實驗4利用Wireshark分析ICMP和DHCP協(xié)議

1、實驗四 利用Wireshark分析ICMP和DHCP協(xié)議一、實驗目的分析ICMP和DHCP協(xié)議二、實驗環(huán)境與因特網(wǎng)連接的計算機，操作系統(tǒng)為Windows，安裝有Wireshark、IE等軟件。三、實驗步驟Ping和traceroute命令都依賴于ICMP。ICMP可以看作是IP協(xié)議的伴隨協(xié)議。ICMP報文被封裝在IP 數(shù)據(jù)報發(fā)送。一些ICMP報文會請求信息。例如：在ping中，一個ICMP回應請求報文被發(fā)送給遠程主機。如果對方主機存在，期望它們返回一個ICMP回應應答報文。一些ICMP報文在網(wǎng)絡層發(fā)生錯誤時發(fā)送。例如，有一種ICMP報文類型表示目的不可達。造成不可達的原因很多，ICMP報文試圖

2、確定這一問題。例如，可能是主機關及或整個網(wǎng)絡連接斷開。有時候，主機本身可能沒有問題，但不能發(fā)送數(shù)據(jù)報。例如IP首部有個協(xié)議字段，它指明了什么協(xié)議應該處理IP數(shù)據(jù)報中的數(shù)據(jù)部分。IANA公布了代表協(xié)議的數(shù)字的列表。例如，如果該字段是6，代表TCP報文段,IP層就會把數(shù)據(jù)傳給TCP層進行處理；如果該字段是1，則代表ICMP報文，IP層會將該數(shù)據(jù)傳給ICMP處理。如果操作系統(tǒng)不支持到達數(shù)據(jù)報中協(xié)議字段的協(xié)議號，它將返回一個指明“協(xié)議不可達”的ICMP報文。IANA同樣公布了ICMP報文類型的清單。Traceroute是基于ICMP的靈活用法和IP首部的生存時間字段的。發(fā)送數(shù)據(jù)報時生存時間字段被初始化

3、為能夠穿越網(wǎng)絡的最大跳數(shù)。每經(jīng)過一個中間節(jié)點，該數(shù)字減1。當該字段為0時，保存該數(shù)據(jù)報的機器將不再轉發(fā)它。相反，它將向源IP地址發(fā)送一個ICMP生存時間超時報文。生存時間字段用于避免數(shù)據(jù)報載網(wǎng)絡上無休止地傳輸下去。數(shù)據(jù)報的發(fā)送路徑是由中間路由器決定的。通過與其他路由器交換信息，路由器決定數(shù)據(jù)報的下一條路經(jīng)。最好的“下一跳”經(jīng)常由于網(wǎng)絡環(huán)境的變化而動態(tài)改變。這可能導致路由器形成選路循環(huán)也會導致正確路徑?jīng)_突。在路由循環(huán)中這種情況很可能發(fā)生。例如，路由器A認為數(shù)據(jù)報應該發(fā)送到路由器B，而路由器B又認為該數(shù)據(jù)報應該發(fā)送會路由器A，這是數(shù)據(jù)報便處于選路循環(huán)中。生存時間字段長為8位，所以因特網(wǎng)路徑的最大長

4、度為28 -1即255跳。大多數(shù)源主機將該值初始化為更小的值（如128或64）。將生存時間字段設置過小可能會使數(shù)據(jù)報不能到達遠程目的主機，而設置過大又可能導致處于無限循環(huán)的選路中。Traceroute利用生存時間字段來映射因特網(wǎng)路徑上的中間節(jié)點。為了讓中間節(jié)點發(fā)送ICMP生存時間超時報文，從而暴露節(jié)點本身信息，可故意將生存時間字段設置為一個很小的書。具體來說，首先發(fā)送一個生存時間字段為1的數(shù)據(jù)報，收到ICMP超時報文，然后通過發(fā)送生存時間字段設置為2的數(shù)據(jù)報來重復上述過程，直到發(fā)送ICMP生存時間超時報文的機器是目的主機自身為止。因為在分組交換網(wǎng)絡中每個數(shù)據(jù)報時獨立的，所以由tracerout

5、e發(fā)送的每個數(shù)據(jù)報的傳送路徑實際上互不相同。認識到這一點很重要。每個數(shù)據(jù)報沿著一條路經(jīng)對中間節(jié)點進行取樣，因此traceroute可能暗示一條主機間并不存在的連接。因特網(wǎng)路徑經(jīng)常變動。在不同的日子或一天的不同時間對同一個目的主機執(zhí)行幾次traceroute命令來探尋這種變動都會得到不同的結果。為了體現(xiàn)Internet路由的有限可見性，許多網(wǎng)絡都維護了一個traceroute服務器traceroute。Traceroute服務器將顯示出從本地網(wǎng)到一個特定目的地執(zhí)行traceroute的結果。分布于全球的traceroute服務器的相關信息可在上獲得。1、ping 和 ICMP利用Ping程序產(chǎn)生

6、ICMP分組。Ping向因特網(wǎng)中的某個特定主機發(fā)送特殊的探測報文并等待表明主機在線的回復。具體做法：（1）打開Windows命令提示符窗口（Windows Command Prompt）。（2）啟動Wireshark 分組嗅探器，在過濾顯示窗口（filter display window）中輸入icmp,開始Wireshark 分組俘獲。（3）輸入“ping n 10 hostname” 。其中“-n 10”指明應返回10條ping信息。（4）當ping程序終止時，停止Wireshark 分組俘獲。 實驗結束后會出現(xiàn)如圖所示的命令窗口：圖1：命令窗口停止分組俘獲后，會出現(xiàn)如圖2所示的界面：圖2

7、：停止分組俘獲后Wireshark的界面圖3是在分組內容窗口中顯示了ICMP協(xié)議的詳細信息。觀察這個ICMP分組，可以看出，此ICMP分組的Type 8 and Code 0 即所謂的ICMP “echo request” 分組。圖3：ICMP協(xié)議詳細信息在實驗報告中回答下面問題：（1）你所在主機的IP地址是多少？目的主機的IP地址是多少？（2）查看ping請求分組，ICMP的type 和code是多少？（3）查看相應得ICMP響應信息，ICMP的type 和code又是多少？2. ICMP和Traceroute在Wireshark 下，用Traceroute程序俘獲ICMP分組。Tracer

8、oute能夠映射出通往特定的因特網(wǎng)主機途徑的所有中間主機。源端發(fā)送一串ICMP分組到目的端。發(fā)送的第一個分組時，TTL=1；發(fā)送第二個分組時，TTL=2，依次類推。路由器把經(jīng)過它的每一個分組TTL字段值減1。當一個分組到達了路由器時的TTL字段為1時，路由器會發(fā)送一個ICMP錯誤分組（ICMP error packet）給源端。(1) 啟動Window 命令提示符窗口(2) 啟動Wireshark分組嗅探器，開始分組俘獲。（3）Tracert命令在c:windowssystem32下，所以在MS-DOS 命令提示行或者輸入“tracert hostname” or “c:windowssyst

9、em32tracert hostname” (注意在Windows 下, 命令是 “tracert” 而不是“traceroute”。)如圖4所示：（4）當Traceroute 程序終止時，停止分組俘獲。 圖4：命令提示窗口顯示Traceroute程序結果圖5顯示的是一個路由器返回的ICMP錯誤分組（ICMP error packet）。注意到ICMP錯誤分組中包括的信息比Ping ICMP中錯誤分組包含的信息多。圖5：一個擴展ICMP錯誤分組信息的Wireshark 窗口在實驗報告中回答下面問題：（1） 查看ICMP echo 分組 ，是否這個分組和前面使用 ping命令的ICMP echo

10、 一樣？（2） 查看ICMP錯誤分組，它比ICMP echo 分組包括的信息多。ICMP錯誤分組比ICMP echo 分組多包含的信息有哪些？3、分析DHCP為了觀察到DHCP的運行機制，我們會執(zhí)行與DHCP相關的命令，同時俘獲DHCP信息。（1）啟動Windows 命令提示符窗口，輸入“ipconfig /release”。這條命令會釋放主機目前的IP地址，此時，主機IP地址會變?yōu)?0（2）啟動Wireshark分組俘獲，開始分組俘獲。（3）現(xiàn)在回到Windows命令提示符窗口，輸入“ipconfig /renew”命令。這條命令讓主機獲得一個網(wǎng)絡配置，包括新的IP地址。（4）等待，直到“i

11、pconfig /renew”終止。然后再次輸入“ipconfig /renew” 命令。（5）當?shù)诙€命令“ipconfig /renew” 終止時，輸入命令“ipconfig /release” 釋放原來的已經(jīng)分配的IP地址。（6）最后，輸入“ipconfig /renew”再一次給你的I主機分配IP地址。（7）停止分組俘獲。如圖6所示：圖6:輸入上述ipconfig命令后的命令提示窗口為了只看到DHCP 分組，在filter field 中輸入“bootp”。（DHCP是從BOOTP協(xié)議產(chǎn)生的）。BOOTP 和DHCP使用同樣的端口號，67和68。從圖二中可以看出，第一個ipconfig renew 命令產(chǎn)生四個DHCP分組：a DHCP Discover packet, a D