实验二.利用Wireshark分析IP协议

实验二.利用Wireshark分析IP协议

• 实验目的

1. 掌握Wireshark软件简单的过滤语法
2. 掌握IP数据报的组成格式
3. 掌握IP分片的计算方法
4. 学会利用Wireshark抓包分析IP协议

• 实验环境

1. Wireshark软件
2. Windows 计算机

• 实验预备知识

1.IP数据报的格式

固定部分 ：20字节  首部：20字节

总长度=首部+数据部分20+1480

网络层总长度<=MTU 1500

 

1. 数据报分片基础知识

标识：同一数据报的分片标识一样，用于接收方重装分片

标志：DF（不能分片），DF=0时才允许分片

      MF（还有分片），MF=0时表示是最后一个分片

片偏移：该片从何处开始，以8个字节为偏移单位

3.举例：4000字节的数据经过以太网传输，应该分3片，为什么?

最大传输单元MTU为1500B，除去首部20B后每分片长度为1480B，则分为3片,长度分别为1480、1480、1040   

 1480+20  1480+20  1040+20

0  1480/8=185   (1480+1480)/2=370

每片总长度、标识、DF、MF、片偏移分别如下：

1500， 12345 0 1 0

1500， 12345 0 1 185

1060， 12345 1 0 370

标示字段是随意指定的，只要三段相同即可，便于接收端再组合起来

MF为1表示后面还有分片，为0表示是最后一个分片

DF为0表示该片还可以继续分片

片偏移是某片在原片中的相对位置。以8个字节为偏移单位，1480/8=185，故偏移量为185.

• 实验内容

1. 启动Wireshark抓包，分析其中一条包的IP层数据，截图并填下表

 

字段	值
版本	v4
首部长度	20
区分服务	0x00
总长度	40
标识	0x000
标志	0 1
片偏移	0
生存时间	64
协议	TCP(6)
首部校验和	0xfef9
源地址	192.168.0.104
目的地址	117.161.5.37

1. 设置捕获过滤为icmp，ping 同组成员IP -l 4000，将三条分片的数据包截图，并按下表填写

 

      ping 192.168.0.110 -s 4000 -c 3

①

字段	值
标识	0x1d96
标志（DF，MF）	01
片偏移	0

②

字段	值
标识	0x1d96
标志（DF，MF）	01
片偏移	185

③

字段	值
标识	0x1d96
标志（DF，MF）	00
片偏移	370

1. 先计算如果发送的数据包大小为3000字节，该如何分片

最大传输单元MTU为1500B，除去首部20B后每分片长度为1480B，则分为3片

 1480+20  1480+20  40+20

1. 设置捕获过滤为icmp，ping 同组成员IP -l 3000，抓包分析，将三条分片的数据包截图，并按上表填写

Mac 下-s -c 

 

 

①

字段	值
标识	0xce9a
标志（DF，MF）	01
片偏移	0

②

字段	值
标识	0xce9a
标志（DF，MF）	01
片偏移	185

 

③

字段	值
标识	0x1d96
标志（DF，MF）	00
片偏移	370

• 实验心得

第4.1题所选数据截图