實(shí)驗(yàn)：利用Wireshark分析ICMP協(xié)議

實(shí)驗(yàn)利用Wireshark分析ICMP協(xié)議一、實(shí)驗(yàn)?zāi)康姆治鯥CMP協(xié)議二、實(shí)驗(yàn)環(huán)境與因特網(wǎng)連接的計(jì)算機(jī)，操作系統(tǒng)為Windows，安裝有Wireshark、IE等軟件。三、協(xié)議簡(jiǎn)介ICMP全稱InternetControlMessageProtocol，中文名為因特網(wǎng)控制報(bào)文協(xié)議。它工作在OSI的網(wǎng)絡(luò)層，向數(shù)據(jù)通訊中的源主機(jī)報(bào)告錯(cuò)誤。ICMP可以實(shí)現(xiàn)故障隔離和故障恢復(fù)。網(wǎng)絡(luò)本身是不可靠的，在網(wǎng)絡(luò)傳輸過(guò)程中，可能會(huì)發(fā)生許多突發(fā)事件并導(dǎo)致數(shù)據(jù)傳輸失敗。網(wǎng)絡(luò)層的IP協(xié)議是一個(gè)無(wú)連接的協(xié)議，它不會(huì)處理網(wǎng)絡(luò)層傳輸中的故障，而位于網(wǎng)絡(luò)層的ICMP協(xié)議卻恰好彌補(bǔ)了IP的缺限，它使用IP協(xié)議進(jìn)行信息傳遞，向數(shù)據(jù)包中的源端節(jié)點(diǎn)提供發(fā)生在網(wǎng)絡(luò)層的錯(cuò)誤信息反饋。ICMP的報(bào)頭長(zhǎng)8字節(jié)，結(jié)構(gòu)如圖1所示。比特0781516比特31類型（0或8）代碼（0）檢驗(yàn)和為使用數(shù)據(jù)（圖1ICMP報(bào)頭結(jié)構(gòu)）類型：標(biāo)識(shí)生成的錯(cuò)誤報(bào)文，它是ICMP報(bào)文中的第一個(gè)字段；代碼：進(jìn)一步地限定生成ICMP報(bào)文。該字段用來(lái)查找產(chǎn)生錯(cuò)誤的原因；校驗(yàn)和：存儲(chǔ)了ICMP所使用的校驗(yàn)和值。未使用：保留字段，供將來(lái)使用，起值設(shè)為0數(shù)據(jù)：包含了所有接受到的數(shù)據(jù)報(bào)的IP報(bào)頭。還包含IP數(shù)據(jù)報(bào)中前8個(gè)字節(jié)的數(shù)據(jù)；ICMP協(xié)議提供的診斷報(bào)文類型如表1所示。類型描述0回應(yīng)應(yīng)答（Ping應(yīng)答，與類型8的Ping請(qǐng)求一起使用）3目的不可達(dá)4源消亡5重定向8回應(yīng)請(qǐng)求（Ping請(qǐng)求，與類型8的Ping應(yīng)答一起使用）9路由器公告（與類型10一起使用）10路由器請(qǐng)求（與類型9一起使用）11超時(shí)12參數(shù)問(wèn)題13時(shí)標(biāo)請(qǐng)求（與類型14一起使用）14時(shí)標(biāo)應(yīng)答（與類型13一起使用）15信息請(qǐng)求（與類型16一起使用）16信息應(yīng)答（與類型15一起使用）17地址掩碼請(qǐng)求（與類型18一起使用）18地址掩碼應(yīng)答（與類型17一起使用）（表1ICMP診斷報(bào)文類型）ICMP提供多種類型的消息為源端節(jié)點(diǎn)提供網(wǎng)絡(luò)層的故障信息反饋，它的報(bào)文類型可以歸納為以下5個(gè)大類：診斷報(bào)文（類型8，代碼0；類型0，代碼0）；目的不可達(dá)報(bào)文（類型3，代碼0-15）；重定向報(bào)文（類型5，代碼0-4）；超時(shí)報(bào)文（類型11，代碼0-1）；信息報(bào)文（類型12-18）。Ping命令只有在安裝了TCP/IP協(xié)議之后才可以使用，其命令格式如下：ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS][-rcount][-scount][[-jhost-list]|[-khost-list]][-wtimeout]target_name這里對(duì)實(shí)驗(yàn)中可能用到的參數(shù)解釋如下：-t：用戶所在主機(jī)不斷向目標(biāo)主機(jī)發(fā)送回送請(qǐng)求報(bào)文，直到用戶中斷；-ncount：指定要Ping多少次，具體次數(shù)由后面的count來(lái)指定，缺省值為4；-lsize：指定發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù)包的大小，默認(rèn)為32字節(jié)，最大值是65,527；-wtimeout：指定超時(shí)間隔，單位為毫秒；target_name：指定要ping的遠(yuǎn)程計(jì)算機(jī)。Ping和traceroute命令都依賴于ICMP。ICMP可以看作是IP協(xié)議的伴隨協(xié)議。ICMP報(bào)文被封裝在IP數(shù)據(jù)報(bào)發(fā)送。一些ICMP報(bào)文會(huì)請(qǐng)求信息。例如：在ping中，一個(gè)ICMP回應(yīng)請(qǐng)求報(bào)文被發(fā)送給遠(yuǎn)程主機(jī)。如果對(duì)方主機(jī)存在，期望它們返回一個(gè)ICMP回應(yīng)應(yīng)答報(bào)文。一些ICMP報(bào)文在網(wǎng)絡(luò)層發(fā)生錯(cuò)誤時(shí)發(fā)送。例如，有一種ICMP報(bào)文類型表示目的不可達(dá)。造成不可達(dá)的原因很多，ICMP報(bào)文試圖確定這一問(wèn)題。例如，可能是主機(jī)關(guān)及或整個(gè)網(wǎng)絡(luò)連接斷開(kāi)。有時(shí)候，主機(jī)本身可能沒(méi)有問(wèn)題，但不能發(fā)送數(shù)據(jù)報(bào)。例如IP首部有個(gè)協(xié)議字段，它指明了什么協(xié)議應(yīng)該處理IP數(shù)據(jù)報(bào)中的數(shù)據(jù)部分。IANA公布了代表協(xié)議的數(shù)字的列表。設(shè)置顯示過(guò)濾器為icmp，圖5顯示的是一個(gè)路由器返回的ICMP超時(shí)報(bào)告分組（ICMPerrorpacket）。注意到ICMP超時(shí)報(bào)告分組中包括的信息比PingICMP中超時(shí)報(bào)告分組包含的信息多。圖5：一個(gè)擴(kuò)展ICMP超時(shí)報(bào)告分組信息的Wireshark窗口（替換截圖）步驟6：停止截獲報(bào)文，分析截獲的報(bào)文，回答下列問(wèn)題：1）截獲了報(bào)文中哪幾種ICMP報(bào)文？其類型碼和代碼各為多少？ICMP報(bào)文類型類型碼（type）代碼（code）2）在截獲的報(bào)文中，超時(shí)報(bào)告報(bào)文的源地址分別是多少？_________________________________________________________________________________________________________________________________________________________________________________________________________________________________________3)查看ICMPecho分組，是否這個(gè)分組和前面使用ping命令的ICMPecho一樣？對(duì)于TTL值有什么變化規(guī)律。______________________________________________________________________________________________________________________________________________________________4)查看ICMP超時(shí)報(bào)告分組，它比ICMPecho分組包括的信息多。對(duì)照ICMP協(xié)議，分析一下ICMP超時(shí)報(bào)告分組比ICMPecho分組多包含的信息有哪些？______________________________________________________________________________________________________________________________________________________________5）對(duì)于ICMP超時(shí)報(bào)告分組，找出與命令提示窗口截圖中的第二跳路由器的接口IP地址為，在Wireshark抓包圖中截圖與第二跳路由器的接口IP地址對(duì)應(yīng)的部分并截圖。6）同理，找出第四跳路由器的接口IP地址為