实验二网络协议分析
实验目的和要求
➢ 熟悉网络监听软件Sniffer,对截获的数据帧 进行分析,验证EthernetV2标准的MAC层的帧 结构
➢ 分析ARP协议报文首部格式,分析在同一网段 和不同网段间的解析过程
➢ 分析IPv4的报文结构பைடு நூலகம்给出每一个字段的值 ➢ 掌握常用ICMP报文格式及相应方式和作用 ➢ 掌握Tracert命令跟踪路由技术 ➢ 掌握TCP连接的建立和释放过程
数据包
➢ “包”(Packet)是TCP/IP协议通信传输中的数据单 位,一般也称“数据包”。有人说,局域网中传 输的不是“帧”(Frame)吗?没错,但是TCP/IP协 议是工作在OSI模型第三层(网络层)、第四层(传输 层)上的,而帧是工作在第二层(数据链路层)。上 一层的内容由下一层的内容来传输,所以在局域 网中,“包”是包含在“帧”里的。
主机与处在同一网段的另一主机进行通信时, 首先去缓存中查找目的主机的IP-MAC对应项;如 果找到,就将报文用找到的物理地址直接发送出 去;如果找不到,源主机就直接向网络发送ARP 请求报文,在同一网段的目的主机会对此请求报 文做出应答。
实验原理:使用网络的应用程序是采用逻辑地址 (如IP地址)进行通讯的,而实际的物理网络必 须使用物理地址(如MAC地址)进行数据传输。 所以需要建立逻辑地址与物理地址的映射关系 (地址解析),高层应用的报文才可以用底层物 理网络传输出去。ARP协议就是将IP地址解析成物 理地址的地址解析协议。
➢ 1、同网段的ARP解析过程
➢ 4、下图是Sniffer捕获的报文解码,在数据链路 层(DLC)和源MAC地址后紧跟着0800,代表该帧数 据部分封装的是IP报文,由于0800大于05FF,所 以它是EthernetV2帧。提示:选中摘要(summary) 框的“ICMP Echo”报文项查看。
8.3 ARP地址解析协议
ARP协议是“Address Resolution Protocol”(地 址解析协议)的缩写。在局域网中,网络中实际传输的是 “帧”,帧里面是有目标主机的MAC地址的。在以太网中, 一个主机要和另一个主机进行直接通信,必须要知道目标 主机的MAC地址。但这个目标MAC地址是如何获得的呢?它 就是通过地址解析协议获得的。所谓“地址解析”就是主 机在发送帧前将目标IP地址转换成目标MAC地址的过程。 ARP协议的基本功能就是通过目标设备的IP地址,查询目 标设备的MAC地址,以保证通信的顺利进行。
• IEEE(电子电气工程师协会)802委员会公布了一个稍有 不同的标准集,其中802.3针对整个CSMA/CD网络,802.4 针对令牌总线网络,802.5针对令牌环网络。这三者的共 同特性由802.2标准来定义,那就是802网络共有的逻辑链 路控制(LLC)。不幸的是,802.2和802.3定义了一个与 以太网不同的帧格式。
常用的以太网MAC帧格式有两种标准,一 种是Ethernet V2标准,另一种是802.3标准。 这里只介绍常用的以太网V2的MAC帧格式。
以太网的MAC帧比较简单,有五个字段组 成。前两个字段分别为6字节长的目的地址和 源地址字段。第三个字段是2字节的类型字段, 用来标志上一层使用的是什么协议,以便把收 到的MAC帧数据上交给上一层的协议。例如, 当类型字段的值是0X0800时,就表示上层使用 的是IP数据报。第四个字段是数据字段,其长 度在46-1500字节之间。最后一个字段是4字节 的帧检验序列FCS(使用CRC检验)。
3. 【开始】>“cmd”>弹出“命令提示符”窗口>键入“ping XXX.XXX.XXX.XXX”>选择Sniffer的“capture ”> stop and display>显示截获的数据报文结果>选择“Decode”选项卡 查看报文解码 其中XXX.XXX.XXX.XXX表示同网段的计算机IP地址
实验二:网络协议分析
开机后进入windows XP系统
指导老师:曹浪财 助教:徐朝庆 邱熠龙 邮箱:975230721&
实验结束后,请班级学习委员及时将电子版的实 验报告收齐,然后打包成zip格式一起提交到邮箱, 并注明未提交的同学名单。
实验环境
windows XP 系统联网计算机 网络监听软件Sniffer
用于以太网的ARP请求或者应答分组格式
ARP报文的格式: ①硬件类型:指明硬件的类型,以太网是1。 ②协议类型:指明发送者映射到数据链路标识的网络层协 议的类型;IP对应0x0800,ARP对应的是0x0806。 ③硬件地址长度:也就是MAC地址的长度,单位是字节, 这里是6。 ④协议地址长度:网络层地址的长度,即IP地址长度,单 位是字节,这里为4。 ⑤操作:指明是ARP请求还是ARP应答。
以太网和IEEE 802封装
• 以太网是指数字设备公司(Digital Equipment Corp.)、 英特尔公司和Xerox公司在1982年联合公布的一个标准。 它是当今TCP/IP采用的主要局域网技术。它采用CSMA/CD (带冲突检测的载波侦听多路接入)的媒体介入方法。它 的速度是10Mb/s,地址是48bit。
实验原理
数据在网络上是以很小的称为帧(Frame)的 单位传输的,帧由几部分组成,不同的部分执行不 同的功能。帧通过特定的称为网络驱动程序的软件 进行成型,然后通过网卡发送到网线上,通过网线 到达它们的目的机器,在目的机器的一端执行相反 的过程。接收端机器的以太网卡捕获到这些帧,并 告诉操作系统帧已到达,然后对其进行存储。就是 在这个传输和接收的过程中,嗅探器会带来安全方 面的问题。
8.2 链路层数据帧分析
实验步骤: 1、【开始】>【Sniffer软件】>打开“当前设置
窗口”>选中网络适配器>确定
2.Sniffer >Monitor >Define Filter>在Address选项卡下 的Address下拉选择IP>Station1中填入本机IP,Station2中 输入Any>选取Capture>Start菜单项,等待截取报
