(完整版)实验4-Wireshark分析ICMP

实验4 Wireshark 分析ICMP

一、实验目的

掌握Wireshark软件监控设置与使用方法

分析ICMP 的基本原理

二、实验环境

与因特网连接的计算机，操作系统为Windows,安装有Wireshark、IE等软件。

三、实验步骤

Ping和traceroute命令都依赖于ICMP。ICMP可以看作是IP协议的伴随协议。ICMP 报文被封装在IP 数据报发送。

一些ICMP 报文会请求信息。例如：在ping 中，一个ICMP 回应请求报文

被发送给远程主机。如果对方主机存在，期望它们返回一个ICMP 回应应答报

文。

一些ICMP 报文在网络层发生错误时发送。例如，有一种ICMP 报文类型表

示目的不可达。造成不可达的原因很多，ICMP 报文试图确定这一问题。例如，

可能是主机关及或整个网络连接断开。

有时候，主机本身可能没有问题，但不能发送数据报。例如IP 首部有个协议字段，它指明了什么协议应该处理IP 数据报中的数据部分。IANA 公布了代

表协议的数字的列表。例如，如果该字段是6，代表TCP 报文段,IP 层就会把数

据传给TCP 层进行处理；如果该字段是1，则代表ICMP 报文，IP 层会将该数

据传给ICMP 处理。如果操作系统不支持到达数据报中协议字段的协议号，它将返回一个指明“协议不可达”的ICMP 报文。IANA 同样公布了ICMP 报文类型的清单。

Traceroute是基于ICMP的灵活用法和IP首部的生存时间字段的。发送数据

报时生存时间字段被初始化为能够穿越网络的最大跳数。每经过一个中间节点，

该数字减1。当该字段为0 时，保存该数据报的机器将不再转发它。相反，它将

向源IP 地址发送一个ICMP 生存时间超时报文。

生存时间字段用于避免数据报载网络上无休止地传输下去。数据报的发送路径是由中间路由器决定的。通过与其他路由器交换信息，路由器决定数据报的下

一条路经。最好的“下一跳”经常由于网络环境的变化而动态改变。这可能导致路由器形成选路循环也会导致正确路径冲突。在路由循环中这种情况很可能发生。

例如，路由器A认为数据报应该发送到路由器B,而路由器B又认为该数据报应该发送会路由器A,这是数据报便处于选路循环中。

生存时间字段长为8 位，所以因特网路径的最大长度为28 -1 即255 跳。大多数源主机将该值初始化为更小的值(如128 或64) 。将生存时间字段设置过小可能会使数据报不能到达远程目的主机，而设置过大又可能导致处于无限循环的选路中。

Traceroute利用生存时间字段来映射因特网路径上的中间节点。为了让中间节点发送ICMP 生存时间超时报文，从而暴露节点本身信息，可故意将生存时间字段设置为一个很小的数。具体来说，首先发送一个生存时间字段为 1 的数据报，

收到ICMP 超时报文，然后通过发送生存时间字段设置为 2 的数据报来重复上述过程，直到发送ICMP 生存时间超时报文的机器是目的主机自身为止。

因为在分组交换网络中每个数据报时独立的，所以由traceroute发送的每个数据报的传送路径实际上互不相同。认识到这一点很重要。每个数据报沿着一条路经对中间节点进行取样，因此traceroute可能暗示一条主机间并不存在的连接。因特网路径经常变动。在不同的日子或一天的不同时间对同一个目的主机执行几

次traceroute命令来探寻这种变动都会得到不同的结果。

1、ping 和ICMP

利用Ping 程序产生ICMP 分组。Ping 向因特网中的某个特定主机发送特殊

的探测报文并等待表明主机在线的回复。具体做法：

( 1)打开Windows 命令提示符窗口( Windows Command Prompt) 。

( 2)启动Wireshark 分组嗅探器，在过滤显示窗口( filter display window )

中输入icmp,开始Wireshark分组俘获。

(3)输入ping - n 10 hostname 0其中-n 10”指明应返回10条ping信息。

(4)当ping程序终止时，停止Wireshark分组俘获。

实验结束后会出现如图所示的命令窗口：

4.1 命令窗口

：MisersSfidnin istratoi*>ping( —ri 13 www. https://www.360docs.net/doc/ee10268328.html,

nTT. JTn on nn ...Tn nr .-nil nn -Jm -Jm E

层层

Fing wuu.a 112.80.246 M2R0.248 112.80.24S L12.80.246 112.Utj.24t! 112.80.246 112.R0.24S 112.60.24? 112.80.246 L12?83.Z48

In ■ ■ ■ =

■■!■■■?

一

■■?■

:：

」回回回回

￡回西回回回

12

节节节节节节节爷爷T

Ll tHH

丈±丈￡

丈丈T

子

4a.万」具有32于T 的数据:

=2 3ns =23iiis -23ni3

TIL=53 TTL=53

TTL=53

=23m$ fE ］=23ms =2 3ms =2 4ms -23ns =2 3 ms aj|'E ］=23ns riL=53 riL=!i3 TTL=53 TTL=53 TTL-53 TTLF3 IIL=!J 3

112.H0.248.72 的 Pln V 统计^

往返疆嘉导施灌初屋一， 题通=23ms,尿长=24ns,

平均=

3 C0x 丢失》,

停止分组俘获后，会出现如图4.2所示的界面:

如ElJgU ■国

Cr^twol WME I J J Q

.

-1W54 164.-0^5476 112 Mi. 240,73 l?2.n.l2Sp62

ICHP 74 Echo (ping)

reply 1(1=0X9001^

15462 me4sM i 9 ,J72.20.12S.62 1L2,M.24S.73 1EM> 74 Echo {ping} ir-cquH-Et:

id="昵0］」 Epq 二—

1546J IBS-的劭］L 。 112.B0. 244i.73 172.2t.ilS.62

ICMP 74. Ec.ha (Pinfcj reply IdTm4 “Ar—

LS469I 106.04 J639 iJl.2B-12g.fc2 工U 一脚点她

1CHP 74 Echo (pint> r?quej>t "aeMi 才

1M7B 1%骷的券 U2.B&. 2dS.n 173 M , 138.62 ICMP 7a Echo (pln?> ^ply

s*qr..

15481

197^2197

172.ZM28.6?

"NMM8J3 ICMP 74 Ecto (pini) reqwst id ◎嗣HL ，Eqp* 154B3

m.2fl.l2B.62 TCMP 74 Echo (Ping> r?ply id-oxoeoij ■RRFm 15即 工能?做啼0 172.2^.128.62 112r 8e.24S,73 ICMP 7a Echo

(ping>

r?Qmait “17姆60口 seqr-

155&8 188.665707 112 M 2*71 —2I,12S 』］ IWP 74 Echo (rdnf) repiy ixiTxe 魄］, 节冲在

15515 IB 九酢0g 172.?B<12B,62 112P Be,2 request id=M691, 号eq=,, 15516 189-0776&4 112.E0. 24E.T5 172.20-12S.62 101P 74 Erhci (P in e} r?ply id=<2lx

H 砧油 1典L 的加的 172.20.12E.62 112.se.248.73 ICMP 74. Ec.hQ (Pinfi> request LIT?的.」 seq-- 1S&J1 13(L&"”b 1JUL 即

172^6.12^^2 1CKP 74. Echo 3%》 reply IdT 区帆。L 、叫一 155J7 191.WTO35 ni r t9A29.€2

111. Be. MS.73 ICMP 74 Echo (plng> request id ?电曲001」 s#qr..

155J8 191.0W1B0 112M 248s ?

172,20.128^2 J￡*F 7* Ecto (pine) r^ply 』 ，冲修

15M3 192 -前山，

lll.BS.J4a.73 ICMP 74 E fhci (pin(> requeit

id 小崎(H/ leqpM.

1S9 192.e?^t8 112.80n w.^ IJ1.M.128.62 TEMP "L Echo (pinR) reply seqr.B 15sse 193,663601

1几检J 斓帚 112^80,248.73 IC*P 74 Echo {Pinp} requtsi ： WTxW 叫 专?①计

112.E&.24B,73

1?2.?.128.G2

IEP

74 Echo (ping)

reply id-dxoeeij

-Fr-arie 15453: 74 bytes, on wire (592 71t bytes captured (S92 bits.) cm interface 3

￡tfternM II,Srci HevOmFJ17:81:79 fU 二肝:;亡子海？序1 :巧L DsT: FujllarMiJ^Ses&e:44 ?配的学匚 Inteniet ProtcC&l Version 4/Sre ； 172.20.Ost: 112.?3.24.?B 73

8 际

@ d $ 4 4 ? b .b |4* * c f a H 5 6 g e 0 d b i. 6 0 4 6 6 rn 6016 c z 8 9 1 6 1 a 6 6 9 匚一

g b r-4 -ha 3J B4 --b~

■ Cf A7 fil 79 S8

酬 45 例

@1 典的 M M 80 3e 70 59 01

麴 03 61 62 63 64 56

fie W ? 71 71 73 74 75 76 67 3

刈「?1?4.八.E.

? W r ?.串E paua ■

?xatKdef

ghiiklmn Q 四产罩tiA 修心;_*4 hi

、i 门*收下^0<3卬^*4-二门--Hi=甲L ： 口-才■;=" ?■ --?广 厂g FT I 「F -破门针

图4.2停止分组俘秋后Wireshark 的界面

图4.3是在分组内容窗口中显示了 ICMP 协议的详细信息。观察这个ICMP 分 组，可以看出，止匕ICMP 分组的Type 8 and Code 0即所谓的ICMP “echo request 分组。

时

工中

R

多争整齐/匚）层

I ］

T 正正壬”

图4.3 ICMP 协议详细信息

■ ■ —

h

二中r

年把、福』， 第号:

3

宕g ，；：一小帛 u 函n .、*'：?

［兑「 花，■中

■「■■- p a ； c q 十式■宜 KwGl 宫羽 RRU

l

回jmp

'3 R -J/通与一

ik-

TM4

304 ,

4?

Fios^ctl LW3 134 1SJ54 1B4.06S47fi 112 B0.24B.73 172..20.120.61 TCMP 74 Ethc (pinfj) Fply , sq-f

15462 105,845144

172,20.12B,62 112.睡，23,73 KMP 7? Echo (pir^) request iHxMelj seq=_ 1E5.KBS19

H2.BQ.J4S.73 l^I-20.12B-62 1EMP ?4 Echo (pins) raply

工田二，取的€1/5eq=_

154bgi 一承13骷4 1”.浦-lifi.G 1U.3B. J48.7^ ICMP 74 红而加1阳)requun IdNx 电41,融帖.. IMMNb.曜少X 112^0.2^,73 172.2^,12a,42 KMP 74 Ethc (ping) reply Id^htMKfl, in>r^ 15481 187.M2157 172.2D.12S.&2

112.B0.14B.71 ICMP 74 Echc (pin?) ”。取式 seq-.. 154R2 )47.065>M 朝L7$ 172.泪 J 探&2 ICMP 74 改M (pi 咤j rply

, 5tq-? 15斶7 HR.晔能？ 17?, ?日.［？* 门 113nSe.74B.7J ICMP 74 E

112.?0,14^73 KMP M EQ IQ (ping)「eqg5t jdT 置@的却 “q"； 1S$比 U 九好7白制 口，的.MB.72 173油，UH-62 KMP 74 Echa (pir?) r?ply id-4xftMlj

15i? lM,&53#ft5 1724礼［鸿，62

112.S0.24ft,75 KMP 74 Echo (pir^) request 140f 幢1.导叫\］ 1与与乳 19哥埼打击用

H2.BB-24B.73 1^.20.12B…&2 ICMP 74 Echo (pins) naply id 二以倒幅11spq=- 的”7 HL 眦用4$

172.2a.lI8.U m.AQ. J4B.73 1￡MP fi tcha (ping)

IcF-fluMtfl,切丁.一

ISE 轴 V1.有L 脏

U1^0.2A￡,7J 173.MJ 编修3 KMP ?4 E-dply Id-hMdl. k 叶. 旺利三工发.他乳Q

L72.28?12配G 112.S0.14B.73 ItMP 74 Echo (pingj f 加HE IX 如**L ，忖?巾 HL 讦耶5”

HJ.R&.iiB.TJ

17孔州JZRdE

ICMP 74 Echo (pln(;) -rply 1d-0rfKA1,

155巾 町 172,29-l^.R 1U R W.?4S-7?

KMP 74 Echp (pjr^) rcwvrt

^q=J

15551 133.S369I17 117-50-24￡,73

171^,1^.62

KMP

74 Echo (p^ng)萨坪Id-BicMeij "Q-J

Frane 15453: 74 byte1早 on wire (5A2 Et￡). 7^ bytg captured (592 bits ) m inte^-Face 9

Ethernet II j. Src; Hew ］ettP_47： SI ： 79 (46;&f scf ;47；81； j'jjp &st; Fu j lanR J_5e ;6e;^4 (5B; 69;6c; 5e;6^;44)

iotarnot Pretacol V H 「non % Srcz 175.2B.128.62. 0st; lll.SG,24B.?j

?，如f -F =.F iiy F *-TT ? *L4ggg^E-E 甘j0m_a

i 网.jaa

在实验报告中回答下面问题:

(1)你所在主机的IP 地址是多少？目的主机的IP 地址是多少?

主机：172.20.128.62 目的：112.80.248.73

T ms

154群| 104.册卬5 15462 185.045349 S MVC * IlZ.BB-I4fi.TJ 172.29.12So62 gm a 川 MI 172.70.12a,&2 XUMMd 73 ICWP ICMP ：La^tlk 74

Ikis

Eih. (ping) reply

p 节Eq~ 蕤q--

Echo (ping)

ra^uest 1^463 I85.10fi851i9

力2加12O N IC^IP 加 ifchQ (pin() reply id=@Mfi001k

15469 186.043839 172,29,130.62 112 取 248.73 ICMP 74 Echg (ping)

r/UE5t ld-0KM91, 5Eq__ 1547B1瓢4酩蟹9 112.gB.24fi.73 1i72.Z0,12S.&2 ICMP 74

Echo (ping)

reply

id=0^031h ■swq=. 1S431 137.042197

172.29.12a.62 112x8B.2M.73

ICMP 冏 Echo (ping ：)

request icMx€领 i. F T q-

用安41 ft1 口磊RNSl 看

ii T na xs?

1l77

11fi

ir?D

7A Pr t *■

A n ? 1 r^an 1 IJ >

HdE 一

(2)查看ping 请求分组，ICMP 的type 和code^多少？这个ICMP 包包含了

哪些其他的字段？ Checksums sequence number ft identifier 字段的值各为多少?

58 69 6c ” X 骐 的耻3aB5的配 98 49'瑞肥品S8 67 ￡白，69 6= 6b 6c 77 61 葭 M &A 6S

0f cf 47 81 01 60 BB ac 01 * 03 -61 6R 曲曲71

67仍融

79 08 W 45 14 SB 3e 70

01 63 64 65 ?J 乃加乃 XtrnDH. i&y-E. H …@…?

CpP -工一MX -..abcdef ffh i j k lm~ cipqrs tu y MECM” hl

奸修1MP .F 受京即小m

方蕾。方 口心皿

l1LHrnHL LU门LLUJ. PIE± 为万5& TT ULDLUM Type: S (Echo (ping) request) Code;

6

Checksum: 0*4d&7 [correct] Identifier (BE): 1 (0x6061) Identifier (LE): 256 (0x0100) Sequence number (BE): 4 (0x0904) Sequence numb&r (LE): 1024 (0x6480) [R SUQUSE Frame; 1546N1

(3)查看相应得ICMP响应信息，ICMP的type和cod蚁是多少？这个ICMP 包包含了哪些其他的字段？Checksums sequence number和identfier字段的值各为多少？

iternet Control M电号专nge Pfotocal

Type; 3 (Echo (ping) request)

Code： 0

Checksum:以4d57 [correct]

Identifier (BE)：1 (0x0001)

Identifier (LE): 256 (0x0160)

Sequence number (BE): 4 (0x0004)

Sequence number (LE): 1024 (0x0400) [艮€5口口one f广/me: 15463]

2. ICMP 和Traceroute

在Wireshark下，用TracerouteS序彳？获ICMP分组。Traceroutefg够映射出通往特定的因特网主机途径的所有中间主机。

源端发送一串ICMP分组到目的端。发送的第一个分组时，TTL=1 ;发送第

二个分组时，TTL=2,依次类推。路由器把经过它的每一个分组TTL字段值减1。当一个分组到达了路由器时的TTL字段为1时，路由器会发送一个ICMP错误分组(ICMP error packet)给源端。

(1)启动Window 命令提示符窗口

(2)启动Wireshark分组嗅探器，开始分组俘获。

(3) Traced#令在c:\windows\system32下，所以在MS-DOS命令提示行或者输入tracert hostname" or c:\windows\system32\tracert hostname 泄意在Windows下，命令是tracert”而不是fraceroute”。)如图4所示：

(4)当Traceroute程序终止时，停止分组俘获

图4.4命令提示窗口显示Traceroute程序结果

图4.5显示的是一个路由器返回的ICMP错误分组(ICMP error packet)。注意到ICMP错误分组中包括的信息比Ping ICMP中错误分组包含的信息多

J Fran- J Bl 77: ]'IS b^Te5 &n re(SHO biti)1 119 bytes captu red ?B30 bifr5J or irrter'-Fj] re 0

1 叶户好上「户id: 0 C>vire\IPFJ4OC?S>44-714-4S16-92F^-Faa?4F^(nA8J) 门fulatiQn t/p?*: F+h^^net (1)

Arrivjl Ti*c: Hov 孔201& Htl3:39.526MM&0 伞，

[Tine sr 1ft for this packet:讥晚g映SO的smndc]

fcpDtlh 11M: 14784aa719.S2&3SlWa0 seconds

'I inc delta f r&l previ

[Tine delta +rcn previcu5 displayed frame:：目▼呢匕52卿日g seconds]

[Tine 5ince re+e rente or 十-Fram^: 4S4-. 5384^0090 5 PC end 5]

Frnn? ILinigr： 18177

F「m- Length; U@ byte% 〔88日bits)

,C a pt u ri? Length: 110 by (H8a biti.)

【F「.nig if vark^d: Fdlse]

[Frame 1&Ignored: Falm]

[Pr10 toco Li in frdnMd: €thzetti^rtype: ip: luip :lp: lc-inp]|

[Coloring Rule Nams: ICI4P errors]

[CDlorlng Rule Strirg: iemp.typ? cq 3 | | icnp.type eq 4 | | Icmp.type 虺q 5 11 Icnp.typa c Ethernet IIj. Sire: F uj ianRu_5e:6e:44 f5B: 69:6c:5e:Be:44)Ji Dst: HEwleTtP_47:81: 79 (4S :Of :cf:

P Internet Protocol Version 4f. Src; 61 .137,7. 17/Dst: 172,20, 128. B2

金Internet Contr?! Message Protacol

Type: 11 (Tinp^tn^livF exceeded)

C@d。；& (Tifflp- to live 总乂7丑|1，4 in transit)

Check sun： 8x9d69 [correct]

Length: 1

[L^iigtlh of drigindl diditdgrdin. 4J

Internet Protocol Version % Src: 172.2B,128.62t Ost: 128.91.162?8d

□ u3.l

图4.5 一个扩展ICMP错误分组信息的Wireshark窗口

在实验报告中回答下面问题：

(1) 查看ICMP echo分组，是否这个分组和前面使用ping命令的ICMP echo 一样？

前者

后者 四、实验报告

回答下列问题：

1、网络层的IP 地址是多少?

192.168.1.1

^8261 a 了4. 921729 292,97,77.153 172.20.12S. 62 TCHP 110 Tlre-ta- live exceeded (Tiwe to live . 1SJ52 474.922435 172.20.123. t2 12€.93. 1.62. E4 I53 3% Echo 《:pHrg.) re^uo-st id = 0K0Ml 5Qq=. 182E>3 474.%(bb4.8 202…97.77.153 172.20 123.62

I Off J 10 1 ime-ta-Hue exceeded (Tlae to il^e ._ lejiz 4B Ja a^4b 121」肌也九位

ICMP 166 Echo (plrg) reGU&it id-DxOa-felj. 居舞&出髓.C14屿

172.N.12A.62

lN.93.U2.Bd

IC* W Echo (ssiffi)融 1/stq-,

I ^MIITITT f T1 ittTM

. .必iJSEFitU ?r

ia?2B aa.B5i3fill

LFD/理向

m.93.1Q.B4 ICW 106 Echo 《ping) rtqui?it id-0M0001 j, itq*. ISm 4M,8S2M9 鼻皆患,97.35 J 典 172.20.128.62 ior 7& Tlmt-to llwt exceeded("y to live .

18437 5&Z./0刈 “，亚J 上队鼠

222.^6429.90 IC* 11日Oestinartiw unreifrl* (pgrt 5年和「

tk-

h'M 岁=钟 D ，￡Hg*L3 。也 KU, bfeTlfflfr 口/口

1S465 50^,0^6175 17Z,孙

□ E ■通 16Z,B4 ICW 3

1&5 Echo 何 irs) request

id 二日I1 seq=. 184B5 512.35MJ7 L72…20.Ua.i52 lie.93.162.M IE 3

J66 Echo f*他） requHt

id = &K0&CL J

18W& 516.部约545 172.20.12S…&2 LJB.93.162.84

I DIP J 66 Echo

(pirg) reque&t

id -白：cfl 供1. seq--

18处如?HM2H 172- 20.12e . 62

&2.E4

3红IP 3 t=l_ reuueit

se^-u.

f

1gr7 GI SSM 埼工9741,骐

工门,加」鸿阳

101a 14T[E ，t*-H 牌 rnwdv (T±* to llvu _ 1B?B '迂；用67希

1也常■讯阈 in.9Ja62.B4 IOF 3M> Echo (pitrg) re?UMt 1<1-酎嫡 1, sq- 5H.241217

173.20.ua .62 I￡W 110 Tinv-ta - livw BXEMdvd (Tiiw to Live ~ |

m.?.i?,?2

ICW 1M Echo 《pin.) 「件quq ，t

id-9^Wl^ seq--

1BS41 521.45117B

533.W1S70 282T 兀￡LX

17 乙孙1?3￡2

rn.aazB.62 ^?-127 (170)

IC* ICMP

110 Time^to-llve exce?drt (Ti?e to live .

113 Oestinaticin unreachable 《PV JT T unreac- J Frane 1.S326!： i 的 的tes on hl^e (网S 136 bytes captured (￡4￡ bits) on interface 0

Interface id: 9 (\Jtevdce\NPF_t4K2S2tt-E7M-4BM-92E9-EAaJ4FULGAB))

EricapSiuldtlo*i type ： Ethernet (1} +

1 L

B

电旧卸 审00例例旗&( _^i 7^?电?将 4g &&-?■(>&-. UL I?e w IQ le rt 电Al - d ei J BI ?, e 母7电电学 ■ 60平0&?逑 t 工的电N 电冷 L n a r a j

4手窗制附旧0 .b 2 0 Sr

G 印 0 9 u -d ff e @ 9 9 4 0

0 0 0

7 10 H - f i r a w i-l

仁0H ? B ◎翻翻Ai 制 以卜QH.4 时乐做 5d ?1厂.一.■

8酶翻的 门....—.……… 同 00 M 00 r V . . 9 .r -. . . T

M @e 网的 ........ ???■?一. m + m + Edl"+ B B 4 4 I P 4

? 7 喻Ejfcrtjq^llUBiCaWHVJmrmMMMaCFWLJF^JICTlJgjJMI 即月I 时川?B§示W @搞I 本餐中件 MFwli 2、ICMP 的type 和cod 更多少

Type:8 code:0