實(shí)驗(yàn)二 ARP分組的格式及協(xié)議分析

1、實(shí)驗(yàn)二 ARP分組的格式及協(xié)議分析【實(shí)驗(yàn)?zāi)康摹?、 理解IP地址和MAC地址分別所起作用的范圍及其對應(yīng)關(guān)系；2、 掌握兩種地址的轉(zhuǎn)換原理和轉(zhuǎn)換方式；3、 熟悉ARP協(xié)議的工作原理、作用和報(bào)文格式?！緦?shí)驗(yàn)內(nèi)容】1、 分析ARP分組的結(jié)構(gòu)，熟悉各個字段的內(nèi)容、功能、格式和取值范圍；2、 編輯ARP分組各字段的內(nèi)容；3、 單個或批量發(fā)送已經(jīng)編輯好的ARP分組；4、 分析ARP分組的會話過程?！緦?shí)驗(yàn)原理】IP地址與硬件地址硬件地址就是在網(wǎng)絡(luò)內(nèi)部對一個計(jì)算機(jī)進(jìn)行尋址時所使用的地址，局域網(wǎng)的硬件地址就是MAC地址。在IP層抽象的互聯(lián)網(wǎng)上只能看到IP數(shù)據(jù)報(bào)，在具體的物理網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)鏈路層中只能看見MAC幀

2、，IP數(shù)據(jù)報(bào)被封裝在MAC幀中。IP地址放在IP數(shù)據(jù)報(bào)的首部，而硬件地址則放在MAC幀的首部。在網(wǎng)絡(luò)層和網(wǎng)絡(luò)層以上使用的是IP地址，數(shù)據(jù)鏈路層及以下使用的硬件地址。因此，需要考慮主機(jī)或路由器怎樣知道應(yīng)當(dāng)在MAC幀的首部填入什么樣的硬件地址。地址解析協(xié)議ARPIP地址并不能直接用來進(jìn)行通信。因此當(dāng)在某個特定網(wǎng)絡(luò)中兩主機(jī)要進(jìn)行通信，就必須將IP地址轉(zhuǎn)換成此網(wǎng)絡(luò)的硬件地址，在局域網(wǎng)中就是要將IP地址轉(zhuǎn)換為MAC地址，再進(jìn)行通信。從IP地址到硬件地址的轉(zhuǎn)換是由地址解析協(xié)議ARP來完成的。每個主機(jī)都有一個ARP高速緩存存放IP地址到硬件地址的映射表。主機(jī)A通過ARP獲得主機(jī)B的硬件地址的工作過程如下：1

3、、 ARP進(jìn)程在本局域網(wǎng)上廣播發(fā)送一個ARP請求分組，上面有主機(jī)B的IP地址。2、 在本局域網(wǎng)上的所有主機(jī)上運(yùn)行的ARP進(jìn)程都收到此ARP請求分組。3、 主機(jī)B在ARP請求分組中見到自己的IP地址后，就向主機(jī)A發(fā)送一個ARP響應(yīng)分組，上面寫入自己的硬件地址。4、 主機(jī)A收到主機(jī)B的ARP響應(yīng)分組后，就在ARP高速緩存中寫入主機(jī)B的IP地址到硬件地址的映射。5、 主機(jī)A給B的ARP請求分組中帶有A的硬件地址。ARP分組的格式如下所示，通常ARP報(bào)文在網(wǎng)絡(luò)內(nèi)是成對出現(xiàn)的，有請求就有響應(yīng)。硬件類型協(xié)議類型硬件長度協(xié)議長度操作（請求1，回答2）發(fā)送站硬件地址（以太網(wǎng)是6字節(jié)）發(fā)送站協(xié)議地址（IP是4字

4、節(jié)）目標(biāo)硬件地址（以太網(wǎng)是6字節(jié)，在回答中填入）目標(biāo)協(xié)議地址（IP是4字節(jié)）l 硬件類型：16bit字段，用來定義運(yùn)行ARP的網(wǎng)絡(luò)類型，例如，以太網(wǎng)硬件類型為1；l 協(xié)議類型：16bit字段，用力定義協(xié)議的類型，例如，對IPv4協(xié)議，這個字段的值為0x0800，ARP可以用于任何高層協(xié)議；l 硬件長度：8bit字段，用來定義以字節(jié)為單位的物理地址長度，例如，對以太網(wǎng)這個值為6；l 協(xié)議長度：8bit字段，用來定義以字節(jié)為單位的邏輯地址長度，例如，對IPv4協(xié)議這個值為6；l 操作：16bit字段，用來定義分組的類型，已定義了四種類型，分別是ARP請求（1）、ARP回答（2）、RARP請求（3）

5、和RARP回答（4）；l 發(fā)送站硬件地址：這是可變長度字段，用來定義發(fā)送站的物理地址，例如，對以太網(wǎng)這個字段是6個字節(jié)；l 發(fā)送站協(xié)議地址：這是可變長度字段，用來定義發(fā)送站的邏輯地址，例如，對IPv4協(xié)議這個字段長度是4個字節(jié)；l 目標(biāo)硬件地址：這是可變長度字段，用來定義目標(biāo)的物理地址，對以太網(wǎng)這個字段是6個字節(jié)，對于ARP回答報(bào)文，這個字段全0；l 目標(biāo)協(xié)議地址，這是可變長度字段，用來定義目標(biāo)的邏輯地址，例如，對IPv4協(xié)議這個字段長度是4個字節(jié)?！緦?shí)驗(yàn)步驟】練習(xí)一：分析ARP分組格式1、 運(yùn)行報(bào)文仿真編輯器。2、 選擇“文件”菜單中的“打開”菜單項(xiàng)，選擇安裝目錄下Data目錄中的報(bào)文仿真編

6、輯器存檔文件arp.pef?；蛘哌x擇“操作”菜單中的“新建報(bào)文”菜單項(xiàng)，選擇ARP類型添加一條報(bào)文記錄。模本文件中的報(bào)文或新增加的報(bào)文會自動顯示在報(bào)文列表框中。報(bào)文列表框中顯示的內(nèi)容包括：報(bào)文序號、源硬件地址和目的硬件地址。3、 從報(bào)文列表框中選中一條記錄，報(bào)文仿真編輯器中間部分自動顯示此條報(bào)文記錄的協(xié)議結(jié)構(gòu)樹，同時16進(jìn)制對照表中顯示該條報(bào)文對應(yīng)的16機(jī)制值。4、 選中協(xié)議結(jié)構(gòu)樹中的“ARP”結(jié)點(diǎn)，報(bào)文仿真編輯器右側(cè)部分的屬性列表自動顯示當(dāng)前ARP各個字段的內(nèi)容，協(xié)議結(jié)構(gòu)樹中的結(jié)點(diǎn)與16進(jìn)制對照表的內(nèi)容是聯(lián)動的，選中一個結(jié)點(diǎn)，16進(jìn)制對照表中會在相應(yīng)的位置改變顏色。5、 在屬性列表中查看AR

7、P分組中各個字段的結(jié)構(gòu)和內(nèi)容。練習(xí)二：編輯MAC幀格式中的字段內(nèi)容1、 在運(yùn)行計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)系統(tǒng)的機(jī)器上運(yùn)行系統(tǒng)的“ipconfig /all”命令，查看本機(jī)的IP地址和MAC地址。2、 運(yùn)行報(bào)文仿真編輯器，選擇“操作”菜單中的“增加主機(jī)”菜單項(xiàng)，或在界面左下方計(jì)算機(jī)列表框中右鍵彈出快捷菜單選擇“增加主機(jī)”菜單項(xiàng)，在“主機(jī)信息編輯”對話框中將第一條中查看到的IP地址和MAC地址添加到主機(jī)列表中，主機(jī)列表框中顯示的信息包括：網(wǎng)絡(luò)中的主機(jī)序號、IP地址和MAC地址。3、 在屬性列表框中編輯ARP分組的各個字段，因?yàn)閷?shí)驗(yàn)系統(tǒng)與目前的主流局域網(wǎng)都是以太網(wǎng)，因此ARP中的硬件類型只有一種可以選擇，即“以

8、太網(wǎng)”，同理，協(xié)議類型為IP，硬件地址長度為6，協(xié)議地址長度為4，操作類型可以在四種中選擇一種。4、 修改源硬件地址、目的硬件地址、源協(xié)議地址和目的協(xié)議地址，選中一條地址的編輯區(qū)域，在下拉列表框中顯示網(wǎng)絡(luò)中存在主機(jī)的MAC或IP地址，選擇其中一條即可，編輯好后的字段屬性值需要點(diǎn)擊“保存”按鈕才能存放到對應(yīng)分組中。練習(xí)三：發(fā)送和接收MAC幀序列1、 運(yùn)行報(bào)文解析器，選擇“開始捕獲”快捷菜單，此時報(bào)文解析器處于捕獲狀態(tài)。2、 在報(bào)文仿真編輯器的報(bào)文列表框中選擇一條或多條報(bào)文記錄，然后點(diǎn)擊“發(fā)送報(bào)文”快捷菜單，當(dāng)看到“發(fā)送成功”消息框時表示所選報(bào)文已經(jīng)發(fā)送到所在的局域網(wǎng)中。3、 報(bào)文解析器中的報(bào)文列

9、表框中會自動顯示已經(jīng)捕獲到的報(bào)文，報(bào)文列表框中顯示的內(nèi)容包括：報(bào)文序號、源硬件地址和目的硬件地址。4、 點(diǎn)擊報(bào)文解析器的報(bào)文列表框中的一條記錄，報(bào)文解析器中間部分自動顯示此條報(bào)文記錄的協(xié)議結(jié)構(gòu)樹，對照報(bào)文仿真編輯器中協(xié)議結(jié)構(gòu)樹中的內(nèi)容，查看是否一致。練習(xí)四、分析ARP分組的會話過程1、 單擊報(bào)文仿真編輯器工具欄上的“打開”按鈕，選擇安裝目錄下Data目錄中報(bào)文仿真編輯器存檔文件：arp.pec，報(bào)文仿真編輯器顯示預(yù)存的TCP報(bào)文段；2、 單擊報(bào)文解析器工具欄上的“開始捕獲”按鈕，報(bào)文解析器開始捕獲數(shù)據(jù)報(bào)；3、 單擊報(bào)文仿真編輯器工具欄上的“發(fā)送報(bào)文”按鈕，報(bào)文仿真編輯器彈出“發(fā)送成功”對話框，

10、發(fā)送出報(bào)文列表框中的報(bào)文；4、 可以看到報(bào)文解析器接收到報(bào)文仿真編輯器發(fā)出的報(bào)文，單擊報(bào)文解析器工具欄上的“停止捕獲”按鈕，停止捕獲報(bào)文；5、 單擊工具欄上的“協(xié)議分析”按鈕，報(bào)文解析器彈出協(xié)議分析對話框。在“協(xié)議”下拉列表中選擇“ARP”，對話框下部的列表框中顯示存在的ARP連接。選擇一個ARP連接，單擊“確定”按鈕；6、 報(bào)文解析器左側(cè)的報(bào)文列表中顯示這一次ARP連接中所有的報(bào)文，右側(cè)以圖形的方式顯示該ARP連接的交互過程。選中左側(cè)報(bào)文列表中的一條記錄，報(bào)文解析器中部顯示該報(bào)文的協(xié)議結(jié)構(gòu)樹，右側(cè)的協(xié)議交互圖中以藍(lán)色突出顯示該ARP報(bào)文段；7、 在左側(cè)的報(bào)文列表中選擇不同的ARP報(bào)文段，觀察

11、協(xié)議交互的進(jìn)行過程，以及ARP各個字段值的變化?！緦?shí)驗(yàn)報(bào)告要求】1 記錄實(shí)驗(yàn)數(shù)據(jù)2 分析實(shí)驗(yàn)結(jié)果例： MAC幀首部目的地址：FF-FF-FF-FF-FF-FF源地址：00-01-6C-E9-0D-2C類型：ARPARP 硬件類型：以太網(wǎng) 協(xié)議類型：IP 硬件地址長度：6 協(xié)議地址長度：6 操作：ARP請求 源硬件地址：00-01-6C-E9-0D-2C 源協(xié)議地址：192.168.1.6 目的硬件地址：00-00-00-00-00-00 目的協(xié)議地址：192.168.1.2（16進(jìn)制顯示框）00000000：FF FF FF FF FF FF 00 01 6C E9 0D 2C 08 06 0

12、0 0100000010：08 00 06 04 00 01 00 01 6C E9 0D 2C C0 08 01 0600000020：00 00 00 00 00 00 C0 A8 01 02其中“類型：ARP”對應(yīng)值為08 063未知數(shù)據(jù)包的分析本部分通過Sniffer軟件捕獲本機(jī)所在計(jì)算機(jī)網(wǎng)絡(luò)中的未知數(shù)據(jù)包，要求對所捕獲的數(shù)據(jù)包進(jìn)行分析。數(shù)據(jù)包一如下（下圖截取了該數(shù)據(jù)包16進(jìn)制表中的前150行）：未知數(shù)據(jù)包的16進(jìn)制值根據(jù)以下舉例，分析上述捕獲的數(shù)據(jù)包為一個什么協(xié)議的請求報(bào)文。例：未知數(shù)據(jù)包二如下：未知數(shù)據(jù)包二的16進(jìn)制值分析如下：第一行前12個字節(jié)為協(xié)議MAC幀首部中的目的硬件地址和源地址。緊隨其后的兩個字節(jié)是MAC幀首部中的類型字段，標(biāo)識從上層接收到什么類型的協(xié)議，“08 06”表示從上層收到的是 類型的數(shù)據(jù)報(bào)。則接下來的數(shù)據(jù)就代表該數(shù)據(jù)報(bào)的內(nèi)容?！?0 01”表示硬件類型為以太網(wǎng)，“08 00”表示采用的協(xié)議類型為IP類型，“06 04”分別表示硬件地址