网络层协议分析实验报告

11300240047

马会心1 实验目的

用Wireshark捕获IP数据报的分组，了解IP中分片和重组的原理，分析IP数据报的格式。同时掌握网络探测的两个常用命令：Ping和tracert，通过观察Ping 和tracert的跟踪来理解它们如何依赖于ICMP。

2 实验环境

Windows 7 Service Pack1

Wireshark Version 1.10.2

PCATTCP

3 实验内容

3.1 IP数据包的分片和重组

本节中的实验数据通过使用PCATTCP在机房的两台电脑间进行UDP数据传输而得到，用于体现IP数据包的分片传输现象。相关的数据包文件为同一文件夹下的ip.pcapng。对于引用到的报文段，文中均给出了其在整个数据包文件中的编号，以便于查找对照。

发送结束后，发送端的命令行信息如下图所示。

在本节的实验过程中，还出现了一点小小的意外。我原本在Wireshark抓包中只筛选出了5001端口的数据包，但这样得到的IP数据包不全，后来才注意到端口这一概念在运输层上面才有意义，而IP数据包本身没有所属的端口，所以直接以此进行筛选会出现问题。最后我在抓包时没有设置筛选功能，因此会有部分无关数据混杂其间。

3.1.1 观察分析片偏移量字段和标志字段

IP数据包的片偏移量（Fragment offset）在Wireshark的信息栏中就有显示。以第一个UDP报文段为例，我们可以看到它被拆分成了4个部分（No.31-34），其数据包的信息如下图。

这里信息栏中给出的off值就是IP分组中的片偏移量，ID值就是IP分组中的分组编号。另外，对于前3个数据包，Wireshark还给出了它们与No.34数据包的相关性。

以最上面的No.31数据包为例，我们看到它的IP首部信息如下。

可见其中的Fragment offset与Identification值与信息栏中给出的一致。

对于No.34数据包，Wireshark标识为UDP数据，因此没有在信息栏中给出偏移量。但根据前3个数据包的偏移量值，我们可以估计出它的偏移量应当为1480 * 3 = 4440，通过查看No.34数据包的详细信息，我们证实了我们的推断，如下图。

对于标志字段（Flags）的值，Wireshark中已经指出了各个位所代表的含义，如下图所示。