实验使用分析以太网帧和协议模板.doc
试验二使用Wireshark分析以太网帧与ARP协议
一、试验目
分析以太网帧,MAC地址和ARP协议
二、试验环境
与因特网连接计算机网络系统;主机操作系统为windows;使用Wireshark、IE等软件。
三、试验步骤:
IP地址用于标识因特网上每台主机,而端口号则用于区分在同一台主机上运行不一样网络应用程序。在链路层,有介质访问控制(MediaAccessControl,MAC)地址。在局域网中,每个网络设备必需有唯一MAC地址。设备监听共享通信介质以获取目标MAC地址与自己相匹配分组。
Wireshark能把MAC地址组织标识转化为代表生产商字符串,比如,00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示,因为组织唯一标识符00:06:5b属于Dell。地址ff:ff:ff:ff:ff:ff是一个特殊MAC地址,意味着数据应该广播到局域网全部设备。
在因特网上,IP地址用于主机间通信,不管它们是否属于同一局域网。同一局域网间主机间数据传输前,发送方首先要把目IP地址转换成对应MAC地址。这经过地址解析协议ARP实现。每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧数据部分,而帧目地址将被设置为ARP高速缓存中找到MAC地址。假如没有发觉IP地址转换项,那么本机将广播一个报文,要求含有此IP地址主机用它MAC地址作出响应。含有该IP地址主机直接应答请求方,而且把新映射项填入ARP高速缓存。
发送分组到当地网外主机,需要跨越一组独立当地网,这些当地网经过称为网关或路由器中间机器连接。网关有多个网络接口卡,用它们同时连接多个当地网。最初发送者或源主机直接经过当地网发送数据到当地网关,网关转发数据报到其它网关,直到最终抵达目主机所在当地网网关。
1、俘获和分析以太网帧
(1)选择工具-Internet选项-删除文件
(2)开启Wireshark分组嗅探器
(3)在浏览器地址栏中输入以下网址:
.,出现北邮主页。
(4)停止分组俘获。在俘获分组列表中(listingofcapturedpackets)中找到HTTPGET信息和响应信息,如图1所表示。。
HTTPGET信息被封装在TCP分组中,TCP分组又被封装在IP数据报中,IP数据报又被封装在以太网帧中)。在分组明细窗口中展开EthernetII信息(packetdetailswindow)。回复下面问题:
1、你所在主机48-bitEthernet地址是多少?
2、Ethernet帧中目地址是多少?这个目地址是.Ethernet地址吗?
图1HTTPGET信息和响应信息
2、分析地址ARP协议
(1)ARPCaching
ARP协议用于将目IP转换为对应MAC地址。Arp命令用来观察和操作缓存中内容。即使arp命令和ARP有一样名字,很轻易混淆,但它们作用是不一样。在命令提醒符下输入arp能够看到在你所在电脑中ARP缓存中内容。为了观察到你所在电脑发送和接收ARP信息,我们需要清除ARP缓存,不然你所在主机很轻易找到已知IP和匹配MAC地址。
步骤以下:
(1)清除ARPcache,具体做法:在MSDOS环境下,输入命令arp–d*command,The–d表示清除操作,*删除alltableentries.
(2)选择工具-Internet选项-删除文件
(3)开启Wireshark分组俘获器
(4)在浏览器地址栏中输入以下网址:
(5)停止分组俘获。
(6)选择Analyze-EnabledProtocols-取消IP选项-选择OK。如图3所表示:
图3利用Wireshark俘获ARP分组
四、试验汇报
依据试验,回复下面问题:
1)本机IP地址和MAC地址是多少?
2)ARP请求中目IP地址是谁?
3)ARP响应源MAC地址是谁?
因为此试验是相关Ethernet和ARP,所以,只需在分组俘获列表中显示IP层下面协议,具体做法为:选择Analyze-EnabledProtocols-不选择IP协议-selectok如图2所表示: