您的位置:首页 > 理论基础 > 计算机网络

网络协议分析工具Wireshark的使用、用Wireshark观察ARP协议以及ping命令的工作过程分析以太网报文格式

2016-10-06 14:38 1041 查看
 实验名称:
网络协议分析工具Wireshark的使用

 实验目的:

1)学习安装、使用网络协议分析工具Wireshark的方法;

2)通过Wireshark对arp、icmp、ip、udp、tcp等协议进行分析。

实验环境:
Win764位操作系统

实验内容:

1用Wireshark观察ARP协议以及ping命令的工作过程

1.1arp表为空的情况,目的地址为本网段

1)用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址;

ipconfig/all   34:DE:1A:48:37:CB  172.16.140.72

2)用“arp”命令清空本机的缓存:arp-d

3)运行Wireshark,开始捕获所有属于ARP协议或ICMP协议的,并且源或目的MAC地址是本机的包(提示:在设置过滤规则时需要使用(1)中获得的本机的MAC地址);

过滤规则:ether host 00:15:C5:7B:30:A6 and(arp or icmp)

4)执行命令:“ping   本网段的IP地址” ;ping 172.16.140.72

5)分析执行流程、以太网帧中的MAC地址; 

1>arp请求mac地址分析



Mac帧地址分析:广播帧。目的地址:ff:ff:ff:ff:ff:ff   源地址:08:81:f4:94:17:68

帧类型:地址解析协议(0806)  地址的第一字段最低位是1,表示组地址。

2>arp应答mac地址分析



目的地址:34:de:1a:48:37:cb源地址:08:81:f4:94:17:68帧类型:地址解析协议(0806)

地址的第一字段最低位是1,表示组地址。

3>执行流程分析:因为执行arp –d清空本机缓存,本机在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为本机IP地址和MAC地址,目标IP地址和目标MAC地址为本机的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。 

 

1.2arp表不为空的情况,目的地址为本网段

1)重复3.1.1的步骤,进行试验;

2)分析执行过程有何不同;

1>arp请求mac地址分析



目的地址:08:81:f4:94:17:68          源地址:34:de:1a:48:37:cb

帧类型:地址解析协议(0806)      地址的第一字段最低位是1,表示组地址。

2>arp应答mac地址分析



目的地址:34:de:1a:48:37:cb           源地址:08:81:f4:94:17:68

帧类型:地址解析协议(0806)       地址的第一字段最低位是1,表示组地址。

3>执行流程:本机首先查看自己的ARP表,确定其中包含有主机对应的ARP表项。找到了对应的MAC地址,直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。当主机B收到此请求时,进行响应。

 

1.3arp表为空的情况,目的地址不为本网段

       1)重复3.1.1的步骤,进行试验;

       2)分析arp解析与3.1.1有何不同;

       3)分析以太网帧中的MAC地址;

1>arp请求max帧分析

2>arpy应答mac帧分析

3>执行流程:主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。

2 用Wireshark观察IP报文分片及以太网最小传输长度

1)执行ping –l 长度 目的IP;



可得最小帧长在size=0时获得。





2)分析参数长度小于多少时,数据链路层进行填充;

答:数据字段长度在46到1500字节之间,故小于46字节时,数据链路层进行填充。

3 分析以太网报文格式

目前主要有两种格式的以太网帧:Ethernet II(DIX 2.0)和IEEE 802.3。我们接触过的IP、ARP、EAP和QICQ协议使用Ethernet II帧结构,而STP协议则使用IEEE 802.3帧结构。



1)Ethernet II帧分析



帧长度为71字节,前导码的8个字节已经被除去,实际帧长79字节。目的地址为34:de:1a:48:37:cb

源地址:14:14:4b:77:30:5d

类型:IP协议(0800)

2)IEEE 802.2/802.3帧分析



4.分析arp协议

1)原理:地址解析协议,即ARP(AddressResolution Protocol),是根据IP地址获取物理地的一个TCP/IP协议主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。

2)报文格式



3)利用Wireshark对arp的解析见3.1

实验结果

用Wireshark观察ARP协议以及ping命令的工作过程。花费了一定时间摸索软件。实验完成。 用Wireshark观察IP报文分片及以太网最小传输长度。该实验中长度为1514字节长度的报文较难发现。实验基本完成。

通过本次试验,对ARP、ICMP协议和以太网报文格式有了深入理解。不足之处在于对软件不够熟练。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: