分析所用軟件下載:Wireshark-win32-1.10.2.exe
閱讀導覽
1.分析arp報文的格式與內容
(1)ping 172.18.3.132 的arp請求報文:
000108000604000100e04c512ae8ac12038e000000000000ac120384
物理網絡類型Hardware type: 0001 - Ethernet (1)
協議類型Protocol type: 0800 - IP (0x0800)
物理地址長度Hardware size: 06 - 6
協議地址長度Protocol size: 04 - 4
操作Opcode: 0001 - request (1):
發送方物理地址Sender MAC address:
00e04c512ae8 - RealtekS_51:2a:e8 (00:e0:4c:51:2a:e8)
發送方IP地址Sender IP address:
ac12038e - 172.18.3.142 (172.18.3.142)
目標物理地址Target MAC address:
000000000000 - 00:00:00_00:00:00 (00:00:00:00:00:00)
目標IP地址Target IP address:
ac120384 - 172.18.3.132 (172.18.3.132)
(2)ping 172.18.3.132 的arp響應報文:
000108000604000200e04cf0ca7eac12038400e04c512ae8ac12038e
物理網絡類型Hardware type: 0001 - Ethernet (1)
協議類型Protocol type: 0800 - IP (0x0800):
物理地址長度Hardware size: 06 - 6
協議地址長度Protocol size: 04 - 4
操作Opcode: 0002 - reply (2)
發送方物理地址Sender MAC address:
00e04cf0ca7e - RealtekS_f0:ca:7e (00:e0:4c:f0:ca:7e)
發送方IP地址Sender IP address:
ac120384 - 172.18.3.132 (172.18.3.132):
目標物理地址Target MAC address:
00e04c512ae8 - RealtekS_51:2a:e8 (00:e0:4c:51:2a:e8)
目標IP地址Target IP address:
ac12038e - 172.18.3.142 (172.18.3.142):
(3)ping 202.202.96.35(西南大學主頁) 的arp請求報文:
000108000604000100e04c512ae8ac12038e000000000000ac120381
物理網絡類型Hardware type: 0001 - Ethernet (1)
協議類型Protocol type: 0800 - IP (0x0800)
物理地址長度Hardware size: 06 - 6
協議地址長度Protocol size: 04 - 4
操作Opcode: 0001 - request (1):
發送方物理地址Sender MAC address:
00e04c512ae8 - RealtekS_51:2a:e8 (00:e0:4c:51:2a:e8)
發送方IP地址Sender IP address:
ac12038e - 172.18.3.142 (172.18.3.142)
目標物理地址Target MAC address:
000000000000 - 00:00:00_00:00:00 (00:00:00:00:00:00)
目標IP地址Target IP address:
ac120381 - 172.18.3.129(172.18.3.129)
(4)ping 202.202.96.35 的arp響應報文:
0001080006040002001906561e4bac12038100e04c512ae8ac12038e
物理網絡類型Hardware type: 0001 - Ethernet (1)
協議類型Protocol type: 0800 - IP (0x0800):
物理地址長度Hardware size: 06 - 6
協議地址長度Protocol size: 04 - 4
操作Opcode: 0002 - reply (2)
發送方物理地址Sender MAC address:
001906561e4b - Cisco_56:1e:4b (00:19:06:56:1e:4b)
發送方IP地址Sender IP address:
ac120381 - 172.18.3.129 (172.18.3.129):
目標物理地址Target MAC address:
00e04c512ae8 - RealtekS_51:2a:e8 (00:e0:4c:51:2a:e8)
目標IP地址Target IP address:
ac12038e - 172.18.3.142 (172.18.3.142):
因為202.202.96.35不是局域網內IP所以請求會通過網關送到外網,所以以上操作實際是在與網關通信獲取網關的mac地址以建立arp緩存。
(5)由他機(172.18.3.134)ping本機IP(172.18.3.142) 的arp請求報文:
000108000604000100e04c501178ac120386000000000000ac12038e
物理網絡類型Hardware type: 0001 - Ethernet (1)
協議類型Protocol type: 0800 - IP (0x0800):
物理地址長度Hardware size: 06 - 6
協議地址長度Protocol size: 04 - 4
操作Opcode: 0001 - request (1)
發送方物理地址Sender MAC address:
00e04c501178 - RealtekS_50:11:78 (00:e0:4c:50:11:78)
發送方IP地址Sender IP address:
ac120386 - 172.18.3.134 (172.18.3.134):
目標物理地址Target MAC address:
000000000000 - 00:00:00_00:00:00 (00:00:00:00:00:00)
目標IP地址Target IP address:
ac12038e - 172.18.3.142 (172.18.3.142):
(6) 由他機(172.18.3.134)ping本機IP(172.18.3.142) 的arp響應報文:
000108000604000200e04c512ae8ac12038e00e04c501178ac120386
物理網絡類型Hardware type: 0001 - Ethernet (1)
協議類型Protocol type: 0800 - IP (0x0800)
物理地址長度Hardware size: 06 - 6
協議地址長度Protocol size: 04 - 4
操作Opcode: 0001 - request (1):
發送方物理地址Sender MAC address:
00e04c512ae8 - RealtekS_51:2a:e8 (00:e0:4c:51:2a:e8)
發送方IP地址Sender IP address:
ac12038e - 172.18.3.142 (172.18.3.142)
目標物理地址Target MAC address:
00e04c501178 - RealtekS_50:11:78 (00:e0:4c:50:11:78)
目標IP地址Target IP address:
ac120386 - 172.18.3.134(172.18.3.134)
2.分析ip報文的格式與內容
(1)ping 172.18.3.132 過程中icmp回送請求的ip報文:
4500003c1842000040010349ac12038eac120384
版本(Version):4
首部長度(Header length): 5 - 20 bytes
服務類型(Differentiated Services Field):00
-0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
總長度(Total Length):003c - 60
標識(Identification):18 42 - 0x1842 (6210)
標志(Flags):00 - 0x00
片偏移量(Fragment offset):0000 - 0
壽命(Time to live):40 - 64
協議(Protocol):01 - ICMP (1)
首部校驗和(Header checksum):03 49 - 0x0349 [correct]
源IP地址(Source):ac 12 03 8e - 172.18.3.142 (172.18.3.142)
目的ip地址(Destination):ac 12 03 84 -172.18.3.132 (172.18.3.132)
(2)ping 172.18.3.132 過程中icmp回送應答的ip報文:
4500003c2e9600004001ecf4ac120384ac12038e
版本(Version):4
首部長度(Header length): 5 - 20 bytes
服務類型(Differentiated Services Field):00
-0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
總長度(Total Length):003c - 60
標識(Identification):2e 96 - 0x2e96 (11926)
標志(Flags):00 - 0x00
片偏移量(Fragment offset):0000 - 0
壽命(Time to live):40 - 64
協議(Protocol):01 - ICMP (1)
首部校驗和(Header checksum):ec f4 - 0xecf4 [correct]
源IP地址(Source):ac 12 03 84 -172.18.3.132 (172.18.3.132)
目的ip地址(Destination):ac 12 03 8e - 172.18.3.142 (172.18.3.142)
數據:為icmp報文
(3)訪問swu.edu.cn 過程中某UDP協議的ip報文:
450000240ef600004011bc0cac1203b5ffffffff
版本(Version):4
首部長度(Header length): 5 - 20 bytes
服務類型(Differentiated Services Field):00
-0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
總長度(Total Length):00 24 - 36
標識(Identification):0e f6 - 0x0ef6 (3830)
標志(Flags):00 - 0x00
片偏移量(Fragment offset):0000 - 0
壽命(Time to live):40 - 64
協議(Protocol):11 - UDP (17)
首部校驗和(Header checksum):bc 0c - 0xbc0c [correct]
源IP地址(Source):ac 12 03 b5 -172.18.3.181 (172.18.3.181)
目的ip地址(Destination):ff ff ff ff - 255.255.255.255 (255.255.255.255)
數據:為UDP報文
(4)訪問swu.edu.cn 過程中某OSPF協議的ip報文:
6e00000000245901fe80000000000000021906fffe561e4bff020000000000000000000000000005
版本(Version):6
通信類型(Traffic class): = e 0
位流標記( Flowlabel): 0 00 00
載荷長度(Payload length):00 24 - 36
下一個報頭(Next header): 59 -OSPF IGP (89)
跳數限制(Hop limit): 01 - 1
源ip地址(Source): fe 80 00 00 00 00 00 00 02 19 06 ff fe 56 1e 4b
- fe80::219:6ff:fe56:1e4b
目的ip(Destination): ff 02 00 00 00 00 00 00 00 00 00 00 00 00 00 05
- ff02::5
(5)訪問swu.edu.cn 過程中某tcp協議的ip報文:
450000341c4d40004006fcbeac12038768190a06
版本(Version):4
首部長度(Header length): 5 - 20 bytes
服務類型(Differentiated Services Field):00
-0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
總長度(Total Length):00 34 - 52
標識(Identification):1c 4d - 0x1c4d (7245)
標志(Flags):40 - 0x02( Don't Fragment)
片偏移量(Fragment offset):0000 - 0
壽命(Time to live):40 - 64
協議(Protocol):06 - TCP (6)
首部校驗和(Header checksum):fc be - 0xfcbe [correct]
源IP地址(Source):ac 12 03 87 -172.18.3.135
目的ip地址(Destination):68 19 0a 06 - 104.25.10.6
數據:為TCP報文
分析ip分片報文的格式與內容
(1) ping -l 4000 172.18.3.136 過程中icmp回送請求的ip分片報文:
本次ip報文被分成3片:
第一個分片
45000034087340004006cacdac120387246e937c
DF:0
MF:1
Fragment offset: 0
第二個分片:
450005dc087420b94001ecc0ac120387ac120388
DF:0
MF:1
Fragment offset: 1480
第三個分片:
4500042c0874017240010db8ac120387ac120388
DF:0
MF:0
Fragment offset: 2960
(2) ping -l 5000 172.18.3.136 過程中icmp回送請求的ip分片報文
本次ip報文被分成4片:
第一個分片
450005dc08d520004001ed18ac120387ac120388
DF:0
MF:1
Fragment offset: 0
第二個分片:
450005dc08d520b94001ec5fac120387ac120388
DF:0
MF:1
Fragment offset: 1480
第三個分片:
450005dc08d521724001eba6ac120387ac120388
DF:0
MF:1
Fragment offset: 2960
第四個分片:
4500024c08d5022b40010e7eac120387ac120388
DF:0
MF:0
Fragment offset: 4440
(3)ping -l 2000 202.202.96.35 過程中icmp回送請求的ip分片報文
本次ip報文被分成2片:
第一個分片
450005dc08db2000400171bfac120387caca6023
DF:0
MF:1
Fragment offset: 0
第二個分片:
4500022408db00b9400194beac120387caca6023
DF:0
MF:0
Fragment offset: 1480
(4)ping -l 3000 www.baidu.com(未ping通) 過程中icmp回送請求1的ip分片報文
本次ip報文被分成3片:
第一個分片
450005dc042320004001cb85ac120399b461216c
DF:0
MF:1
Fragment offset: 0
第二個分片:
450005dc042320b94001caccac120399b461216c
DF:0
MF:1
Fragment offset: 1480
第三個分片:
45000044042301724001efabac120399b461216c
DF:0
MF:0
Fragment offset: 2960
(5)ping -l 3000 www.baidu.com(未ping通) 過程中icmp回送請求2的ip分片報文
本次ip報文被分成3片:
第一個分片
450005dc042f20004001cb79ac120399b461216c
DF:0
MF:1
Fragment offset: 0
第二個分片:
450005dc042f20b94001cac0ac120399b461216c
DF:0
MF:1
Fragment offset: 1480
第三個分片:
45000044042f01724001ef9fac120399b461216c
DF:0
MF:0
Fragment offset: 2960
在進行ip分片報文分析實驗的時候,注意使用ping –l命令設置合適ip報文的長度以達到不同的分片效果。
3. 分析icmp報文的格式與內容
(1)ping 172.18.3.132 的icmp回送請求報文1:
08004a5c020001006162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
類型(type):08 -回送請求
代碼(code):00
校驗和(Checksum):4a 5c
標識Identifier (BE) Identifier (LE):02 00
序號Sequence number (BE)、Sequence number (LE):01 00
可選數據(Date):
6162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
(2)ping 172.18.3.132 的icmp回送應答報文1:
0000525c020001006162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
類型(type):00 -回送應答
代碼(code):00
校驗和(Checksum):52 5c
標識Identifier (BE) Identifier (LE):02 00
序號Sequence number (BE)、Sequence number (LE):01 00
可選數據(Date):
6162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
(3)ping 172.18.3.132 的icmp回送請求報文2:
0800495c020002006162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
類型(type):08 -回送請求
代碼(code):00
校驗和(Checksum):49 5c
標識Identifier (BE) Identifier (LE):02 00
序號Sequence number (BE)、Sequence number (LE):02 00
可選數據(Date):
6162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
(4)ping 172.18.3.132 的icmp回送應答報文2:
0000515c020002006162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
類型(type):00 -回送應答
代碼(code):00
校驗和(Checksum):51 5c
標識Identifier (BE) Identifier (LE):02 00
序號Sequence number (BE)、Sequence number (LE):02 00
可選數據(Date):
6162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
(5) 202.202.96.35(西南大學主頁) 的icmp回送請求報文1:
08003e5c02000d006162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
類型(type):08 -回送請求
代碼(code):00
校驗和(Checksum):3e 5c
標識Identifier (BE) Identifier (LE):02 00
序號Sequence number (BE)、Sequence number (LE):0d 00
可選數據(Date):
6162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
(6)ping202.202.96.35(西南大學主頁) 的icmp回送應答報文1:
0000465c02000d006162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
類型(type):00 -回送應答
代碼(code):00
校驗和(Checksum):46 5c
標識Identifier (BE) Identifier (LE):02 00
序號Sequence number (BE)、Sequence number (LE):0d 00
可選數據(Date):
6162636465666768696a6b6c6d6e6f7071727374757677616263646566676869
由上述實驗看出:
成對的icmp請求和應答報文的標識和序號字段相同。
Ping命令基於icmp回送請求和應答報文工作,它的作用是檢測一個目的站是否可達。
Icmp用於解決控制問題和實現報錯機制,它可以幫助維護Internet的投遞秩序。