实验使用分析以太网帧和协议模板.doc

试验二使用Wireshark分析以太网帧与ARP协议

一、试验目

分析以太网帧,MAC地址和ARP协议

二、试验环境

与因特网连接计算机网络系统;主机操作系统为windows;使用Wireshark、IE等软件。

三、试验步骤:

IP地址用于标识因特网上每台主机,而端口号则用于区分在同一台主机上运行不一样网络应用程序。在链路层,有介质访问控制（MediaAccessControl,MAC）地址。在局域网中,每个网络设备必需有唯一MAC地址。设备监听共享通信介质以获取目标MAC地址与自己相匹配分组。

Wireshark能把MAC地址组织标识转化为代表生产商字符串,比如,00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示,因为组织唯一标识符00:06:5b属于Dell。地址ff:ff:ff:ff:ff:ff是一个特殊MAC地址,意味着数据应该广播到局域网全部设备。

在因特网上,IP地址用于主机间通信,不管它们是否属于同一局域网。同一局域网间主机间数据传输前,发送方首先要把目IP地址转换成对应MAC地址。这经过地址解析协议ARP实现。每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧数据部分,而帧目地址将被设置为ARP高速缓存中找到MAC地址。假如没有发觉IP地址转换项,那么本机将广播一个报文,要求含有此IP地址主机用它MAC地址作出响应。含有该IP地址主机直接应答请求方,而且把新映射项填入ARP高速缓存。

发送分组到当地网外主机,需要跨越一组独立当地网,这些当地网经过称为网关或路由器中间机器连接。网关有多个网络接口卡,用它们同时连接多个当地网。最初发送者或源主机直接经过当地网发送数据到当地网关,网关转发数据报到其它网关,直到最终抵达目主机所在当地网网关。

1、俘获和分析以太网帧

（1）选择工具-Internet选项-删除文件

（2）开启Wireshark分组嗅探器

（3）在浏览器地址栏中输入以下网址:

.,出现北邮主页。

（4）停止分组俘获。在俘获分组列表中（listingofcapturedpackets）中找到HTTPGET信息和响应信息,如图1所表示。。

HTTPGET信息被封装在TCP分组中,TCP分组又被封装在IP数据报中,IP数据报又被封装在以太网帧中）。在分组明细窗口中展开EthernetII信息（packetdetailswindow）。回复下面问题:

1、你所在主机48-bitEthernet地址是多少？

2、Ethernet帧中目地址是多少？这个目地址是.Ethernet地址吗？

图1HTTPGET信息和响应信息

2、分析地址ARP协议

(1)ARPCaching

ARP协议用于将目IP转换为对应MAC地址。Arp命令用来观察和操作缓存中内容。即使arp命令和ARP有一样名字,很轻易混淆,但它们作用是不一样。在命令提醒符下输入arp能够看到在你所在电脑中ARP缓存中内容。为了观察到你所在电脑发送和接收ARP信息,我们需要清除ARP缓存,不然你所在主机很轻易找到已知IP和匹配MAC地址。

步骤以下:

（1）清除ARPcache,具体做法:在MSDOS环境下,输入命令arp–d*command,The–d表示清除操作,*删除alltableentries.

（2）选择工具-Internet选项-删除文件

（3）开启Wireshark分组俘获器

（4）在浏览器地址栏中输入以下网址:

（5）停止分组俘获。

（6）选择Analyze-EnabledProtocols-取消IP选项-选择OK。如图3所表示:

图3利用Wireshark俘获ARP分组

四、试验汇报

依据试验,回复下面问题:

1）本机IP地址和MAC地址是多少？

2）ARP请求中目IP地址是谁？

3）ARP响应源MAC地址是谁？

因为此试验是相关Ethernet和ARP,所以,只需在分组俘获列表中显示IP层下面协议,具体做法为:选择Analyze-EnabledProtocols-不选择IP协议-selectok如图2所表示: