网络安全大报告new.docx-道客多多

资源描述

1、 0网络安全技术大报告专业：电子信息工程姓名：代张龙学号：200911513335指导老师：李辉1网络安全技术大报告实验一一、上机目的和要求（1）了解网络协议分析器 Ethereal的基本知识（2）掌握 Ethereal安装过程（3）掌握使用 Ethereal捕捉数据包的方法（4）能对捕获到的包简单分析二、实验内容安装 Ethereal软件和相应的 WinpCap软件，启动 Ethereal并设置相应的选项，捕获一段记录。三、实验设备PC机、Ethereal 软件、WinpCap 软件四、背景知识Ethereal是一个有名的网络端口探测器，是可以在 Linux、Solaris、SGI 等各种平

2、台运行的网络监听软件，它主要是针对 TCP/IP协议的不安全性对运行该协议的机器进行监听。其功能相当于 Windows下的 Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。Ethernet 网络监测工具可在实时模式或离线模式中用来捕获和分析网络通信。下面是使用 Ethereal 可以完成的几个工作：网络管理员使用它去帮助解决网络问题网络安全工程师用它去测试安全问题开发人员用它是调试协议的实现过程用它还可以帮助人员深入的学习网络协议下面是 Ethereal 提供的一些特性：支持 UNIX 平台和 Windows 平台。

3、从网络接口上捕获实时数据包以非常详细的协议方式显示数据包可以打开或者存贮捕获的数据包导入/导出数据包，从/到其它的捕获程序按多种方式过滤数据包按多种方式查找数据包根据过滤条件，以不同的颜色显示数据包可以建立多种统计数据其最常用的功能是被攻击者用来检测被攻击电脑通过 23(telnet)和 110(pop3)端口进行的一些明文传输数据，以轻松得到用户的登录口令和邮件账号密码。对于网络管理员来说，也可以通过捕包分析，来确定一些异常的流量和局域网内部的非正常用户与2外界的通信，比如说对于现在比较占用网络带宽的诸如 Bit Torrent 等 P2P应用软件流量，通过使用该软件确定这些流

4、量，网络管理员就可以使用流量控制(TC)的方法来规范、合理的分配带宽资源，提高网络的利用率。五、实验步骤1、安装 Ethereal和 WinpCap。有的 Ethereal中自带 WinpCap就不需要再另外安装了。实验室里面一般安装好了。下载地址：http:/www.E2、启动 Ethereal，界面如下：图 1 Ethereal启动界面最初的窗口中没有数据，因为还没有开始捕获数据包，首先来认识一下界面。Ethereal主窗口有很多的 GUI程序组成：(1) File(文件)：这个菜单包含：打开文件、合并文件、保存/打印/导出整个或部分捕获文件、退出。(2) Edit(编辑)这个菜单包括：查

5、找包、时间参照、标记一个或多个包、设置参数、(剪切、复制、粘贴)。(3) View(查看)：这个菜单控制捕获数据的显示，包括：给定特定的一类包标以不同的颜色、字体缩放、在一个新窗口中显示一个包、展开&折叠详细信息面板的树状结构。(4) Go：这个菜单实现转到一个特定包。(5) Capture(捕获)：这个菜单实现开始、停止捕获，编辑捕获过滤条件的功能。(6) Analyze(分析)：这个菜单包含编辑显示过滤、enable(开)或 disable(关)协议解码器、配置用户指定的解码方法、追踪一个 TCP 流。(7) Statistics(统计)：该菜单完成统计功能。包括捕获的包的一个摘要、基于协

6、议的包的数量等树状统计图等许多功3(8) Help(帮助)这个菜单包含了一些对用户有用的信息。比如基本帮助、支持的协议列表、手册页、在线访问到网站等等。3、使用 Capture Options对话框。要想获得一个跟踪记录，我们首先从 Capture(捕获)菜单中选择“Capture Options”（捕获选项）,并用 Capture Options对话框来指定跟踪记录的各个方面。图 2 Caption Options 选项框（1）Interface（接口）首先要选择合适的接口，也就是网卡，如何不选择合适的接口，可能捕获不到数据包。图 2中黄色框 1，这个字段指定在哪个接口进行捕获。这是一个下拉

7、字段，只能从中选择 Ethereal 识别出来的接口，要想捕获到数据，首先要选择正确的适配器（网卡），如果一台机器同时拥有以太网网卡和无线网络网卡，你必须选择其中一个进行监测。（2）IP address(IP 地址)所选接口卡的 IP 地址。如果不能解析出 IP 地址，则显示“unknown“。4（3）Link-layer header type(链路层头类型)除非你在极个别的情况下可能用到这个字段，大多数情况下保持默认值。（4）Buffer size: n megabyte(s) (缓冲区大小：n 兆)输入捕获时使用的 buffer 的大小。这是核心 buffer 的大小，捕获的数据首先保

8、存在这里，直到写入磁盘。如果遇到包丢失的情况，增加这个值可能解决问题。本实验中保持默认值。（5） Capture packets in promiscuous mode (在混杂模式捕获包，绿色框 2)这个选项允许设置是否将网卡设置在混杂模式。如果不指定，Ethereal 仅仅捕获那些进入你的计算机的或送出你的计算机的包。(而不是 LAN 网段上的所有包)。要想把网络接口设置为混杂模式，需要对这台计算机具有管理员特权。可以选。（6）Limit each packet to n bytes (限制每一个包为 n 字节)这个字段设置每一个数据包的最大捕获的数据量。有时称作 snaplen 。如果

9、disable 这个选项默认是 65535, 对于大多数协议来讲中够了。本实验中保持默认值。（7） Capture Filter(捕获过滤，蓝色框 3)这个字段指定一个捕获过滤。 “在捕获时进行过滤”部分进行讨论。默认是空的，即没过过滤。也可以点击标为 Capture Filter 的按钮, Ethereal 将弹出 Capture Filters(捕获过滤)对话框，来建立或者选择一个过滤。例如，你可以用下面的过滤器来捕获那些只从 IP地址 192.168.0.1发出和发往它的分组：host 192.168.0.1。Ethereal 过滤器功能很强，但是需要学习一种简单的过滤语言。本实验中保持

10、默认值，暂时不需设置。（8）Capture File（捕获文件，紫色框 4）可以指定将捕获的分组直接保存在一个文件中，而不是在内存中。选择一个合适的文件夹，将捕获的信息存入。（9）Use Multiple Files（使用多个文件，枚红色框 5）使用这个选项，分组可以被写入多个文件。这些控制对于捕获较大较长的跟踪记录是很重要的。本实验中保持默认值。（10）Stop Capture（停止捕获）可以设定一些停止捕获的选项，自动停止捕获。5本实验中保持默认值。（11）Name Resolution（名字解析，黑色框 7）在任何可能的情况下，可以要求 Ethereal把分中不同的数字翻译成为人们易读的

11、名字。如：启用MAC地址转换，Ethereal 会将一部分地址转化为厂商的名称。如启用网络地址转换，Ethereal 会试图将一个网络地址（201.100.1.9 的 IP地址）转化为一个主机名，如。本实验中保持默认值。（12）Update list of packets in real time （实时更新分组列表，红色框 6）每个新的分组都会被添加到主窗口中的分组列表中去。勾选。4、开始捕获数据包。上述的各项选择好后，点击“start”开始捕获数据包，下图为捕获时的情形。图 2 捕获数据包这个窗口概述了被捕捉的各种类型包的量。5、停止捕获。大约等一段时间后（30-60 秒），点击“st

12、op”按钮，停止捕获后，会弹出下面的窗体，显示了刚才捕获到的包。6捕捉包序号捕捉时间目的地址源地址上层协议包内容提要图 3 网络分析器 Ethereal主界面上图中标示出了主界面的各个部分，大家要仔细观察，了解捕获的内容。6、完成捕获。恭喜你！现在，你拥有了刚才在你的电脑通过网络进行交换的协议消息，你已经完成了一次成功的协议数据捕获。任务一ARP 协议分析实验 1ARP 协议介绍ARP 是地址解析协议（ Reverse Address Resolution Protocol）的缩写，负责实现从 IP 地址到物理地址（如以太网 MAC 地址）的映射。在实际通信中，物理网络使用硬件地

13、址进行报文传输。IP 报文在封装为数据链路层帧进行传送时，就有必要把 IP 地址转换为对应的硬件地址，ARP 正是动态地完成这一功能的。（1）ARP 报文格式图 26 ARP 报文格式 ARP 协议报文是定长的，其格式如图 26 所示，报文中每一字段的含义如下： * 硬件类型：表示物理网络的类型， “0X0001”表示以太网； * 协议类型：表示网络网络协议类型， “0X0800”表示 IP 协议； * 硬件地址长度：指定源/ 目的站物理地址的长度，单位为字节； * 协议地址长度：指定源/ 目的站 IP 地址的长度，单位为字节；菜单栏工具栏过滤器工具栏包概况窗体协议树窗体协议树窗体包的1

14、6进制代码区包的ASCII代码区7* 操作：指定该报文的类型， “1”为 ARP 请求报文， “2”为 ARP 响应报文； * 源端硬件/IP 地址：由 ARP 请求者填充； * 目的站物理地址：在请求报文中为 0，在响应报文中，由由发送响应报文的主机填写接收该报文的目的主机的物理地址； * 目的站 IP 地址：由 ARP 请求者填充，指源端想要知道的主机的 IP 地址。只有 IP 地址等于该 IP 地址的主机才向源主机发送相应报文。（2）ARP 的工作方式在以太网中，每台使用 ARP 协议实现地址解析的主机都在自己的高速缓存中维护着一个地址映射表，这个 ARP表中存放着最近和它通信的

15、同网络中的计算机的 IP 地址和对应的 MAC 地址。注意：不同网络中的 IP 地址将对应网关。当两台计算机通信时，源主机首先查看自己的 ARP 表中是否有目的主机的 IP 地址项，若有则使用对应的 MAC 地址直接向目的主机发送信息；否则就向网络中广播一个 ARP 请求报文，当网络中的主机收到该 ARP 请求报文时，首先查看报文中的目的 IP 地址是否与自己的 IP 地址相符，若相符则将请求报文中的源 IP 地址和 MAC 地址写入自己的 ARP 表中；然后，创建一个 ARP 响应报文，将自己的 MAC 地址填入该响应报文中，发送给原主机。注意：ARP 响应报文不再广播，而是直

16、接发送给请求者。源主机收到响应报文后，取出目的 IP 地址和 MAC 地址加入到自己的 ARP 表中，并利用获得的目的 MAC 地址向目的端主机发送信息。在实际中，为了节省内存空间和 ARP 表的查询时间，若某一个 ARP 地址项很久没有使用，则会从地址映射表中删除。 2Arp 命令简介本次实验使用的 Windows 自带的 Arp 命令提供了显示和修改地址解析协议所使用的地址映射表的功能。 Arp 命令的格式要求如下： ARP -s inet_addr eth_addr if_addr ARP -d inet_addr if_addr ARP -a inet_addr -N if_a

17、ddr 其中： * -s：在 ARP 缓存中添加表项：将 IP 地址 inet_addr 和物理地址 ether_addr 关联，物理地址由以连字符分隔的 6 个十六进制数给定，使用点分十进制标记指定 IP 地址，添加项是永久性的； * -d：删除由 inet_addr 指定的表项； * -a：显示当前 ARP 表，如果指定了 inet_addr 则只显示指定计算机的 IP 和物理地址； * inet_addr：以点分十进制标记指定 IP 地址； * -N：显示由 if_addr 指定的 ARP 表项； * if_addr：指定需要选择或修改其地址映射表接口的 IP 地址； * ether_

18、addr：指定物理地址； 3实验环境与说明（我们机房已经具备这样的实验环境，请忽略）（1）实验目的分析 ARP 协议的报文格式，理解 ARP 协议的解析过程。（2）实验设备和连接实验设备和连接图如图 27 所示，一台 S2126G 交换机连接了 2 台 PC 机，分别命名为 PC1、PC2，交换机命名为 Switch。 8图 27ARP 协议分析实验连接图（3）实验分组每四名同学为一组，其中每两人一小组，每小组各自独立完成实验。 4实验步骤步骤 1：按照如图 27 所示连接好设备，配置 PC1 和 PC2 的 IP 地址；（编者注：实验室中任何一台PC都可以作为模型中的 PC1或者

19、PC2。）步骤 2：在： PC1、PC2 两台计算机上执行如下命令，清除 ARP 缓存： ARP d 步骤 3：在 PC1、PC2 两台计算机上执行如下命令，查看高速缓存中的 ARP 地址映射表的内容： ARP a 步骤 4：在 PC1 和 PC2 上运行 Ethereal 截获报文，为了截获和实验内容有关的报文， Ethereal 的 Captrue Filter 设置为默认方式；步骤 5：在主机 PC1 上执行 Ping 命令向 PC2 发送数据报； 9步骤 6：执行完毕，保存截获的报文并命名为 arp-1-学号；步骤 7：在 PC1、PC2 两台计算机上再次执行 ARP a 命令

20、，查看高速缓存中的 ARP 地址映射表的内容： 1）这次看到的内容和步骤 3 的内容相同吗？结合两次看到的结果，理解 ARP 高速缓存的作用。答：看到的内容不相同，第一次看到的结果没有 PC2的 IP地址在 ARP高速缓存中，高速缓存的作用下次再要访问 ARP高速缓存中的 IP地址的主机时，不需要再次发送 ARP请求去获10取 MAC地址。直接从高速缓存中读取就可以了。可以有效缓解链路的压力。2）把这次看到到的高速缓存中的 ARP 地址映射表写出来。答：Interface：192.168.5.24 -0x2Internet Address Physical Address Type1

21、92.168.5.24 00-1b-b9-b6-6f-cf dynamic192.168.5.111 00-1b-b9-b5-c3-20 dynamic步骤 8：重复步骤： 45，将此结果保存为 arp-2-学号；步骤 9：打开 arp-1-学号，完成以下各题： 1）在截获的报文中由几个 ARP 报文？在以太帧中，ARP 协议类型的代码值是什么？答：截获 5个 ARP报文，在以太帧中,ARP 协议类型的代码值是（0X0806）. 2）打开 arp-2-学号，比较两次截获的报文有何区别？分析其原因。答：第一次截获的报文中需要再要访问 ARP高速缓存中的 IP地址的主机时，访问 PC2中的

22、IP地址192.168.5.24，第二次不需要再次发送 ARP请求去获取 MAC地址。直接从高速缓存中读取就可以了，因为在 ARP高速缓存中已经存在 PC2的 IP地址，只要从本机读取就可以了，所以从新去访问 PC2机的 IP地址。3）分析 arp-1 中 ARP 报文的结构，完成表 11。表 11 ARP 报文分析 ARP 请求报文 ARP 应答报文字段报文信息及参数字段报文信息及参数硬件类型 Ethernet 硬件类型 Ethernet协议类型 IP(0x0800) 协议类型 IP(0x0800)硬件地址长度 6 硬件地址长度 6协议地址长度 4 协议地址长度 411操作 requ

23、est(0x0001) 操作 reply(0x0002)源站物理地址 00:1b:b9:b7:7b:76 源站物理地址 00:1b:b9:b5:bf:de源站 IP 地址 192.168.5.24 源站 IP 地址 192.168.5.23目的站物理地址 00:00:00:00:00:00 目的站物理地址 00:1b:b9:b7:7b:76目的站 IP 地址 192.168.5.23 目的站 IP 地址 192.168.5.24五心得体会。通过这次上机实验让我知道了网络协议分析器 Ethereal的基本知识；掌握 Ethereal安装过程；掌握使用 Ethereal捕捉数据包的方法；能对捕获

24、到的包简单分析；对 ARP高速缓存有了新的认识和理解；让我对网络安全技术有了更清晰的认识和了解，虽然在这次上机中遇到了多多少少的问题，但在老师和同学的帮助下解决了这些困难，为我今后学习网络安全技术奠定了基础。当遇到实际问题时，只要认真思考，运用所学的知识，一步一步的去探索，是完全可以解决遇到的一般问题的。任务二TCP 协议三次握手分析实验一上机内容和要求以主机使用 HTTP访问为例，分析 TCP的三次握手过程。启动 Ethereal，点击【Capture】的【Start】菜单项开始抓包。启动 IE浏览器，输入 www. ，等到主页完全显示，点击【Stop】按钮，停止包的捕获。在 Et

25、hereal的显示过滤器输入栏中输入“tcp.port= =80”，将显示所有 TCP的端口号为 80的报文段。二、实验内容安装 Ethereal软件和相应的 WinpCap软件，启动 Ethereal并设置相应的选项，捕获一段记录。三、实验设备PC机、Ethereal 软件、WinpCap 软件四、实验内容。(1)以主机使用 HTTP访问为例，分析 TCP的三次握手过程。(2)启动 Ethereal，点击【Capture】的【Start】菜单项开始抓包。(3)启动 IE浏览器，输入 www. ，等到主页完全显示，点击【Stop】按钮，停止包的捕获。12(4)在 Ethereal的显示过滤

26、器输入栏中输入“tcp.port= =80”，将显示所有 TCP的端口号为 80的报文段。第一次握手：第二次握手：13第三次握手结合本节 TCP 协议介绍部分的内容，分析 TCP 连接建立的 “三次握手”过程，找到对应的报文，填写表 12（传输方向填写 PC2=PC1 或 PC2 http 1451 http(80) 0 1 06 http 1451 80 1451 0 1 1 17 1451 http 1451 http(80) 1 1 0 1注意：Ethereal 协议树中 TCP 协议下的“SEQ/ACK analysis”的内容（这不是 TCP 报文的真实内容，而是 Etherea

27、l 给我们提供信息），找到 TCP 数据传输报文的序号和确认报文五心得体会。通过这次上机实验让我知道了以主机使用 HTTP访问为例，分析 TCP的三次握手过程。在 Ethereal的显示过滤器输入栏中输入“tcp.port= =80”，将显示所有 TCP的端口号为 80的报文段。更熟悉了三次握手的全过程，让我对网络安全技术有了更清晰的认识和了解，虽然在这次上机中14遇到了多多少少的问题，但在老师和同学的帮助下解决了这些困难，为我今后学习网络安全技术奠定了基础。当遇到实际问题时，只要认真思考，运用所学的知识，一步一步的去探索，是完全可以解决遇到的一般问题的。实验三ICMP 协议分析实验 1

28、 ICMP 协议介绍ICMP（Internet Control Message Protocol）是因特网控制报文协议RFC792的缩写，是因特网的标准协议。ICMP 允许路由器或主机报告差错情况和提供有关信息，用以调试、监视网络。（1）ICMP 的报文格式图 20 ICMP 回送请求和应答报文格式在网络中，ICMP 报文将封装在 IP 数据报中进行传输。由于 ICMP 的报文类型很多，且又有各自的代码，因此，ICMP 并没有一个统一的报文格式供全部 ICMP 信息使用，不同的 ICMP 类别分别有不同的报文字段。 ICMP 报文只在前 4 个字节有统一的格式，即类型、代码和校验和 3

29、个字段。接着的 4 个字节的内容与 ICMP 报文类型有关。图 20 描述了 ICMP 的回送请求和应答报文格式，ICMP 报文分为首部和数据区两大部分。其中： * 类型：一个字节，表示 ICMP 消息的类型，内容参见表 5； * 代码：一个字节，用于进一步区分某种类型的几种不同情况； * 校验和：两个字节，提供对整个 ICMP 报文的校验和；（2）ICMP 的报文类型 ICMP 报文的种类可以分为 ICMP 差错报告报文和 ICMP 询问报文两种，表 5 列出了已定义的几种ICMP 消息。表 5 ICMP 消息及类型码类型的值 ICMP 消息类型类型的值 ICMP 消息类型0 回送

30、(Echo)应答 12 参数出错报告3 目的站点不可达 13 时间戳(Timestamp)请求4 源站点抑制(Source quench) 14 时间戳(Timestamp)应答5 路由重定向(Redirect) 15 信息请求8 回送请求 16 信息应答159 路由器询问 17 地址掩码(Address mask)请求10 路由器通告 18 地址掩码(Address mask) 应答11 超时报告其中差错报告报文主要有目的站点不可达、源站点抑制、超时、参数问题和路由重定向 5 种；ICMP 询问报文有回送请求和应答、时间戳请求和应答、地址掩码请求和应答以及路由器询问和通告 4 种。（3）

31、ICMP 常见的消息类型下面介绍几种常用的 ICMP 消息类型。 * 目的站点不可达（3）产生 “目的站点不可达”的原因有多种。在路由器不知道如何到达目的网络、数据报指定的源路由不稳定、路由器必须将一个设置了不可分段标志的数据报分段等情况下，路由器都会返回此消息。如果由于指明的协议模块或进程端口未被激活而导致目的主机的 IP 不能传送数据报，这时目的主机也会向源主机发送 “目的站点不可达”的消息。为了进一步区分同一类型信息中的几种不同情况，在 ICMP 报文格式中引入了代码字段，该类型常见信息代码及其意义如下：表 6 ICMP 类型 3 的常见代码代码描述处理代码描述

32、处理 0 网络不可达；无路由到达主机1 主机不可达；无路由到达主机 2 协议不可用；连接被拒绝 3 端口不可达；连接被拒绝 4 需分段但 DF 值为 0；报文太长 5 源路由失败；无路由到达主机 * 源站点抑制（4）此消息类型提供了流控制的一种基本形式。当数据报到达得太快，路由器或主机来不及处理时，这些数据报就必须被丢弃。丢弃数据报的计算机就会发一条“源站点抑制”的 ICMP 报文。 “源站点抑制”消息的接收者就会降低向该消息发送站点发送数据报的速度。 * 回送请求（8）和回送应答（0）这两种 ICMP 消息提供了一种用于确定两台计算机之间是否可以进行通信的机制。当一

33、个主机或路由器向一个特定的目的主机发出 ICMP 回送请求报文时，该报文的接收者应当向源主机发送 ICMP 回送应答报文。 * 时间戳请求（15）和时间戳应答（16）这两种消息提供了一种对网络延迟进行取样的机制。时间戳请求的发送者在其报文的信息字段中写入发送消息的时间。接收者在发送时间戳之后添加一个接收时间戳，并作为时间戳应答消息报文返回。 * 地址掩码请求（17）和地址掩码应答（18）主机可以用 “地址掩码请求”消息来查找其所连接网络的子网掩码。主机在网络上广播请求，并等待路由器的包含子网掩码的 “地址掩码应答”消息报文的到来。 * 超时报告（11）当一个数据报的 T

34、TL 值到达 0 时，路由器将会给源主机发送超时报文。 2基于 ICMP 的应用程序目前网络中常用的基于 ICMP 的应用程序主要有 ping 命令和 tracert 命令。（1）ping 命令 16Ping 命令是调试网络常用的工具之一。它通过发出 ICMP Echo 请求报文并监听其回应来检测网络的连通性。图 21 显示了 Ethereal 捕获的 ICMP Echo 请求报文和应答报文。图 21 ICMP Echo 请求报文和应答报文 Ping 命令只有在安装了 TCP/IP 协议之后才可以使用，其命令格式如下： ping -t -a -n count -l size -f -i T

35、TL -v TOS -r count -s count -j host-list | -k host-list -w timeout target_name 这里对实验中可能用到的参数解释如下： * -t ：用户所在主机不断向目标主机发送回送请求报文，直到用户中断； * -n count：指定要 Ping 多少次，具体次数由后面的 count 来指定，缺省值为 4； * -l size：指定发送到目标主机的数据包的大小，默认为 32字节，最大值是 65,527； * -w timeout：指定超时间隔，单位为毫秒； * target_name：指定要 ping 的远程计算机。（2）Tra

36、ceroute 命令 Traceroute 命令用来获得从本地计算机到目的主机的路径信息。在 MS Windows中该命令为 Tracert，而 UNIX 系统中为 Traceroute。 Tracert 先发送 TTL 为 1 的回显请求报文，并在随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。它所返回的信息要比 ping 命令详细得多，它把您送出的到某一站点的请求包，所走的全部路由均告诉您，并且告诉您通过该路由的 IP 是多少，通过该 IP 的时延是多少。 Tracert 命令同样要在安装了 TCP/IP 协议之后才可以使用，其命令格式为： t

37、racert -d -h maximum_hops -j computer-list -w timeout target_name 参数含义为： * -d：不解析目标主机的名称； * -h：指定搜索到目标地址的最大跳跃数； * -j：按照主机列表中的地址释放源路由； * -w：指定超时时间间隔，程序默认的时间单位是毫秒。 3实验环境与说明（1）实验目的掌握 ping 和 tracert 命令的使用方法，了解 ICMP 协议报文类型及其作用。执行 ping 和 tracert 命令，分别截获报文，分析截获的 ICMP 报文类型和 ICMP 报文格式，理解ICMP 协议的作用。（2）实验设备

38、和连接实验设备和连接图如图 22 所示（3）实验分组每两人一小组，每小组各自独立完成实验。 174实验步骤步骤 1：查看 PC1 和 PC2 的 IP 地址、子网掩码、网关按照图中有关参数配置。步骤 2：分别在 PC1 和 PC2 上运行 Ethereal，开始截获报文，为了只截获和实验内容有关的报文，将 Ethereal 的 Captrue Filter 设置为 “No Broadcast and no Multicast ” ；步骤 3：在 PC1上以 PC2 为目标主机，在命令行窗口执行 Ping 命令；请写出执行的命令：ping 192.168.5.24步骤 5：停止截获报

39、文，将截获的结果保存为 ICMP-1-学号，分析截获的结果，回答下列问题： 181）您截获几个 ICMP 报文？分别属于那种类型？答：截获了 16个 ICMP 报文，有 8个（Echo（ping）request）和 8个（Echo（ping）reply）两种。2）分析截获的 ICMP 报文，查看表 7 中要求的字段值，填入表中。表 7 ICMP 报文分析ICMP 报文格式报文号源 IP 目标 IP 类型代码标识序列号60 192.168.5.24 192.168.5.238（Echo（ping）request）0 0x0200 0x490461 192.168.5.23 192.

40、168.5.240（Echo（ping）reply）0 0x0200 0x490462 192.168.5.23 192.168.5.248（Echo（ping）request）0 0x0200 0x050063 192.168.5.24 192.168.5.230（Echo（ping）reply）0 0x0200 0x050066 192.168.5.24 192.168.5.238（Echo（ping）request）0 0x0200 0x4a0467 192.168.5.23 192.168.5.240（Echo（ping）reply）0 0x0200 0x4a043）分析在上表中哪个字

41、段保证了回送请求报文和回送应答报文的一一对应，仔细体会 Ping 命令的作用。 19答：在网络中 Ping 是一个十分好用的 TCP/IP工具。它主要的功能是用来检测网络的连通情况和分析网络速度。步骤 6：在 PC1 上运行 Ethereal 开始截获报文；步骤 7：在 PC1 上执行 Tracert 命令，向一个本网络中不存在的主机发送数据报，如：Tracert 172.16.20.200；步骤 8：停止截获报文，将截获的结果保存为 ICMP-2-学号，分析截获的报文，回答下列问题：1）截获了报文中哪几种 ICMP 报文？其类型码和代码各为多少？答：2 种类型的 ICMP 报文，有

42、14（Echo（ping）request）和 10（Time-to-live exceeded），代码值都为 0.2）在截获的报文中，超时报告报文的源地址是多少？这个源地址指定设备和 PC1 有何关系？答：超时报告报文的源地址是 192.168.5.1。它和 PC1在同一网段上，在同一个局域网上，可以相互进行访问。3）通过对两次截获的 ICMP 报文进行综合分析，仔细体会 ICMP 协议在网络中的作用。答：它是 TCP/IP协议族的一个子协议，用于在 IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，20但是对于用户数据的传递起着重要的作用。

展开阅读全文