实验四-ip协议分析.doc

实验四 IP协议/TCP协议分析实验 一、实验目的通过对截获帧进行分析，验证TCP/IP的主要协议和协议的层次结构，掌握对应数据包的内部封装结构二、实验内容使用Ethereal网络监听软件对TCP/IP体系下的以太网链路层MAC帧，网络层ARP协议、ICMP协议和IP协议，传输层TCP协议和UDP协议格式进行分析三、实验知识局域网按照网络拓扑结构可以分为星形网、环形网、总线网和树形网，相应代表性的网络主要有以太网、令牌环形网、令牌总线网等局域网经过近三十年的发展，尤其是近些年来快速以太网（100Mb/s）、吉比特以太网（1Gb/s）和10吉比特以太网（10Gb/s）的飞速发展，采用CSMA/CD（Carrier sense，Multiple Access with Collision detection）接入方法的以太网已经在局域网市场中占有绝对优势，以太网几乎成为局域网的同义词因此，本章的实验以以太网为主以太网MAC帧常用的以太网MAC帧格式有两种标准，一种是DIX Ethemet V2标准，另一种是IEEE 的802.3标准图 41显示了这两种不同的MAC帧格式图 41 Ethernet和IEEE 802.3/802.2定义的帧封装结构Ethernet V2标准的MAC帧格式DIX Ethernet V2标准是指数字设备公司（Digital Equipment Corp.）、英特尔公司（Intel Corp.）和Xerox公司在1982年联合公布的一个标准。

它是目前最常用的MAC帧格式，它比较简单，由5个字段组成第一、二字段分别是目的地址和源地址字段，长度都是6字节；第三字段是类型字段，长度是2字节，标志上一层使用的协议类型；第四字段是数据字段，长度在46～1500字节之间；第五字段是帧检验序列FCS，长度是4字节此外，为了使发送端和接收端达到位同步，实际传送时要在MAC帧前设置前同步码（7字节）和帧开始界定符（1字节）这两个字段和帧检验序列FCS在网卡接收MAC帧时被去掉了，因此实验中抓包软件截获报文中没有这些字段Ethernet V2标准定义MAC帧都有最小长度要求，规定数据部分必须至少为46字节为了保证这一点，必要时需要插入填充（pad）字节IEEE 802.3标准的MAC帧格式1983年，IEEE（电子电气工程师协会）802委员会公布了一个和Ethernet V2标准稍有不同的标准集，局域网的数据链路层被拆成逻辑链路控制LLC子层和媒体接入控制MAC子层MAC子层中定义了几种不同的局域网标准，如802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络如图 41所示，802.2和802.3定义了一个与DIX Ethernet V2标准不同的以太网帧格式。

IEEE 802.3标准设计的主要特点是MAC层能够知道其有效数据的长度并能够为局域网提供面向连接的服务与DIX Ethernet V2标准相比要复杂一些IEEE 802.3 MAC帧的第一、二字段也分别是目的地址和源地址字段，长度都是6字节；第三字段是长度／类型字段，如果该字段数值小于1500，它就表示MAC帧数据字段的长度；如果其数值大于0x0600，就表示类型，即上层协议的类型，此时802.3的MAC帧和Ethernet V2的MAC帧一样当长度／类型字段表示长度时，MAC帧的数据部分为802.2标准定义的LLC子层的LLC帧，其长度就是长度／类型字段的值LLC帧的首部有3个字段，目的服务访问点DSAP（Destination Service Access Point，l字节）、源服务访问点SSAP（Source Service Access Point，1字节）和控制字段（1或2字节）DSAP指出LLC帧的数据应当上交的协议，SSAP指出发送数据的协议，控制字段则指出LLC帧的类型其数据字段、帧检验序列FCS字段、MAC帧前前同步码、帧开始界定符，以及最小长度要求与Ethernet V2标准类似。

此外，802.3标准为了能够更好地与Ethernet V2标准兼容，802委员会又制定了802.3子网接入协议SNAP（Sub-Network Access Protocol），对LLC首部进行扩展使用SNAP协议时，DSAP和SSAP的值都设为0xaa，Control字段的值设为3，随后的3个字节Organization Code一般都置为0再接下来的2个字节类型字段和以太网帧格式一样显然，与Ethernet V2标准相比，802.3标准在MAC帧中增加了8个字节的开销，而且实践证明，这样做过于繁琐，使得其在实际中很少得到使用因此，本实验中重点分析Ethernet V2 MAC帧的格式，802.3 MAC帧只做一般了解TCP/IP体系结构当网络运行TCP/IP协议时，其协议栈如Error! Reference source not found.所示图 42 TCP/IP协议栈在Error! Reference source not found.中，与网际协议IP配套使用的还有地址解析协议ARP（Address Resolution Protocol）、逆地址解析协议RARP（Reverse Address Resolution Protocol）、因特网控制报文协议ICMP（Internet Control Message Protocol）和因特网组管理协议IGMP（Internet Group Management Protocol）等四个协议。

其中ARP和RARP画在最下面，因为IP经常要使用这两个协议ICMP和IGMP画在这一层的上部，因为它们要使用IP协议由于IP、ARP和RARP直接承载在MAC数据包上，作为链路层数据帧的帧头，其帧类型标识主要有：0x0800——IP0x0806——ARP0x8035——RARPARP协议ARP（Address Resolution Protocol）是地址解析协议的简称在实际通信中，物理网络使用硬件地址进行报文传输，IP地址不能被物理网络所识别所以必须建立两种地址的映射关系，这一过程称为地址解析用于将IP地址解析成硬件地址的协议就被称为地址解析协议（ARP协议）ARP是动态协议，就是说这个过程是自动完成的在每台使用ARP的主机中，都保留了一个专用的内存区（称为缓存），存放最近的IP地址与硬件地址的对应关系一旦收到ARP应答，主机就将获得的IP地址和硬件地址的对应关系存到缓存中当发送报文时，首先去缓存中查找相应的项，如果找到相应项后，便将报文直接发送出去；如果找不到，再利用ARP进行解析ARP缓存信息在一定时间内有效，过期不更新就会被删除同一网段的ARP解析过程处在同一网段或不同网段的主机进行通信时，利用ARP协议进行地址解析的过程不同。

在同一网段内通信时，如果在ARP缓存中查找不到对方主机的硬件地址，则源主机直接发送ARP请求报文，目的主机对此请求报文作出应答即可例如，如果主机A需要发报文给同一网段中主机B，如果在缓存中查找不到相应的记录，就必须先解析主机A的硬件地址主机A首先在网段内发出ARP请求报文，主机B收到后，判断报文的目的IP地址是自己的IP地址，便将自己的硬件地址写入应答报文，发送给主机A，主机A收到后将其存入缓存，则解析成功然后才将报文发往主机B不同网段的ARP解析过程位于不同网段的主机进行通信时，源主机只需将报文发送给它的默认网关，即只需查找或解析自己的默认网关地址即可例如，如果主机A要发报文给位于不同网段的主机B，首先，主机A分析目的地址不在同一网段，需要将报文先发给其默认网关，再由默认网关转发如果没有找到默认网关的硬件地址，便发送ARP请求报文，请求默认网关的硬件地址，默认网关收到之后，将自己的硬件地址写入应答报文，发送给主机A然后，主机A到主机B的报文首先被送到默认网关，默认网关再查找或解析主机B的硬件地址，将报文送到主机B中主机B到主机A的报文以相反的顺序发送ICMP协议ICMP（Internet Control Message Protocol）是因特网控制报文协议[RFC792]的缩写，是因特网的标准协议。

ICMP允许路由器或主机报告差错情况和提供有关信息，用以调试、监视网络在网络中，ICMP报文将作为IP层数据报的数据，封装在IP数据报中进行传输如图 43所示但ICMP并不是高层协议，而仍被视为网络层协议图 43 ICMP报文 ICMP 报文的格式由于ICMP报文的类型很多，且各自又有各自的代码，因此，ICMP并没有一个统一的报文格式以供全部ICMP信息使用，不同的ICMP类别分别有不同的报文字段ICMP报文只是在前4个字节有统一的格式，共有类型、代码和校验和3个字段接着的4个字节的内容与ICMP报文的类型有关再后面的数据字段的长度取决于ICMP报文的类型以回送请求或应答报文为例，其ICMP报文格式如图 444所示图 44 回送请求和应答报文格式其中类型字段表示ICMP报文的类型，代码字段是为了进一步区分某种类型的几种不同情况，校验和字段用来检验整个ICMP报文 ICMP报文的分类ICMP报文的种类可以分为ICMP差错报告报文和ICMP询问报文两种，它们各自对应的报文类型及代码如Error! Reference source not found.所示表 41 ICMP报文的分类及各自对应的报文类型和代码ICMP报文种类类型的值ICMP报文的类型差错报告报文3终点不可达4源站抑制（Source Quench）11时间超过12参数问题5路由重定向（Redirect）询问报文8或0回送（echo）请求或应答13或14时间戳（Timestamp）请求或应答17或18地址掩码（Address Mask）请求或应答10或9路由器询问（Router Soliciation）或通告ICMP差错报告报文主要有终点不可达、源站抑制、超时、参数问题和路由重定向5种。

实验中主要涉及终点不可达和超时两种其中终点不可达报文中需要区分的不同情况较多，对应的代码列表如表 422所示表 42 ICMP类型3代码描述处理方法代码描述处理方法0网络不可达无路由到达主机8源主机被隔离（作废不用）无路由到达主机1主机不可达无路由到达主机9目的网络被强制禁止无路由到达主机2协议不可达连接被拒绝10目的主机被强制禁止无路由到达主机3端口不可达连接被拒绝11由于服务类型TOS，网络不可达无路由到达主机4需要进行分片但设置了不分片位报文太长12由于服务类型TOS，主机不可达无路由到达主机5源站选路失败无路由到达主机13由于过滤，通信被强制禁止（忽略）6目的网络不认识无路由到达主机14主机越权（忽略）7目的主机不认识无路由到达主机15优先权中止生效（忽略）其中较常见的是前5种ICMP询问报文有回送请求和应答、时间戳请求和应答、地址掩码请求和应答以及路由器询问和通告4种ICMP回送请求报文是由主机或路由器向一个特定的目的主机发出询问，收到此报文的机器必须给源主机发送ICMP回送应答报文ping命令就是基于它的一个广泛。