实验二 ARP分组的格式及协议分析

实验二ARP分组的格式及协议分析【实验目的】1、理解IP地址和MAC地址分别所起作用的范围及其对应关系；2、掌握两种地址的转换原理和转换方式；3、熟悉ARP协议的工作原理、作用和报文格式。【实验内容】1、分析ARP分组的结构，熟悉各个字段的内容、功能、格式和取值范围;2、编辑ARP分组各字段的内容；3、单个或批量发送已经编辑好的ARP分组；4、分析ARP分组的会话过程。【实验原理】IP地址与硬件地址硬件地址就是在网络内部对一个计算机进行寻址时所使用的地址，局域网的硬件地址就是MAC地址。在IP层抽象的互联网上只能看到IP数据报，在具体的物理网络内部的数据链路层中只能看见MAC帧，IP数据报被封装在MAC帧中。IP地址放在IP数据报的首部,而硬件地址则放在MAC帧的首部。在网络层和网络层以上使用的是IP地址，数据链路层及以下使用的硬件地址。因此，需要考虑主机或路由器怎样知道应当在MAC帧的首部填入什么样的硬件地址。mac帧使用硬件地址地址解析协议ARPIP地址并不能直接用来进行通信。因此当在某个特定网络中两主机要进行通信，就必须将IP地址转换成此网络的硬件地址，在局域网中就是要将IP地址转换为MAC地址，再进行通信。从IP地址到硬件地址的转换是由地址解析协议ARP来完成的。每个主机都有一个ARP高速缓存存放IP地址到硬件地址的映射表。主机A通过ARP获得主机B的硬件地址的工作过程如下：1、ARP进程在本局域网上广播发送一个ARP请求分组，上面有主机B的IP地址。2、在本局域网上的所有主机上运行的ARP进程都收到此ARP请求分组。3、主机B在ARP请求分组中见到自己的IP地址后，就向主机A发送一个ARP响应分组,上面写入自己的硬件地址。4、主机A收到主机B的ARP响应分组后，就在ARP高速缓存中写入主机B的IP地址到硬件地址的映射。5、主机A给B的ARP请求分组中带有A的硬件地址。ARP分组的格式如下所示，通常ARP报文在网络内是成对出现的，有请求就有响应。硬件类型协议类型硬件长度协议长度操作（请求1,回答2）发送站硬件地址（以太网是6字节）发送站协议地址（IP是4字节）目标硬件地址（以太网是6字节，在回答中填入）目标协议地址（IP是4字节）硬件类型：16bit字段，用来定义运行ARP的网络类型，例如，以太网硬件类型为1；协议类型:16bit字段,用力定义协议的类型，例如，对IPv4协议，这个字段的值为0x0800,ARP可以用于任何高层协议；硬件长度：8bit字段，用来定义以字节为单位的物理地址长度，例如，对以太网这个值为6；协议长度：8bit字段，用来定义以字节为单位的逻辑地址长度，例如，对IPv4协议这个值为6；操作：16bit字段，用来定义分组的类型，已定义了四种类型，分别是ARP请求（1）、ARP回答（2）、RARP请求（3）和RARP回答（4）；发送站硬件地址：这是可变长度字段，用来定义发送站的物理地址，例如，对以太网这个字段是6个字节；发送站协议地址：这是可变长度字段，用来定义发送站的逻辑地址，例如，对IPv4协议这个字段长度是4个字节；目标硬件地址：这是可变长度字段，用来定义目标的物理地址，对以太网这个字段是6个字节，对于ARP回答报文，这个字段全0；目标协议地址，这是可变长度字段，用来定义目标的逻辑地址，例如，对IPv4协议这个字段长度是4个字节。【实验步骤】练习一：分析ARP分组格式1、运行报文仿真编辑器。2、选择“文件”菜单中的“打开”菜单项，选择安装目录下Data目录中的报文仿真编辑器存档文件arp.pef。或者选择“操作”菜单中的“新建报文”菜单项，选择ARP类型添加一条报文记录。模本文件中的报文或新增加的报文会自动显示在报文列表框中。报文列表框中显示的内容包括：报文序号、源硬件地址和目的硬件地址。3、从报文列表框中选中一条记录，报文仿真编辑器中间部分自动显示此条报文记录的协议结构树，同时16进制对照表中显示该条报文对应的16机制值。4、选中协议结构树中的“ARP”结点，报文仿真编辑器右侧部分的属性列表自动显示当前ARP各个字段的内容，协议结构树中的结点与16进制对照表的内容是联动的，选中一个结点，16进制对照表中会在相应的位置改变颜色。5、在属性列表中查看ARP分组中各个字段的结构和内容。练习二：编辑MAC帧格式中的字段内容1、在运行计算机网络实验系统的机器上运行系统的“ipconfig/all”命令，查看本机的IP地址和MAC地址。2、运行报文仿真编辑器，选择“操作”菜单中的“增加主机”菜单项，或在界面左下方计算机列表框中右键弹出快捷菜单选择“增加主机”菜单项，在“主机信息编辑”对话框中将第一条中查看到的IP地址和MAC地址添加到主机列表中，主机列表框中显示的信息包括：网络中的主机序号、IP地址和MAC地址。3、在属性列表框中编辑ARP分组的各个字段，因为实验系统与目前的主流局域网都是以太网，因此ARP中的硬件类型只有一种可以选择，即“以太网”，同理，协议类型为IP，硬件地址长度为6，协议地址长度为4，操作类型可以在四种中选择一种。4、修改源硬件地址、目的硬件地址、源协议地址和目的协议地址，选中一条地址的编辑区域，在下拉列表框中显示网络中存在主机的MAC或IP地址，选择其中一条即可，编辑好后的字段属性值需要点击“保存”按钮才能存放到对应分组中。练习三：发送和接收MAC帧序列1、运行报文解析器，选择“开始捕获”快捷菜单，此时报文解析器处于捕获状态。2、在报文仿真编辑器的报文列表框中选择一条或多条报文记录，然后点击“发送报文”快捷菜单，当看到“发送成功”消息框时表示所选报文已经发送到所在的局域网中。3、报文解析器中的报文列表框中会自动显示已经捕获到的报文，报文列表框中显示的内容包括：报文序号、源硬件地址和目的硬件地址。4、点击报文解析器的报文列表框中的一条记录，报文解析器中间部分自动显示此条报文记录的协议结构树，对照报文仿真编辑器中协议结构树中的内容，查看是否一致。练习四、分析ARP分组的会话过程1、单击报文仿真编辑器工具栏上的“打开”按钮，选择安装目录下Data目录中报文仿真编辑器存档文件：arp.pec，报文仿真编辑器显示预存的TCP报文段；2、单击报文解析器工具栏上的“开始捕获”按钮，报文解析器开始捕获数据报；3、单击报文仿真编辑器工具栏上的“发送报文”按钮，报文仿真编辑器弹出“发送成功”对话框，发送出报文列表框中的报文；4、可以看到报文解析器接收到报文仿真编辑器发出的报文，单击报文解析器工具栏上的“停止捕获”按钮，停止捕获报文；5、单击工具栏上的“协议分析”按钮，报文解析器弹出协议分析对话框。在“协议”下拉列表中选择“ARP”,对话框下部的列表框中显示存在的ARP连接。选择一个ARP连接，单击“确定”按钮；6、报文解析器左侧的报文列表中显示这一次ARP连接中所有的报文，右侧以图形的方式显示该ARP连接的交互过程。选中左侧报文列表中的一条记录，报文解析器中部显示该报文的协议结构树，右侧的协议交互图中以蓝色突出显示该ARP报文段；7、在左侧的报文列表中选择不同的ARP报文段，观察协议交互的进行过程，以及ARP各个字段值的变化。【实验报告要求】1．记录实验数据2．分析实验结果例：MAC帧首部目的地址：FF-FF-FF-FF-FF-FF源地址：00-01-6C-E9-0D-2C类型：ARPARP硬件类型：以太网协议类型：IP硬件地址长度：6协议地址长度：6操作：ARP请求源硬件地址：00-01-6C-E9-0D-2C源协议地址：192.168.1.6目的硬件地址：00-00-00-00-00-00目的协议地址：192.168.1.2（16进制显示框）00000000：FFFFFFFFFFFF0001—6CE90D2C0806000100000010：0800060400010001-6CE90D2CC008010600000020：000000000000C0A8-0102其中“类型：ARP”对应值为08063．未知数据包的分析本部分通过Sniffer软件捕获本机所在计算机网络中的未知数据包，要求对所捕获的数据包进行分析。数据包一如下（下图截取了该数据包16进制表中的前150行）：00000000ftftftftftft00e0be0aef08004500.啦.?.0000001000d614db00005111268109000581090000002000ft000a008a00c21102dlb38109.??掠I.他？0000003000050000ac0000434542454b43...??.ECEBENC0000004041434141434143414341434143ACACACACACACACAC0000005041434141434141204648455046ACACACAAA.FHEF'F0000006043454c48464345464641434143CELEHFCEPFFFACAC00000070414341414341434f00ft534d42ACACACACABOSMB0000008025000000000000000000000000K0000009000000000000000000011000012OOOOOOaO00000000000000eS030000000000000000L00000000056000301000100020023VOOOOOOcO005c4d494c534c545c42524f5753.\MAILSLOTVBROUSOOOOOOdO45000826Of0110baUe772500000000OOOOOOeO42414dBAM.未知数据包的16进制值根据以下举例，分析上述捕获的数据包为一个什么协议的请求报文。例：未知数据包二如下：00000000ftftftftftft0013d4ae4426OS060001000000100800060400010013d4ae44263b4f129b000000200000000000003b4f12fe0000000000000000003000000000000000000000000000000000000000400000000000000000000000000000000000000050000000000000000000000000000000000000006000000000000000000000未知数据包二的16进制值分析如下：第一行前12个字节为协议MAC帧首部中的目的硬件地址和源地址。紧随其后的两个字节是MAC帧首部中的类型字段，标识从上层接收到什么类型的协议,“0806”表示从上层收到的是类型的数据报。则接下来的数据就代表该