计算机网络　实验报告

年级：                      姓名：　                    学号：     

实验日期：　　　               　        

实验名称：　　　利用WireShark分析IP协议　 

一、实验目的

1. 利用wireshark分析ip协议，学习了解ip数据包。

2. 学习ip报文段的各领域。

二、实验器材

1.       接入Internet的计算机主机；

2.       抓包工具wireshark和截图工具snagit。

三、实验内容

1. Select the first ICMP Echo Request message sent by your computer, and expand

the Internet Protocol part of the packet in the packet details window. What is the IP address of your computer?

实验结果如下：

2. Within the IP packet header, what is the value in the upper layer protocol field?

答：the upper layer protocol field  is 1

实验结果如下：

3. How many bytes are in the IP header? How many bytes are in the payload of the

IP datagram? Explain how you determined the number of payload bytes.

答：56-20=36就是有效载荷的长度，即此IP数据报的有效载荷为36字节

实验结果如下：

4. Has this IP datagram been fragmented? Explain how you determined whether or

not the datagram has been fragmented.

答：没有分片，原因：flag 和 offset都为0；

实验结果如下如：

5. Which fields in the IP datagram always change from one datagram to the next

within this series of ICMP messages sent by your computer?

答：分析结果之TTL,首部检验和，标识等一直在不断地变化。

6. Which fields stay constant? Which of the fields must stay constant? Which fields

must change? Why?

答：分析可知：

stay constant：版本号 首部长度，服务类型，标志，偏移，上层协议，目的和源IP地址

must stay constant：必须保持不变的是：版本号 源和目的IP地址

must change：标识，首部检验和

7. Describe the pattern you see in the values in the Identification field of the IP

Datagram

答：the pattern is：每一个IP数据报头部的标识号域都不一样，每次加一

8. What is the value in the Identification field and the TTL field?

答：      the value in the Identification field ：25603

the TTL field：254

9. Do these values remain unchanged for all of the ICMP TTL-exceeded replies sent

to your computer by the nearest (first hop) router? Why?

答：每一个固定的路由器都有一个固定的TTL值，所以最近的那个路由器回复的所有的ICMP TTL-exceeded 的TTL的值都不会改变。

11. Print out the first fragment of the fragmented IP datagram. What information in

the IP header indicates that the datagram been fragmented? What information in

the IP header indicates whether this is the first fragment versus a latter fragment?

How long is this IP datagram?

答：如截图，数据报大小改为2000后，开始分片。

12. Print out the second fragment of the fragmented IP datagram. What information in

the IP header indicates that this is not the first datagram fragment? Are the more

fragments? How can you tell?

答：由以上接入可知：这个IP数据报的长度为1500+520-20=2000bytes，从 这片的片内偏移量不为零可以看出这不是第一片没有更多的分片，因为这片的标志位已经是0。

13. What fields change in the IP header between the first and second fragment?

答：改变的头部字段有：Total Length ，Flags，Fragment offset，Head checksum等

14. How many fragments were created from the original datagram?

答：分析可知，3 fragments were created from the original datagram。

15. What fields change in the IP header among the fragments?

答: Total Length ，Flags，Fragment offset，Head checksum等为改变的头部字段

四、实验总结

              1、通过实验，详细分析了ip协议，对ip协议有了更深的理解。

              2、详细分析了ip数据报。

第二篇：实验3 使用Wireshark分析IP协议

实验三 使用Wireshark分析IP协议

一、实验目的

1、分析IP协议

2、分析IP数据报分片

二、实验环境

与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤

IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址，然后被发送到网络中。如果源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机器将接收被传送的数据报，并且将其发送到距离目的端最近的下一个路由器。这个过程就是分组交换。

IP允许数据报从源端途经不同的网络到达目的端。每个网络有它自己的规则和协定。IP能够使数据报适应于其途径的每个网络。例如，每个网络规定的最大传输单元各有不同。IP允许将数据报分片并在目的端重组来满足不同网络的规定。

在4_1_JoiningTheInternet下打开已俘获的分组，分组名为：dhcp_isolated.cap。感兴趣的同学可以在有动态分配IP的实验环境下俘获此分组，此分组具体俘获步骤如下：

1、使用DHCP获取IP地址

（1）打开命令窗口,启动Wireshark。

（2）输入“ipconfig  /release”。这条命令会释放主机目前的IP地址，此时，主机IP地址会变为0.0.0.0

（3）然后输入“ipconfig  /renew”命令。这条命令让主机获得一个网络配置，包括新的IP地址。

（4）等待，直到“ipconfig  /renew”终止。然后再次输入“ipconfig  /renew” 命令。

（5）当第二个命令“ipconfig  /renew” 终止时，输入命令“ipconfig /release” 释放原来的已经分配的IP地址

（6）停止分组俘获。如图1所示：

                         图1：Wireshark俘获的分组

下面，我们对此分组进行分析：

IPconfig 命令被用于显示机器的IP地址及修改IP地址的配置。当输入命ipconfig /release命令时，用来释放机器的当前IP地址。释放之后，该机没有有效的IP地址并在分组2中使用地址0.0.0.0作为源地址。

分组2是一个DHCP Discover(发现)报文，如图2所示。当一台没有IP地址的计算机申请IP地址时将发送该报文。DHCP Discovery报文被发送给特殊的广播地址：255.255.255.255，该地址将到达某个限定广播范围内所有在线的主机。理论上，255.255.255.255能够广播到整个因特网上，但实际上并不能实现，因为路由器为了阻止大量的请求淹没因特网，不会将这样的广播发送到本地网之外。

在DHCP Discover报文中，客户端包括自身的信息。特别是，它提供了自己的主机名(MATTHEWS)和其以太网接口的物理地址(00:07:e9:53:87:d9)。这些信息都被DHCP用来标识一个已知的客户端。DHCP服务器可以使用这些信息实现一系列的策略，比如，分配与上次相同的IP地址，分配一个上次不同的IP地址，或要求客户端注册其物理层地址来获取IP地址。

在DHCP Discover报文中，客户端还详细列出了它希望从DHCP服务器接收到的信息。在Parameter Request List中包含了除客户端希望得到的本地网络的IP地址之外的其他数据项。这些数据项中许多都是一台即将连入因特网的计算机所需要的数据。例如，客户端必须知道的本地路由器的标识。任何目的地址不在本地网的数据报都将发送到这台路由器上。也就是说，这是发向外网的数据报在通向目的端的路径上遇到的第一台中间路由器。

                     图2：DHCP Discovery

客户端必须知道自己的子网掩码。子网掩码是一个32位的数，用来与IP地址进行“按

                        图2：Parameter Request List

位逻辑与运算”从而得出网络地址。所有可以直接通信而不需要路由器参与的机器都有相同的网络地址。因此，子网掩码用来决定数据报是发送到本地路由器还是直接发送到本地目的主机。

客户端还必须知道它们的域名和它们在本地域名服务器上的标识。域名是一个可读的网络名。

IP地址为192.168.0.1的DHCP服务器回复了一个DHCP OFFER报文。该报文也广播到255.255.255.255，因为尽管客户端还不知道自己的IP地址，但它将接收到发送到广播地址的报文。这个报文中包含了客户端请求的信息，包括IP地址、本地路由器、子网掩码、域名和本地域名服务器。

在分组5中，客户端通过发送DHCP Request（请求）报文表明自己接收到的IP地址。最后，在分组6中DHCP服务器确认请求的地址并结束对话。此后，在分组7中客户端开始使用它的新的IP地址作为源地址。

在分组3和分组7到12的地址ARP协议引起了我们的注意。在分组3中，DHCP服务器询问是否有其它主机使用IP地址192.168.0.100（该请求被发送到广播地址）。这就允许DHCP服务器在分配IP之前再次确认没有其它主机使用该IP地址。在获取其IP地址之后，客户端会发送3个报文询问其他主机是否有与自己相同的IP地址。前4个ARP请求都没有回应。在分组10—13中，DHCP服务器再次询问哪个主机拥有IP地址192.168.0.100，客户端两次回答它占有该IP同时提供了自己的以太网地址。

通过DHCP分配的IP地址有特定的租用时间。为了保持对某个IP的租用，客户端必须更新租用期。当输入第二个命令ipconfig /renew后，在分组14和15中就会看到更新租用期的过程。DHCP Request请求更新租用期。DHCP ACK包括租用期的长度。如果在租用期到期之前没有DHCP Request发送，DHCP服务器有权将该IP地址重新分配给其他主机。

最后，在分组16时输入命令ipconfig /release后的结果。在DHCP服务器接收到这个报文后，客户停止对该IP的使用。如有需要DHCP服务器有权重新对IP地址进行分配。

2、分析IPv4中的分片

在第二个实验中，我们将考察IP数据报首部。俘获此分组的步骤如下：

（1）      启动Wireshark，开始分组俘获（“Capture”-----“interface…”----“start”）。

（2）      启动pingplotter（pingplotter 的下载地址为www.pingplotter.com）,在“Address to trace:”下面的输入框里输入目的地址，选择菜单栏“Edit”---“Options”---“Packet”,在“Packet size(in bytes defaults=56):”

右边输入IP数据报大小：5000，按下“OK”。最后按下按钮“Trace”,你将会看到pingplotter窗口显示如下内容，如图3所示：

                              图3：ping plotter

（3）      停止Wireshark。设置过滤方式为：IP，在Wireshark窗口中将会看到如下情形,如图4所示。

在分组俘获中，你应该可以看到一系列你自己电脑发送的“ICMP Echo Request”和由中间路由器返回到你电脑的“ICMP TTL-exceeded messages。

              　　　　    图4：用Ｗireshark 所俘获的分组

（4）      如果你无法得到上图的分组信息，也可使用已经下载的IP分片分组文件：fragment_5000_isolated.cap。然后在Wireshark中，选择菜单栏“File”---“Open”导入上述文件进行学习。

下面，我们来分析fragment_5000_isolated.cap中的具体分组：

IP层位于传输层和链路层之间。在fragment_5000_isolated.cap中传输层协议是UDP，链路层协议是以太网。发送两个UDP数据报，每个包含5000个字节的数据部分和8字节的UDP首部。在分组1到4和分组5到8分别代表了先后发送的两个UDP数据报。

当IP层接收到5008字节的UDP数据报时，它的工作是将其作为IP数据报在以太网传输。以太网要求一次传输的长度不大于1514个字节，其中有14字节是以太网帧首部。

IP被迫将UDP数据报作为多个分片发送。每个分片必须包含以太网帧首部、IP数据报首部。每个分片还会包含UDP数据报的有效负载（首部和数据）的一部分。

IP将原始数据报的前1480个字节（含1472个字节的数据和含8个字节的UDP首部）放在第一个分片中。后面两个分片每个均含1480个字节的数据，最后一个分片中包含的数据为568个字节）。

为了让接收段重组原始数据，IP使用首部的特殊字段对分片进行了编号。标识字段用于将所有的分片连接在一起。分组1到4含有相同的标识号0xfd2b,分组5到8的标识号是0xfd2c.片漂移量指明了分组中数据的第一个字节在UDP数据报中的偏移量。例如分组1和分组5的偏移量都是0，因为它们都是第一个分片。

最后在标识字段中有一位用来指明这个分片后是否还有分片。分组1到分组3和分组5到分组7均对该位置进行了置位。分组4和分组8由于是最后一个分片而没有对该位置位。

四、实验报告内容

打开文件dhcp_isolated.cap、fragment_5000_isolated.cap，回答以下问题：

1、DHCP服务器广播的本地路由器或默认网关的IP地址是多少？

2、在dhcp_isolated.cap中，由DHCP服务器分配的域名是多少？

3、在fragment_5000_isolated.cap中，我们看到通过UDP数据报发送的5000字节被分成了多少分片？在网络中，一次能传输且不需要分片的最大数据单元有多大？