第三篇網(wǎng)絡安全理論與技術(shù)實驗篇第八章網(wǎng)絡協(xié)議基礎實驗8.1IP協(xié)議分析實驗網(wǎng)絡空間安全技術(shù)實踐教程18.1IP協(xié)議分析實驗實驗目的：本次實驗主要利用Wireshark，Charles，F(xiàn)iddler等抓包軟件，抓取一個Ping命令和其他網(wǎng)絡服務的IP包，截取抓包結(jié)果，讀取其IP包信息，分析IP數(shù)據(jù)包結(jié)構(gòu)，進而深刻理解IP協(xié)議。網(wǎng)絡空間安全技術(shù)實踐教程28.1IP協(xié)議分析實驗實驗原理：IP協(xié)議是TCP/IP協(xié)議簇中的核心協(xié)議，提供數(shù)據(jù)傳輸?shù)淖罨痉?。所有的TCP，UDP，ICMP及IGMP數(shù)據(jù)都以IP數(shù)據(jù)報格式傳輸，是實現(xiàn)網(wǎng)絡互連的基本協(xié)議。網(wǎng)絡空間安全技術(shù)實踐教程38.1IP協(xié)議分析實驗實驗要點說明：（實驗難點說明）使用Ping指令抓取IP協(xié)議數(shù)據(jù)包并分析訪問www服務抓取IP協(xié)議數(shù)據(jù)報并分析網(wǎng)絡空間安全技術(shù)實踐教程48.1IP協(xié)議分析實驗實驗準備：（實驗環(huán)境，實驗先有知識技術(shù)說明）操作系統(tǒng)windowsXP及以上Wireshark、Charles和Fiddler等抓包工具網(wǎng)絡空間安全技術(shù)實踐教程58.1IP協(xié)議分析實驗實驗步驟：1）使用Ping指令抓取IP協(xié)議數(shù)據(jù)包并分析

（1）抓取IP協(xié)議數(shù)據(jù)包

我們使用wireshark抓包軟件抓取數(shù)據(jù)包，具體操作步驟如下：

首先，打開電腦終端，輸入ping命令（如圖8-1-1所示）,同時打開wireshark抓包軟件，點擊“

”，啟動抓包，進行數(shù)據(jù)捕獲（如圖8-1-2所示）。網(wǎng)絡空間安全技術(shù)實踐教程68.1IP協(xié)議分析實驗實驗步驟：1）使用Ping指令抓取IP協(xié)議數(shù)據(jù)包并分析

（1）抓取IP協(xié)議數(shù)據(jù)包

接著，在圖8-1-1命令行中，回車（enter），執(zhí)行ping命令（如圖8-1-3），我們在wireshark捕獲的數(shù)據(jù)（如圖8-1-4）。網(wǎng)絡空間安全技術(shù)實踐教程78.1IP協(xié)議分析實驗實驗步驟：1）使用Ping指令抓取IP協(xié)議數(shù)據(jù)包并分析

（2）分析IP數(shù)據(jù)包信息及包結(jié)構(gòu)

在這里，我們隨機選取一個數(shù)據(jù)包（如圖8-1-5），我們選取ICMP協(xié)議的第一個Echorequest包，進入IP協(xié)議數(shù)據(jù)報的分析。

通過分析我們可以看到，在ping命令發(fā)送request前，有域名解析的過程（DNS）。當我們雙擊第3個包，在下方我們可以得到IP數(shù)據(jù)包的詳細信息，具體分析如下：網(wǎng)絡空間安全技術(shù)實踐教程88.1IP協(xié)議分析實驗實驗步驟：1）使用Ping指令抓取IP協(xié)議數(shù)據(jù)包并分析

（2）分析IP數(shù)據(jù)包信息及包結(jié)構(gòu)

1>version(版本)：4版本一般占4位，指IP協(xié)議的版本。通信雙方使用的IP協(xié)議版本必須一致。目前廣泛使用的IP協(xié)議版本號為4（即IPv4），版本號還可以為6（即IPv6）。

2>HeaderLength(首部長度):20bytesIP分組的首部長度不是4字節(jié)的整數(shù)倍時，必須利用最后的填充字段加以填充。因此數(shù)據(jù)部分永遠在4字節(jié)的整數(shù)倍開始，這樣在實現(xiàn)IP協(xié)議時較為方便。最常用的首部長度就是20字節(jié)（即首部長度為0101），這時不使用任何選項。

網(wǎng)絡空間安全技術(shù)實踐教程98.1IP協(xié)議分析實驗實驗步驟：1）使用Ping指令抓取IP協(xié)議數(shù)據(jù)包并分析

（2）分析IP數(shù)據(jù)包信息及包結(jié)構(gòu)

3>DifferentiatedServices（區(qū)分服務）：0x00區(qū)分服務占8位，用來獲得更好的服務。這個字段在舊標準中叫做服務類型，但實際上一直沒有被使用過。1998年IETF把這個字段改名為區(qū)分服務DS(Differentiated

Services)。只有在使用區(qū)分服務時，這個字段才起作用。

4>TotalLength（總長度）：84總長度指首部和數(shù)據(jù)之和的長度，單位為字節(jié)?？傞L度字段為16位，因此數(shù)據(jù)報的最大長度為216-1=65535字節(jié)。網(wǎng)絡空間安全技術(shù)實踐教程108.1IP協(xié)議分析實驗實驗步驟：1）使用Ping指令抓取IP協(xié)議數(shù)據(jù)包并分析

（2）分析IP數(shù)據(jù)包信息及包結(jié)構(gòu)

5>Identification（標識）：0x8e38標識(identification)占16位。IP軟件在存儲器中維持一個計數(shù)器，每產(chǎn)生一個數(shù)據(jù)報，計數(shù)器就加1，并將此值賦給標識字段。但這個“標識”并不是序號，因為IP是無連接服務，數(shù)據(jù)報不存在按序接收的問題。

6>Flags（標志）：0x00Flags占3位，但目前只有2位有意義。

標志字段中的最低位記為MF(More

Fragment)。MF=1即表示后面“還有分片”的數(shù)據(jù)報。MF=0表示這已是若干數(shù)據(jù)報片中的最后一個。

標志字段中間的一位記為DF(Don’t

Fragment)，意思是“不能分片”只有當DF=0時才允許分片。網(wǎng)絡空間安全技術(shù)實踐教程118.1IP協(xié)議分析實驗實驗步驟：1）使用Ping指令抓取IP協(xié)議數(shù)據(jù)包并分析

（2）分析IP數(shù)據(jù)包信息及包結(jié)構(gòu)

7>Fragmentoffset（片位移）：0片偏移占13位。片偏移指出：較長的分組在分片后，某片在原分組中的相對位置。也就是說，相對用戶數(shù)據(jù)字段的起點，該片從何處開始。片偏移以8個字節(jié)為偏移單位。這就是說，每個分片的長度一定是8字節(jié)（64位）的整數(shù)倍。

8>Timetolive（生存時間）：64生存時間占8位，生存時間字段常用的的英文縮寫TTL(Time

To

Live)，表明是數(shù)據(jù)報在網(wǎng)絡中的壽命。由發(fā)出數(shù)據(jù)報的源點設置這個字段。其目的是防止無法交付的數(shù)據(jù)報無限制地在因特網(wǎng)中兜圈子，因而白白消耗網(wǎng)絡資源。網(wǎng)絡空間安全技術(shù)實踐教程128.1IP協(xié)議分析實驗實驗步驟：1）使用Ping指令抓取IP協(xié)議數(shù)據(jù)包并分析

（2）分析IP數(shù)據(jù)包信息及包結(jié)構(gòu)

9>Protocol（協(xié)議）：ICMP協(xié)議占8位，協(xié)議字段指出此數(shù)據(jù)報攜帶的數(shù)據(jù)是使用何種協(xié)議，以便使目的主機的IP層知道應將數(shù)據(jù)部分上交給哪個處理過程。

10>Headerchecksum（首部校驗和）：0xd463首部校驗和占16位。這個字段只檢驗數(shù)據(jù)報的首部，但不包括數(shù)據(jù)部分。這是因為數(shù)據(jù)報每經(jīng)過一個路由器，路由器都要重新計算一下首部校驗和（一些字段，如生存時間、標志、片偏移等都可能發(fā)生變化）。不檢驗數(shù)據(jù)部分可減少計算的工作量。

11>Source（源地址）：00

12>Destination（目的地址）：81網(wǎng)絡空間安全技術(shù)實踐教程138.1IP協(xié)議分析實驗實驗步驟：2）訪問www服務抓取IP協(xié)議數(shù)據(jù)報并分析

（1）抓取IP數(shù)據(jù)包

首先，打開瀏覽器，輸入即將瀏覽的網(wǎng)頁（如圖8-1-6所示），同時打開wireshark抓包軟件，點擊“

”，啟動抓包，進行數(shù)據(jù)捕獲（如圖8-1-7所示）。網(wǎng)絡空間安全技術(shù)實踐教程148.1IP協(xié)議分析實驗實驗步驟：2）訪問www服務抓取IP協(xié)議數(shù)據(jù)報并分析

（1）抓取IP數(shù)據(jù)包

接著，在圖8-1-6中點擊回車（enter），瀏覽網(wǎng)頁，我們可以得到wireshark捕獲的數(shù)據(jù)如圖8-1-8所示。網(wǎng)絡空間安全技術(shù)實踐教程158.1IP協(xié)議分析實驗實驗步驟：2）訪問www服務抓取IP協(xié)議數(shù)據(jù)報并分析

（2）分析IP數(shù)據(jù)包信息及包結(jié)構(gòu)

1>TCP控制協(xié)議的IP數(shù)據(jù)包

我們抓取了TCP控制協(xié)議的數(shù)據(jù)包，可以看到TCP協(xié)議中確認連接的標志性過程“三次握手”,我們雙擊第55個數(shù)據(jù)包，可以得到下方IP協(xié)議的詳細信息（如圖8-1-9）。

網(wǎng)絡空間安全技術(shù)實踐教程168.1IP協(xié)議分析實驗實驗步驟：2）訪問www服務抓取IP協(xié)議數(shù)據(jù)報并分析

（2）分析IP數(shù)據(jù)包信息及包結(jié)構(gòu)

2>傳輸文本的IP數(shù)據(jù)包

我們抓取了傳輸文本的HTTP數(shù)據(jù)包，可以看到info一列顯示（text/html）表示傳輸文本,我們雙擊第191個數(shù)據(jù)包，可以得到下方IP協(xié)議的詳細信息（如圖8-1-10）。

網(wǎng)絡空間安全技術(shù)實踐教程178.1IP協(xié)議分析實驗實驗步驟：2）訪問www服務抓取IP協(xié)議數(shù)據(jù)報并分析

（2）分析IP數(shù)據(jù)包信息及包結(jié)構(gòu)

3>傳輸圖片的IP數(shù)據(jù)包

我們抓取了傳輸圖片的HTTP數(shù)據(jù)包，可以看到info一列顯示(.pngHTTP)，表示傳輸圖片,我們雙擊第196個數(shù)據(jù)包，可以得到下方IP協(xié)議的詳細信息（如圖8-10-11所示)。

網(wǎng)絡空間安全技術(shù)實踐教程188.1IP協(xié)議分析實驗實驗步驟：2）訪問www服務抓取IP協(xié)議數(shù)據(jù)報并分析

（3）不同IP數(shù)據(jù)包的對比分析

我們通過一個表格，對以上抓取的三個不同類型的數(shù)據(jù)包進行比較，對比相同包結(jié)構(gòu)下不同的包內(nèi)容并進行解釋說明（在這里僅列出不同的包內(nèi)容）。

通過對比我們可以發(fā)現(xiàn)，我們舉例的三個數(shù)據(jù)包有以上6處不同，我們將進行逐一的分析：

網(wǎng)絡空間安全技術(shù)實踐教程198.1IP協(xié)議分析實驗實驗步驟：2）訪問www服務抓取IP協(xié)議數(shù)據(jù)報并分析

（3）不同IP數(shù)據(jù)包的對比分析

1>TotalLength（總長度）：這是首部與數(shù)據(jù)長度之和，在IP數(shù)據(jù)包中，總長度的不同主要是由于數(shù)據(jù)長度的不同。

2>Identification（標識）：IP軟件在存儲器中的計數(shù)器，在數(shù)據(jù)傳輸中，每產(chǎn)生一個數(shù)據(jù)報，計數(shù)器就會+1，但是由于IP是無連接服務，所以Identification并不代表序號，我們會發(fā)現(xiàn)它是無序的。

3>Timetolive（生存時間）：這代表了數(shù)據(jù)報在網(wǎng)絡中的存活時間，當生存時間為0時，該數(shù)據(jù)報就會被丟棄。

網(wǎng)絡空間安全技術(shù)實踐教程208.1IP協(xié)議分析實驗實驗步驟：2）訪問www服務抓取IP協(xié)議數(shù)據(jù)報并分析

（3）不同IP數(shù)據(jù)包的對比分析

4>Headerchecksum（首部校驗和）：該字段檢驗數(shù)據(jù)報的首部且為了減少計算量，不包括數(shù)據(jù)部分，不同的數(shù)據(jù)報經(jīng)過不同的路由器，首部校驗和都可能產(chǎn)生變化。

5>Source（源地址）：發(fā)出網(wǎng)絡請求的主機地址，并接收數(shù)據(jù)。

6>Destination（目的地址）：接受網(wǎng)絡請求的主機地址，并處理數(shù)據(jù)。說明：由于在網(wǎng)絡傳輸中，數(shù)據(jù)大小有可能超出網(wǎng)絡帶寬限制，出現(xiàn)分片現(xiàn)象。此時Flags（標志）將不再是相同的“010”，而是會有其他情況出現(xiàn)，隨之Fragmentoffset（片位移）也會產(chǎn)生變化。

網(wǎng)絡空間安全技術(shù)實踐教程218.1IP協(xié)議分析實驗實驗步驟：2）訪問www服務抓取IP協(xié)議數(shù)據(jù)報并分析

（4）分析與思考

IPv6協(xié)議是IPV4版本的升級，請利用已有知識或通過查詢相關(guān)資料，說明IPv6相比于IPv4做了哪些改進，有什么優(yōu)點以及使用的場合等，并試著畫出IPV6的數(shù)據(jù)包結(jié)構(gòu)。

網(wǎng)絡空間安全技術(shù)實踐教程228.1IP協(xié)議分析實驗實驗結(jié)果要求

本次實驗主要利用Wireshark，Charles，F(xiàn)iddler等抓包軟件，抓取Ping命令和其他網(wǎng)絡服務（含www服務，ftp服務，即時聊天，音視頻服務）的IP包，截取抓包結(jié)果，讀取其包信息，分析包結(jié)構(gòu)，并