Wireshark Lab : IP v7.0

Wireshark_IP_v7.0.pdf

0.63MB

---

1.    Select the first ICMP Echo Request message sent by your computer, and expand the Internet Protocol part of the packet in the packet details window. What is the IP address of your computer?

 

>> The IP address of my computer is 192.168.35.170

 

2.    Within the IP packet header, what is the value in the upper layer protocol field?

 

>> The value in the upper layer protocol field is ICMP (1).

 

3.    How many bytes are in the IP header? How many bytes are in the payload of the IP datagram? Explain how you determined the number of payload bytes.

 

>> IP header에는 20 bytes가 있다. 56 bytes의 packet을 보냈기 때문에 IP datagram의 payload에는 36 bytes가 남아 있다. (56 bytes – 20 bytes = 36 bytes)

 

4.    Has this IP datagram been fragmented? Explain how you determined whether or not the datagram has been fragmented.

 

>> Fragment offset이 0이므로, IP datagram은 not been fragmented. (패킷이 조각화 되지 않았다.)

 

5.    Which fields in the IP datagram always change from one datagram to the next within this series of ICMP messages sent by your computer?

>> Identification, Time to live, Header checksum은 항상 변경된다.

 

6.    Which fields stay constant? Which of the fields must stay constant? Which fields must change? Why?

• Fields stay constant

   i.           Version - 모든 packets에 IPv4를 사용하기 때문에.

   ii.          Length of header - ICMP packets 이므로.

   iii.          Source IP – 같은 source에서 전송하기 때문에.

   iv.          Destination IP – 같은 대상으로 전송하기 때문에.

   v.           Differentiated Services – 모든 packets은 ICMP → 같은 type의 service class를 사용한다.

   vi.          Upper Layer Protocol – ICMP packets 이므로.

 

• Fields must stay constant

   i.          Version - 모든 packets에 IPv4를 사용하기 때문에.

   ii.          Length of header - ICMP packets 이므로.

   iii.         Source IP – 같은 source에서 전송하기 때문에.

   iv.         Destination IP – 같은 대상으로 전송하기 때문에.

   v.          Differentiated Services – 모든 packets은 ICMP → 같은 type의 service class를 사용한다.

   vi.         Upper Layer Protocol – ICMP packets 이므로.

 

• Fields must change

   i.           Identification – IP packets의 ID가 서로 달라야 하기 때문에.

   ii.          Time to live – traceroute은 이후 packet마다 증가함.

   iii.          Header checksum – header가 변경되기 때문에 checksum이 필요함.

 

7.    Describe the pattern you see in the values in the Identification field of the IP datagram.

 

<Identification 값 : 7574>

<Identification 값 : 7575>

>> 패턴은 각 ICMP Echo (ping) 요청에 따라 IP header Identification field가 증가하는 것이다.

 

8.    What is the value in the Identification field and the TTL field?

 

>> Identification : 40579

>> TTL : 64

 

9.    Do these values remain unchanged for all of the ICMP TTL-exceeded replies sent to your computer by the nearest (first hop) router? Why?

>> Identification field는 고유한 값이기 때문에 모든 ICMP TTL-exceeded 응답에서 Identification field가 변경된다. 만약 둘 이상의 IP datagrams에 동일한 identification 값이 있다면, 이러한 IP datagram이 하나의 큰 IP datagram의 fragments라는 뜻이다.

>> 첫번째 hop router의 TTL은 항상 똑같기 때문에, TTL field는 변경되지 않는다.

 

10.    Find the first ICMP Echo Request message that was sent by your computer after you changed the Packet Size in PingPlotter to be 2000. Has that message been fragmented across more than one IP datagram?

 

>> Yes. That message has been fragmented across more than one IP datagram.

 

11.    Print out the first fragment of the fragmented IP datagram. What information in the IP header indicates that the datagram been fragmented? What information in the IP header indicates whether this is the first fragment versus a latter fragment? How long is this IP datagram?

 

>> Flags가 더 많은 fragments에 대해 설정되어 있다는 건 datagram이 fragmented 되었음을 의미한다.

>> Fragment offset이 0 → 해당 값이 first fragment임을 알 수 있다.

>> This IP datagram의 Total Length는 header를 포함하여 1500이다.

 

 

12.    Print out the second fragment of the fragmented IP datagram. What information in the IP header indicates that this is not the first datagram fragment? Are the more fragments? How can you tell?

 

>> The second fragment는 fragment offset이 1480이기 때문에 first fragment가 아님을 알 수 있다. 더 이상 fragments에 대한 flag가 설정되어 있지 않기 때문에 마지막 fragment다. (= fragments가 더 이상 없다.)

 

 

13.    What fields change in the IP header between the first and second fragment?

>> Total length, Flags set, Fragment offset, Header checksum.

 

14   & 15. How many fragments were created from the original datagram? What fields change in the IP header among the fragments?

Q. 14

>> 3500으로 전환한 뒤, 원래 datagram에서 3개의 packets이 생성된다.

Q. 15

>> 변경되는 IP header fields는 Fragment offset, checksum이다. 또한 처음 두 패킷과 마지막 패킷 사이에 Total Length와 flags에서도 변화가 있다. 처음 2개의 패킷은 Total Length가 1500이고, 마지막 패킷은 Total Length가 540으로 더 짧다.