文档介绍：实验:利用Wireshark分析ICMP协议
实验利用Wireshark分析ICMP协议
一、实验目的
分析ICMP协议
二、实验环境
与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。
三、
实验:利用Wireshark分析ICMP协议
实验利用Wireshark分析ICMP协议
一、实验目的
分析ICMP协议
二、实验环境
与因特网连接的计算机,操作系统为Windows,安装有Wireshark、IE等软件。
三、协议简介
ICMP全称InternetControlMessageProtocol,中文名为因特网控制报文协议。它工作在OSI的网络层,向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。
网络本身是不可靠的,在网络传输过程中,可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议,它不会处理网络层传输中的故障,而位于网络层的ICMP协议却恰好弥补了IP的缺限,它使用IP协议进行信息传递,向数据包中的源端节点提供发生在网络层的错误信息反馈。
ICMP的报头长8字节,结构如图1所示。
比特0 7 8 1516 比特31
9
路由器公告(与类型10一起使用)
10
路由器请求(与类型9一起使用)
11
超时
12
参数问题
13
时标请求(与类型14一起使用)
14
时标应答(与类型13一起使用)
15
信息请求(与类型16一起使用)
16
信息应答(与类型15一起使用)
17
地址掩码请求(与类型18一起使用)
18
地址掩码应答(与类型17一起使用)
(表1 ICMP诊断报文类型)
ICMP提供多种类型的消息为源端节点提供网络层的故障信息反馈,它的报文类型可以归纳为以下5个大类:
诊断报文(类型8,代码0;类型0,代码0);
目的不可达报文(类型3,代码0-15);
重定向报文(类型5,代码0-4);
超时报文(类型11,代码0-1);
信息报文(类型12-18)。
Ping命令只有在安装了TCP/IP协议之后才可以使用,其命令格式如下:
ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS][-rcount][-scount]
[[-jhost-list]|[-khost-list]][-wtimeout]target_name
这里对实验中可能用到的参数解释如下:
-t:用户所在主机不断向目标主机发送回送请求报文,直到用户中断;
-ncount:指定要Ping多少次,具体次数由后面的count来指定,缺省值为4;
-lsize:指定发送到目标主机的数据包的大小,默认为32字节,最大值是65,527;
-wtimeout:指定超时间隔,单位为毫秒;
target_name:指定要ping的远程计算机。
Ping和traceroute命令都依赖于ICMP。ICMP可以看作是IP协议的伴随协议。ICMP报文被封装在IP数据报发送。
一些ICMP报文会请求信息。例如:在ping中,一个ICMP回应请求报文被发送给远程主机。如果对方主机存在,期望它们返回一个ICMP回应应答报文。
一些ICMP报文在网络层发生错误时发送。例如,有一种ICMP报文类型表示目的不可达。造成不可达的原因很多,ICMP报文试图确定这一问题。例如,可能是主机关及或整个网络连接断开。
有时候,主机本身可能没有问题,但不能发送数据报。例如IP首部有个协议字段,它指明了什么协议应该处理IP数据报中的数据部分。IANA公布了代表协议的数字的列表。例如,如果该字段是6,代表TCP报文段,IP层就会把数据传给TCP层进行处理;如果该字段是1,则代表ICMP报文,IP层会将该数据传给ICMP处理。如果操作系统不支持到达数据报中协议字段的协议号,它将返回一个指明
“协议不可达”的ICMP报文。IANA同样公布了ICMP报文类型的清单。
Traceroute是基于ICMP的灵活用法和IP首部的生存时间字段的。发送数据报时生存时间字段被初始化为能够穿越网络的最大跳数。每经过一个中间节点,该数字减1。当该字段为0时,保存该数据报的机器将不再转发它。相反,它将向源IP地址发送一个ICMP生存时间超时报文。
生存时间字段用于避免数据报载网络上无休止地传输下去。数据报的发送路径是由中间路由器决定的。通过与其他路由器交换信息,路由器决定数据报的下一条路经。最好的“下一跳”经常由于网络环境的变化而动态改变。这可能导致路由器形成选路循环也会导致正确路径冲突。在路由循环中这种情况很可能发生。例如,路由器A认为数据报应该发送到路由器B,而路由器B又认为该