wireshark软件
- Windows 计算机
- 实验预备知识
1.IP数据报的格式
固定部分 :20字节 首部:20字节
总长度=首部+数据部分20+1480
网络层总长度<=MTU 1500
- 数据报分片基础知识
标识:同一数据报的分片标识一样,用于接收方重装分片
标志:DF(不能分片),DF=0时才允许分片
MF(还有分片),MF=0时表示是最后一个分片
片偏移:该片从何处开始,以8个字节为偏移单位
3.举例:4000字节的数据经过以太网传输,应该分3片,为什么?
最大传输单元MTU为1500B,除去首部20B后每分片长度为1480B,则分为3片,长度分别为1480、1480、1040
1480+20 1480+20 1040+20
0 1480/8=185 (1480+1480)/2=370
每片总长度、标识、DF、MF、片偏移分别如下:
1500, 12345 0 1 0
1500, 12345 0 1 185
1060, 12345 1 0 370
标示字段是随意指定的,只要三段相同即可,便于接收端再组合起来
MF为1表示后面还有分片,为0表示是最后一个分片
DF为0表示该片还可以继续分片
片偏移是某片在原片中的相对位置。以8个字节为偏移单位,1480/8=185,故偏移量为185.
- 实验内容
- 启动Wireshark抓包,分析其中一条包的IP层数据,截图并填下表
字段 | 值 |
版本 | v4 |
首部长度 | 20 |
区分服务 | 0x00 |
总长度 | 40 |
标识 | 0x000 |
标志 | 0 1 |
片偏移 | 0 |
生存时间 | 64 |
协议 | TCP(6) |
首部校验和 | 0xfef9 |
源地址 | 192.168.0.104 |
目的地址 | 117.161.5.37 |
- 设置捕获过滤为icmp,ping 同组成员IP -l 4000,将三条分片的数据包截图,并按下表填写
ping 192.168.0.110 -s 4000 -c 3
①
字段 | 值 |
标识 | 0x1d96 |
标志(DF,MF) | 01 |
片偏移 | 0 |
②
字段 | 值 |
标识 | 0x1d96 |
标志(DF,MF) | 01 |
片偏移 | 185 |
③
字段 | 值 |
标识 | 0x1d96 |
标志(DF,MF) | 00 |
片偏移 | 370 |
- 先计算如果发送的数据包大小为3000字节,该如何分片
最大传输单元MTU为1500B,除去首部20B后每分片长度为1480B,则分为3片
1480+20 1480+20 40+20
- 设置捕获过滤为icmp,ping 同组成员IP -l 3000,抓包分析,将三条分片的数据包截图,并按上表填写
Mac 下-s -c
①
字段 | 值 |
标识 | 0xce9a |
标志(DF,MF) | 01 |
片偏移 | 0 |
②
字段 | 值 |
标识 | 0xce9a |
标志(DF,MF) | 01 |
片偏移 | 185 |
③
字段 | 值 |
标识 | 0x1d96 |
标志(DF,MF) | 00 |
片偏移 | 370 |
- 实验心得
第4.1题所选数据截图
