實(shí)驗(yàn)：利用Wireshark分析ICMP協(xié)議

1、實(shí)驗(yàn) 利用Wireshark分析ICMP協(xié)議一、實(shí)驗(yàn)?zāi)康姆治鯥CMP協(xié)議二、實(shí)驗(yàn)環(huán)境與因特網(wǎng)連接的計(jì)算機(jī)，操作系統(tǒng)為Windows，安裝有Wireshark、IE等軟件。三、協(xié)議簡介ICMP全稱Internet Control Message Protocol，中文名為因特網(wǎng)控制報(bào)文協(xié)議。它工作在OSI的網(wǎng)絡(luò)層，向數(shù)據(jù)通訊中的源主機(jī)報(bào)告錯(cuò)誤。ICMP可以實(shí)現(xiàn)故障隔離和故障恢復(fù)。網(wǎng)絡(luò)本身是不可靠的，在網(wǎng)絡(luò)傳輸過程中，可能會發(fā)生許多突發(fā)事件并導(dǎo)致數(shù)據(jù)傳輸失敗。網(wǎng)絡(luò)層的IP協(xié)議是一個(gè)無連接的協(xié)議，它不會處理網(wǎng)絡(luò)層傳輸中的故障，而位于網(wǎng)絡(luò)層的ICMP協(xié)議卻恰好彌補(bǔ)了IP的缺限，它使用IP協(xié)議進(jìn)行信息傳

2、遞，向數(shù)據(jù)包中的源端節(jié)點(diǎn)提供發(fā)生在網(wǎng)絡(luò)層的錯(cuò)誤信息反饋。ICMP的報(bào)頭長8字節(jié)，結(jié)構(gòu)如圖1所示。比特0 78 15 16 比特31類型（0或8）代碼（0）檢驗(yàn)和為使用數(shù)據(jù)（圖1ICMP報(bào)頭結(jié)構(gòu)）l 類型：標(biāo)識生成的錯(cuò)誤報(bào)文，它是ICMP報(bào)文中的第一個(gè)字段；l 代碼：進(jìn)一步地限定生成ICMP報(bào)文。該字段用來查找產(chǎn)生錯(cuò)誤的原因；l 校驗(yàn)和：存儲了ICMP所使用的校驗(yàn)和值。l 未使用：保留字段，供將來使用，起值設(shè)為0l 數(shù)據(jù)：包含了所有接受到的數(shù)據(jù)報(bào)的IP報(bào)頭。還包含IP數(shù)據(jù)報(bào)中前8個(gè)字節(jié)的數(shù)據(jù)；ICMP協(xié)議提供的診斷報(bào)文類型如表1所示。類型描述0回應(yīng)應(yīng)答（Ping應(yīng)答，與類型8的Ping請求一起使

3、用）3目的不可達(dá)4源消亡5重定向8回應(yīng)請求（Ping請求，與類型8的Ping應(yīng)答一起使用）9路由器公告（與類型10一起使用）10路由器請求（與類型9一起使用）11超時(shí)12參數(shù)問題13時(shí)標(biāo)請求（與類型14一起使用）14時(shí)標(biāo)應(yīng)答（與類型13一起使用）15信息請求（與類型16一起使用）16信息應(yīng)答（與類型15一起使用）17地址掩碼請求（與類型18一起使用）18地址掩碼應(yīng)答（與類型17一起使用）（表1ICMP診斷報(bào)文類型）ICMP提供多種類型的消息為源端節(jié)點(diǎn)提供網(wǎng)絡(luò)層的故障信息反饋，它的報(bào)文類型可以歸納為以下5個(gè)大類：l 診斷報(bào)文（類型8，代碼0；類型0，代碼0）；l 目的不可達(dá)報(bào)文（類型3，代碼0-

4、15）；l 重定向報(bào)文（類型5，代碼0-4）；l 超時(shí)報(bào)文（類型11，代碼0-1）；l 信息報(bào)文（類型12-18）。Ping 命令只有在安裝了 TCP/IP 協(xié)議之后才可以使用，其命令格式如下：ping -t -a -n count -l size -f -i TTL -v TOS -r count -s count-j host-list | -k host-list -w timeout target_name這里對實(shí)驗(yàn)中可能用到的參數(shù)解釋如下：-t ：用戶所在主機(jī)不斷向目標(biāo)主機(jī)發(fā)送回送請求報(bào)文 ，直到用戶中斷；-n count： 指定要 Ping 多少次，具體次數(shù)由后面的 count 來

5、指定 ，缺省值為 4；-l size： 指定發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù)包的大小 ，默認(rèn)為 32 字節(jié)，最大值是 65,527；-w timeout：指定超時(shí)間隔，單位為毫秒；target_name：指定要 ping 的遠(yuǎn)程計(jì)算機(jī)。Ping和traceroute命令都依賴于ICMP。ICMP可以看作是IP協(xié)議的伴隨協(xié)議。ICMP報(bào)文被封裝在IP 數(shù)據(jù)報(bào)發(fā)送。一些ICMP報(bào)文會請求信息。例如：在ping中，一個(gè)ICMP回應(yīng)請求報(bào)文被發(fā)送給遠(yuǎn)程主機(jī)。如果對方主機(jī)存在，期望它們返回一個(gè)ICMP回應(yīng)應(yīng)答報(bào)文。一些ICMP報(bào)文在網(wǎng)絡(luò)層發(fā)生錯(cuò)誤時(shí)發(fā)送。例如，有一種ICMP報(bào)文類型表示目的不可達(dá)。造成不可達(dá)的原因很

6、多，ICMP報(bào)文試圖確定這一問題。例如，可能是主機(jī)關(guān)及或整個(gè)網(wǎng)絡(luò)連接斷開。有時(shí)候，主機(jī)本身可能沒有問題，但不能發(fā)送數(shù)據(jù)報(bào)。例如IP首部有個(gè)協(xié)議字段，它指明了什么協(xié)議應(yīng)該處理IP數(shù)據(jù)報(bào)中的數(shù)據(jù)部分。IANA公布了代表協(xié)議的數(shù)字的列表。例如，如果該字段是6，代表TCP報(bào)文段,IP層就會把數(shù)據(jù)傳給TCP層進(jìn)行處理；如果該字段是1，則代表ICMP報(bào)文，IP層會將該數(shù)據(jù)傳給ICMP處理。如果操作系統(tǒng)不支持到達(dá)數(shù)據(jù)報(bào)中協(xié)議字段的協(xié)議號，它將返回一個(gè)指明“協(xié)議不可達(dá)”的ICMP報(bào)文。IANA同樣公布了ICMP報(bào)文類型的清單。Traceroute是基于ICMP的靈活用法和IP首部的生存時(shí)間字段的。發(fā)送數(shù)據(jù)報(bào)時(shí)

7、生存時(shí)間字段被初始化為能夠穿越網(wǎng)絡(luò)的最大跳數(shù)。每經(jīng)過一個(gè)中間節(jié)點(diǎn)，該數(shù)字減1。當(dāng)該字段為0時(shí)，保存該數(shù)據(jù)報(bào)的機(jī)器將不再轉(zhuǎn)發(fā)它。相反，它將向源IP地址發(fā)送一個(gè)ICMP生存時(shí)間超時(shí)報(bào)文。生存時(shí)間字段用于避免數(shù)據(jù)報(bào)載網(wǎng)絡(luò)上無休止地傳輸下去。數(shù)據(jù)報(bào)的發(fā)送路徑是由中間路由器決定的。通過與其他路由器交換信息，路由器決定數(shù)據(jù)報(bào)的下一條路經(jīng)。最好的“下一跳”經(jīng)常由于網(wǎng)絡(luò)環(huán)境的變化而動態(tài)改變。這可能導(dǎo)致路由器形成選路循環(huán)也會導(dǎo)致正確路徑?jīng)_突。在路由循環(huán)中這種情況很可能發(fā)生。例如，路由器A認(rèn)為數(shù)據(jù)報(bào)應(yīng)該發(fā)送到路由器B，而路由器B又認(rèn)為該數(shù)據(jù)報(bào)應(yīng)該發(fā)送會路由器A，這是數(shù)據(jù)報(bào)便處于選路循環(huán)中。生存時(shí)間字段長為8位，所

8、以因特網(wǎng)路徑的最大長度為28 -1即255跳。大多數(shù)源主機(jī)將該值初始化為更小的值（如128或64）。將生存時(shí)間字段設(shè)置過小可能會使數(shù)據(jù)報(bào)不能到達(dá)遠(yuǎn)程目的主機(jī)，而設(shè)置過大又可能導(dǎo)致處于無限循環(huán)的選路中。Traceroute利用生存時(shí)間字段來映射因特網(wǎng)路徑上的中間節(jié)點(diǎn)。為了讓中間節(jié)點(diǎn)發(fā)送ICMP生存時(shí)間超時(shí)報(bào)文，從而暴露節(jié)點(diǎn)本身信息，可故意將生存時(shí)間字段設(shè)置為一個(gè)很小的書。具體來說，首先發(fā)送一個(gè)生存時(shí)間字段為1的數(shù)據(jù)報(bào)，收到ICMP超時(shí)報(bào)文，然后通過發(fā)送生存時(shí)間字段設(shè)置為2的數(shù)據(jù)報(bào)來重復(fù)上述過程，直到發(fā)送ICMP生存時(shí)間超時(shí)報(bào)文的機(jī)器是目的主機(jī)自身為止。因?yàn)樵诜纸M交換網(wǎng)絡(luò)中每個(gè)數(shù)據(jù)報(bào)時(shí)獨(dú)立的，所以

9、由traceroute發(fā)送的每個(gè)數(shù)據(jù)報(bào)的傳送路徑實(shí)際上互不相同。認(rèn)識到這一點(diǎn)很重要。每個(gè)數(shù)據(jù)報(bào)沿著一條路經(jīng)對中間節(jié)點(diǎn)進(jìn)行取樣，因此traceroute可能暗示一條主機(jī)間并不存在的連接。因特網(wǎng)路徑經(jīng)常變動。在不同的日子或一天的不同時(shí)間對同一個(gè)目的主機(jī)執(zhí)行幾次traceroute命令來探尋這種變動都會得到不同的結(jié)果。為了體現(xiàn)Internet路由的有限可見性，許多網(wǎng)絡(luò)都維護(hù)了一個(gè)traceroute服務(wù)器traceroute。Traceroute服務(wù)器將顯示出從本地網(wǎng)到一個(gè)特定目的地執(zhí)行traceroute的結(jié)果。分布于全球的traceroute服務(wù)器的相關(guān)信息可在上獲得。四、實(shí)驗(yàn)步驟1、ICMP協(xié)

10、議分析步驟1：分別在 PC1 和 PC2 上運(yùn)行 Wireshark，開始截獲報(bào)文，為了只截獲和實(shí)驗(yàn)內(nèi)容有關(guān)的報(bào)文，將 Wireshark 的 Captrue Filter 設(shè)置為“No Broadcast and no Multicast”；步驟2：在 PC1 以 PC2 為目標(biāo)主機(jī)，在命令行窗口執(zhí)行 Ping 命令，要求ping通10次；Ping命令為：_將命令行窗口進(jìn)行截圖：步驟3：停止截獲報(bào)文，分析截獲的結(jié)果，回答下列問題：1） 將抓包結(jié)果進(jìn)行截圖（要求只顯示ping的數(shù)據(jù)包）：2） 截獲的ICMP 報(bào)文有幾種類型？分別是：_3）分析截獲的 ICMP 報(bào)文，查看表 5.1 中要求的字段

11、值，填入表中。只需要填寫6個(gè)報(bào)文信息。表 5.1 ICMP報(bào)文分析報(bào)文號源IP目的IP報(bào)文格式類型代碼標(biāo)識序列號4）查看ping請求分組，ICMP的type是 和code是 并截圖替換下圖5）查看相應(yīng)得ICMP響應(yīng)信息，ICMP的type是 和code是 并截圖替換下圖6）若要只顯示ICMP的echo響應(yīng)數(shù)據(jù)包，顯示過濾器的規(guī)則為 并根據(jù)過濾規(guī)則進(jìn)行抓包截圖7）若要只顯示ICMP的echo請求數(shù)據(jù)包，顯示過濾器的規(guī)則為 并根據(jù)過濾規(guī)則進(jìn)行抓包截圖2. ICMP和Traceroute在Wireshark 下，用Traceroute程序俘獲ICMP分組。Traceroute能夠映射出通往特定的因特

12、網(wǎng)主機(jī)途徑的所有中間主機(jī)。源端發(fā)送一串ICMP分組到目的端。發(fā)送的第一個(gè)分組時(shí)，TTL=1；發(fā)送第二個(gè)分組時(shí)，TTL=2，依次類推。路由器把經(jīng)過它的每一個(gè)分組TTL字段值減1。當(dāng)一個(gè)分組到達(dá)了路由器時(shí)的TTL字段為1時(shí)，路由器會發(fā)送一個(gè)ICMP錯(cuò)誤分組（ICMP error packet）給源端。步驟4：在 PC1 上運(yùn)行 Wireshark 開始截獲報(bào)文；步驟5：在PC1上執(zhí)行Tracert命令，如：Tracert ；將命令窗口進(jìn)行截圖。 圖4：命令提示窗口顯示Traceroute程序結(jié)果（替換截圖）設(shè)置顯示過濾器為icmp，圖5顯示的是一個(gè)路由器返回的ICMP超時(shí)報(bào)告分組（ICMP err

13、or packet）。注意到ICMP超時(shí)報(bào)告分組中包括的信息比Ping ICMP中超時(shí)報(bào)告分組包含的信息多。圖5：一個(gè)擴(kuò)展ICMP超時(shí)報(bào)告分組信息的Wireshark 窗口（替換截圖）步驟6：停止截獲報(bào)文，分析截獲的報(bào)文，回答下列問題：1）截獲了報(bào)文中哪幾種 ICMP 報(bào)文？其類型碼和代碼各為多少？ICMP報(bào)文類型類型碼（type）代碼（code）2）在截獲的報(bào)文中，超時(shí)報(bào)告報(bào)文的源地址分別是多少？ _ 3)查看ICMP echo 分組 ，是否這個(gè)分組和前面使用 ping命令的ICMP echo 一樣？對于TTL值有什么變化規(guī)律。_4)查看ICMP超時(shí)報(bào)告分組，它比ICMP echo 分組包括的信息多。對照ICMP協(xié)議，分析一下ICMP超時(shí)報(bào)告分組比ICMP echo 分組多包含的信息有哪些？_5）對于ICMP超時(shí)報(bào)告分組，