试验二使用Wireshark分析以太网帧与ARP协议

1、实验二 使用 Wireshark 分析以太网帧与 ARP 协议一、实验目的分析以太网帧，MAC地址和ARPft、议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows;使用 Wireshark 、IE 等软件。三、实验步骤：IP 地址用于标识因特网上每台主机，而端口号则用于区别在同一台主机上 运行的不同网络应用程序。在链路层，有介质访问控制(Media Access Control,MAC )地址。在局域网中，每个网络设备必须有唯一的MACM址。设备监听共享通信介质以获取目标 MAC地址与自己相匹配的分组。Wireshark能把MAC地址的组织标识转化为代表生产商的字符串，例

2、如， 00:06:5b:e3:4d:1a 也能以 Dell:e3:4d:1a 显示，因为组织唯一标识符 00:06:5b 属于Dell。地址ff:ff:ff:ff:ff:ff是一个特殊的 MAC地址，意味着数据应该广播到局域网的所有设备。在因特网上， IP 地址用于主机间通信，无论它们是否属于同一局域网。同 一局域网间主机间数据传输前，发送方首先要把目的 IP 地址转换成对应的 MAC 地址。这通过地址解析协议ARP实现。每台主机以ARF高速缓存形式维护一张已 知IF分组就放在链路层帧的数据部分，而帧的目的地址将被设置为ARF高速缓存中找到的MAO址。如果没有发现IF地址的转换项，那么本机将广

3、播一个报 文，要求具有此IF地址的主机用它的MAC地址作出响应。具有该IF地址的主机 直接应答请求方，并且把新的映射项填入 ARF高速缓存。发送分组到本地网外的主机， 需要跨越一组独立的本地网， 这些本地网通过 称为网关或路由器的中间机器连接。 网关有多个网络接口卡， 用它们同时连接多 个本地网。 最初的发送者或源主机直接通过本地网发送数据到本地网关， 网关转 发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。1、俘获和分析以太网帧(1)选择 工具-1 nternet 选项- 删除文件(2) 启动Wireshark分组嗅探器(3) 在浏览器地址栏中输入如下网址:会出现wireshar

4、k实验室主页。(4)停止分组俘获。在俘获分组列表中(listi ng of captured packets ) 中找到HTTPGET信息和响应信息，如图1所示。(如果你无法俘获此分组，在 Wireshark下打开文件名为ethernet-ethereal-trace-1的文件进行学习)。HTTP GE信息被封装在TCP分组中，TCP分组又被封装在IP数据报中，IP 数据报又被封装在以太网帧中)。在分组明细窗口中展开Ethernet II 信息(packet details window )。回答下面的问题：1、你所在的主机48-bit Ethernet地址是多少j Source： ur1 v

5、er?i_15 I 82 ：fs (70:f3 :95 ：15 ：92 :fS) Address: UniversiJLS;32:f8 C?0:f2;95;15:32 汗8)2、Ethernet 帧中目的地址是多少这个目的地址是的Ethernet 地址吗I.I fl W* *1 二1-X_ _ . 1 團 !g . * _ r e* 匸2 Desti riatl on: Fuj 1 ar5t_6h: ed; Oi fOO: do:f8: 6b: eci: Oa) Address: ruj1anst_6b:ed:Oa foo：do：f3:&b:&d:Oa)这个目的地址是的Ethernet 地址V

6、giRwMlt I ”.J! (?rt11 fit ri /irwl I I衬二匱i 医 fir*Qfi k* *樽rhfTTf IMi 鼻申时 ”珂上童 * * * t r q a TijhSn*mJrarlitMlmFY-pi-mLKi IL 博躬rfTT41 MT jMlrMhAriUl.lbf TT皿-Ifid 仇。竝閒POD 125:1-1&-24 5-014亦亠小HTTP-ad hTTPl. 1 MOIF&rrllUrLTly fr-SiT. rrilT ；磺 t avJlOJLDO XQ.L4 S4 S SL29. life.bl.U則 4 1144 00 1O.LC 苗 和12

7、9,119-.詞几12HTTPM *TTP/3il ZQDi W CMS23Q 12.1030 3.1&5&.25L2a.Uy-.24 5.12HTT1P3-33 gxt Ad-lcun.lco rmFZL-1243 13.1474110 U.UQ. J4S.UL4.14. ft. 31Hn904 MrTF/3,1 4Q4 Nffl FCuftd航ilTI inc J9E m. twrflS 5 *rirr (1*5* Hts),強】frjflts dfd 幅胃H b+fl) 5 Imsrfg* Qf EDhArnm: i工.arc: ubImt-x4_j.3 i b sfa- CrajTxj

8、.vaisLszzrJ. bsti fu.J 1 Atsijsb Bd m cD-di-Td_cirMHca)!. a j 3di tbH Lfftl!l Mil )Typet IF 炉询1町 XHIrtWE pronm vwlah 4. 9K! 11.11.S.25 tliLlJkfttm越” MEI 1HLllti.Mli. 12I- TrimirfiSjlDnFtexhI. rc *nrr - hgf-w- 珂巧.31：戸尋 htip fDJ( =MAXJ： 图 HTTP GE信息和响应信息2、分析地址ARP协议ARP Cach ingARP协议用于将目的IP转换为对应的MAC地址。Ar

9、p命令用来观察和操作缓 存中的内容。虽然arp命令和ARP有一样的名字，很容易混淆，但它们的作用是 不同的。在命令提示符下输入 arp可以看到在你所在电脑中ARP缓存中的内容。 为了观察到你所在电脑发送和接收 ARP信息，我们需要清除ARP缓存，否则你所 在主机很容易找到已知IP和匹配的MAC地址。步骤如下：(1) 清除ARP cache,具体做法：在 MSDO环境下，输入命令arp - d.Hicrasuft Uindouu KP(C3 鷹权所有畑亍p.C： Docuienti： nd Se Ctinyt AdRinii tratar4irp -dC Mtoc unandt vSet t i

10、ny* AInternet选项- 删除文件(3) 启动Wireshark分组俘获器(4) 在浏览器地址栏中输入如下网址：(5) 停止分组俘获。(6) 选择 Analyze-Enabled Protocols-取消 IP 选项-选择 OK 如图 3所示:hKh IbnwPlWlftPftMsr4 l.Ultiroa *4jkEriiC.!iX!.b7： ? tp(-4,1fllLTjclLSi： 7 4. M141SM TplrikTIift: Bl; Ami EktL:U12a.H AM.1M.1.1 I s t 1Rl1曲*1订肺SEWml (1)Irrlvil liar; Mt JLri

11、沖和 审 弭詰J：1 右& mmjjmBITTl r 1w ahlft f s? this pKkvi: 9.WWflWtW irTtondil ipvch t1w； Ui/i聃加儿杆税(rtEtitTw eltlEii f w jprrblowrftd fr aa*: 4. HOfliXK) clBiif rm 尸flrvMm ，:sp2_iyv ” 二 3j(MMm svcoMsJjtiifc* vine* rtf-trec* 4r f iri Tri*#：虬乂iiupqw -hhkvMiI fr jm 啊m-t r 4Ff h krrth: 4j C IJ4CmW(CQlor lnff

12、Ihilt 孰只作：MT*)li herrw E： r ires 购*tvkt JH:阪竹 lRX：3dL：bJ：nj. M.I： Tldnrr.24:彌:？:2d:!il:jddrrsi: ri事*上(:：2：北丁和 ii 鼻 1i t u ii *“ A Lfi Ms flliiN*Ijr vilqMi Mrnii IfKlwy 1:K2-Mdkvs-i-: Aswl.f4rC._bl.: hJ; Ja (3444krblk4 i i r4i b i i- i kri i 2 i * i 14 H霉 1 略vnlqiv* Mrirnt 茁CFbF T*补 .4 . 、一0 .， EX tf

13、bt: iHtflPVlMMr 9- liiLEJ&t:W 的44HS47淮rcrtsc*1图 利用Wireshark俘获的ARP分组四、实验报告根据实验，回答下面冋题:1.包含ARP请求消息的以太帧的十六进制目的地和源地址是什么日 Ethernet IT, Src: fuj1anst_6b：ed:0a tOd:dO 1+8:6bied, Dst; eroadcaTiff :ffiff :ff) Lt*.t.1ndt1an： Broadcax (ffiff：ff：ff:rr:ff)+. soirco: rjJint_bb!cd：Od (ou:目的：ff：ff：ff：ff：ff：ff源地址：00:d0:f8:6b:ed:0a2. 给出两字节的帧类型域的十六进制值田 source:匚u1:Oa 00:dD:f8:ed:0a； Type: ARP (0x0306?0x08063. ARP操作码出现在以太帧从最前端开始的第几字节21厂口*U I I IIJ WWW VWVAJWV WWVWV1/V W WVWWV WWUWVW匚 Address Resolution Proto匚requesr/gratuitous AR