實(shí)驗(yàn)二使用Wireshark分析以太網(wǎng)幀與ARP協(xié)議參考

1、實(shí)驗(yàn)二使用Wireshark分析以太網(wǎng)幀與ARP協(xié)議實(shí)驗(yàn)二使用Wireshark分析以太網(wǎng)幀與ARP協(xié)議7/7實(shí)驗(yàn)二使用Wireshark分析以太網(wǎng)幀與ARP協(xié)議實(shí)驗(yàn)二 使用Wireshark分析以太網(wǎng)幀與ARP協(xié)議一、實(shí)驗(yàn)?zāi)康姆治鲆蕴W(wǎng)幀，MAC地址和ARP協(xié)議二、實(shí)驗(yàn)環(huán)境與因特網(wǎng)連接的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)；主機(jī)操作系統(tǒng)為windows；使用Wireshark、IE等軟件。三、實(shí)驗(yàn)步驟：IP地址用于標(biāo)識(shí)因特網(wǎng)上每臺(tái)主機(jī)，而端口號(hào)則用于區(qū)別在同一臺(tái)主機(jī)上運(yùn)行的不同網(wǎng)絡(luò)應(yīng)用程序。在鏈路層，有介質(zhì)訪(fǎng)問(wèn)控制（Media Access Control,MAC）地址。在局域網(wǎng)中，每個(gè)網(wǎng)絡(luò)設(shè)備必須有唯一的MAC

2、地址。設(shè)備監(jiān)聽(tīng)共享通信介質(zhì)以獲取目標(biāo)MAC地址與自己相匹配的分組。Wireshark 能把MAC地址的組織標(biāo)識(shí)轉(zhuǎn)化為代表生產(chǎn)商的字符串，例如，00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a顯示，因?yàn)榻M織唯一標(biāo)識(shí)符00:06:5b屬于Dell。地址ff:ff:ff:ff:ff:ff是一個(gè)特殊的MAC地址，意味著數(shù)據(jù)應(yīng)該廣播到局域網(wǎng)的所有設(shè)備。在因特網(wǎng)上，IP地址用于主機(jī)間通信，無(wú)論它們是否屬于同一局域網(wǎng)。同一局域網(wǎng)間主機(jī)間數(shù)據(jù)傳輸前，發(fā)送方首先要把目的IP地址轉(zhuǎn)換成對(duì)應(yīng)的MAC地址。這通過(guò)地址解析協(xié)議ARP實(shí)現(xiàn)。每臺(tái)主機(jī)以ARP高速緩存形式維護(hù)一張已知IP分組就放在鏈路層幀的

3、數(shù)據(jù)部分，而幀的目的地址將被設(shè)置為ARP高速緩存中找到的MAC地址。如果沒(méi)有發(fā)現(xiàn)IP地址的轉(zhuǎn)換項(xiàng)，那么本機(jī)將廣播一個(gè)報(bào)文，要求具有此IP地址的主機(jī)用它的MAC地址作出響應(yīng)。具有該IP地址的主機(jī)直接應(yīng)答請(qǐng)求方，并且把新的映射項(xiàng)填入ARP高速緩存。發(fā)送分組到本地網(wǎng)外的主機(jī)，需要跨越一組獨(dú)立的本地網(wǎng)，這些本地網(wǎng)通過(guò)稱(chēng)為網(wǎng)關(guān)或路由器的中間機(jī)器連接。網(wǎng)關(guān)有多個(gè)網(wǎng)絡(luò)接口卡，用它們同時(shí)連接多個(gè)本地網(wǎng)。最初的發(fā)送者或源主機(jī)直接通過(guò)本地網(wǎng)發(fā)送數(shù)據(jù)到本地網(wǎng)關(guān)，網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)到其它網(wǎng)關(guān)，直到最后到達(dá)目的主機(jī)所在的本地網(wǎng)的網(wǎng)關(guān)。1、俘獲和分析以太網(wǎng)幀 （1）選擇 工具-Internet 選項(xiàng)-刪除文件（2）啟動(dòng)Wir

4、eshark 分組嗅探器（3）在瀏覽器地址欄中輸入如下網(wǎng)址： HYPERLINK /wireshark-labs /wireshark-labs 會(huì)出現(xiàn)wireshark實(shí)驗(yàn)室主頁(yè)。（4）停止分組俘獲。在俘獲分組列表中（listing of captured packets）中找到HTTP GET 信息和響應(yīng)信息，如圖1所示。（如果你無(wú)法俘獲此分組，在Wireshark下打開(kāi)文件名為ethernet-ethereal-trace-1的文件進(jìn)行學(xué)習(xí)）。HTTP GET信息被封裝在TCP分組中，TCP分組又被封裝在IP數(shù)據(jù)報(bào)中，IP數(shù)據(jù)報(bào)又被封裝在以太網(wǎng)幀中）。在分組明細(xì)窗口中展開(kāi)Ethernet

5、 II信息（packet details window）?；卮鹣旅娴膯?wèn)題：你所在的主機(jī)48-bit Ethernet 地址是多少？Ethernet 幀中目的地址是多少？這個(gè)目的地址是的Ethernet 地址嗎？這個(gè)目的地址是的Ethernet 地址圖2.1HTTP GET信息和響應(yīng)信息2、分析地址ARP協(xié)議(1)ARP CachingARP協(xié)議用于將目的IP轉(zhuǎn)換為對(duì)應(yīng)的MAC地址。Arp命令用來(lái)觀察和操作緩存中的內(nèi)容。雖然arp命令和ARP有一樣的名字，很容易混淆，但它們的作用是不同的。在命令提示符下輸入arp可以看到在你所在電腦中ARP緩存中的內(nèi)容。為了觀察到你所在電腦發(fā)送和接收ARP信息，

6、我們需要清除ARP緩存，否則你所在主機(jī)很容易找到已知IP和匹配的MAC地址。步驟如下：清除ARP cache，具體做法：在MSDOS環(huán)境下，輸入命令arp d.（2）選擇 工具-Internet 選項(xiàng)-刪除文件（3）啟動(dòng)Wireshark分組俘獲器（4）在瀏覽器地址欄中輸入如下網(wǎng)址：/wireshark-labs/HTTP-wireshark-lab-file3.html（5）停止分組俘獲。（6）選擇 Analyze-Enabled Protocols-取消IP選項(xiàng)-選擇OK。如圖3所示： 圖2.2 利用Wireshark俘獲的ARP分組四、實(shí)驗(yàn)報(bào)告根據(jù)實(shí)驗(yàn)，回答下面問(wèn)題：包含ARP 請(qǐng)求消息的以太幀的十六進(jìn)制目的地和源地址是什么？目的：ff:ff:ff:ff:ff:ff源地址：00:d0:f8:6b:ed:0a給出兩字節(jié)的幀類(lèi)型域的十六進(jìn)制值？0 x0806ARP 操作碼出現(xiàn)在以太幀從最前端開(kāi)始的第幾字節(jié)？21當(dāng)一個(gè)ARP 響應(yīng)被給出時(shí)這個(gè)以太幀ARP 載荷部分的操作碼字段的值是多少？0 x0002和早先請(qǐng)求的IP 地址相應(yīng)的以太網(wǎng)地址在ARP 響應(yīng)中位于何處？由上圖可知在第2328字節(jié)包含ARP 響應(yīng)消息的以太幀的十六進(jìn)制目的地和源地址是什么？目的：00:d0:f8:6b:ed:0a源地址：70:f3:95:15:82:f8如果有計(jì)算