1、實驗 利用Wireshark分析ICMP協議一、實驗目的分析ICMP協議二、實驗環境與因特網連接的計算機，操作系統為Windows，安裝有Wireshark、IE等軟件。三、協議簡介ICMP全稱Internet Control Message Protocol，中文名為因特網控制報文協議。它工作在OSI的網絡層，向數據通訊中的源主機報告錯誤。ICMP可以實現故障隔離和故障恢復。網絡本身是不可靠的，在網絡傳輸過程中，可能會發生許多突發事件并導致數據傳輸失敗。網絡層的IP協議是一個無連接的協議，它不會處理網絡層傳輸中的故障，而位于網絡層的ICMP協議卻恰好彌補了IP的缺限，它使用IP協議進行信息傳

2、遞，向數據包中的源端節點提供發生在網絡層的錯誤信息反饋。ICMP的報頭長8字節，結構如圖1所示。比特0 78 15 16 比特31類型（0或8）代碼（0）檢驗和為使用數據（圖1ICMP報頭結構）l 類型：標識生成的錯誤報文，它是ICMP報文中的第一個字段；l 代碼：進一步地限定生成ICMP報文。該字段用來查找產生錯誤的原因；l 校驗和：存儲了ICMP所使用的校驗和值。l 未使用：保留字段，供將來使用，起值設為0l 數據：包含了所有接受到的數據報的IP報頭。還包含IP數據報中前8個字節的數據；ICMP協議提供的診斷報文類型如表1所示。類型描述0回應應答（Ping應答，與類型8的Ping請求一起使

3、用）3目的不可達4源消亡5重定向8回應請求（Ping請求，與類型8的Ping應答一起使用）9路由器公告（與類型10一起使用）10路由器請求（與類型9一起使用）11超時12參數問題13時標請求（與類型14一起使用）14時標應答（與類型13一起使用）15信息請求（與類型16一起使用）16信息應答（與類型15一起使用）17地址掩碼請求（與類型18一起使用）18地址掩碼應答（與類型17一起使用）（表1ICMP診斷報文類型）ICMP提供多種類型的消息為源端節點提供網絡層的故障信息反饋，它的報文類型可以歸納為以下5個大類：l 診斷報文（類型8，代碼0；類型0，代碼0）；l 目的不可達報文（類型3，代碼0-

4、15）；l 重定向報文（類型5，代碼0-4）；l 超時報文（類型11，代碼0-1）；l 信息報文（類型12-18）。Ping 命令只有在安裝了 TCP/IP 協議之后才可以使用，其命令格式如下：ping -t -a -n count -l size -f -i TTL -v TOS -r count -s count-j host-list | -k host-list -w timeout target_name這里對實驗中可能用到的參數解釋如下：-t ：用戶所在主機不斷向目標主機發送回送請求報文 ，直到用戶中斷；-n count： 指定要 Ping 多少次，具體次數由后面的 count 來

5、指定 ，缺省值為 4；-l size： 指定發送到目標主機的數據包的大小 ，默認為 32 字節，最大值是 65,527；-w timeout：指定超時間隔，單位為毫秒；target_name：指定要 ping 的遠程計算機。Ping和traceroute命令都依賴于ICMP。ICMP可以看作是IP協議的伴隨協議。ICMP報文被封裝在IP 數據報發送。一些ICMP報文會請求信息。例如：在ping中，一個ICMP回應請求報文被發送給遠程主機。如果對方主機存在，期望它們返回一個ICMP回應應答報文。一些ICMP報文在網絡層發生錯誤時發送。例如，有一種ICMP報文類型表示目的不可達。造成不可達的原因很

6、多，ICMP報文試圖確定這一問題。例如，可能是主機關及或整個網絡連接斷開。有時候，主機本身可能沒有問題，但不能發送數據報。例如IP首部有個協議字段，它指明了什么協議應該處理IP數據報中的數據部分。IANA公布了代表協議的數字的列表。例如，如果該字段是6，代表TCP報文段,IP層就會把數據傳給TCP層進行處理；如果該字段是1，則代表ICMP報文，IP層會將該數據傳給ICMP處理。如果操作系統不支持到達數據報中協議字段的協議號，它將返回一個指明“協議不可達”的ICMP報文。IANA同樣公布了ICMP報文類型的清單。Traceroute是基于ICMP的靈活用法和IP首部的生存時間字段的。發送數據報時

7、生存時間字段被初始化為能夠穿越網絡的最大跳數。每經過一個中間節點，該數字減1。當該字段為0時，保存該數據報的機器將不再轉發它。相反，它將向源IP地址發送一個ICMP生存時間超時報文。生存時間字段用于避免數據報載網絡上無休止地傳輸下去。數據報的發送路徑是由中間路由器決定的。通過與其他路由器交換信息，路由器決定數據報的下一條路經。最好的“下一跳”經常由于網絡環境的變化而動態改變。這可能導致路由器形成選路循環也會導致正確路徑沖突。在路由循環中這種情況很可能發生。例如，路由器A認為數據報應該發送到路由器B，而路由器B又認為該數據報應該發送會路由器A，這是數據報便處于選路循環中。生存時間字段長為8位，所

8、以因特網路徑的最大長度為28 -1即255跳。大多數源主機將該值初始化為更小的值（如128或64）。將生存時間字段設置過小可能會使數據報不能到達遠程目的主機，而設置過大又可能導致處于無限循環的選路中。Traceroute利用生存時間字段來映射因特網路徑上的中間節點。為了讓中間節點發送ICMP生存時間超時報文，從而暴露節點本身信息，可故意將生存時間字段設置為一個很小的書。具體來說，首先發送一個生存時間字段為1的數據報，收到ICMP超時報文，然后通過發送生存時間字段設置為2的數據報來重復上述過程，直到發送ICMP生存時間超時報文的機器是目的主機自身為止。因為在分組交換網絡中每個數據報時獨立的，所以

9、由traceroute發送的每個數據報的傳送路徑實際上互不相同。認識到這一點很重要。每個數據報沿著一條路經對中間節點進行取樣，因此traceroute可能暗示一條主機間并不存在的連接。因特網路徑經常變動。在不同的日子或一天的不同時間對同一個目的主機執行幾次traceroute命令來探尋這種變動都會得到不同的結果。為了體現Internet路由的有限可見性，許多網絡都維護了一個traceroute服務器traceroute。Traceroute服務器將顯示出從本地網到一個特定目的地執行traceroute的結果。分布于全球的traceroute服務器的相關信息可在上獲得。四、實驗步驟1、ICMP協

10、議分析步驟1：分別在 PC1 和 PC2 上運行 Wireshark，開始截獲報文，為了只截獲和實驗內容有關的報文，將 Wireshark 的 Captrue Filter 設置為“No Broadcast and no Multicast”；步驟2：在 PC1 以 PC2 為目標主機，在命令行窗口執行 Ping 命令，要求ping通10次；Ping命令為：_將命令行窗口進行截圖：步驟3：停止截獲報文，分析截獲的結果，回答下列問題：1） 將抓包結果進行截圖（要求只顯示ping的數據包）：2） 截獲的ICMP 報文有幾種類型？分別是：_3）分析截獲的 ICMP 報文，查看表 5.1 中要求的字段

11、值，填入表中。只需要填寫6個報文信息。表 5.1 ICMP報文分析報文號源IP目的IP報文格式類型代碼標識序列號4）查看ping請求分組，ICMP的type是 和code是 并截圖替換下圖5）查看相應得ICMP響應信息，ICMP的type是 和code是 并截圖替換下圖6）若要只顯示ICMP的echo響應數據包，顯示過濾器的規則為 并根據過濾規則進行抓包截圖7）若要只顯示ICMP的echo請求數據包，顯示過濾器的規則為 并根據過濾規則進行抓包截圖2. ICMP和Traceroute在Wireshark 下，用Traceroute程序俘獲ICMP分組。Traceroute能夠映射出通往特定的因特

12、網主機途徑的所有中間主機。源端發送一串ICMP分組到目的端。發送的第一個分組時，TTL=1；發送第二個分組時，TTL=2，依次類推。路由器把經過它的每一個分組TTL字段值減1。當一個分組到達了路由器時的TTL字段為1時，路由器會發送一個ICMP錯誤分組（ICMP error packet）給源端。步驟4：在 PC1 上運行 Wireshark 開始截獲報文；步驟5：在PC1上執行Tracert命令，如：Tracert ；將命令窗口進行截圖。 圖4：命令提示窗口顯示Traceroute程序結果（替換截圖）設置顯示過濾器為icmp，圖5顯示的是一個路由器返回的ICMP超時報告分組（ICMP err

13、or packet）。注意到ICMP超時報告分組中包括的信息比Ping ICMP中超時報告分組包含的信息多。圖5：一個擴展ICMP超時報告分組信息的Wireshark 窗口（替換截圖）步驟6：停止截獲報文，分析截獲的報文，回答下列問題：1）截獲了報文中哪幾種 ICMP 報文？其類型碼和代碼各為多少？ICMP報文類型類型碼（type）代碼（code）2）在截獲的報文中，超時報告報文的源地址分別是多少？ _ 3)查看ICMP echo 分組 ，是否這個分組和前面使用 ping命令的ICMP echo 一樣？對于TTL值有什么變化規律。_4)查看ICMP超時報告分組，它比ICMP echo 分組包括的信息多。對照ICMP協議，分析一下ICMP超時報告分組比ICMP echo 分組多包含的信息有哪些？_5）對于ICMP超時報告分組，