5.网络层分析.ppt

网络优化与故障检测--sniffer 许兴鹍 网络层分析 IP数据报格式 IP数据报格式 版本：用于传输数据的IP版本，占4位。 头部长度：用于规定报头长度，占4位，单位为4字节，最大60字节。 服务类型：用于设置数据传输的优先级，占8位。 总长度：指出数据报的总长，数据报总长=报头长度+数据长度，占16位，单位为1字节，IP包最大长度为65535字节。 标识：用于唯一标识IP包，占16位。 分段标志：确定一个数据报是否可以分段，同时也指出当前分段后面是否还有更多分段，占3位。 IP数据报格式 分段标志占3比特，只用到低位的两个比特 MF（More Fragment） MF=1，后面还有分片的数据包 MF=0，分片数据包的最后一个 DF（Dont Fragment） DF=1，不允许分片 DF=0，允许分片 分段偏移量：用于确定IP分段在整个数据报中的位置，占13位，单位为8字节。 生存时间：设置数据报可以经过的最多路由器数，占8位，TTL（Time To Live）丢弃TTL=0的报文。 IP数据报格式 协议：指定荷载中的数据的上层协议，占8位， 1 ：ICMP 6 ：TCP 17：UDP 89：OSPF 校验和：检查所传输数据的完整性，占16位，对IP协议首部的校验和。（校验和小工具的使用） 源地址：源IP地址，占32位； 目标地址：目标IP地址，占32位； IP数据报格式 选项：不是一个必须的字段，字段长度具体取决于所选择的IP选项； 数据：包含网络中传输的数据，IP数据报还包括上层协议的报头信息； Sniffer过滤器使用 1、三种过滤器的含义及应用分析 监视过滤器 捕获过滤器 显示过滤器 2、过滤器配置详解 实践 IP分片传输实验。。。 过滤器配置 Ping 目的IP –n 1 -l 2000 物理环路实验。。。 路由环路实验。。。 练习 1、填空：建立一个捕获所有去往网络130.56.x.x的流量的过滤器 练习 2、填空：创建一个过滤器捕获所有的ARP通讯(请求和回应) 练习 3、在PC1上用数据包发生器创建一个数据包并发送到网络上。在PC2上截获此数据包并确认。 目的IP：172.16.1.254 源IP：172.16.1.1 目的MAC：自行设计 源MAC：自行设计 其他字段信息：自行设计 IP荷载：全部是A ICMP协议分析 ICMP(Internet Control Message Protocol) 网络层协议，主要用于在网络设备与网络设备之间传递控制信息，包括报告错误、查询信息等。 两种形式：差错数据报文和查询数据报文。 ICMP 数据报文封装在IP数据报文里传输。 ICMP协议分析 ICMP协议分析 ICMP协议分析 类型(type): 查询报文 差错报告报文 类型域 ICMP报文类型 类型域 ICMP报文类型 8 回应请求 3 目的地不可到达 0 回应应答 4 源抑制 13 时戳请求 11 数据报超时 14 时戳应答 12 数据报参数错 17 子网掩码请求 5 重定向 18 子网掩码响应 代码(code): 提供报文类型的进一步信息 ;具体请查看word参考文档。 类型和代码共同组合，确定ICMP报文的具体含义 ICMP协议分析 数据区： 类型不同，数据区的内容不同 1、差错报文：包括出错数据报报头及该数据报前64bit的数据；这些信息可以帮助信源机确定出错数据报； 2、查询报文：标识码和顺序号 ICMP协议分析 ICMP请求/应答报文（查询报文） 以请求/应答对形式双向传输的报文； 1、 回应请求 / 回应应答 2、 时戳请求 / 时戳应答 3、 地址模请求 / 地址模应答 （子网掩码） ICMP协议分析 1.回应请求与应答 ICMP协议分析 2.时戳请求与应答 目的:同步互连网中各个主机的时钟;计算报文在源主机与目标主机之间往返时间 ICMP协议分析 3.地址模（子网掩码）请求与应答报文 目的：为了正确的解释子网地址，主机需要发出地址模请求报文，网关发回相应的应答； ICM