实验名称:

实验四 分析IP 协议数据包格式

实验目的：

掌握IP 协议的作用和格式； 理解IP 数据包首部各字段的含义； 掌握IP 数据包首部校验和的计算方法。

实验器材：

计算机及以太网环境。

实验内容（步骤）：

1.

打开 Wireshark 软件，选择菜单命令"Cap ture ” “ In terfaces "?子菜单项。弹

出"Wireshark: Capture In terfaces ”对话框。单击"Opti ons "按钮，弹出 “ Wireshark: Cap ture

Options ”对话框。单击"Start ”按钮开始网络数据包捕获。 2.

浏览外部网站，确保协议分析软件能够捕获足够的网络数据包，单击“ Stop ”按

钮，中断网络协议分析软件的捕获进程，主界面显示捕获到的数据包。

几乎所有的高层协议都使用 IP 协议进行网络传输，只有ARP 和RARP 报文不被封装在

IP 数据报中。 3.

观察协议树区中IP 数据包各个字段的长度与值，是否符合 IP 报文格式。

i.OODDOO fe80::ccdO:7c3:441: ff02::匸 2 3.01^404 faadJ ioc7A 3■ 441 ■ rroQ \!:c 3 4 CJZ1Z 3d feso ：; ec?i Z; dJl; ; ; c

4 10.CI151 记 矗30 : : ccaO ：7E3:441:ffG2: :c

5 1 & Fa30. ：flCi!O--ft3!44i! riroj

1111 ? / / / p p p P

0364 5-S FeSO: : ccdO: 7E 3 :441: ffO2 ■: : c SSDP

El 17. Ffl80： : rfff-TTFr . ffT FfCJ ； : i IC^Fifi 9 f ftW-:?(H>0= F22Tr&KFeW= ；Ff f f ：FFff FFK LU ^

M-SE A AC H * HTTP/1.1 Raui?f soilldraclan 12 19. "册曲 1 蛇」轴-14 22*.^-2^i WP

V2 iMrtjePshlp

f 3o1n 炉1

gp 2,2J,4-0^1 J

13 20. O3Q211L feBO: :ec?3FE3;4flliffWi :u SSDP H-SEAftCH * HT7P/1.1

14 20. 阳M 轴 1^2.1GB.1.1 S24.O.D.1 1G?*P ^3 ??fibflrsh1p qutry /

join qr

Tea

/ Je1n pgp 224-0-0-J5-J

13 21. 059*71 192.1&B.1.J 235.255.211, Z5Q 5SDP

H-SE A ^H " HTTP/l.L

17 22. 3S4227 H 1 era- Sc.cf : aa: 57 QB :10:74:K :14: A A

A AP

vha hu 192.1GB. 1.1?

lHkll 192.15B.L.2

1H 也 3581*7 i'ia.l0:74：!

^：i4： J .4 N 1 cra-m cf :aa: 57 ARP 1& a.( OB: lQ:?-4 :汕:AH ! A4

19 21. OiOMI F E M …eceo-'e3:Ml: FfQ3: ;c

5SDP

^-SEARCH - HTTP 1.1

ZD 26. 051?SS Mao:: ccao ： rc3:441: ffO2:: E

M ￡￡A *L H * HTTP 1.1 21. 30. >0+5 5 35 rtSL-.: ME . /(>?:胡i: rf￡j.: c

55DP

H-5EK1CH * MTTF/1,1

? From 1: JOE by~E^5- ar^ wire bits-), 2O￡ byx? capiLr Ed [1^64 I11T5-)

? TJ , see ： Hlcpa-SF…cf ：aai57 C

■ ustr Dacijgrifl Proiocol. Src Nm 5934H1 [5-93DD),. As

0€*a CuLO W20

CH? 10 IMMO PLA E fl 订 QG 07 (H? 5J

'S-i

Of g Qc 仙Id 92 Cf 韓 M 斡那60 g 对

F.： : J Lie CO ilii c-：i -jii L

ff Q2 DO- OO 0& 00 HD 00

I W?XIJ mpTt^*!*i FH M rk2-pc4p" 15

□

加 Hie ： OfsiH

型■醒■相 叵叵包日么已 ?罔环丹it fifcer 审凶p 冗￡曲陷 Cl?r JbppJy

Nci. limv

Emirci 口 nliiarticri

Prcriacd I JI I D -

SSDF

M-SEAK.H s

HTTP 1.1

田

Frame 61: 54 byt es on wi re (432 bits) K 54 bytes captured (432 bits)

E Ethernet II a Src: 08:10:74:90:14：a4 (06-10-74:90:14：a4)p Dst: Micro-st^cf:aa:57 COO :Id:92:cf :aa:57) S internet Protocol P Src: 61.135.163,233 (61.135.163-233), Dst: 192,168,1.2 (192.168.1.2) versi?ii： 4

Header length ： 20 bytes

圧 D 1 fferertTlar^d services Flelldt 0x00 (DSCP OXOO ： o^f aulc; ECN t OJC DO) Total Lengrh: 40

identification: 0x1216 (4630) 1+ Fla.gs: 0x02 (don't Fragment) Fragment offset: 0 Time to live: 52 Protocol

对帧61的IP -internet Protoco I , Src: €1,135.163-233 (61,135.163.233) Version: 4

Header length: 20 bytes

H Differentiated services Field: 0x00 (D5CP 0x00: Default; ECN ： 0x00) 0000 00.. ■ Differentiated Services

codepoint : Defau11 (0x00) ?????.0亠■ ECN-Capable Transport (ECT ) : 0 ……??.?o = ECN -CE : o Total Lengith 40

idenitlfRatiori^ 0xl21€ (4630) -i Flags; 0x02 (Don't Fragment)

Q ??=Reserved bit : Not set ?1?三 Don 1! fragment: Set

??0 - More fragments : Not set Fragment offset : 0 Time to live: 52 Protocol : TCP (6)

-j Header checksum: Ox919f [correcr]

[Good ： True] [Bad: False]

Source: 61.135-163-233 (61,135.163.233) Destination: 192.168.1,2 (192.168-1.2)

互联网协议（IP ）源：61.135.163.233 ，目标：192.168.1.2

:

一个4字节的字段。表示当前正运行的 IP 版本信息。上图中版本的信

（报头长度）：一个4字节的字段，表示以 32比特为单位的信息中数据

包报头的长度。这是所有报头信息的总长度。上图为

20字节

Differentiated services Filed

（服务的类别）：一个8字节的字段，表示一个特定的上

层协议所分配的重要级别。

Differentiated Services Codepoint （

差分服务代码点 6位）：默认的 DSCP 值是0，相当于

尽力传送。

two-bit Explicit Congestion Notification field

ECN-Capable Tran sport : （ECN Explicit Cogesti on Notificati on -Capable Tran sport ）

显式拥塞指示能力传输字段， 该ECN-Capable Tran sport （ECT ） bit 将被数据发送者

设置，以表明传输协议的末端节点有

ECN 的能力。

ECTbit 设置为“ 0 ”表明该传输协议将忽略 ignore CEbit 。这是ECTbit 的默认值。

ECT bit 设置为“ 1 ”表示该传输协议愿意 willing 并and 能够参与在ECN

ECN-CE （Congestion Experieneed ）:（参见 rfc3168#page-6 ）。CEbit 将由路由器设置， 对末端节点 end

74517

a4a764

4 d d- 13 7

5 0 0 4 C 5 0 0-

6 oeE B J d Oa7

a &st: 192,160,1,2 (192,168.1.2)

o oo o 012 3

c

i

170

5a

In ter net Protocol

Version (版本)

息是IPv4。

Header length IP

（2位明确的拥塞通知字段）

MOO 0010 0-020 aa 57 OG ID 40 00 34 06 CD 17 5a 10

nodes 的表明挤塞情况。当路由器有满full 队列后，它将丢弃其后到达的数据包。CEbit. 默认值为“ 0 ” 。路由器设定CEbit 为“ 1 ”，说明对末端节点挤塞。在数据包头部中CE bit 从不会由路由器从“ 1” 重置“ 0”。

两者的区别——参见rfc2481.txt [Page 20] Why use two bits in the IP header

Total length （总长度）：一个16 字节的字段，表示整个数据包的长度。包括数据和报头。从该值中减去Header length 值的长度，得到的就是数据有效负荷的长度。在上图中该值为40。Identification （标识符）：一个16 字节的字段，它包含一个整数序列号，用来表示当前的数据包。上图为0x1216（4630）

Flag （标记）：一个 3 字节的字段，其中后两位控制分片。

Fragment offset （分片的偏移量）：它帮助重组分片。上图为0。

Time to live （存活时间）：一个8字节的字段，它维护着一个计数器。这个计数器会按一定增量逐渐减少为0. 当到0 时，该数据包将被丢弃。这保证了数据包不会无限制的循环。上图为52。

Protocol （协议）：一个8 字节的字段，它表示在IP 处理过程结束后，将会有哪个上层协议接收。在上图中为TCP（6）。

Header checksum （报头的校验和）：一个16 字节的字段，它帮助确保报头的正确性。上图0x919f 正确（correct ）

Source （源IP地址）：一个32字节的字段，它表示发送设备的IP地址。上图为

61.135.163.233 。

Destination （目的IP 地址）：一个32 字节的字段，它表示接收设备的IP 地址。上图为192.168.1.2 。

4.查看各个IP 数据包的标识字段和片偏移字段，它们有何特征。多数都为0

5.查看各个IP 数据包的数据报总长度字段，记录它的取值范围。

28 40 52 229 242 476 631 658 826

6.观察十六进制对照区，根据IP 首部校验和方法使用“计算器” 校验捕获的数据报中校验和

字段的值。

inter net protocol, sre: 61.135.163.233 (61.135.163.233), DSt: 192.168.1.2 (192.16E.1.2)

Version: 4

Header 1ength: 20 bytes

田 Differerrfiattd services Field: 0x00 (DSCP 0x00: oefault ; ECN ： 0x00) TotLength ： 4Q

ident 1 fi cat i on ; 0JC 1216 (4630^)

i) Flags: 0x02 fDon't Fragment) Fragment offset: 0 Time to Hve ：: 52 Protocol: TCP (6)

n Heads 『checks urn: 0x919f [corr ect]

首部校验和：0x919f

45 00 00 28 12 16 40 00 34 06 xx xx 3d 87 a3 e9 c0 a8 01 02

先将校验和置为0.

0100 0101 0000 0000 0000 0000 0010 1000 0001 0010 0001 0110 0100 0000 0000 0000 0011 0100 0000 0110 0011 1101 1000 0111 1010 0011 1110 1001 1100 0000 1010 1000 0000 0001 0000 0010

以上各式累加得到的和为：

10 0110 1110 0101 1110

可见产生了 2个进位，去掉进位再将余数加 2并取反得:

1001 0001 1001 1111，即为0x919f 与首部校验和一致。

□000 0010 0020 0030

思考题:

( 1 ) 为什么IP 数据报只进行IP 首部校验而不对整个数据报进行校验？一来这样加重了网络层的负担，二来由于IP 首部校验是由电路来实现的，这样的目的是更加快速，如果要设计能校验整个数据的电路，太复杂，而且降低了速度，这个校验交给更高层进行。三是首部校验已能大提高IP 数据报的可靠程度，它只能实现最大能力交付。

( 2 ) IP 数据包的数据报总长度字段共16 比特，理论上最大值为多少？你捕获的数据报中数据报总长度字段为多少？其中最大的为多少？达到理论最大值了吗？为什么？理论上最大为216-1=65535 字节，我捕获的数据报中数据报总长度字段为40，其中最

大为1480，远远没有达到理论最大值，这是因为在IP 层下面的每一种数据链路层都

有其自己的帧格式，其中包括帧格式中的数据字段的最大长度，这称为最大传送单元MTU 。当一个IP 数据报封装成链路层的帧时，此数据报的总长度一定不能超过下面的数据链路层的MTU 值。实际上使用的数据报长度很少有超过1500 字节的。