协议分析——实验七 利用Wireshark分析ICMP

地址:

软件准备

似乎不用准备什么东东,可以开机的电脑和系统就可以啦

先看看实验报告:

在实验报告中回答下面问题:
(1)查看ICMP echo 分组,是否这个分组和前面使用 ping命令的ICMP echo 一样?
(2)查看ICMP错误分组,它比ICMP echo 分组包括的信息多。ICMP错误分组比ICMP echo 分组多包含的信息有哪些?
(3)尝试使用ping –f命令产生icmp报文,并观察分析。

1.设计能捕获多种ICMP报文的实验步骤。
2.记录并分析截获的数据包。

这样的话就可以啦

照着实验步骤来就好。

推荐一个小软件:Best Trace 下载地址:https://www.ipip.net/product/client.html#besttrace

image-20231014214219998

1、ping 和 ICMP

利用Ping程序产生ICMP分组。Ping向因特网中的某个特定主机发送特殊的探测报文并等待表明主机在线的回复。具体做法:

(1)打开Windows命令提示符窗口(Windows Command Prompt)。
(2)启动Wireshark 分组嗅探器,在过滤显示窗口(filter display window)中输入icmp,开始Wireshark 分组俘获。
(3)输入“ping –n 10 hostname” 。其中“-n 10”指明应返回10条ping信息。
(4)当ping程序终止时,停止Wireshark分组俘获。

这个感觉照做就好

image-20231014214525371

打开软体哦,然后双击捕获的适配器。

输入ICMP

image-20231014214553088

然后在cmd里面ping就好

ping -n 10 a.dayiyi.top

image-20231014214649938

image-20231014214640437

大概也就这个样子
image-20231014215127976

咱集群内网包太多就不放文件了(几秒14M的流量),有用的不到20K。、

TYPE 0 CODE8

echo req 分组

image-20231014221830120

TYPE0 CODE 0

echo reply分组

image-20231014221849571

image-20231014221043250

2、ICMP和Traceroute

(1) 启动Window 命令提示符窗口

(2) 启动Wireshark分组嗅探器,开始分组俘获。

(3) Tracert命令在c:\windows\system32下,所以在MS-DOS 命令提示行或者输入“tracert hostname” or “c:\windows\system32\tracert hostname” (注意在Windows 下, 命令是 “tracert” 而不是“traceroute”。)如图4所示:

(4)当Traceroute 程序终止时,停止分组俘获。

推荐使用联通的流量或者宽带,其他的网络结果不明显

准备命令:

tracert a.dayiyi.top

开始捕获

这个过程比较慢

image-20231014221230953

你会发现TTL会越来越长

image-20231014221300067

image-20231014221521619

BEST TRACE

也可以试试BEST trace

image-20231014221546607

同样的,直接追踪就好

image-20231014222255341

回答问题

(1) 查看ICMP echo 分组,是否这个分组和前面使用 ping命令的ICMP echo 一样?

可以看到这里的分组跟之前有点区别了。

image-20231014225538616

REQ会出现无回应的情况,也就是wireshark没有找到相应的回应。

image-20231014230433677

同时也会出现TTL exceeded的情况

(2) 查看ICMP错误分组,它比ICMP echo 分组包括的信息多。ICMP错误分组比ICMP echo 分组多包含的信息有哪些?

包含了当前节点的IP信息,也就是当前路由的IP信息,通过一定的计算可以计算出相应的访问时间。

(3)尝试使用ping –f命令产生icmp报文,并观察分析。

-f 在数据包中设置“不分段”标记(仅适用于 IPv4)。

image-20231014231953064

如果拉大:

image-20231014232035182

3、实验报告

1.设计能捕获多种ICMP报文的实验步骤。

除了wireshark,还可以直接在网关上干

Linux下:

tcpdump host 39.105.181.66 -w cap.cap

image-20231014233925377

image-20231014234431375

image-20231014234447585

2.记录并分析截获的数据包。

image-20231014234504982

正常的ICMP啦

image-20231014234552944

回应

image-20231014234706415

文件下载

https://pic.icee.top/blog/dl_files/traceroute_sdust_filter_75e13846-16df-4061-9147-c281f920065d.pcapng

image-20231014235241923

最后修改:2023 年 10 月 15 日
如果觉得我的文章对你有用,请随意赞赏