精简版实验四：EtherealLab — Ethernet and ARP

1、实验四：Ethereal Lab Ethernet and ARP一、实验目的(1)研究Ethernet的帧格式(2)ARP协议的请求应答机制(3)ARP缓存的管理二、实验原理以太网技术在当前局域网领域占据主流的地位,是最近三十年来最成功的网络技术之一。不同格式的以太网帧各字段定义各不相同，彼此也不兼容。Ethernet II以太网标准帧格式是以太网的事实标准,其各字段的定义如下图.ARP协议是一种用于将各种协议地址解析为物理地址的协议. ARP报文分为两种,一种为ARP请求报文,另一种是ARP响应报文.为了提高ARP的效率,在主机内开辟一块内存,存放最近获得的IP地址到以太网地址的映射.主机

2、在发送IP报文时,首先检查缓存,若找不到匹配的映射,再利用ARP请求地址解析. 三、实验步骤与实验问题探讨【注：实验步骤应用（x）,问题用x】1. 捕获并分析Ethernet帧执行下列操作以捕获一组以太网帧进行研究：(1)首先确保你的浏览器缓存为空（对于Internet Explorer，选Tools->Internet Options->Delete Files）(2)启动Ethereal分组嗅探器(3)输入下列URL到浏览器:/ethereal-labs/ HTTP-ethereal-lab-file3.html，浏览器将显示相当长

3、的美国的权利法案.(4)停止Ethereal分组捕获。首先，找到从你主机发往的HTTP GET报文的分组序号和从发向你主机的HTTP响应报文开始的分组序号（在Ethereal上部窗口的最左列），你可以看到一个类似于下图的屏幕（其中10号分组包含HTTP GET消息）。（注：可从/ethereal-labs/ethereal-traces.zip中解压出ethernet-ethereal-trace-1文件来回答下列问题）为了回答下列问题，你需要研究一下分组细节窗口和分组内容窗口（在

4、Ethereal中间和靠下的显示窗口）。选择包含HTTP GET报文的那个以太网帧。（记得HTTP GET报文是封装在TCP报文段中的，TCP报文段又被封装在IP数据报中，IP数据报又被封装在以太网帧中）。在分组细节窗口展开Ethernet 信息。注意Ethernet帧的内容（除了载荷还有头部）显示在分组内容窗口。基于包含HTTP GET报文的Ethernet帧的内容回答下列问题：1你主机的48位以太网地址是多少？答：00:d0:59:a9:3d:682在这个以太网帧中，48位的目的地址是多少？是服务器的以太网地址吗？这个目的地址是什么设备的以太网地址？（这是

5、一个重要问题）答：00:06:25:da:af:73不是，是主机默认网关的MAC地址3给出2字节的帧的类型字段的十六进制值。该值代表什么协议？答：十六进制值是0x0800代表IP协议接下来，基于包含HTTP响应报文首字节的以太网帧的内容回答下列问题：4以太网帧源地址是多少？这是你主机的地址，或是的地址吗？这里采用哪个设备的地址作为源地址？（这是一个重要问题）答：00:06:25:da:af:73不是是我主机的默认网关的MAC地址5以太网帧的目的地址是多少？是你主机的以太网地址吗？答：00:d0:59:a9:3d:68是6给出两字节的帧类型字段的十六进制值。该值

6、代表什么协议？答：十六进制值是0x0800代表IP协议2.地址解析协议ARPARP缓存ARP协议在你计算机上维护一个存储IP地址与以太网地址匹配对的缓存区。arp命令（无论是在MSDOS还是在Linux/Unix）被用于查看和操作这个缓存中的内容。arp命令和ARP协议有相同的名字，容易混淆。但是记住它们是不同的：ARP命令用于查看和操作ARP缓存中的内容，而ARP协议定义了发送和接收消息的格式和含义，并定义了消息传送和接收时所采取的动作。让我们看看你主机上ARP缓存的内容：在MSDOS环境下，arp命令在c:windowssystem32文件夹下，所以输入“arp”或“c:windowssy

7、stem32arp”到MS-DOS命令行中。在Linux/Unix环境下，arp命令的可执行程序可能在不同的地方，一般是在/sbin/arp (linux) 和 /usr/etc/arp下（对于一些Unix版本）。Arp -a命令将显示你主机上ARP缓存中的内容，。7 在命令行窗口运行arp -a命令，写下你主机ARP缓存中的内容，每列值的含义是什么？为了观察你的主机发送和接收ARP消息，我们需要清空ARP缓存，否则你的主机很可能在缓存中找到一个所需的IP地址-以太网卡地址对，而无需发送ARP消息.在MSDOS环境下，“arp d *”命令用于清空你的ARP缓存。“-d”表示删除操作，“*”是

8、说删除表中所有记录。在Linux/Unix环境下,“arp d *”将清空ARP缓存。你需要root权限才能运行这个命令。如果你没有root权限且不能在Windows上运行Ethereal，你可以跳过这个实验的trace数据采集过程而直接采用ethernet-ethereal-trace文件。观察ARP运行执行下列操作:(1)如上所述，清空你的ARP缓存(2)确保你的浏览器缓存为空。在Internet Explorer中，选择Tools->Internet Options->Delete Files。(3)启动Ethereal分组嗅探器(4)向浏览器输入URL http:/gaia

9、./ethereal-labs/ HTTP-ethereal-lab-file3.html，你的浏览器应再次显示很长的美国权利法案。(5)停止Ethereal分组捕获。（注：从/ethereal-labs/ethereal-traces.zip解压获得ethernet-ethereal-trace文件，它是使用上述操作生成的（注意是在ARP缓存被刷新之后）Trace文件中前两个帧包含ARP消息（第六个帧也包含）。回答下列问题：8包含ARP请求消息的以太网帧中的源地址和目的地址的十六进制值是多少？答：源地址：00:d0:59:

10、a9:3d:68目地地址：ff:ff:ff:ff:ff:ff9针对包含ARP请求消息的以太网帧,给出两个字节的以太网帧的类型字段的十六进制值。该值代表什么协议？答：0x0806 代表ARP协议10针对包含ARP请求消息的以太网帧回答下列问题。a） ARP消息包含发送者的IP地址吗?答：包含发送者的IP地址b） 在ARP请求中，“问题”出现在哪？即询问“具有相应IP地址的机器的以太网地址是多少”的问题出现在哪？答：询问时，目地以太网地址全为00:00:00:00:00:0011现在找到针对ARP请求发送的ARP应答，回答下列问题:a） 在ARP响应消息中，对于刚才的ARP请求中提出的问题，回答出现在哪？答：0x0002(reply)b）在包含ARP回答消息的以太网帧里，源MAC地址和目的MAC地址十六进制值是多少？答：源MAC地址：00:06:25:da:af:73目的MAC地址：00:d0:59:a9:3d:6812打开ethernet-ethereal-trace文件，文件中第一个ARP分组对应于运行Ethereal的计算机发送的ARP请求，第二个ARP分组对应于拥有被ARP请求的以太网地址的计算机发往运行Ethereal的计算机的ARP回答。但在网络中还有另一台计算机，如分组6所示，它发出了另一个ARP请求。为什么在trace中没有对此请求的