实验目的和要求:
1.熟悉并掌握嗅探器软件使用方法;
2.分析ICMP协议
实验过程:
step 1:执行ping www.baidu.com,注意记录分别记录目的主机的IP地址,目的主机的TTL。
step 2:打开嗅探器软件,执行tracert www.baidu.com抓包。
选做:通过执行tracert命令,截获报文,分析利用ICMP的路由追踪过程(注意观察IP数据包中TTL的变化)。
实验结果:
Step1:
可看到目的主机的IP地址为220.181.38.150,TTL为50。
Step2:执行tracert www.baidu.com,并使用wireshark抓包
实验分析:
1、ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
2、ICMP报文作为IP层数据报的数据,加上数据报的首部,组成数据报发送出去。
3、ICMP报文的种类有两种,即ICMP差错报告报文和ICMP询问报文
Step2:执行tracert www.baidu.com通过Wireshark 抓包(用 icmp 过滤),分析每个发送包的 TTL 是如何进行改变的。
可以看到windows下ping默认执行4次ping程序,wireshark抓到8个ICMP查询报文,具体看一次请求和应答过程。
首先先看一个包的格式,报文由IP首部和ICMP报文组成,先看下IP包的首部和大小,图中红框为IP首部,共有20字节
下图为红色框中的蓝色为ICMP报文,共有40个字节
由此可以看到刚才的截图
Type:8
Code:0
Checksum:0x4d4a
通过查询ICMP报文类型可知,Type为8的包为 回射请求(Ping请求)
使用相同的方法,查看Echo (ping) reply包,得到type类型为0,
通过查询ICMP报文类型可知,Type为0的包为 回射应答(Ping应答),并且可观察到在ping请求时TTL为128,ping应答时TTL为50。
2706
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
