Изучение захваченного потока
В захваченном потоке Вы должны увидеть серии ICMP эхо-запросов, отправленных с Вашего компьютера, и ICMP-сообщений об истечении времени жизни, возвращенных вашему компьютеру от промежуточных маршрутизаторов. Последовательность ICMP сообщений можно увидеть с помощью фильтра или просто сортировки протоколов.
Выберите первый ICMP эхо-запрос, отправленный вашим компьютером, и раскройте часть пакета, содержащую IP-протокол, в окне «дерева полей пакета» (см. рис 4.3.).
Рис.4.3. Окно программы Wireshark после захвата пакетов
Контрольные вопросы
1. Какой IP-адрес у Вашего компьютера?
2. Какое значение указано в поле протокола в заголовке IP-дейтаграммы?
3. Каков размер в байтах IP-заголовка? Сколько байт полезной нагрузки в этой IP-дейтаграмме? Объясните, как вы это определили.
4. Была ли эта дейтаграмма разбита на фрагменты? Поясните, как Вы это определили.
Отсортируйте пакеты согласно IP-адресу хоста-источника (отправителя), нажав на заголовок столбца Source. Выберите первый ICMP запрос эха, отправленный Вашим компьютером, и раскройте IP-протокол в окне расшифровки заголовка выбранного пакета. В списке захваченных пакетов вы должны увидеть все последующие ICMP-сообщения ниже этого первого ICMP эхо-запроса.
5. Какие поля в IP-дейтаграмме всегда изменяются от одной дейтаграммы к другой в сериях ICMP-сообщений, отправленных Вашим компьютером?
6. Какие поля остаются постоянными? Какие должны измениться и почему?
7. Опишите, что Вы увидели в поле идентификации IP-дейтаграммы? Поясните.
Отсортируйте пакеты по номеру или времени. В этом отсортированном списке найдите серии ICMP-сообщений об истечении срока жизни (TTL-exceeded replies), отправленных вашему компьютеру от ближайшего маршрутизатора.
8. Запишите значения поля идентификации и поля времени жизни для одного ICMP-сообщения.
9. Останутся ли эти величины неизменными для всех ICMP-сообщений об истечении срока жизни (TTL-exceeded replies), отправленных вашему компьютеру от ближайшего маршрутизатора? Почему?
Найдите первое ICMP-сообщение «запрос эха», отправленное вашим компьютером, после того как вы изменили размер пакета на 2000. Для облегчения поиска введите в поле фильтрации «icmp», затем отсортируйте список захваченных пакетов по времени. Выделите необходимый пакет. После этого очистите поле фильтрации для отображения всех пакетов.
10. Было ли это сообщение разбито более чем на одну дейтаграмму?
11. Раскройте первый фрагмент разбитой IP-дейтаграммы. Какая информация в заголовке показывает, что IP-дейтаграмма была фрагментирована? Какая информация указывает на то, первый ли это фрагмент? Какова длина этой IP-дейтаграммы?
Примечание: если пакет разбит на фрагменты (например, на 3 фрагмента), то в списке захваченных пакетов только последний из группы будет распознаваться как ICMP. То есть первые два фрагмента группы будут распознаваться как IP-фрагменты, а последний – как ICMP-фрагмент. То есть задача стоит в том, чтобы определить первый фрагмент из группы.
12. Раскройте второй фрагмент дейтаграммы. Что в заголовке показывает, что это не первый фрагмент дейтаграммы? Есть ли еще фрагменты? Поясните ответ.
13. Какие поля в заголовке изменились между первым и вторым фрагментами?
14. Теперь найдите первое ICMP-сообщение эхо-запрос, которое было отправлено Вашим компьютером, после того, как размер пакета был изменен на 3500.
15. На сколько фрагментов было разбита исходная дейтаграмма?
16. Какие поля изменяются в IP-заголовках этих фрагментов?
ЛАБОРАТОРНАЯ РАБОТА №5
Ethereal Lab: протокол сетевого уровня ICMP
Цель работы – исследование протокола сетевого уровня ICMP и его аспектов: формата, данных, а также особенностей формирования ICMP сообщений программами Ping и Tracerote.