實驗二 用協(xié)議分析器分析以太幀結(jié)構(gòu).doc

實驗二 用協(xié)議分析器分析以太幀結(jié)構(gòu)【實驗?zāi)康摹?.熟悉網(wǎng)絡(luò)協(xié)議分析的原理。2.熟悉網(wǎng)絡(luò)協(xié)議分析軟件Ethereal的使用。3.掌握Ethernet幀的構(gòu)成【實驗內(nèi)容】1.學(xué)習(xí)使用網(wǎng)絡(luò)協(xié)議分析軟件Ethereal。2.捕捉任何主機發(fā)出的DIX Ethernet V2（即Ethernet ）格式的幀并進(jìn)行分析。3.捕捉并分析局域網(wǎng)上的所有Ethernet broadcast幀進(jìn)行分析。4.捕捉局域網(wǎng)上的所有Ethernet multicast幀進(jìn)行分析?！緦嶒炘怼?.網(wǎng)絡(luò)協(xié)議分析原理網(wǎng)絡(luò)協(xié)議分析是截獲網(wǎng)絡(luò)上正在傳輸?shù)臄?shù)據(jù)報文，并對數(shù)據(jù)報文的內(nèi)容進(jìn)行分析。網(wǎng)絡(luò)協(xié)議分析需要截獲網(wǎng)絡(luò)上的所有報文，根據(jù)上面對網(wǎng)卡接收模式的分析，只要將網(wǎng)卡的接收模式置于混雜模式即可實現(xiàn)。在接收到網(wǎng)絡(luò)上所有的數(shù)據(jù)報文后，通過相應(yīng)的網(wǎng)絡(luò)協(xié)議分析軟件進(jìn)行處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析網(wǎng)絡(luò)狀態(tài)和整體布局。網(wǎng)絡(luò)協(xié)議分析技術(shù)主要用來幫助網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)進(jìn)行管理。通過網(wǎng)絡(luò)協(xié)議分析技術(shù)，網(wǎng)絡(luò)管理員可以了解目前網(wǎng)絡(luò)中正在應(yīng)用的協(xié)議種類，每種協(xié)議所占的比例，及哪些設(shè)備應(yīng)用哪些協(xié)議進(jìn)行通訊；同時可以分析協(xié)議應(yīng)用的合理性與有效性，從而合理的選擇協(xié)議，節(jié)約有限的網(wǎng)絡(luò)寬帶，提高網(wǎng)絡(luò)傳輸效率；另外，可以診斷出大量的不可見模糊問題，為管理員管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。2. 以太網(wǎng)數(shù)據(jù)幀的格式分析以太網(wǎng)這個術(shù)語一般是指數(shù)字設(shè)備公司（Digital Equipment）、英特爾公司（Intel）和施樂公司（Xerox）在1982年聯(lián)合公布的一個標(biāo)準(zhǔn)（實際上它是第二版本）。它是目前TCP/IP網(wǎng)絡(luò)采用的主要的局域網(wǎng)技術(shù)。1985年，IEEE（電子電氣工程師協(xié)會） 802委員會公布了一個稍有不同的標(biāo)準(zhǔn)集，其中802.3針對整個CSMA/CD網(wǎng)絡(luò)，802.4針對令牌總線網(wǎng)絡(luò)，802.5針對令牌環(huán)網(wǎng)絡(luò)。這三者的共同特性由802.2標(biāo)準(zhǔn)來定義，那就是802網(wǎng)絡(luò)共有的邏輯鏈路控制（LLC）。不幸的是，802.2和802.3定義了一個與以太網(wǎng)不同的幀格式，加上1983年Novell為其Netware開發(fā)的私有幀（Netware 802.3 “Raw”），這些給以太網(wǎng)造成了一定的混亂，也給我們學(xué)習(xí)以太網(wǎng)帶來了一定的影響。從Ethereal捕捉數(shù)據(jù)包中也可以看出，Ethereal捕捉數(shù)據(jù)包的時候是掐頭去尾的，不要前面的前導(dǎo)碼，也丟棄后面的CRC校驗（注意它只是不在Decode里顯示該區(qū)域，但并不代表它不去做數(shù)據(jù)包CRC校驗），這就是很多人困惑為什么Ethereal捕捉到的數(shù)據(jù)包長度跟實際長度不相符的原因。那么，Ethereal是如何來判斷這些不同類型的以太網(wǎng)格式呢？Ethereal可以判斷出不同的以太網(wǎng)格式，這里需要注意的是，Ethereal在數(shù)據(jù)包解碼時有自己的格式，所以有Offset之說，offset 0EH是指在Ethereal Hex解碼窗口中從左向右第15位的數(shù)值。大家如果有點發(fā)懵的話，沒有關(guān)系，看完后面的格式分析后再來分析前面提到的，相信一定能夠明白。l Ethernet V2以太網(wǎng)版本2是先于IEEE標(biāo)準(zhǔn)的以太網(wǎng)版本。從數(shù)據(jù)包中可以看出，Ethernet V2通過在DLC頭中2個字節(jié)的類型（Type）字段來辨別接收處理。類型字段是用來指定上層協(xié)議的（如0800指示IP、0806指示ARP等），它的值一定是大于05FF的，它提供無連接服務(wù)的，本身不控制數(shù)據(jù)（DATA）的長度，它要求網(wǎng)絡(luò)層來確保數(shù)據(jù)字段的最小包長度（46字節(jié)）。Ethereal捕獲的Ethernet V2幀的解碼，可以看到在DLC層，源DLC地址后緊跟著就是以太網(wǎng)類型（Etehertype）值0800，代表上層封裝的是IP報文，0800大于05FF，因而我們可以斷定它是Ethernet V2的幀。IEEE 802.3和DIX Ethernet V2的封裝格式l IEEE802.3IEEE802.3把DLC層分隔成明顯的兩個子層：MAC層和LLC層，其中MAC層主要是指示硬件目的地址和源地址。LLC層用來提供一些服務(wù)：通過SAP地址來辨別接收和發(fā)送方法兼容無連接和面向連接服務(wù)提供子網(wǎng)訪問協(xié)議（Sub-network Access Protocol，SNAP），類型字段即由它的首部給出。MAC層要保證最小幀長度不小于64字節(jié)，如果數(shù)據(jù)不滿足64字節(jié)長度就必須進(jìn)行填充。是Ethereal捕獲的IEEE802.3幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長度（Length）字段0026，它小于05FF，可以肯定它不是Ethernet V2的幀，而接下來的Offset 0E處的值“4242”（代表DSAP和SSAP），既不是Novell 802.3 “Raw”的特征值“FFFF”，也不是IEEE 802.3 SNAP的特征值“AAAA”，因此它肯定是一個IEEE802.3的幀。l IEEE802.3 SNAPSNAP (Sub-Network Access Protocol)子網(wǎng)訪問協(xié)議，是邏輯鏈路控制（Logical Link Control）的一個子集，它允許協(xié)議不用通過服務(wù)訪問點（SAP）即可實現(xiàn)IEEE兼容的MAC層功能，因此它在DSAP和SSAP域里的值是固定的（AAAA）。也正源于此，它需要額外提供5個字節(jié)的頭來指定接收方法，3個字節(jié)標(biāo)識廠商代碼，2個字節(jié)標(biāo)識上層協(xié)議。其MAC層保證數(shù)據(jù)幀長度不小于64字節(jié)，不足的話需要進(jìn)行數(shù)據(jù)填充。是Ethereal捕獲的IEEE802.3 SNAP幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長度（Length）字段0175，它小于05FF，可以肯定它不是Ethernet V2的幀，而接下來的Offset 0E處的值“AAAA”（代表DSAP和SSAP），這是IEEE 802.3 SNAP的特征值“AAAA”，因此可以斷定它是一個IEEE802.3 SNAP的幀。l Novell Netware 802.3 “Raw”雖然它的產(chǎn)生先于IEEE802.3規(guī)范，但已成為IEEE802.3規(guī)范的一部分。它僅使用DLC層的下半部，而不使用LLC。802.3 “Raw”幀通過在DLC頭中2個字節(jié)的長度（Length）字段來標(biāo)記數(shù)據(jù)幀長度，而在長度字段后緊跟著就是兩個字節(jié)的十六進(jìn)制值FFFF，它是用來標(biāo)識IPX協(xié)議頭的開始。為了確保最小數(shù)據(jù)幀長度為64字節(jié)，MAC層會進(jìn)行填充數(shù)據(jù)區(qū)域來確保最小長度。在所有工作站都使用同一種數(shù)據(jù)幀類型情況下不會有什么問題，但如果是在混合以太網(wǎng)幀類型環(huán)境中，Novell的這種以太網(wǎng)幀會造成負(fù)面影響：當(dāng)Novell發(fā)出廣播幀時，其FF字段正好是IEEE802.3幀中的服務(wù)訪問點（SAP）域，它的“FF”值代表著廣播SAP，因此所有的工作站（不管是不是Netware工作站）都會拷貝，這會造成不必要的廣播影響。Ethereal捕獲的Netware 802.3 “RAW”幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長度（Length）字段0120，它小于05FF，可以肯定它不是Ethernet V2的幀，而接下來的Offset 0E處的值“FFFF”（代表IPX協(xié)議的開始），這是Netware 802.3 “Raw”的特征值“FFFF”，因此可以斷定它是一個Novell 802.3 “Raw”的幀?！緦嶒灜h(huán)境】局域網(wǎng)、Ethereal軟件?！緦嶒灢襟E】1.學(xué)習(xí)使用Ethereal軟件。2.捕捉任何主機發(fā)出的Ethernet 802.3格式的幀和DIX Ethernet V2（即Ethernet II）格式的幀并進(jìn)行分析。捕捉任何主機發(fā)出的Ethernet 802.3格式的幀（幀的長度字段=1500）， Ethereal的capture filter 的filter string設(shè)置為：ether12:2 1500, 幀的長度字段實際上是類型字段）， Ethereal的capture filter 的filter string設(shè)置為：ether12:2 1500。觀察并分析幀結(jié)構(gòu)，802.3格式的幀的上一層主要是哪些PDU(協(xié)議數(shù)據(jù)單元)？是IP、LLC還是其它哪種？（學(xué)校里可能沒有，如果沒有，注明沒有就可以了）觀察并分析幀結(jié)構(gòu)，Ethernet II的幀的上一層主要是哪些PDU？是IP、LLC還是其它哪種？3.捕捉并分析局域網(wǎng)上的所有Ethernet broadcast幀，Ethereal的capture filter 的filter string設(shè)置為：ether broadcast。 觀察并分析哪些主機在發(fā)廣播幀，這些幀的高層協(xié)議是什么？你的LAN的共享網(wǎng)段上連接了多少臺計算機？1分鐘內(nèi)有幾個廣播幀？有否發(fā)生廣播風(fēng)暴？ 4.捕捉局域網(wǎng)上的所有Ethernet multicast幀，Ethereal的capture filte