實(shí)驗(yàn)三網(wǎng)絡(luò)層抓包分析實(shí)驗(yàn)一、實(shí)驗(yàn)要求掌握常用的網(wǎng)絡(luò)命令，了解網(wǎng)絡(luò)的運(yùn)行狀態(tài)；對網(wǎng)絡(luò)進(jìn)行簡單的測試、分析和診斷。理解學(xué)會分析IP數(shù)據(jù)報(bào)的格式。二、實(shí)驗(yàn)環(huán)境與因特網(wǎng)連接的計(jì)算機(jī)，操作系統(tǒng)為Windows，安裝有Wireshark等軟件。三、預(yù)備知識常用的網(wǎng)絡(luò)命令ipconfig命令檢查本機(jī)配置利用ipconfig可以查看和修改網(wǎng)絡(luò)中的TCP/IP協(xié)議的有關(guān)配置，如IP地址、網(wǎng)關(guān)、子網(wǎng)掩碼等。ipconfig是以DOS的字符形式顯示，在命令窗口輸入。ipconfig的使用方法：ipconfigipconfig/allipconfig/release:釋放動態(tài)IP地址ipconfig/renew:重新分配IP地址ipconfig/displaydns:顯示本機(jī)訪問站點(diǎn)的域名與IP地址的解析表ipconfig/?顯示幫助信息ping命令——網(wǎng)絡(luò)連通性測試ping命令的使用方法：ping主機(jī)地址或域名ping主機(jī)地址或域名-t若不強(qiáng)制中斷，會始終ping下去，Ctrl+c強(qiáng)制中斷。ping-n次數(shù)主機(jī)地址或域名發(fā)送指定數(shù)量的請求應(yīng)答報(bào)文，默認(rèn)為4。使用ping命令檢測網(wǎng)絡(luò)故障ping127.0.0.1：127.0.0.1即所謂的Loopback地址，目的地址為127.0.0.1的包送至本機(jī)的LoopbackDriver而不會送到網(wǎng)絡(luò)上，所以主要是用來測試TCP/IP協(xié)議是否正常運(yùn)作。測試本機(jī)網(wǎng)絡(luò)裝置是否正常，若有問題，建議重裝網(wǎng)絡(luò)驅(qū)動程序或更換網(wǎng)絡(luò)硬件。ping命令的原理：程序ping利用ICMP回送請求報(bào)文和回送回答報(bào)文來測試目標(biāo)系統(tǒng)是否可達(dá)。源主機(jī)向目標(biāo)主機(jī)發(fā)送ICMP回送請求數(shù)據(jù)報(bào)，然后等待目標(biāo)主機(jī)的回答。目標(biāo)主機(jī)收到ICMP回送請求數(shù)據(jù)報(bào)后，交換源、目的主機(jī)地址，然后將收到的ICMP回送請求數(shù)據(jù)報(bào)中的數(shù)據(jù)部分，原封不動地封裝在自己的ICMP應(yīng)答數(shù)據(jù)報(bào)中，發(fā)回給源主機(jī)。arp命令——檢查ARP地址解析情況arp命令arp-a或-g：顯示ARP緩存中的解析記錄arp-aIP地址：顯示指定IP地址的解析記錄arp-sIP地址物理地址：在ARP緩存中增加靜態(tài)解析記錄arp-dIP地址：刪除指定IP地址的解析記錄第一次使用arp命令時(shí)，看到主機(jī)中只有少量的解析記錄，當(dāng)主機(jī)被其他主機(jī)ping，或主機(jī)ping過其他主機(jī)后，再次運(yùn)行arp命令，可發(fā)現(xiàn)增加了多條解析記錄route命令——顯示路由表route命令routeprint:顯示主機(jī)中的路由表routeprint前綴.*：顯示指定前綴網(wǎng)絡(luò)的路由表routeadd網(wǎng)絡(luò)地址mask子網(wǎng)掩碼網(wǎng)關(guān)metric數(shù)值：將指定的網(wǎng)絡(luò)的路由記錄加入到路由表中routedelete網(wǎng)絡(luò)地址：刪除指定網(wǎng)絡(luò)的路由記錄tracert命令跟蹤路由tracert命令用IP生存時(shí)間字段和ICMP錯(cuò)誤消息來確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。通過向目標(biāo)發(fā)送不同TTL值的ICMP回應(yīng)數(shù)據(jù)包，Tracert程序確定到目標(biāo)所經(jīng)過的路由。數(shù)據(jù)包上的TTL減為0時(shí)，路由器將ICMP超時(shí)報(bào)文發(fā)回源系統(tǒng)。收到ICMP報(bào)文的，計(jì)算往返時(shí)間。tracert命令tracert目的主機(jī)地址或域名：顯示從本機(jī)到目的主機(jī)之間的所有路由tracert目的主機(jī)地址或域名-d：快速顯示從本機(jī)到目的主機(jī)之間的所有路由,不解析地址到主機(jī)名tracert-hmaximumhops指定最大跳數(shù)，默認(rèn)為302.IP數(shù)據(jù)報(bào)的格式四、實(shí)驗(yàn)要求1.練習(xí)“預(yù)備知識”中提到的命令，方法：“開始”一“運(yùn)行”----cmd----然后輸入ipconfig命令以及相關(guān)參數(shù)。要求在實(shí)驗(yàn)報(bào)告中記錄以下信息：本機(jī)的ip地址，本機(jī)的mac地址，鄰居機(jī)器的ip地址以及mac地址。ping鄰居主機(jī)，并將結(jié)果截圖寫入實(shí)驗(yàn)報(bào)告中。格式為：“ping……的結(jié)果如下圖所示：”查看主機(jī)的arp緩存表，將每條記錄中的ip地址和mac地址寫入實(shí)驗(yàn)報(bào)告，格式如下：arp緩存的記錄為：ip地址為，mac地址為啟動Wireshark，在Wireshark協(xié)議篩選框中輸入“icmp”，單擊“apply”按鈕，分組列表窗口將只顯示icmp協(xié)議報(bào)文。查看網(wǎng)關(guān)并記錄在實(shí)驗(yàn)報(bào)告中，然后ping網(wǎng)關(guān)。觀察分組列表的數(shù)據(jù)包。選擇第一個(gè)請求報(bào)文(request)和第一個(gè)響應(yīng)報(bào)文(reply)，然后完成下列要求并將結(jié)果寫入實(shí)驗(yàn)報(bào)告。ICMP報(bào)文被裝入什么協(xié)議進(jìn)行傳輸？分別寫出這兩個(gè)報(bào)文的幀頭部、IP頭部。請按照如下格式完成本題目的實(shí)驗(yàn)報(bào)告:ICMP請求報(bào)文：0000149fe8el430d94807d788508004500?I-：：C???E?0010003c487a0000400000a80068.<HZ..h.■0020006508003b5c04Oe00h626364.e..;...abcdef00306768696b6c6f7072737475ghijklmn□pqrstuv004077616263646566676869wabcdefghi幀頭部字段值如下:目的MAC：源MAC：

類型：IP數(shù)據(jù)報(bào)頭部字段值如下：版本：首部長度：字節(jié)數(shù)據(jù)報(bào)總長度：字節(jié)標(biāo)識：生存期：源IP地址：目的IP地址：注意：源IP地址和目的IP地址請分別寫出十進(jìn)制、十六進(jìn)制、二進(jìn)制形式。ICMP應(yīng)答報(bào)文：?..}?..}'/、■■■■■■I.<AD...h..D\....abcdefghijkininopqrstuvwabcdefghi0866oa6750554C670544066780330067d8220367011c67lfoo9p-5oVI—687df8ebo66f1oe7900664o4d_h-<^40665occ5805668o4b470466d4o_d34066o1o5_lz-4066ec881d36&640077006700000010002000300040幀頭部字段值如下：目的MAC：源MAC：類型：IP數(shù)據(jù)報(bào)頭部字段值如下：版本：首部長度：字節(jié)數(shù)據(jù)報(bào)總長度：字節(jié)標(biāo)識：生存期：源IP地址：目的IP地址：注意：源IP地址和目的IP地址請分別寫出十進(jìn)制、十六進(jìn)制、二進(jìn)制形式。5.tracert本網(wǎng)