实验二.利用Wireshark分析IP协议

实验二.利用Wireshark分析IP协议

  • 实验目的
  1. 掌握Wireshark软件简单的过滤语法
  2. 掌握IP数据报的组成格式
  3. 掌握IP分片的计算方法
  4. 学会利用Wireshark抓包分析IP协议
  • 实验环境
  1. Wireshark软件
  2. Windows 计算机
  • 实验预备知识

1.IP数据报的格式

实验二.利用Wireshark分析IP协议_第1张图片

固定部分 :20字节  首部:20字节

总长度=首部+数据部分20+1480

网络层总长度<=MTU 1500

 

  1. 数据报分片基础知识

标识:同一数据报的分片标识一样,用于接收方重装分片

标志:DF(不能分片),DF=0时才允许分片

      MF(还有分片),MF=0时表示是最后一个分片

片偏移:该片从何处开始,以8个字节为偏移单位

3.举例:4000字节的数据经过以太网传输,应该分3片,为什么?

最大传输单元MTU为1500B,除去首部20B后每分片长度为1480B,则分为3片,长度分别为1480、1480、1040   

 1480+20  1480+20  1040+20

0  1480/8=185   (1480+1480)/2=370

每片总长度、标识、DF、MF、片偏移分别如下:

1500, 12345 0 1 0

1500, 12345 0 1 185

1060, 12345 1 0 370

标示字段是随意指定的,只要三段相同即可,便于接收端再组合起来

MF为1表示后面还有分片,为0表示是最后一个分片

DF为0表示该片还可以继续分片

片偏移是某片在原片中的相对位置。以8个字节为偏移单位,1480/8=185,故偏移量为185.

  • 实验内容
  1. 启动Wireshark抓包,分析其中一条包的IP层数据,截图并填下表

 

字段

版本

v4

首部长度

20

区分服务

0x00

总长度

40

标识

0x000

标志

0 1

片偏移

0

生存时间

64

协议

TCP(6)

首部校验和

0xfef9

源地址

192.168.0.104

目的地址

117.161.5.37

  1. 设置捕获过滤为icmp,ping 同组成员IP -l 4000,将三条分片的数据包截图,并按下表填写
 

      ping 192.168.0.110 -s 4000 -c 3

字段

标识

0x1d96

标志(DF,MF)

01

片偏移

0

字段

标识

0x1d96

标志(DF,MF)

01

片偏移

185

字段

标识

0x1d96

标志(DF,MF)

00

片偏移

370

  1. 先计算如果发送的数据包大小为3000字节,该如何分片

最大传输单元MTU为1500B,除去首部20B后每分片长度为1480B,则分为3片

 1480+20  1480+20  40+20

  1. 设置捕获过滤为icmp,ping 同组成员IP -l 3000,抓包分析,将三条分片的数据包截图,并按上表填写

Mac 下-s -c 

 

实验二.利用Wireshark分析IP协议_第2张图片

 

字段

标识

0xce9a

标志(DF,MF)

01

片偏移

0

实验二.利用Wireshark分析IP协议_第3张图片

字段

标识

0xce9a

标志(DF,MF)

01

片偏移

185

 

实验二.利用Wireshark分析IP协议_第4张图片

字段

标识

0x1d96

标志(DF,MF)

00

片偏移

370

  • 实验心得

4.1题所选数据截图

实验二.利用Wireshark分析IP协议_第5张图片

实验二.利用Wireshark分析IP协议_第6张图片

 

你可能感兴趣的:(网络空间安全概论)