计算机网络练习

以太帧和ARP包协议分析实验一、目的1、 理解以太帧格式2、 理解ARP协议格式和ARP协议的工作原理二、 实验类型验证类实验三、 实验步骤:运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。启动界面:抓包界面的启动是按file下的按钮 副|k抓包界面的启动是按file下的按钮 副|k~~; i■.—LTWireshatk:Capt^ireInteiHces（或capture下的interfaces）之后会出现DescriptionS.AdapterforgenertdialupandVPN.izapture0Realtek10/100/1000EthernetNIC：田VMware^jrtualEthernetAdapterHelpIPPacketsPackets/sunknown0010.10.115.34435192.168.128.100这个是网卡的显示，因为我有虚拟机所以会显示虚拟网卡，我们现在抓的是真实网卡上的包所以在以太网卡右边点击start开始抓包。（捕捉本地连接对应的网卡，可用ipconfig/all查看）：几分钟后就捕获到许多的数据包了，主界面如图所示：Scarce■+:匚「白“总1(6cbytesan &0toyiescaptured^岛IEEGS02.3Eihernet+Logical-LlnkContra!+:InternetworkPackete：Xcha^ge：&IPX InformationP^cnacoTScarce■+:匚「白“总1(6cbytesan &0toyiescaptured^岛IEEGS02.3Eihernet+Logical-LlnkContra!+:InternetworkPackete：Xcha^ge：&IPX InformationP^cnacoTRIPP.IPRIP?55.?J.55^255.?5.5OliDuuODu.fffFffffTFff00000000.OOOOOODO.ffffffffffffoooaoooo.fffffff'FffffOQOOOOOQ.OOOQGODO.fff^ffffffffODOOaODO.ffffffffff幵BroadcasT6fDad<7a51：ODOOOODD.ffffffffrfffUDFUDP7r\IPXIPXIPXIPXIPXIPXIPXASPARFIPX192.163.1.1?!192-163.1-2OdcoLiUijC-:：iuij!!y：7.2e4?fcOOgQlO初逊003聊恥也0000&004.00ad87?d««9OaOOOOOO.OOOdS72e^4edOOOQQQOG.DG0d3?2e3f^QOQ0Q15匕DQQdODQ0affl)looaoDOoa.D00da72des?BOOdODOOCl.Q00d872de3MEl1r&gro_2d:e7:dh£d1maxCo.Dr:6fci：d9DUGOD136-DDUdODDUUMtlIofo■爺^Bi* 哙OOlK5DDOU-D00a872e4C<900000000. l^xf.ipftesponseOOdODOOG-DOOaS/Zeli^fOOOCiCjODO.ffffffffffffipxripResponseOOOODOOG-DD0aS729LHiibOOOaduDD.ftfrffffffftipxripResponsesc-ji'ce呻t:,:r1s-dScai-Lt'pdrl:lD£l4Rt$pgrtS0UnfcnCrrn(0x?b03)UnknownpesponseResponseUr^mwiCQ«2bQ3)Ur^-noTfir-COxZbDS)Resporrsmflhohas192.168.1.wf-：.has192.168aLuU廉“g详CDX2&D3') Jj2J'2-16^20/『WO艸2.7423312^71230W3&B3■旳％ED3.7952484.5679334.7D4371B72&965.699372AL0000rr卄1-r卄H6Sud計5e匚召001003ffff如再000100wcoQQ0020幵级&3DO0D000000odS72eCiOSO0200iidIXL11UU01OCiD21500ofoeF-uof5ef5匚u.罔2F-&Qf6ofd_bF6.udfco7i1«'"""De'-thIji hp~4■■■ ISS^E-Zizplhy»£*lEETTE …Fr-afilaI1■-£t如上图所示，可看到很多捕获的数据。第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。三：开始分析数据1.打开“命令提示符”窗口，使用“arp-a”命令查看本地计算机ARP高速缓存。2.使用“arp-d”命令清除本地计算机ARP高速缓存，再使用“arp-a”命令查看。此时，本地计算机ARP高速缓存为空。3.在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply按钮Ihi*fliL^Lia事£岬 |j.vlp■■■■•丨也宙尊耳百丨既車爭・*皐i陋同］瞰3.「叫ci丨ar屮EilttJ.|m「p( ■Eap?电班iom…CJcur刼ulyTlmSoiiT^tFfolgolTlmSoiiT^tFfolgolIaR□76&3S5OiW和ICflW烦PFKIMEW?盘3QCDCiCJCi'.MCaB72edJC5恥百说**匚=肯说ifJB.H•乩■ ...Tt-fr-fr-fr-:l.k：kiiniiiiResponse34&23743DCM)DtM)D.£iD0dg72e429fMQMQM.ffffffffrfffIPXRIPResponse4-1.635^15令oooooooorooode?29阿&OOQCOO図，幵fl1■11■1iFIPXRIP51.7Z1-JEI?32：.102.1Lj.110皿Sourtiaoort; 1se6丄92_1&S.1b3：355.255.355/255UtPSourceporr:10C£7/'tS602C? dooooooorOOOd072Hlk''ooddodoo.： IPXRTFRtiisorise将计算机与数据设备相连（3928或路由器），参见静态路由配置。此时，网络协议分析软件开始捕获数据，在“命令提示符”窗口中PING同一子网中的任意主机。（计算机Aping计算机B）

因为PING命令的参数为IP地址，因此使用PING命令前，需要使用ARP机制将IP地址转换为MAC地址，这个过程用户是无法感知的。因为我们在使用PING命令前已经开始网络数据包捕获，因此，此时网络协议分析软件将捕获到ARP解析数据包。单击“Stop”按钮，中断网络协议分析软件的捕获进程，主界面显示捕获到的ARP数据包。记录数据现在只有ARP协议了，其他的协议数据包都被过滤掉了。注意到中间部分的三行前面都有一个“+，”点击它，这一行就会被展开。如下图所示：:;d- |fi^rame15<60bytesonre,60bytescaptured!)+iCiherneT：II,Src:£111egrd_2d:e7jdb(DO:€>d:8?:2d:e7:db")POsr:Broadcast(ff:ff:ff:ff:ff:ff"*丨 11JsjotrMIOCD3Gdd8Q_u0sjotrMIOCD3Gdd8Q_u0,d-ucoo0-unV-.1-orlooTOQ-utooKJrodoI-斗-OorrtwoQTOO&ro.□.JQrrscpoTooc01833s'路77町D£e-sCHddBD■223Q药87爼C-L现在展开第一行。看到的结果如下：在上图中我们看到这个帧的一些基本信息：（根据自己的抓包结果记录）帧的编号：15（捕获时的编号）帧的大小：60字节。再加上四个字节的CRC计算在里面，就刚好满足最小64字节的要求。帧被捕获的日期和时间：Dec2,2008……帧距离前一个帧的捕获时间差：0.136438000……帧距离第一个帧的捕获时间差：4.704371000……帧装载的协议：ARP现在展开第二行：-EthernetIIF Eli-EthernetIIF Eli;eT;dhf聞；Mk为佥2d;ieT;dbh BroadestCff:ff;Ff;:fFiff)Mfleess:0roii：ica.st(rr；rf：rr：fTirf,4rr)i-1.ku.. - u.i.■IG匕厲七：：iStgupaddress(ni^ltlca^t/brciad'Z.ist)......1. ■S&1r:Local^dninlsTtrfidAdcrds-s(ThisNdT faccarydfff4Ult)bso叶氓；eh〔旳rmjsk电“db｛越汕曲&山"；谴0^yddress;Elii：enr-a_2d:c7;cfc](GO:Cd:37:Ed:tT:dt).-0,„,P P-,-■jq.t-1rl.n.i01 .u.. . UGbT"苗1函田口¥i;阿嗥j便昶0「郃3■[九盘”尸型貼《/1口Type:AfiP〔叶OEOtijTr'Sll^J轉Q舶E刚8強旳9黑轉期図曲旳!）牌WGr.亠.h：l■酷、“：门」：ibTiF—UtC<f1DiaiLMUm"Hvr^ir-aJdJkvii：UlL4iU—Fucfala：ISSTSDkgl钟！I：6^■iuih«>LPxcfiL<：DitvilI我们可以看到：目的地址（Destination）：ff:ff:ff:ff:ff:ff（这是个MAC地址，这个MAC地址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧）源地址（Source）：Elitegro_2d:e7:db（00:0d:87:2d:e7:db）帧中封装的协议类型：0x0806,这个是ARP协议的类型编号。Trailer:是协议中填充的数据，为了保证帧最少有64字节。展开第三行：地址解析协议硬件类型：以太网协议类型：IP硬件大小：6协议大小：4发送方MAC地址发送方IP地址目的MAC地址目的IP地址观察协议树区中ARP数据包结构，是否符合ARP请求或应答的报文格式。可以在命令提示符窗口使用ipconfig/all命令查看本地计算机的物理网卡地址。在“命令提示符”窗口中使用“ARP-s”命令在ARP高速缓存中添加对应于网关的静态表项