計(jì)算機(jī)網(wǎng)絡(luò)幀的封裝實(shí)驗(yàn)報(bào)告

1、實(shí)驗(yàn)題目：實(shí)驗(yàn)一 使用ethereal分析以太網(wǎng)的數(shù)據(jù)幀格式班級(jí)電子商務(wù)111姓名曾修建得分一、實(shí)驗(yàn)?zāi)康?. 了解協(xié)議分析器安裝；2. 了解協(xié)議分析器使用方法和基本特點(diǎn)；3. 分析以太網(wǎng)層的數(shù)據(jù)幀格式（包括源地址、目的地址和上層協(xié)議）。二、實(shí)驗(yàn)前的準(zhǔn)備1. 了解協(xié)議分析器的功能和工作原理；2. 了解Ethereal分析器的使用方法；3. 閱讀實(shí)驗(yàn)的相關(guān)閱讀文獻(xiàn)。三、實(shí)驗(yàn)內(nèi)容1. Ethereal協(xié)議分析器并安裝。記錄安裝過(guò)程。安裝wireshark截圖如下:2. 分析以太網(wǎng)層的數(shù)據(jù)幀格式（包括源地址、目的地址和上層協(xié)議），下圖是打開(kāi)的已經(jīng)捕獲的文件界面，選中第4個(gè)組，再選中Ethernet 層

2、 即以太網(wǎng)層。觀察幀信息。以太網(wǎng)層的數(shù)據(jù)幀格式：前導(dǎo)碼：由7字節(jié)的前同步碼和1字節(jié)的幀起始定界符構(gòu)成起始定界符：這個(gè)字段用1字節(jié)（10101011）作為幀開(kāi)始的信號(hào)，表示一幀的開(kāi)始。最后兩位是11，表示下面的字段是目的地址。目的地址（DA）： 共48位，表示幀準(zhǔn)備發(fā)往目的站的地址，共6個(gè)字節(jié)，可以是單址（代表單個(gè)站）、多址（代表一組站）或全地址（代表局域網(wǎng)上的所有站）。當(dāng)目的地址出現(xiàn)多址時(shí)，表示該幀被一組站同時(shí)接收，稱(chēng)為“組播”（Multicast）。目的地址出現(xiàn)全地址時(shí)，表示該幀被局域網(wǎng)上所有站同時(shí)接收，稱(chēng)為“廣播”（Broadcast），通常以DA的最高位來(lái)判斷地址的類(lèi)型，若第一字節(jié)最低位

3、為“0”則表示單址，第一字節(jié)最低位為“1”則表示組播。源地址（SA）：共48位，表明該幀的數(shù)據(jù)是哪個(gè)網(wǎng)卡發(fā)的，即發(fā)送端的網(wǎng)卡地址。類(lèi)型：該字段用于標(biāo)識(shí)數(shù)據(jù)字段中包含的高層協(xié)議，也就是說(shuō)，該字段告訴接收設(shè)備如何解釋數(shù)據(jù)字段。例如：0X0800代表為IP，0X0806代表為ARP。數(shù)據(jù)：數(shù)據(jù)字段的最小長(zhǎng)度必須為46字節(jié)以保證幀長(zhǎng)至少為64字節(jié)，這意味著傳輸一字節(jié)信息也必須使用46字節(jié)的數(shù)據(jù)字段：如果填入該字段的信息少于46字節(jié)，該字段的其余部分也必須進(jìn)行填充。數(shù)據(jù)字段的默認(rèn)最大長(zhǎng)度為1500字節(jié)。幀檢驗(yàn)序列（FCS）：FCS是32位冗余檢驗(yàn)碼（CRC），檢驗(yàn)除前導(dǎo)、SFD和FCS以外的內(nèi)容。當(dāng)發(fā)送

4、站發(fā)出幀時(shí)，一邊發(fā)送，一邊逐位進(jìn)行CRC檢驗(yàn)。最后形成一個(gè)32位CRC檢驗(yàn)和填在幀尾FCS位置中一起在媒體上傳輸。接收站接收后，從DA開(kāi)始同樣邊接收邊逐位進(jìn)行CRC檢驗(yàn)。最后接收站形成的檢驗(yàn)和若與幀的檢驗(yàn)和相同，則表示媒體上傳輸幀未被破壞。反之，接收站認(rèn)為幀被破壞，則會(huì)通過(guò)一定的機(jī)制要求發(fā)送站重發(fā)該幀。 上圖信息： 源地址：02 Shenzhen_10:a7:e7 (00:0a:eb:10:a7:e7) 目標(biāo)地址：0 Shenzhen_8d:6c:06(00:14:78:8d:6c:06) 協(xié)議：UDP3. 自己捕獲網(wǎng)絡(luò)活動(dòng)，并形成一個(gè)數(shù)據(jù)文件。查

5、看其特點(diǎn)。 截圖如下：抓取的包（NBNS協(xié)議）：分析上圖如下：解釋?zhuān)?號(hào)幀，線路上有60字節(jié)，實(shí)際捕獲60字節(jié)解釋?zhuān)翰东@時(shí)間為2013年11月17日16：32：19.42475000解釋?zhuān)簻y(cè)試時(shí)間為1384677139.42475000秒解釋?zhuān)捍税c前一捕獲幀的時(shí)間間隔為0秒，與前一個(gè)顯示幀時(shí)間間隔為0秒， 與第一幀的時(shí)間間隔為 0秒。（注意：因?yàn)檫@是第一個(gè)包所以都是0）解釋?zhuān)簬?hào)為1，幀長(zhǎng)為92字節(jié)，捕獲到的幀長(zhǎng)位92字節(jié)。解釋?zhuān)捍藥瑳](méi)有被標(biāo)記且沒(méi)有被忽略，幀內(nèi)封裝的協(xié)議的層次結(jié)構(gòu)為幀-ip-ndp-nbns,用不同顏色染色標(biāo)記的協(xié)議名為SMB，染色顯示規(guī)則字符串為smb或者nbss或者nb

6、ns或者nbipx或者ipsap或者netbios.分析上圖如下：解釋?zhuān)篍thernet的源地址為wistroni_90:c8:31（f0：de:：f1：90：c8:31），目的地址為Broadcast（ff：ff：ff：ff：ff：ff）（廣播地址）解釋?zhuān)耗康牡兀簭V播地址（ff：ff：ff：ff：ff：ff） LG位：本地管理的地址（這是不是出廠默認(rèn)） IG位：組地址（多播/廣播）解釋?zhuān)涸吹刂罚簑istroni_90:c8:31（f0：de:：f1：90：c8:31） LG位：全球唯一的地址（出廠默認(rèn)） IG位：個(gè)人地址（單播） 類(lèi)型：IP（為0x0800）分析上圖如下：解釋?zhuān)篒nterne

7、t協(xié)議版本4 源地址：15 目的地址：55解釋?zhuān)喊姹? 報(bào)頭的長(zhǎng)度：20字節(jié)解釋?zhuān)簠^(qū)分服務(wù)領(lǐng)域：為0x00（DSCP：默認(rèn)為0x00; ECN：0x0的：不ECT（不支持ECN的運(yùn)輸） 總長(zhǎng)度78 標(biāo)識(shí)：0x2998（10648）解釋?zhuān)簶?biāo)志：0x00 片段偏移：0 生存時(shí)間：64 協(xié)議：UDP（17）解釋?zhuān)侯^校驗(yàn)和：0x25c4正確 源地址：15 目的地址：55分析上圖如下所示： 解釋?zhuān)河脩魯?shù)據(jù)報(bào)協(xié)議，源地址端口：netbios-ns（137），目的地址端口：netbios-ns（137） 長(zhǎng)度：5

8、8解釋?zhuān)盒ｒ?yàn)失?。ㄗ⒁猓阂?yàn)椋瑆ireshark不自動(dòng)做tcp校驗(yàn)和的檢驗(yàn)。有時(shí)tcp校驗(yàn)和會(huì)由網(wǎng)卡計(jì)算，因此wireshark抓到的本機(jī)發(fā)送的tcp數(shù)據(jù)包的校驗(yàn)和都是錯(cuò)誤的，這樣檢驗(yàn)校驗(yàn)和根本沒(méi)意義。）NBNS協(xié)議： NBNS協(xié)議是網(wǎng)絡(luò)基本輸入/輸出系統(tǒng) (NetBIOS) 名稱(chēng)服務(wù)器 (NBNS) 協(xié)議是 TCP/IP 上的 NetBIOS (NetBT) 協(xié)議族的一部分，它在基于 NetBIOS 名稱(chēng)訪問(wèn)的網(wǎng)絡(luò)上提供主機(jī)名和地址映射方法NetBIOS是Network Basic Input/Output System的簡(jiǎn)稱(chēng)，一般指用于局域網(wǎng)通信的一套API主要功能1 名字服務(wù)：名字登記和

9、解析2 會(huì)話服務(wù)：可靠的基于連接的通信3 數(shù)據(jù)包服務(wù)：不可靠的無(wú)連接通信抓取的以下包和上一個(gè)個(gè)是差不多就不詳細(xì)寫(xiě)了，主要介紹一些協(xié)議.ICMPV6協(xié)議 ICMPv6是Internet Control Message Protocol Version 6的簡(jiǎn)稱(chēng)，譯為第六版互聯(lián)網(wǎng)控制信息協(xié)議。主要功能4 通告網(wǎng)絡(luò)錯(cuò)誤。比如，某臺(tái)主機(jī)或整個(gè)網(wǎng)絡(luò)由于某些故障不可達(dá)。如果有指向某個(gè)端口號(hào)的 TCP 或 UDP 包沒(méi)有指明接受端，這也由 ICMP 報(bào)告。5 通告網(wǎng)絡(luò)擁塞。當(dāng)路由器緩存太多包，由于傳輸速度無(wú)法達(dá)到它們的接收速度，將會(huì)生成“ ICMP 源結(jié)束”信息。對(duì)于發(fā)送者，這些信息將會(huì)導(dǎo)致傳輸速度降低。當(dāng)

10、然，更多的 ICMP 源結(jié)束信息的生成也將引起更多的網(wǎng)絡(luò)擁塞，所以使用起來(lái)較為保守。6 協(xié)助解決故障。ICMP 支持 Echo 功能，即在兩個(gè)主機(jī)間一個(gè)往返路徑上發(fā)送一個(gè)包。 Ping 是一種基于這種特性的通用網(wǎng)絡(luò)管理工具，它將傳輸一系列的包，測(cè)量平均往返次數(shù)并計(jì)算丟失百分比。7 通告超時(shí)。如果一個(gè) IP 包的 TTL 降低到零，路由器就會(huì)丟棄此包，這時(shí)會(huì)生成一個(gè) ICMP 包通告這一事實(shí)。TraceRoute 是一個(gè)工具，它通過(guò)發(fā)送小 TTL 值的包及監(jiān)視 ICMP 超時(shí)通告可以顯示網(wǎng)絡(luò)路由。ARP協(xié)議：ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的

11、縮寫(xiě)。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫保瑤锩媸怯心繕?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過(guò)程。ARP協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。主要功能1. 交換網(wǎng)絡(luò)的嗅探2. IP地址沖突3. 阻止目標(biāo)的數(shù)據(jù)包通過(guò)網(wǎng)關(guān)4. 通過(guò)ARP檢測(cè)混雜模式節(jié)點(diǎn)ICMP協(xié)議：ICMP是（Internet Control Message Protocol）I

12、nternet控制報(bào)文協(xié)議。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。主要功能1 偵測(cè)遠(yuǎn)端主機(jī)是否存在。2 建立及維護(hù)路由資料。3 重導(dǎo)資料傳送路徑。4 資料流量控制SSDP協(xié)議：簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議（SSDP，Simple Service Discovery Protocol）是一種應(yīng)用層協(xié)議，是構(gòu)成通用即插即用(UPnP)技術(shù)的核心協(xié)議之一。UDP協(xié)議：UDP 是User Datagram Protocol的簡(jiǎn)稱(chēng)， 中文名

13、是用戶數(shù)據(jù)包協(xié)議，是 OSI（開(kāi)放式系統(tǒng)互聯(lián)） 參考模型中一種無(wú)連接的傳輸層協(xié)議，提供面向事務(wù)的簡(jiǎn)單不可靠信息傳送服務(wù)，IETF RFC 768是UDP的正式規(guī)范。主要功能： 為了在給定的主機(jī)上能識(shí)別多個(gè)目的地址，同時(shí)允許多個(gè)應(yīng)用程序在同一臺(tái)主機(jī)上工作并能獨(dú)立地進(jìn)行數(shù)據(jù)報(bào)的發(fā)送和接收，設(shè)計(jì)用戶數(shù)據(jù)報(bào)協(xié)議UDP。 使用UDP協(xié)議包括：TFTP、SNMP、NFS、DNS、BOOTPUDP使用底層的互聯(lián)網(wǎng)協(xié)議來(lái)傳送報(bào)文，同IP一樣提供不可靠的無(wú)連接數(shù)據(jù)報(bào)傳輸服務(wù)。它不提供報(bào)文到達(dá)確認(rèn)、排序、及流量控制等功能。LLMNR協(xié)議：在DNS 服務(wù)器不可用時(shí)，DNS 客戶端計(jì)算機(jī)可以使用本地鏈路多播名稱(chēng)解析

14、(LLMNRLink-Local Multicast Name Resolution)（也稱(chēng)為多播 DNS 或 mDNS）來(lái)解析本地網(wǎng)段上的名稱(chēng)。TCP協(xié)議： TCP：Transmission Control Protocol 傳輸控制協(xié)議TCP是一種面向連接（連接導(dǎo)向）的、可靠的、基于字節(jié)流的傳輸層（Transport layer）通信協(xié)議，由IETF的RFC 793說(shuō)明（specified）。在簡(jiǎn)化的計(jì)算機(jī)網(wǎng)絡(luò)OSI模型中，它完成第四層傳輸層所指定的功能，UDP是同一層內(nèi)另一個(gè)重要的傳輸協(xié)議。服務(wù)特點(diǎn)：1面向連接的傳輸；2端到端的通信；3高可靠性，確保傳輸數(shù)據(jù)的正確性，不出現(xiàn)丟失或亂序；4

15、全雙工方式傳輸；5采用字節(jié)流方式，即以字節(jié)為單位傳輸字節(jié)序列；6緊急數(shù)據(jù)傳送功能。四、實(shí)驗(yàn)要求1. 完成上述實(shí)驗(yàn)內(nèi)容；2. 記錄捕獲的關(guān)鍵數(shù)據(jù)。附件：Ethereal 簡(jiǎn)介及安裝說(shuō)明Ethereal 簡(jiǎn)介及使用說(shuō)明Ethereal 是一款免費(fèi)的網(wǎng)絡(luò)協(xié)議分析程序，支持Unix、Linux、Windows， 它可以直接從網(wǎng)絡(luò)上抓取數(shù)據(jù)進(jìn)行分析，也可以對(duì)由其他嗅探器抓取后保存在硬盤(pán)上的數(shù)據(jù)進(jìn)行分析。用戶能交互式地瀏覽抓取到的數(shù)據(jù)包，查看每一個(gè)數(shù)據(jù)包的摘要和詳細(xì)信息。Ethereal有多種強(qiáng)大的特征， 如支持幾乎所有的協(xié)議、豐富的過(guò)濾語(yǔ)言、易于查看TCP會(huì)話經(jīng)重構(gòu)后的數(shù)據(jù)流等。 對(duì)于我們學(xué)習(xí)來(lái)說(shuō)，可以

16、通過(guò)Ethereal 觀察網(wǎng)絡(luò)活動(dòng)跟蹤記錄來(lái)學(xué)習(xí)因特網(wǎng)所基于的網(wǎng)絡(luò)協(xié)議。1.Ethereal的安裝：略2.Ethereal的使用簡(jiǎn)介：2.1 啟動(dòng)Ethereal：Ethereal啟動(dòng)后，如圖1。圖1 Ethereal啟動(dòng)界面我們可以從Capture(捕獲)項(xiàng)中選擇Start開(kāi)始捕獲。2.2 Capture(捕獲)設(shè)置可以在Capture項(xiàng)中選擇Options(捕獲選項(xiàng))對(duì)話框進(jìn)行設(shè)置，見(jiàn)圖2。圖2 Options(捕獲選項(xiàng))對(duì)話框以下對(duì)Options(捕獲選項(xiàng))對(duì)話框的部分選項(xiàng)進(jìn)行簡(jiǎn)要介紹，方便大家學(xué)習(xí)使用。Interface(接口)這項(xiàng)用于選擇跟蹤所用的接口。如以太網(wǎng)接口或無(wú)線網(wǎng)絡(luò)接口。如果在使用中沒(méi)有進(jìn)行捕獲，有可能是所選擇接口不正確，需要改選一個(gè)。Limit each packet to N bytes(將每個(gè)分組限制在N個(gè)字節(jié)內(nèi))如果選此項(xiàng)的話，則Ethereal只捕獲所指定的字節(jié)數(shù)，而不是整個(gè)分組(包含數(shù)據(jù)和首部)。這有利于節(jié)省空間，便于分析。Capture packets in promiscuous mode(混雜模式下捕獲分組)混雜模式將記錄網(wǎng)絡(luò)中所有分組，包括那些并非發(fā)往你的機(jī)器的分組。但有時(shí)這種方式被限制而無(wú)法跟蹤。這種情況下需要不選此項(xiàng)。Filter(過(guò)濾器)可以使用此項(xiàng)限制捕獲數(shù)據(jù)量。Ether