【计算机网络实验】捕获ICMP分组

操作：

1 ） 开启 wireshark 监控，使用 ping 命令或 tracert 命令 , 捕获 ICMP分组；例：ping www.bupt.edu.cn

2 ） 停止监控，分析其格式 注：可以不设置捕获过滤器，而在主窗口设置显示过滤器为：icmp ，从而只显示 icmp 报文，不显示 其他协议数据

分析：

1.报文格式

 以太网头、ip头和icmp内容

2.ip报头，以下选中内容为ip报头，对照ip头格式分析

4：0100，版本，说明是ipv4

5：0101，头长度，表示为20个字节

00：0000 0000，服务类型，前6位是DSCP，全0表示尽力转发，后两位是ECN（显式拥塞通告），00表示not-ECT

00 3c: 0000 0000 0011 1100，总长60

f9 b0: 这是用来分片的标识字段，下方链路层时有可能需要分片，之后需要被重组，所以属于一个IP包的片需要能够被标识，所以同属于一个ip包的片，这部分字段一样。

00 00：这16比特前三比特是标记位，第一个比特不使用，第二个比特表示是否允许分片，0表示可以分片，1则表示不能，第三个比特表示是否为最后一片，0表示这是最后一片，1则表示后面还有片，后13比特表示偏移，偏移用来表示这片的位置，第一片的偏移位为0，假设第一片有800字节，那么第二片的偏移量就为100，偏移量用8字节的整数倍表示，因为13位不足以表示所有偏移量。

40：0100 0000，生存时间。

01：0000 0001，协议类型，这里1表示icmp

00 00：这部分是头校验和，

c0 a8 1f c8：这32位是源ip

d3 44 45 f0:：这32位是目的ip

 

3.icmp报文

以下选中内容为icmp报文，对照格式进行分析

 前32位是统一的，类型表示大类，代码是小类

08 00 4d 50：08表示这是ping大类，00表示code部分是0，后面是校验和

剩下的是icmp的数据部分

问题：

1.在刚才的分析中，源ip地址是内网ip，也就是在cmd里输ipconfig看到的ip，与百度查的ip是不一样的，那么ip包里如果封装的是内网ip，是如何在因特网上进行通信的呢？