IP数据包分析 – 作者:Johnson666

一.实验目的

1.分析IP包的报文格式
2.理解IPV4寻址方法和编址方式

二.实验拓扑

三.实验工具

GNS3和Wireshark抓包分析软件

四.IP协议的封装格式

（1） Version 版本号，标识IP协议的版本，目前V4版本地址已经枯竭，V6慢慢成为主流
（2） Header length 头部长度，默认为20字节，最大为60字节
（3） Differentiated Services Field 服务区分符，用于为不同的IP数据包定义不同的服务质量，一般应用在QoS技术中
（4） Total Length 总长度，标识IP头部加上上层数据的数据包大小，IP包总长度最大为65535个字节
（5） Identification 标识符，用来实现IP分片的重组，标识分片属于哪个进程，不同进程通过不同ID区分
（6） Flags 标志符，用来确认是否还有IP分片或是否能执行分片
（7） Fragment offset 分片偏移量，用于标识IP分片的位置，实现IP分片的重组
（8） Time to live 生存时间，标识IP数据包还能生存多久，根据操作系统不同，TTL默认值不同，每经过一个三层设备如路由器的处理，则TTL减去1，当TTL=0时，则此数据包被丢弃
（9） Protocol 协议号，标识IP协议上层应用。当上层协议为ICMP时，协议号为1，TCP协议号为6，UDP的协议号为17
（10） Header checksum 头部校验，用于检验IP数据包是否完整或被修改
（11） Source 源IP地址，标识发送者IP地址，占用32bit
（12） Destination 目的IP地址，标识接收者IP地址，占用32bit

五.实验步骤

1)IP头部解读

1.按照拓扑图搭建实验环境，并给接口配置对应的IP地址

R1:
R2:
R3:
2.启用OSPF协议实现全网可达

R1的OSPF配置

R2的OSPF配置

R3的OSPF配置
3. 启动抓包软件，抓取R1的F0/0端口的流量
4. 在R1上PING R2
5. 结合IP数据包的封装格式，分析ICMP报文的IP头部，并将相应的字段内容填入下表中。

2)IP头部变动（MAC地址每段链路改变、TTL改变、IP地址不变、校验和改变）

R1:
R2:

2. 在R1上PING 3.3.x.3
3. 分析第1个ICMP 包的源MAC，目的MAC，TTL，源IP，目的IP，校验和在R1的F0/0端口和R2的F0/1端口的区别（将R1的F0/0端口和R2的F0/1端口的第1个ICMP 包的IP头部，涉及到以上字段进行截图区别）

1)R1的F0/0端口

2)R2的F0/1

3)IP分片实验（标识符，标志符，分片偏移量）-验证MF位

1.重新启动抓包软件，抓取R1的F0/0端口的流量
2. 在R1上，利用命令show ip int f0/0查看F0/0接口的MTU值（截图）
3. 在R1上，利用命令 ip mtu 100将R1的F0/0接口的MTU值设置为100（配置命令截图）
4. 在R1上，利用命令ping 3.3.3.3 size 200 repeat 1，将ICMP包的大小改为200
5. 分析分片数据包的标识符、标志符（MF位）和分片偏移量及数据包的大小
（将ICMP包的IP头部涉及到以上字段进行截图）

(1)第1片
(2)第2片
(3)第3片

4）IP分片实验-验证DF位

1.在R1上，利用命令no ip mtu删除之前在R1的F0/0接口中设置的MTU值

2. 在R2上，利用命令 ip mtu 100将R2的F0/1接口MTU的值设为100（配置命令截图）

3. 启动抓包软件，抓取R1的F0/0端口的流量,在R1上，利用命令ping 3.3.3.3 size 200 df-bit repeat 1将DF位置1，表示不分片。（将ICMP包的IP头部涉及到以上字段进行截图）

（2）echo request 数据包IP头部

ICMP差错报文 IP头部

来源：freebuf.com 2021-03-30 20:51:39 by: Johnson666