icmp报文_wireshark抓包 ,ping/tracert-ICMP,nslookup-DNS 分析

最新推荐文章于 2024-04-09 21:36:36 发布
最新推荐文章于 2024-04-09 21:36:36 发布
阅读量1.3k 收藏 7
点赞数
文章标签: icmp报文 icmp端口 指定icmp数据包长度

Windows提供了一系列用于检测网络状态,监控计算机与其他主机之间会话的命令用户可以通过这些命令发现、诊断网络连接问题,发现和处理外部终端为非法访问计算机资源而创建的会话。

本文以以下3个命令为例,对命令的相关协议进行分析:(采用wireshark抓包)

1、ping

1.1抓包:

a4b2e7790b4ec79998dd56bbb1e6101d.png

fe8694a0498dc783fec6ce8cf5c14f02.png

1.2数据帧结构:

(观察第一个编号为 12333 的 Echo (ping) request 数据帧)

1fc64d8f948f235ceea8e48e559d993d.png

如上图所示,可以看到这个数据帧的结构是:

Ethernet II
IP
ICMP

1.3观察 Ethernet II 数据帧的内容

bd4530b6b913af2da226f18f03386c82.png

Ethernet II 数据帧的格式如下:

DASATypeDataFCS

DA: 该字段有 6 个字节,表示目的 MAC 地址。如上图所示,目的 MAC 地址为 d0:76:e7:16:c0:a0。

SA: 该字段有 6 个字节,表示源 MAC 地址。如上图所示,源 MAC 地址为 64:5d:86:56:7d:5e。

Type: 该字段有 2 个字节,表示数据包的类型。如上图所示,类型的值为 0x0800,表示 Internet Protocol(IP)。

Data: 数据载荷。

FCS: 该字段有 4 个字节,表示帧校验序列,用于校验帧是否出错。该字段内容已被网络设备滤去,抓包软件已无法获取。

1.4观察 IP 数据包的内容

9be157a276faa870fcbf3d3f8ca63378.png

如上图所示,可以看到 IP 数据包的信息:

Version: 4,表示 IPv4。

Header Length: 5, 表示 5 个以 32 bit 为单位的 word,即 20 bytes。

Time to live: 64, 生存时间。

Protocol: 1,表示 ICMP。

Source: 192.168.1.107,源 IP 地址。

Destination: 36.152.44.96,目的 IP 地址。

1.5观察 ICMP 数据包内容

79679272fc6f71a5f4c248bfa2188051.png

ICMP 数据包的格式如下:

4ddaa368502dd2799514935e0c946392.png

Type: 该字段有 1 个字节,表示特定类型的 ICMP 报文。

一台主机向一个节点发送一个类型字段值为8的ICMP报文,如果途中没有异常(如果没有被路由丢弃,目标不回应ICMP或者传输失败),则目标返回类型字段值为0的ICMP报文,说明这台主机存在。

Code: 该字段有 1 个字节,进一步细分 ICMP 的类型。如上图所示,Type 的值为 8,Code 的值为 0,表示回显请求。

Checksum: 该字段有 2 个字节,表示校验和。

Identifier: 该字段有 2 个字节,用于匹配 Request/Reply 的标识符。

Seq Num: 该字段有 2 个字节,用于匹配 Request/Reply 的序列号。

Data: 数据载荷。

2、tracert

2.1抓包

ec95e3d8d0f44e166eeee2f6151c5da4.png

91878dafb6bf52e4a29ba279f84af98f.png

2.2 协议分析

由于tracrt命令的底层协议与ping的底层协议相同(都是ICMP),故不做具体分析。

3、nslookup

3.1抓包

d0ae0d8231db31fecbd94ada909f0751.png

56d5b4c9ecf9d7345d0f1a40c4b6f267.png

3.2数据帧结构

8efdef93ea88cb4842b4d82b824258cf.png

如上图所示,这个数据帧的结构是:

(DNS为应用层协议,下层传输层采用UDP,再下层网络层是IP协议,然后是数据链路层的以太网帧.)

Ethernet II (已做分析)
IP (已做分析)
UDP
DNS

3.3 UDP数据帧分析

a5b88290862bc3f72e627fe85a4ac889.png

可以看出格式如下:

SP:该字段占2个字节,源端口号为54064

DP: 该字段占2个字节,目的端口号为53

Length: 该字段占2个字节,长度,39bytes

Checksum: 该字段占2个字节,校验和

3.4 DNS报文分析

31a21951349b6381a2a967c675d74e51.png

DNS报文结构为:

a1ecbb52cd6f78eeb43b86c89764a391.png

第一个是Transaction ID为标识字段,2字节,用于辨别DNS应答报文是哪个请求报文的响应.图中报文标识数为:0x0002。

第二个是Flags标志字段,如图所示:

3dba138ed19e02672dba7b9553c575b4.png

QR(1比特):查询/响应的标志位,1为响应,0为查询。

opcode(4比特):定义查询或响应的类型(若为0则表示是标准的,若为1则是反向的,若为2则是服务器状态请求)。

AA(1比特):授权回答的标志位。该位在响应报文中有效,1表示名字服务器是权限服务器(关于权限服务器以后再讨论)

TC(1比特):截断标志位。1表示响应已超过512字节并已被截断(依稀好像记得哪里提过这个截断和UDP有关,先记着)

RD(1比特):该位为1表示客户端希望得到递归回答(递归以后再讨论)

RA(1比特):只能在响应报文中置为1,表示可以得到递归响应。

zero(3比特):不说也知道都是0了,保留字段。

rcode(4比特):返回码,表示响应的差错状态,通常为0和3,各取值含义如下:

0:表示无差错, 1:表示格式差错 ,2:表示问题在域名服务器上,3; 表示域参照问题

4: 表示查询类型不支持 ,5: 表示在管理上被禁止 ,6 – 15: 表示保留

问题数、回答资源记录数、授权资源记录数、附加资源记录数:这四个字段都是两字节,分别对应下面的查询问题、回答、授权和附加信息部分的数量。在图中报文对应字段分别为1,0,0,0;

第七个是Queries为查询问题区域,其包含正在进行的查询信息。包含查询名(被查询主机名字的名字字段)、查询类型、查询类。图中报文查询名为:www.baidu.com,查询类型为:A(IPv4地址),查询类为:IN(Internet数据)。(观察报文发现图中报文仅有查询问题区域,故不做其他区域的分析)

总结与体会

通过此次实验,加深了对ping、tracert、nslookup等命令的理解,同时也让我更加熟练的掌握了相关命令的操作。通过对相关命令的底层协议进行分析,也加深了我对一系列网络管理和监控命令的工作原理的理解,总的来说,此次实验收获很多。

weixin_39607423
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络后台开发工具 tcpdump(抓包) route(路由) nslookup和host(路由) md5sum(版本校验)
tycoon的专栏
09-09 962
tcpdump抓包: 想输出点分十进制:        tcpdump    -n     *** 想输出mac地址:            tcpdump    -e     *** 抓到目标为A的包:         tcpdump    dst      A                         //需要root权限,或sudo。   route添加路由 :  
使用nslookup进行DNS查询及tcpdump/wireshark抓取DNS数据包
ss810540895的博客
03-05 3031
我们通常使用nslookup工具来测试DNS解析,获取DNS报文的详细数据,这也是我们想要使用协议分析工具nslookup分析DNS流量进行分析。您可以使用它来执行 DNS 查询并接收:域名或 IP 地址,或任何其他特定的 DNS 记录。默认查询主机地址,想要测试其他类型的资源记录,先使用 set type命令设置要查询的DNS记录类型,然后输入域名,可得到相应类型的域名测试结果。这是一个简单的DNS解析过程,序号为56的数据包显示的是DNS查询报文,序号为57是数据包DNS应答报文
计算机网络——抓取icmp
最新发布
m0_60631836的博客
04-09 1422
本博客是博主用于记录计算机网络实验的博客,如果疏忽出现错误,还望各位指正。
使用nslookup进行DNS查询及wirekhark抓取DNS数据包
chen1415886044的博客
09-19 6852
nslookup 是一个查询 Internet 域名服务器的程序。我们通常使用nslookup工具来测试DNS解析,获取DNS报文的详细数据,这也是我们想要使用协议分析工具nslookup分析DNS流量进行分析。 只要你上网,都会涉及DNS解析。简单起见,我们这里不会搭建一个DNS服务器,而是使用Internet域名解析来分析验证。 ...
ICMP协议之tracert实现
yoyo的专栏
04-02 1万+
1. 相关ICMP协议概述    这里只讲解与tracert有关的ICMP消息类型,网关发送超时报文(type = 11),主机发送目标不可达报文(type = 3),基本格式如下:    超时报文                  其中code = 0,表示由网关发送    目标主机不可达报文                  其中code = 3,表示在目的主机,端口不可用
ICMP查询报文抓包分析
qq_36963043的博客
06-25 2368
ICMP查询报文抓包分析 5.1 问题 使用eNSP搭建实验环境,在G0/0/0开始抓包,在PC1上ping PC2 抓包分析ICMP查询报文 5.2 方案 使用eNSP搭建实验环境,如图-12所示。 图-12 5.3 步骤 实现此案例需要按照如下步骤进行。 1)抓到Echo报文,如图-13所示 图-13 2)抓到Echo Reply报文,如图-14所示 图-14 ...
赵浩天-2018211610-实验三1
08-03
实验者赵浩天通过一系列步骤,包括关闭IPv4、启用IPv6、使用nslookup进行DNS解析、pingtracert命令,来深入理解IPv6协议和ICMPv6的工作原理。 首先,实验者展示了本机的IPv6地址信息,包括可汇聚全球单播地址、...
常用网络工具_华为网络技术培训 经典中的经典
09-15
8. **tcpdump**:与Wireshark类似,tcpdump是命令行下的网络封包分析工具,常用于抓包分析,尤其在自动化脚本或服务器环境中。 9. **netstat**:网络状态查看工具,可以显示网络连接、路由表、接口统计等信息,用于...
广东工业大学 计算机网络 实验报告 .doc
10-11
* 利用 Wireshark 监听 ICMP 包,分析 ping 程序和 tracert 程序的主要功能。 * 利用 Wireshark 监听 arp 包,分析 arp 请求包与应答包的内容。 通过这两部分的实验,学生可以更好地理解计算机网络设置的基本操作,...
计算机网络课程实验报告
06-10
一、学习在Windows系统中进行网络配置、用ping ipconfig/winipcfg命令工具来进行网络测试、使用tracert路由跟踪命令、使用netstat、arp、nslookup命令查看网络状态。 二、1.掌握如何利用协议分析工具分析IP数据报...
广东工业大学2016年计算机网络实验报告.doc
10-11
3. 利用 Wireshark 监听 ICMP 包,分析 ping 程序和 tracert 程序的主要功能。 4. 利用 Wireshark 监听 arp 包,分析 arp 请求包与应答包的容。 三、实验结果 本实验的结果包括学习协议分析工具 Wireshark 的根本...
nslookup命令详解和实战例子(全)
01-26 2万+
nslookup命令详解和实战例子 nslookup主要用来诊断域名系统 (DNS) 基础结构的信息。查询DNS的记录,查询域名解析是否正常,在网络故障时用来诊断网络问题。 1. 查询域名解析地址 nslookup domain dnsserver 例子: nslookup sohu.com #采用默认的DNS服务器查询 nslookup sohu.com 114.114.114.114 # 采用指定DNS服务器查询 结果如下得到sohu.com的服务器IP为 211.159.191....
Wireshark-Lab3:DNS
MINGgoS的博客
03-04 3930
更好的阅读体验 Lab3:DNS 如书中第2.5节所述,域名系统(DNS)将主机名转换为IP地址,在互联网基础架构中发挥关键作用。在本实验中,我们将仔细查看DNS在客户端的细节。回想一下,客户端在DNS中的角色相对简单——客户端向其本地DNS服务器发送请求,并接收一个响应。如书中的图2.21和2.22所示,由于DNS分层服务器之间相互通信,可以递归地或迭代地解析客户端的DNS查询请求,而大多数操作是不可见的。然而,从DNS客户端的角度来看,协议非常简 ——将查询指向为本地DNS服务器,并从该服务器接收到响应
ICMP报文格式详解
sinat_53184817的博客
12-28 2448
ICMP(Internet Control Message Protocol)是一种网络层协议,用于在IP网络中传递控制信息和错误消息。 错误报告: ICMP主要用于在网络中传递错误报告。例如,当一个主机试图向另一个主机发送数据包,但目标主机不可达时,目标主机可能会发送一个ICMP错误消息,通知源主机发生了错误。
一文读懂网络报问中的检验和(checksum)—— 原理+举例+代码
热门推荐
Andy的博客
03-11 4万+
如何求解网络报文中的checksum? 最近在学习计算机网络,在运输层和网络层部分存在各种协议TCP、UDP、IP、ICMP等等,而在这些报文中都存在一个公共的字段——检验和(checksum)。接下来,我将从什么是检验和、检验和怎么算、检验和计算示例、python代码计算检验和这几个部分详细介绍。 什么是检验和? 检验和是存在于各种报文中的一个字段,它存在的目的是验证报文在网络传输过程中的完整性...
DNS协议分析
lingshengxiyou的博客
12-22 2069
DNS报文标识符为首先来看第一条数据0x290a,标志位第一位为0表示是一个请求,opcode是0表示该请求为标准请求,AA标志为0,TC标志为0说明未截断,RD为1表示请求递归,后面是保留位,最后4bit为0表示未出错。上图中的00001011是第一个标识符的计数值,1011代表11,说明后面11个字节为一个标识符,对应的是chenjingjiu这11个字符,后面的点被省略。后面指示的类型2字节,类别2字节,TTL是4字节,数据长度2字节,地址占用4字节。它的值和前面介绍的查询类型值是一样的。
网络报文抓包分析——ICMP
在校计算机学生,知识分享与学习笔记总结,欢迎指点
11-22 2534
通过wireshark和tcpdump分别在 win 和 linux环境对进行抓包分析
一起学DNS系列(十五)DNS查询工具之NSLOOKUP的使用
jibcy的专栏
05-23 1338
上一节里我们讨论了有关DIG工具的用法,本节将对windows下nslookup工具的一些主要命令进行描述。     nslookup是多数win系统中的一个内置命令,主要目的是用来测试域名解析,属于命令行工具,顺利工作的前提是已正常安装了Tcp/Ip协议簇。    打开CMD的命令行界面,在不填写任何参数的情况下使用此命令,如下图: 如上图,输入nslookup后,返回了当前的DNS
使用nslookup定位权威域名服务器得到权威应答
mooncarp的专栏
06-01 1万+
工作中,很多时候我们使用域名访问网站,显示无法访问,抓包后发现与服务器的tcp连接都没建立起来,这个时候可能发生两种情况: 1. 服务器发生down机或者无法响应客户请求的意外情况; 2. DNS解析出的地址是一个错误的地址。 第2中情况时有发生,并且很多时候我们也不知道应该解析出来的IP为多少才是正确的,这个时候,我们可以使用nslookup工具来定位权威域名服务器,并直接从权威域
Wireshark抓包分析微信功能----tcp/ip选修课期末大作业
06-07
我可以回答你关于Wireshark抓包分析微信功能的问题。 首先,Wireshark是一个免费的网络协议分析软件,可以用于抓包分析数据包。而微信是一款基于互联网的通讯工具,在使用过程中会产生大量的网络数据包。 通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值