分析ICMP报文「建议收藏」

分析ICMP报文「建议收藏」目录捕获准备:ICMP的相关知识:报文分析:捕获准备:启动wireshark录制数据包,打开命令行窗口输入pingwww.sina.com.cn。Wireshark已记录下报文,在过滤器输入ip.addr==120.192.83.125过滤报文。ICMP的相关知识:ICMP是(InternetControlMessage…

大家好,又见面了,我是你们的朋友全栈君。

目录

 

捕获准备:

ICMP的相关知识:

报文分析:


 

捕获准备:

启动wireshark录制数据包,打开命令行窗口输入ping www.sina.com.cn

分析ICMP报文「建议收藏」

Wireshark已记录下报文,在过滤器输入 ip.addr == 120.192.83.125过滤报文。

分析ICMP报文「建议收藏」

 

ICMP的相关知识:

 

ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。

各种ICMP报文的前32bits都是三个长度固定的字段:type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位) ,8bits类型和8bits代码字段一起决定了ICMP报文的类型。

类型代码  : 类型描述

  •   0 :   响应应答(ECHO-REPLY)
  •   3 :  不可到达
  •   4 :  源抑制
  •   5 :  重定向
  •   8  :  响应请求(ECHO-REQUEST)
  •   11  :  超时
  •   12  : 参数失灵
  •   13 :   时间戳请求
  •   14 :  时间戳应答
  •   17  :  地址掩码请求
  •   18  :  地址掩码应答
  •   30  : 路由跟踪

 

常见的 type类型字段(8位)、code代码字段(8位) 组合有:

  • 类型0、代码0:回应应答。
  • 类型3、代码0:网络不可达
  • 类型3、代码1:主机不可达
  • 类型5、代码1:为主机重定向数据包
  • 类型8、代码0:回应
  • 类型11、代码0:传输中超出TTL(常说的超时)

 

简单类型分析:

(1)响应请求   

    我们日常使用最多的ping,就是响应请求(Type=8)和应答(Type=0),一台主机向一个节点发送一个Type=8的ICMP报文,如果途中没有异常(例如被路由器丢弃、目标不回应ICMP或传输失败),则目标返回Type=0的ICMP报文,说明这台主机存在,更详细的:tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。

(2)目标不可到达、源抑制和超时报文

    这三种报文的格式是一样的,目标不可到达报文(Type=3)在路由器或主机不能传递数据报时使用,例如我们要连接对方一个不存在的系统端口(端口号小于1024)时,将返回Type=3、Code=3的ICMP报文,它要告诉我们:“嘿,别连接了,我不在家的!”,常见的不可到达类型还有网络不可到达(Code=0)、主机不可到达(Code=1)、协议不可到达(Code=2)等。源抑制则充当一个控制流量的角色,它通知主机减少数据报流量,由于ICMP没有恢复传输的报文,所以只要停止该报文,主机就会逐渐恢复传输速率。最后,无连接方式网络的问题就是数据报会丢失,或者长时间在网络游荡而找不到目标,或者拥塞导致主机在规定时间内无法重组数据报分段,这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值:Code=0表示传输超时,Code=1表示重组分段超时。

 

16bits校验和字段: 包括数据在内的整个ICMP数据包的校验和,其计算方法和IP头部校验和的计算方法是一样的。

 

 

报文分析:

  1. PING 响应请求报文

     选取第1条报文分析,右键然后点击”Follow TCP Stream”(跟踪流)。这样做的目的是为了得到与浏览器打开网站相关的数据包,

分析ICMP报文「建议收藏」

分析ICMP报文「建议收藏」

从报文格式中可以看出ICMP协议是TCP/IP协议族的一个子协议。

IP报文格式:

分析ICMP报文「建议收藏」

分析ICMP报文「建议收藏」

IP报文版本号是IPV4,

首部长度:20 bytes,

数据包总长度:60,

标示符:0x53ab,           

标志:0x00,

比特偏移:0x00,

寿命:64,

上层协议:ICMP,

首部校验和:0xd7de,并且是正确的。

源IP地址:172.26.214.223            

目的IP地址:120.192.83.125

 

ICMP报文格式:

分析ICMP报文「建议收藏」

分析ICMP报文「建议收藏」

分析ICMP报文「建议收藏」

类型:8 (回显请求)   代码/编码:0

校验和:0x4716 (正确的校验和)

标示符(大端顺序):1(0x0001);

标示符(小端顺序):256(0x0100);

序列号(大端顺序):1605(0x0645);

序列号(小端顺序):17670(0x4506)。

报文统计和报文具体内容可以用wireshark对应。发现标示符LE与BE都指向二进制报文内容的0x0001,后来在网上搜索是大小端问题,window系统与Linux系统发出的ping报文(主要指ping应用字段而非包含IP头的ping包)的字节顺序不一样(windows为LE:little-endian byte order,Linux为BE:big-endian)。可以看出报文其实就是一些比特流,网络协议就是解释它的东西。

 

分析ICMP报文「建议收藏」

其ICMP Type为8,与知识背景相符,是请求报文。

  1. PING 响应应答报文

     选取第2条报文分析:

分析ICMP报文「建议收藏」

其ICMP Type为0。

分析ICMP报文「建议收藏」

分析ICMP报文「建议收藏」

 

由上两图可以看出分别经历了四次响应请求和响应应答,数据长度为32bytes,符合ping命令行为。

 

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/131235.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • linux 安装 node_手机安装node环境

    linux 安装 node_手机安装node环境Linux安装node环境1.去node官网下载node安装包2.解压并重命名tar-xvfnode-v14.15.5-linux-x64.tar.xz#解压mvnode-v16.14.2-linux-x64node#重命名为node3.全局引用,创建npm和node软连接ln-s/usr/local/dev/nodejs/node/bin/npm/usr/local/bin#创建npm软连接,其中/usr/local/dev/nodejs/node/bin/

  • 微信小程序的拍照功能「建议收藏」

    作者:刘旭濠撰写时间:2019年04月14日一开始就想弄个微信的小程序玩玩然后想了想最后就决定了,就弄个微信小程序的拍照功能,然后就上网查询了一些资料,在微信社区文档里有很多功能可以使用,然后我就尝试的找了一下关于拍照的资料,然后整理出来文档和网上的一些资料,在微信的API还有更多的资料和其他好玩的玩意代码如下://定时器拍照setTime:function(){  lett…

  • 基于51单片机的多功能八路抢答器[通俗易懂]

    基于51单片机的多功能八路抢答器[通俗易懂]1.功能介绍多功能八路抢答器是基于51单片机来设计的,除了可以实现最基本功能——8路抢答外,还具有自动处理犯规选手,抢答时间调整,还可以进行答题,计分,并且可以查询或修改分数。2.硬件设计该抢答器的硬件由五个部分组成,包括单片机、按键电路、数码管显示电路、指示灯电路和声音提示电路。硬件框图如下(2)硬件原理图由于每个部分的硬件电路都比较简单,就不做介绍了,大家直接看图。3.软件设…

    2022年10月20日
  • Spark Streaming Join

    Spark Streaming Join多数据源Join思路多数据源Join大致有以下三种思路:数据源端Join,如Android/IOS客户端在上报用户行为数据时就获取并带上用户基础信息。计算引擎上Join,如用SparkStreaming、Flink做Join。结果端Join,如用HBase/ES做Join,Join键做Rowkey/_id,各字段分别写入列簇、列或field。三种思路各有优劣,使用时注意…

  • MyCCL特征码定位原理学习[通俗易懂]

    MyCCL特征码定位原理学习[通俗易懂]这段时间学习WEB方面的技术,遇到了木马免杀特征码定位的问题,这里做一下学习笔记。这里对MyCCL的分块原理做一下探究对指定文件生成10个切块 对指定的木马进行切块后,文件列表是这样的。 注意这里是从E0作为切块的偏移量。也就是说从E0的位置开始逐个切块,E0之前的内容是保留的。这样做的目的是保留一些PE必须的头文件信息。我们来通过亲身的探究来解析一下MyCCL的切块区

    2022年10月22日
  • MacOS抓包工具Charles「建议收藏」

    MacOS抓包工具Charles「建议收藏」抓包工具有wireshark,tcpdump,还有就是Charles。今天分享的是最后一个Charles。抓包分2个,一个是移动端的,一个是macOS自带的应用。安装Charleshttps://www.charlesproxy.com/latest-release/download.do这里有官方最新的包,不过启动后有提示。也有符合社会主义特殊的软件#替换包里面的…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号