版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、实验3 分析MAC帧格式3.1 实验目的1了解MAC帧首部的格式;2理解MAC帧固定部分的各字段含义;3根据MAC帧的内容确定是单播,广播。3.2 实验设备Winpcap、Wireshark等软件工具3.3 相关背景1据包捕获的原理:为了进行数据包,网卡必须被设置为混杂模式。在现实的网络环境中,存在着许多共享式的以太网络。这些以太网是通过Hub 连接起来的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub进行转发,而Hub以广播的方式进行转发,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。目的机器
2、是指自身MAC 地址与消息中指定的目的MAC 地址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析,这样就可以得到整个网络中信息的现状。2Tcpdump的简单介绍:Tcpdump是Unix平台下的捕获数据包的一个架构。Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的 Van Jcaobson、Craig Leres和 Steve McCanne共同开发完成,它可以收集网上的IP数据包文,并用来分析网络可能存在的问题。现在,Tcpdump已被移植到几乎所有的UNIX系统上,如:HP-UX、SCO UNIX、SGI Irix、SunOS、Mac
3、h、Linux和FreeBSD等等。更为重要的是Tcpdump是一个公开源代码和输出文件格式的软件,我们可以在Tcpdunp的基础上进行改进,加入辅助分析的功能,增强其网络分析能力。(详细信息可以参看相关的资料)。3Winpcap的简单介绍:WinPcap是由意大利Fulvio Risso和Loris Degioanni等人提出并实现的应用于Win32 平台的数据包捕获与分析的一种软件包,包括内核级的数据包监听设备驱动程序、低级动态链接库(Packet.dll)和高级系统无关库(Winpcap.dll),其基本结构如图3-1所示:图3-1 Winpcap的体系结构WinPcap由3个模块组成:
4、1)NPF (NetgroupPacket Filter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块;2)Packet.dll为Win32 平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll直接映射了内核的调用,运行在用户层,把应用程序和数据包监听设备驱动程序隔离开,使应用程序可以不加修改地在不同的Windows系统上运行。通过Packet.dll提供的能用来直接访问BPF驱动程序的包驱动API利用raw模式发送和接收包。3)Wpcap. dll是不依赖于操作系统的。Wpcap.dll和应用
5、程序链接在一起,使用低级动态链接库提供的服务,向应用程序提供完善的监听接口和更加友好、功能更加强大的函数调用(详细信息可以参看相关的资料)。4. 数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源机网络层发来的数据可靠地传输到相邻节点的目标机网络层。为达到这一目的,数据链路必须具备一系列相应的功能,主要有:如何将数据组合成数据块,在数据链路层中称这种数据块为帧(frame),帧是数据链路层的传送单位;如何控制帧在物理信道上的传输,包括如何处理传输差错,如何调节发送速率以使与接收方相匹配;以及在两个网络实体之
6、间提供数据链路通路的建立、维持和释放的管理。以太网帧的概述:以太网的帧是数据链路层的封装,网络层的数据包被加上帧头和帧尾成为可以被数据链路层识别的数据帧(成帧)。虽然帧头和帧尾所用的字节数是固定不变的,但依被封装的数据包大小的不同,以太网的长度也在变化,其范围是641518字节(不算8字节的前导字)。图3-2 MAC帧格式以太网帧的最小长度为64字节(662464),最大长度为1518字节(66215004)。其中前12字节分别标识出发送数据帧的源节点MAC地址和接收数据帧的目标节点MAC地址。(注:ISL封装后可达1548字节,802.1Q封装后可达1522字节) 接下来的2个字节标识出以太
7、网帧所携带的上层数据类型,如16进制数0x0800代表IP协议数据,16进制数0x809B代表AppleTalk协议数据,16进制数0x8138代表Novell类型协议数据等。在不定长的数据字段后是4个字节的帧校验序列(Frame. Check Sequence,FCS),采用32位CRC循环冗余校验对从"目标MAC地址"字段到"数据"字段的数据进行校验。3.4 实验内容1. 捕获数据包;2. 解析出数据包的各个字段;3. 分析各字段的含义;4. 分析实验结果,加深对数据包首部各字段的理解;5. 整理实验结果,书写实验报告。3.5 实验步骤1 安装实验中
8、提供两种安装软件“Wireshark 1.7.0 Development Release (32-bit).exe”和“wireshark-win32-1.4.9中文版.exe”。两者区别由名字已经可以看出,前者是英文版,后者是汉化后的中文版。Wireshark软件安装包中,目前包含的网络数据采集软件是winpcap 4.0版本,保存捕获数据时可以用中文的文件名,文件名默认后缀为.pcap。winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。2 界面功能
9、在此为了方便即时上手操作,以中文版界面进行讲解,英文版操作类同,可以自行使用。安装后,双击桌面“Wireshark”图标,打开操作界面如图3-3所示。图3-3 操作界面以捕获数据包后的界面为例,将整个操作环境分为7个区域,如图3-4所示。图3-4 捕获数据包后的界面(1)菜单其中常用【文件】打开或保存捕获的信息,【编辑】查找或标记包,【视图】设置Wireshark的视图,【定位】跳转到捕获的数据包,【抓包】设置捕捉过滤器并开始捕捉,【分析】设置分析选项,【统计】查看Wireshark的统计信息,【帮助】查看本地或者在线支持。(2)快捷菜单将鼠标移至到每个按钮上,可以获得按钮的功能提示信息。其中
10、常用列出可以抓包的接口,显示抓包参数,开始抓包,停止抓包,重新开始抓包。(3)过滤器过滤器主要用于查找捕捉记录中的内容。从已经捕捉的数据包中,按照某种要求查找需要的数据包进行分析。比如,希望查找IP地址为192.168.0.1的IP数据报信息,可以在过滤器的文本框中输入表达式“ip.addr=192.168.0.1”,单击【应用】或回车进行筛选,则凡是目的地址、源地址为192.168.0.1的IP数据报均被筛选出来。表达式可以自己写,也可以通过【表达式】按钮弹出界面帮助完成。【清除】用来清空过滤器文本框内容。(4)数据包列表图 3-5 数据包列表数据包列表显示所有已经捕获的数据包的基本信息,默
11、认的包括捕获编号、时间、源地址、目的地址、协议、报文信息等。列信息可以根据分析需要自己添加。鼠标移至列信息空白处,单击右键,在快捷菜单中选择【列首选项设置】,在弹出的窗口中可以进行列的添加、删除和修改等操作。(5)数据包详细信息图3-6 数据包详细信息显示被选中的数据包中的详细信息。信息按照网络体系结构中的不同层次进行了分组。可以展开每个项目进行展开查看。例如,图中红色部分即是IP数据报的首部信息。展开可以显示IP数据报首部中的每个字段信息。(6)解析器窗口图 3-7 解析器窗口“解析器”也可以称作“16进制数据查看面板”,以16进制的形式展示一个数据包。这里的内容和“数据包详细信息”中的内容
12、相同,并且单击各首部、字段时,两个窗口的内容对应反白显示。(7)状态信息在操作窗口的最下端,可以显示当前Wireshark的状态,以及一些信息统计。3 捕获数据包捕捉数据包之前可以通过设置参数,选择希望捕捉的网络数据。简单操作方法:单击快捷菜单中的按钮,弹出当前计算机上所有的网络接口列表,选择准备捕捉数据包的网络接口,单击【开始】按钮或者按钮,开始抓捕数据包。此时,“数据包列表”窗口中会不断变化,显示当前抓捕的数据包。单击按钮,停止抓捕。选择列表中的一个数据包进行分析。根据不同的分析需求,可以在过滤器中通过不同的表达式来对已经捕获的数据包进行筛选,然后再选择适当报文进行分析。注意,这里谈到了两
13、种过滤:捕捉过滤、显示过滤。两者的区别在于捕捉过滤是在捕捉数据包之前,先设置过滤原则,然后再捕捉符合原则的数据包;而显示过滤是在已经捕捉的数据包中进行选择性的显示。4 分析MAC帧结构MAC帧结构是符合Ethernet V2标准的帧结构。MAC帧结构中主要包含硬件地址,因此首先对“数据包列表”窗口的列信息进行添加。鼠标移至列信息空白处,单击右键,在弹出的快捷菜单中选择【列首选项设置】,弹出【列信息配置窗口】,单击【添加】按钮,添加两列,调整到适当位置。分别修改“标题”为“源MAC”和“目的MAC”,“字段类型”为“Hw src addr”和“Hw dest addr”。如图3-8所示。图3-8
14、 列信息配置窗口图3-9所示为一次抓捕的“数据包列表”界面。图3-9 数据包列表界面在图3-9中,鼠标单击某个数据包反蓝显示。与此同时,在“数据包详细信息”窗口、 “解析器窗口”中会分别显示这个数据包的所有信息以及16进制数据信息,如图3-10所示。图3-10 显示选中数据包信息在“详细信息”窗口内的“Ethernet II”项目,即是MAC帧的首部信息。双击改项展开,可见MAC帧首部的详细分析,对应“解析器”窗口中的16进制数据会反蓝显示。单击某个字段,对应的首部字段均会反蓝显示,如图3-11所示。图3-11 单击首部字段显示5. 解析出数据包的各个字段:在本实验中我们解析出了数据包的时间戳
15、、源地址、目标地址、帧、协议、源MAC、目标MAC、源端口、目标端口、大小等字段。6. 分析各字段的含义:时间戳:表示捕获到该数据包的时间,格式为“年月日,时:分:秒”;源地址/目标地址:该数据包的源地址/目标地址;帧:数据包捕获的是哪种协议的帧,在这里一般是IP协议;协议:该数据包的协议类型;远端口/目标端口:发送/接收该数据包的端口号;大小:数据包的长度。7. 分析实验的结果:点击图3-9上的数据分析,将显示图3-10的界面。本实验我们解析出了数据包的源MAC、目标MAC、类型、以及给IP数据包首部的各个字段,并指出了各个字段的具体含义(点开对应的加号,将显示更加具体的内容)。图3-10的下面窗口部分显示的是该IP数据包首
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年高空作业协议样本大全
- 养护承包合同
- 齐鲁工业大学《Java面向对象程序设计》2022-2023学年期末试卷
- 2024年度劳务派遣协议范本
- 南京信息工程大学《智能传感与检测技术》2022-2023学年第一学期期末试卷
- 齐鲁工业大学《产品工程设计基础》2023-2024学年期末试卷
- 2024年期机动车使用安全保证协议
- 智能化装配式建筑金属结构制造项目可行性研究报告写作模板-备案审批
- 建筑施工事故分析与整改措施考核试卷
- 搪瓷制品的设计美学与消费者需求考核试卷
- 【课件】庆祝新中国成立75周年主题班会课件
- 云南开放大学事业单位公开招聘82人高频500题难、易错点模拟试题附带答案详解
- 2024-2025学年新教材高中政治 第二单元 世界多极化 4.1 时代的主题教案 新人教版选择性必修1
- 5 新走近我们的老师 第一课时(教学设计)-部编版道德与法治三年级上册
- 国画课程设计报告
- 2024年四川省专利审查协作中心招聘笔高频考题难、易错点模拟试题(共500题)附带答案详解
- 肌肉注射操作并发症的预防及处理
- 起重机械使用单位安全总监-特种设备考试题库
- 江苏省徐州市六县2024-2025学年高一数学上学期期中考试试卷
- JTG-T-F20-2015公路路面基层施工技术细则
- 2024山东能源集团中级人才库选拔【重点基础提升】模拟试题(共500题)附带答案详解
评论
0/150
提交评论