《计算机网络基础及应用》 实训文档 第5章 IPv4协议抓包实践文档.docVIP

PAGE PAGE 1 实验5-2 IPv4协议抓包实践 一、实验目的 （1）理解IP数据包格式 （2）掌握通过抓包软件抓取IP数据包并进行分析的办法。 二、相关理论 网络层使用的协议包括IP、ICMP、ARP等。其中IP数据包占据网络流量的大部分。IP数据包分为“报头区”和“数据区”两部分，其格式如下： 版本 版本 （Version） 首部长度 （IHL） 服务类型（Type of Service） 总长度（Total Length） 标识符（Identification） 标志位 （Flags） 片偏移（Fragment Offset） 存活时间（Time to Live） 协议（Protocol） 首部校验和（Header Checksum） 源IP地址（Source Address） 目的IP地址（Destination Address） 选项（Options） 填充（Padding） 数据（Data） 0 7 15 23 31 图1 IPv4数据报格式 格式中主要字段含义如下： 版本：长度为4位。取值一般为0100（Ipv4）或0110（Ipv6）。 报头长度：长度为4位。指明“报头区”的长度，以32bit为单位。在“报头区”中只有“选项+填充”字段的长度是可变的，其他字段的长度都是固定的。例如：某IP包的报头长度值为0111，表示该IP包的报头长度为7*32bit=28byte，可以计算出该IP包“选项+填充”字段的长度为（7-5）*32bit=8byte。 总长度：长度为16位。表示包括“报头区”+“数据区”在内的IP包的总长度，以字节（8bit）为单位。 生存周期：长度为8位。该字段设置了该IP包可以经过的最多路由器数, 一旦经过一个处理它的路由器,它的值就减去1，当该字段的值为0时,数据报就被丢弃,并发送ICMP消息通知源主机?这种机制可以防止网络出现环路时IP包被不断发送。初始值由源主机设置（通常为32或64）。 协议：长度为8位，用于指定该IP包的上层协议，常见取值有6（TCP）、17（UDP）、1（ICMP）。 源IP、目的IP：长度为32位。用于指定发送者和所期望的接收者的IP地址,在网络传输的过程中基值不会发生变化。 三、实验内容 （1）使用Wireshark软件抓取指定IP包。 （2）对抓取的数据包按协议格式进行各字段含义的分析。 四、实验步骤 （1）打开Wireshark软件，关闭已有的联网程序（防止抓取过多的包），开始抓包； （2）打开浏览器，输入，网页打开后停止抓包。 （3）如果抓到的数据包还是比较多，可以在Wireshark的过滤器（filter）中输入http，按“应用”进行过滤，如图5-39所示。在过滤结果中通过源IP地址和目的IP地址查找与百度通信的相关数据包。 图2 数据包抓包过滤示例 （4）在CMD窗口中（点击“开始”菜单中的“运行”，在弹出的窗口中输入“cmd”，点击“确定”即可进入），输入ipconfig后看到本地主机的IP地址为07，然后输入nslookup ，可以解析出本次通信中。 （5）在过滤的结果中选择与百度通信的一个包括http get请求的数据包，该包用于向网站服务器发出http get请求,如图5-40所示。 图3 选中一个http get请求的数据包示例 （6）选中该数据包后，点开该数据包封装明细区中Internet Protocol前的“+”号，显示该数据包中IP包的头部信息和数据区，如图5-41所示。 图4 选中的数据包中IP协议信息示例 （7）数据区如果以16进制表示，可以在数据区右键菜单中选择“二进制”以2进制表示。 注意:数据区展开的区域是IP包的数据（即Internet Protocol部分所包含的的信息），其余数据是封装该IP包的其他层的数据。 根据你所抓包的信息回答以下问题： 1.该IP包的“版本”字段值为_________(2进制表示)，该值代表该IP包的协议版本为： □IPv4 □IPv6 2.该IP包的“报头长度”字段值为_________(2进制表示)，该值代表该IP包的报头长度为_________字节。 3.该IP包的“总长度”字段值为_______________________(2进制表示)，该值代表该IP包的总长度为_________字节，可以推断出该IP包的数据区长度为_________字节。 4.该IP包的“生存周期”字段值为________________________ (2进制表示)，该值代表该IP包最多还可以经过_________个路由器 5.该IP包的“协议”字段值为___________________________ (2进制表示) ，该值代表该IP包的上层封装协议为_________。 6.该IP