这里写目录标题
首推文章:快速了解wireshark捕获界面原理
实验1 以太网帧与ARP协议分析
实验内容
一、实验目的
分析以太网帧,MAC地址和ARP协议
二、实验环境
与因特网连接的计算机网络系统;主机操作系统为windows;使用Wireshark、IE等软件。
实验步骤
三、定义解析:
原存有疑问的加粗(已解决)
IP地址用于标识因特网上每台主机,而端口号则用于区别在同一台主机上运行的不同网络应用程序。在链路层,有介质访问控制(Media Access Control,MAC)地址。在局域网中,每个网络设备必须有唯一的MAC地址。设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。Wireshark 能把MAC地址的组织标识转化为代表生产商的字符串,例如,00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示,因为组织唯一标识符00:06:5b属于Dell。地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址,意味着数据应该广播到局域网的所有设备。
在因特网上,IP地址用于主机间通信,无论它们是否属于同一局域网。同一局域网间主机间数据传输前,发送方首先要把目的IP地址转换成对应的MAC地址。这通过地址解析协议ARP实现。每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分,而帧的目的地址将被设置为ARP高速缓存中找到的MAC地址。如果没有发现IP地址的转换项,那么本机将广播一个报文,要求具有此IP地址的主机用它的MAC地址作出响应。具有该IP地址的主机直接应答请求方,并且把新的映射项填入ARP高速缓存。
发送分组到本地网外的主机,需要跨越一组独立的本地网,这些本地网通过称为网关或路由器的中间机器连接。网关有多个网络接口卡,用它们同时连接多个本地网。最初的发送者或源主机直接通过本地网发送数据到本地网关,网关转发数据报到其它网关,直到最后到达目的主机所在的本地网的网关。
操作流程
(一)、俘获和分析以太网帧
(1)启动Wireshark 分组嗅探器
(2)在浏览器地址栏中输入如下网址:
http://www.sicnu.edu.cn 会出现四川师范大学主页。
(4)停止分组俘获。在俘获分组列表中(listing of captured packets)中找到HTTP GET 信息和响应信息。(如果你无法俘获此分组,在Wireshark下打开文件名为ethernet–ethereal-trace-1的文件进行学习)*
因为我没法(不会)打开,就只能自己琢磨了。(谁会的欢迎指教我,谢谢!)
所以在这里,我就胡乱的在“标签”图案那里输入了http,然后,还是可以的。
HTTP GET信息被封装在TCP分组中,TCP分组又被封装在IP数据报中,IP数据报又被封装在以太网帧中)。在分组明细窗口中展开Ethernet II信息(packet details window)。回答下面的问题:
1、你所在的主机48-bit Ethernet 地址是多少?
1)解读:找出你的主机的IP地址。
2)方法:看向你的捕获分组界面,一共划分了三层,第二层可以展开。找到Ethernet II,……,展开它。展开Sourse:……,然后你会看到你的IP地址Address……。
Ethernet:以太网
Sourse:来源、出处
2、Ethernet 帧中目的地址是多少?这个目的地址是www.sicnu.edu.cn的Ethernet 地址吗?
1)解读:找出你主机浏览网站的目的地址。
2)方法:确保你现在只打开了这一个网站,那么这个Ethernet地址确定。然后,按上一道题的方法,找到:Destination:……,展开他,找到Address:……。
destination:目的地
(二)、分析地址ARP协议
(1)ARP Caching
ARP协议用于将目的IP转换为对应的MAC地址。Arp命令用来观察和操作缓存中的内容。虽然arp命令和ARP有一样的名字,很容易混淆,但它们的作用是不同的。在命令提示符下输入arp -a可以看到在你所在电脑中ARP缓存中的内容。为了观察到你所在电脑发送和接收ARP信息,我们需要清除ARP缓存,否则你所在主机很容易找到已知IP和匹配的MAC地址。
步骤如下:
(1)清除ARP cache,具体做法:首先以管理员身份打开MSDOS环境,输入命令arp –d ;查看ARPcache,具体做法:首先以管理员身份打开MSDOS环境,输入命令arp -a;以管理员身份打开MSDOS环境方式:右键“命令提示符”,点击“以管理员方式打开”。
(2)启动Wireshark分组俘获器
(3)在浏览器地址栏中输入如下网址:
www.sicnu.edu.cn,得到四川师范大学的主页,或者其他网页地址都可以。
(4)停止分组俘获。
(5)选择 Analyze->Enabled Protocols->取消IP选项->选择OK。
第5步最好谨慎一点!或者直接在“标签”图案那里输入arp,我觉得是一样的。
实验结果
四、实验报告
根据实验,回答下面问题:
1.包含ARP 请求消息的以太帧的十六进制目的地和源地址是什么?
1)目的地址:ff:ff:ff:ff:ff:ff(请求的时候是在广播,因为在捕捉之前我们以管理员的身份在“命令行提示符”中清除了连接记录,所以没有这个目的地址的MAC地址,广播)
2)源地址:就是你的Sourse地址哈~
2.给出两字节的帧类型域的十六进制值?
1)帧类型就是你用的什么协议。
2)两字节就是这协议写法、另一种命名(我这里说的不太标准,书上有解释,我后面再翻翻)。
3)如图:
:0x0800
3.ARP 操作码出现在以太帧从最前端开始的第几字节?
提示:操作码:Opcode
1)解读:你的操作码在第几个字节,从0000(也就是第一排)位置的第一个字节(占两个位置,例如:00)开始数。
2)如图:
:在第21个字节处出现
4.当一个ARP 响应被给出时这个以太帧ARP 载荷部分的操作码字段的值是多少?
1)解读:得到目的地址响应后的操作码字段,值为多少。
2)方法:同上一题。只不过你最开始要找到捕获分组列表中的Info列中含有(reply)的行。点击它。因为是值,所以你只需要在把阴影部分的0002前加上0x表示十六进制。
:0x0002
响应:reply
5.和早先请求的IP 地址相应的以太网地址在ARP 响应中位于何处?
1)解读:找你访问网站的IP地址的MAC地址
2)方法:同前几题一样,逐个展开,根据英文,翻译一下吧!
:第23到28个字节处
6.包含ARP 响应消息的以太帧的十六进制目的地和源地址是什么?
1)解读:找你访问的网址reply响应你的请求的目的地址和源地址
目的地址:ff:ff:ff:ff:ff:ff(我这里有错,一般如果真的成功了的话,这里应该是一段具体的地址码,而不是广播)
源地址:访问的网址的地址。现在他作为请求端给你/其他接口,发送请求/回复
7.如果有计算机在网络上发出ARP 请求,为什么不一定有ARP 回复?
有可能该IP对应的网络设备没有开启或者不存在;.
已证实回答
遇到问题及解答
点号后的是增加的内容
//表示不重要或者未证实
1. MAC与IP地址的区别:
MAC地址:
(1)本质:接口的名称,站的名字,主机的标识符;不是地理位置;不等于接口(在路由器的多个接口中:接口是一台计算机)只是一个名称
(2)midear:说英文:Hardware Address就显而易见了。所以在传输过程中,遇到路由器(左右)接口,会导致源地址和目的地址改变。(一段线上的两端名字不一样,一条线上有多条段)。由硬件实现。
(3)唯一性:固化在每一个适配器的ROM中;一个主机或者路由器可以有多个网卡(适配器),而每一个网卡中的MAC地址不一样。
(4)EUI-48:扩展的唯一标识符
OUT:这个电脑的生产商,什么牌子,比如:Dell;
+//这里可以不看了:
扩展标识符:主机号
| 前三个字节 | 后三个字节 |
|---|---|
| OUT组织唯一标识符 | 扩展标识符 |
IP地址:
(1)本质:互联网协议地址,逻辑地址,用于屏蔽物理地址差异。
(2)midear:有软件实现的,用于网络层及其上层使用的地址;在传输中,,所以IP地址不变。接入了多个网络,网络号一定不同,主机号不变。
(3)组成:
网络号:代表这个主机(或路由器)在哪一个网中;
| 网络号 | 主机号 |
|---|---|
| 记作 | IP地址 ::= {<网络号>,<主机号>} |
已解决问题
提问
1.主机号和MAC是一样的吗?
主机号:标志该主机(或路由器),一台主机号在它前面的网络号所指明的网络范围内必须是唯一的。它是这台计算机在这个局域网内的编号,只起编号作用而已。
MAC:接口的名称、站的名称,标识符
可能答案:
//错:是。书P121(2):实际上IP地址是标志一台主机(或路由器)和一条链路的接口。
正解:不是。书P126:B适配器坏了,换了适配器后导致接口名称换了,硬件地址换了;如果主机号是站的名字(接口名称),那么A在进行广播时找不到才对。
- 而他成功的找到了!所以编号没变,变得只是适配器,只是适配器中固化的MAC地址。
2.端口号与IP地址的联系
端口号:用于区别在同一台主机上运行的不同网络应用程序;
- !!!这章我还没学,据说是数据链路层的。
3.每个网络设备必须有唯一的MAC地址?
书P94:如果连接在局域网上的主机(或路由器)安装有多个适配器,那么这样的主机或路由器就有多个地址(接口)。
- 这么说吧,用路由器来说,他有多个接口,每一个接口就是一个计算机,然一个计算机就是一个网络设备,所以。每个计算机必须有唯一的MAC地址,而我们又可以有多个计算机,也就会有多个MAC地址。
MAC:网卡
4.网络号到底是指什么?
一个网络是指具有相同的网络号net-id的主机的集合。用转发器或网桥连接起来的若干局域网仍为一个网络,具有相同的网络号。具有不同的网络号的局域网必须使用路由器进行互连。
!问!网络号可以是你主机现在接入的这个网,比如说:川师的网:sicnu;?
- 是的,网络号就是相当于把一个局域网再分为多个子网络,每个子网络起一个网络名字。
5."选择 Analyze->Enabled Protocols->取消IP选项"干嘛?
在“分析—启用的协议”中取消IP协议会导致?
IP协议在网络层使用,再使用ARP地址解析协议??
6.IP与MAC区别
一个只在乎表面,一个要看内在;先看表面,再看内在。
- IP是网络层的,你只用管他的在网络层中应用。
- MAC是与接口有关的,那么你在传输的时候,找物理(看得见摸得着)的接口,就相当于再找MAC
7.为什么一会儿出现request,一会儿出现reply?
为什么不能同时出现?
- 因为先要请求,找到对方后对方才能给你回复、响应。可以参考“客户-服务机”方式
实验总结及心得
1.实验太难了,球球大佬带带!!
2.问题太多了,请指教!!
3.看书很重要!!要理解!!
- 多问老师,虽然在他眼里你是一个上课不听讲的学生,哈哈哈