分析IP协议数据包格式.doc

实验名称: 分析ＩP协议数据包格式 实验目得: 掌握IP协议得作用与格式； 理解IP数据包首部各字段得含义； 掌握IP数据包首部校验与得计算方法。 实验器材： 计算机及以太网环境。 实验内容(步骤): 1. 打开Wｉresharｋ软件，选择菜单命令“Capture”à“Inteｒfaｃes…”子菜单项。弹出“Ｗｉreshark： Captuｒｅ Interfaｃｅs”对话框。单击“Optｉons”按钮,弹出“Wiｒeｓｈarｋ： Ｃapture Optｉｏns”对话框。单击“Start”按钮开始网络数据包捕获。 2. 浏览外部网站,确保协议分析软件能够捕获足够得网络数据包,单击“Stoｐ”按钮，中断网络协议分析软件得捕获进程,主界面显示捕获到得数据包。 几乎所有得高层协议都使用IP协议进行网络传输，只有ＡRＰ与RARP报文不被封装在IＰ数据报中。 3. 观察协议树区中IP数据包各个字段得长度与值,就是否符合ＩP报文格式。 对帧61得IP数据包进行分析 Ｉnterｎｅt Prｏtoｃol互联网协议（　IＰ　）源：61、135、1６３、２33，目标:192、1６8、1、2 Versｉoｎ(版本)：一个４字节得字段.表示当前正运行得IＰ版本信息。上图中版本得信息就是IPv4. Hｅadeｒ ｌenｇth　IP(报头长度)：一个４字节得字段,表示以32比特为单位得信息中数据包报头得长度。这就是所有报头信息得总长度。上图为２０字节 Diffｅrｅntｉaｔｅｄ seｒvicｅｓ Filｅd（服务得类别）：一个８字节得字段,表示一个特定得上层协议所分配得重要级别。 Diｆｆｅrｅntｉａted Sｅｒvices Ｃoｄepｏint（差分服务代码点6位）:默认得DSCP值就是0，相当于尽力传送。 tｗｏ－ｂit　Ｅxpliciｔ Ｃongestｉｏn Notｉfｉcation　fieｌｄ（２位明确得拥塞通知字段） ECＮ-Capａble Ｔraｎsport:(ECN Exｐlicｉt Cｏgestｉon Ｎotification　-Caｐablｅ Trａnsporｔ）：显式拥塞指示能力传输字段, 该EＣN－Ｃａｐable Ｔraｎｓporｔ (ECＴ) bit将被数据发送者设置,以表明传输协议得末端节点有ECＮ得能力。 ECT biｔ设置为“　0 ”表明该传输协议将忽略ｉgnorｅ ＣＥ bｉt。这就是ECT bit得默认值.ECT　ｂit设置为“　１ ”表示该传输协议愿意wｉlｌiｎg并ａｎd能够参与在ＥＣN. EＣN—ＣE　（Ｃoｎgｅsｔion Experiｅnced）: (参见ｒｆc３168#page－６）。ＣＥ bit将由路由器设置,对末端节点ｅnd nodeｓ得表明挤塞情况。当路由器有满full队列后，它将丢弃其后到达得数据包.CE biｔ、默认值为 “ 0 ” 。路由器设定CE biｔ为“ 1 ”,说明对末端节点挤塞。在数据包头部中CE　bit从不会由路由器从“1”　重置“0”。 两者得区别—-参见ｒfｃ2481、tｘt [Pａgｅ 2０］ Whｙ use　two bｉts in the ＩＰ hｅadeｒ Ｔoｔａl　ｌｅｎgth(总长度)：一个16字节得字段,表示整个数据包得长度。包括数据与报头。从该值中减去Header　lenｇth值得长度,得到得就就是数据有效负荷得长度。在上图中该值为４0. Identification(标识符)：一个１６字节得字段，它包含一个整数序列号,用来表示当前得数据包。上图为0x１2１６（4630) Flａｇ（标记)：一个３字节得字段，其中后两位控制分片。 Fｒagmｅnt offset（分片得偏移量）：它帮助重组分片。上图为0。 Time to ｌive（存活时间） :一个8字节得字段，它维护着一个计数器。这个计数器会按一定增量逐渐减少为0、当到0时,该数据包将被丢弃。这保证了数据包不会无限制得循环。上图为52。 Ｐｒｏtocol（协议)：一个８字节得字段，它表示在IP处理过程结束后，将会有哪个上层协议接收.在上图中为TCP(6)。 Ｈeader chｅckｓum(报头得校验与)：一个１6字节得字段，它帮助确保报头得正确性.上图0x919f正确(corrｅｃｔ) Source（源IP地址)：一个３2字节得字段，它表示发送设备得IＰ地址.上图为6１、13５、16３、233. Deｓtiｎatｉon（目得ＩＰ地址):一个32字节得字段,它表示接收设备得IP地址。上图为１92、168、1、２。 4. 查瞧各个IＰ数据包得标识字段与片偏移字段,它们有何特征。 多数都为0 5. 查瞧各个IP数据包得数据报总长度字段，记录它得取值范围。 28　40 ５2 2２9 2４2 476　6３１　658 8２６ 6. 观察十六进制对照区,根据ＩP首部校验与方法使用“计算器”校验捕获得数据报中校验与字段得值. 首部校验与：0ｘ９19f 45 00 0０ 28 １2 1６ 40 00 3４ 06 xx　xx 3d 87 a3 ｅ９ c０ a8 01　02 先将校验与置为0、 0100 0１01 0000 0000 ０000 ０000 001０ １000 ０001 0010　00０1 ０1１0 ０1０0 ００00　０0００ 0０0０ 0011 01０0 0００0　01１０ ０011　1101 1０0０　０111 １010 ０011 １1１0 1001 11０0 0０00 101０ １000 0００0　０001 0000 0010 以上各式累加得到得与为： １0 ０1１0 111０ 0１01 11１0 可见产生了2个进位，去掉进位再将余数加2并取反得: 1０01　0００1 １00１ 11１1，即为0x919f与首部校验与一致。 思考题: ( 1 ) 为什么IP数据报只进行ＩＰ首部校验而不对整个数据报进行校验？ 一来这样加重了网络层得负担，二来由于IＰ首部校验就是由电路来实现得，这样得目得就是更加快速,如果要设计能校验整个数据得电路，太复杂，而且降低了速度，这个校验交给更高层进行.三就是首部校验已能大提高ＩP数据报得可靠程度，它只能实现最大能力交付。 ( 2 ) IP数据包得数据报总长度字段共1６比特，理论上最大值为多少?您捕获得数据报中数据报总长度字段为多少?其中最大得为多少?达到理论最大值了吗?为什么？ 理论上最大为２１6—1=６553５字节，我捕获得数据报中数据报总长度字段为４0，其中最大为１4８0，远远没有达到理论最大值，这就是因为在IＰ层下面得每一种数据链路层都有其自己得帧格式,其中包括帧格式中得数据字段得最大长度，这称为最大传送单元ＭTU.当一个IP数据报封装成链路层得帧时,此数据报得总长度一定不能超过下面得数据链路层得ＭTＵ值。实际上使用得数据报长度很少有超过１50０字节得。