一、实验目的:
通过wireshark抓包分析IP协议的具体内容
二、预备知识:
1.IP地址存在的意义,就是为了弥补mac地址的不足,用于区分不同的网络
2.还有一些ip协议、ip数据包这些东西
三、网络拓扑
四、实验过程:
part1:数据包的抓取
1.抓取发往www.baidu.com的ip数据包,略,因为虚拟机无法联网,这里桌面有现成的可以进行分析
2.通过ping 10.1.1.166,通过利用wireshark抓取ip数据包进行分析
3.通过ping 10.1.1.166 -l 3000 , ping一个这样3000字节大的数据包,需要分块(3块)
part2:数据包的分析
(1)对于单个ping的ip数据包:
就单独看前2个好了,这个是ip请求数据包
首先,protocol哪里虽然写的是ICMP,但是它的网际层还是用的ip协议
可以从标题看到源ip地址为10.1.1.142 ,目标ip地址为10.1.1.166
打开具体看一看呗:
这个ip协议包含内容为:
版本号ipv4,头部长度20字节
总长度,标志
标志里面就说了,没有分片
还有这个TTL网关生存数,以及之后一层的协议为icmp
下一个对应的响应reply数据包
分析基本一致,值得注意的是,这2个报文的TTL都是128,因为这里的ping路径实在同一个局域网中进行的,没有跨越网关,所以128不会改变
(2) 接着,我们分析一下桌面上的那个访问www.baidu.com的数据包
这里主要看这个TTL字段的变化:
request数据包:
reply数据包:
说明中间经过了128-54=74个网关,嘻嘻
(3)然后,让我们来分析一下ping 10.1.1.166 -l 3000这个分片的数据包
很明显的“2+1”型,2个ipv4 + 1个ICMP,下面重点看里面的ip协议中的分片flag部分:
这是第一个分片的 ,“后面还有分片 + 偏移位置为0号字节”
这是第二个分片的,“后面还有分片+偏移位置为1432号字节”
这是第三个分片的,“后面没有分片+偏移位置为2864号字节”
对应的reply响应数据包可以用同样的方法进行分析