1、使用Wireshark打開ip-ethereal-trace-1，如圖

 

電腦IP地址為192.168.1.102

2、如圖，IP包頭中上層協(xié)議字段的值為1，代表為ICMP

 

3、如圖，IP頭中有20字節(jié)

 

 

IP數(shù)據(jù)報中負載長度為84-20=64字節(jié)

?

 

4、該IP數(shù)據(jù)報未碎片化，因為片偏移量為0且DF=0,MF=0

 

5、通過一系列對比發(fā)現(xiàn)，IP數(shù)據(jù)報中的標識(Identification)、生存時間(Time to Live)、首部校驗和(Header Checksum)、序號(Sequence Number(LE))改變

6、生存時間和首部校驗和必須變化，標志、片偏移、數(shù)據(jù)報長度可能改變，源IP地址、目的IP地址必須保持不變

7、Identification占16位，2字節(jié)，用16進制表示

8、如圖，Identification為0x9d7c,TTL為255

 

9、不是，標識會變，生存時間不會改變（序號分別為9、40的兩條報文）：因為路由器到主機距離沒變，但是發(fā)送的報文并不是同一條

 

 

 

由于文件的報文長度均小于1500字節(jié)且計算機使用以太網(wǎng)連接，則Wireshark報告的IP數(shù)據(jù)報長度錯誤，它顯示一個大的IP數(shù)據(jù)報，而不是多個小的數(shù)據(jù)報。其原因是Wireshark與以太網(wǎng)驅(qū)動程序之間的交互。

實驗3完成

如果為實驗整體內(nèi)容