使用WireShark简单分析ICMP报文

ICMP协议介绍

1、ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。

2、ICMP报文作为IP层数据报的数据,加上数据报的首部,组成数据报发送出去。

3、ICMP报文的种类有两种,即ICMP差错报告报文和ICMP询问报文。

利用ping 程序分析一个ICMP协议交互过程

CMD下执行  ping www.baidu.com

过滤只显示ICMP协议

可以看到windows下ping默认执行4次ping程序,wireshark抓到8个ICMP查询报文,具体看一次请求和应答过程

首先先看一个包的格式,由下图可知,报文由IP首部和ICMP报文组成,先看下IP包的首部和大小

红色框中蓝色为IP首部,共有20字节

下图为红色框中的蓝色为ICMP报文,共有40个字节

ICMP报文的具体格式

由此可以看到刚才的截图

Type:8

Code:0

Checksum:0x4c90

通过查询ICMP报文类型可知,Type为8的包为 回射请求(Ping请求)

使用相同的方法,查看Echo (ping) reply包,得到type类型为0

通过查询ICMP报文类型可知,Type为0的包为 回射应答(Ping应答)

具体如下图

时间: 2024-10-28 11:26:36

使用WireShark简单分析ICMP报文的相关文章

用Wireshark简单分析HTTP通信

我们都学过TCP,HTTP的相关概念,本文借助协议分析工具Wireshark,让大家对一些概念眼见为实,权当温故而知新. 场景: 在Client(10.239.196.211)上通过web browser访问另一台Server(10.239.9.22)上的web server. 步骤: 0. 首先配置Wireshark -> Edit -> Preference -> Protocol: 如下配置的HTTP包显示效果与TCP segment的时序比较一致,便于理解. 1. 用浏览器访问

Wireshark - ICMP 报文分析

1. 测试机器,源地址 IP 为 10.21.28.110,目的 IP 地址为 10.6.0.24. 2. 使用 ip.src == 10.6.0.24 or ip.dst == 10.6.0.24 过滤规则,只显示 10.21.28.110 与 10.6.0.24 交互的数据. 如上图所示,Windows 中 ping 命令默认执行 4 次 ping 程序,所以 Wireshark 会抓到 8 个 ICMP 报文. 3.  观察第一个编号为 2066 的 Echo (ping) request

tcp、udp、ip、icmp报文格式分析

TCP .UDP .IP. ICMP协议报文格式分析 Tcp报文格式: Wireshark抓包如图: 源端口/目的端口(16bit): 在TCP报文中包涵了源端口/目的端口,源端口标识了发送进程,目的端口标识了接收方进程.由上图可以看出在此报文中我们的源端口号是54160, 目的端口是cichlid(1377). 序列号(32bit): Sequence Number这个是发送序列号,用来标识从源端向目的端发送的数据字节流,它表示在这个报文端中的第一个数据字节的顺序号,序列号是32位的无符号类型

ICMP报文分析

一.概述: 1.   ICMP允许主机或路由报告差错情况和提供有关异常情况.ICMP是因特网的标准协议,但ICMP不是高层协议,而是IP层的协议.通常ICMP报文被IP层或更高层协议(TCP或UDP)使用.一些ICMP报文把差错报文返回给用户进程. 2.   ICMP报文作为IP层数据报的数据,加上数据报的首部,组成数据报发送出去. 3.   ICMP报文的种类有两种,即ICMP差错报告报文和ICMP询问报文. 二.ICMP报文的格式 1.   类型:占8位 2.   代码:占8位 3.   检

TCP/IP具体解释--ICMP报文分析

一.概述: 1.   ICMP同意主机或路由报告差错情况和提供有关异常情况.ICMP是因特网的标准协议,但ICMP不是高层协议,而是IP层的协议. 通常ICMP报文被IP层或更高层协议(TCP或UDP)使用. 一些ICMP报文把差错报文返回给用户进程. 2.   ICMP报文作为IP层数据报的数据.加上数据报的首部.组成数据报发送出去. 3.   ICMP报文的种类有两种,即ICMP差错报告报文和ICMP询问报文. 二.ICMP报文的格式 1.   类型:占8位 2.   代码:占8位 3.  

使用scapy分析pcap报文

需求: 1.读取wireshark捕获的pcap报文 2.过滤出特定报文 3.分析特定报文的间隔时间是否符合规律 关键函数或变量: rdpcap() filter():使用lambda函数 p.time 可用ls()查看报文支持的字段,由于链路层和IP层用的字段重复,可以用p[IP].src代表IP源地址,类型为字符串. p.load表示原始数据区,类型为字符串.

ICMP报文

ICMP报文封装在IP数据报中,ICMP报文可分为两大类:差错报告报文和查询报文. ICMP报文首部的一般格式如图1.11所示. 图1.11 ICMP报文首部的一般格式 1.2.1 查询报文 查询报文有多种类型,比较常见的是类型(Type)8和类型(Type)0,它们是成对出现的.类型8表示回送请求(Echo),类型0表示回送应答(Echo Reply).在<组建与维护企业网络>课程中已经介绍过,这里不再赘述. 1.2.2 差错报告报文 ICMP的主要责任之一就是报告差错,当路由器或目的主机在

ICMP报文类型

 类型代码 类型描写叙述 0 响应应答(ECHO-REPLY) 3 不可到达 4 源抑制 5 重定向 8 响应请求(ECHO-REQUEST) 11 超时 12 參数失灵 13 时间戳请求 14 时间戳应答 15 信息请求(*已作废) 16 信息应答(*已作废) 17 地址掩码请求 18 地址掩码应答 用wireshark查看 附: 几种常见的ICMP报文: 1.响应请求 我们日常使用最多的ping.就是响应请求(Type=8)和应答(Type=0).一台主机向一个节点发送一个Type=8的IC

wireshark源代码分析

3.如果执行命令,总是nmake报各种错,请反复检查你的Wireshark目录里面config.nmake文件配置的是否正确. 输入这个网址,http://www.wireshark.org/download/src/all-versions/,从上面下载Wireshark源代码,这里,值得一提的是,最好下载页面中给出的svn中的源代码,能保证该代码绝对是最新的. 下载完成之后,在Wireshark目录里面打开config.nmake,需要进行一些设置之后才可以开始编译. (1)WIRESHAR