实验二使用Wireshark分析以太网帧与ARP协议

实验二使用Wireshark分析以太网帧与ARP协议一、实验目的1.深入理解以太网帧的结构和工作原理。2.掌握ARP协议的工作流程和功能。3.通过Wireshark工具捕获和分析网络数据包，验证以太网帧和ARP协议的运行机制。

二、实验环境1.安装有Wireshark软件的计算机。2.连接到局域网的网络接口。

三、实验原理以太网帧结构以太网帧是在以太网网络中传输数据的基本单元，其结构如下：1.前导码（Preamble）：7个字节，值为0xAA，用于同步接收设备的时钟。2.帧开始定界符（SFD）：1个字节，值为0xAB，标志着帧的开始。3.目的MAC地址（DestinationMACAddress）：6个字节，标识接收帧的设备。4.源MAC地址（SourceMACAddress）：6个字节，标识发送帧的设备。5.类型/长度（Type/Length）：2个字节，若值大于0x05DC，则表示上层协议类型；若值小于等于0x05DC，则表示数据的长度。6.数据（Data）：461500字节，包含上层协议的数据。7.帧校验序列（FCS）：4个字节，用于检测帧在传输过程中是否发生错误。

ARP协议ARP（AddressResolutionProtocol）协议用于将IP地址解析为MAC地址。其工作流程如下：1.ARP请求：当主机需要发送数据到同一局域网内的其他主机时，首先会检查自己的ARP缓存表中是否有目标IP地址对应的MAC地址。如果没有，则发送一个ARP请求广播包，该包包含源IP地址、源MAC地址和目标IP地址，请求目标主机回复其MAC地址。2.ARP响应：目标主机收到ARP请求后，检查请求中的目标IP地址是否与自己的IP地址匹配。如果匹配，则发送一个ARP响应单播包，包含自己的MAC地址，回复给源主机。3.ARP缓存更新：源主机收到ARP响应后，将目标IP地址和对应的MAC地址添加到自己的ARP缓存表中，以便后续通信时直接使用。

四、实验步骤捕获以太网帧1.打开Wireshark软件，选择连接到局域网的网络接口。2.在Wireshark主界面中，点击"开始捕获"按钮，开始捕获网络数据包。

分析以太网帧结构1.捕获一些网络数据包后，在Wireshark主界面的数据包列表中，找到一个以太网帧。2.查看以太网帧的详细信息，包括目的MAC地址、源MAC地址、类型/长度等字段。3.分析不同字段的值，理解以太网帧的结构和各个字段的含义。4.观察以太网帧的前导码和帧开始定界符字段，验证其格式和作用。

分析ARP协议工作流程1.在捕获的数据包中，找到ARP请求和ARP响应数据包。2.分析ARP请求数据包的结构，包括硬件类型、协议类型、硬件地址长度、协议地址长度、操作码、发送方IP地址、发送方MAC地址、目标IP地址和目标MAC地址等字段。3.分析ARP响应数据包的结构，与ARP请求数据包进行对比，注意操作码的变化（请求为1，响应为2）。4.观察ARP请求和响应数据包的发送和接收过程，理解ARP协议的工作流程。5.分析ARP缓存表的更新情况，通过在命令行中输入"arpa"命令，查看主机的ARP缓存表，观察在捕获数据包过程中ARP缓存表的变化。

过滤数据包1.使用Wireshark的过滤功能，只显示以太网帧或ARP协议的数据包。2.例如，在过滤框中输入"eth"可以只显示以太网帧，输入"arp"可以只显示ARP协议的数据包。3.通过过滤功能，更方便地分析特定类型的数据包，提高分析效率。

五、实验结果与分析以太网帧结构分析结果1.目的MAC地址：在捕获的以太网帧中，目的MAC地址通常是接收设备的MAC地址。例如，在局域网中，目的MAC地址可能是路由器的MAC地址或其他主机的MAC地址。2.源MAC地址：源MAC地址是发送设备的MAC地址，即捕获数据包的主机的MAC地址。3.类型/长度：类型/长度字段的值决定了上层协议的类型或数据的长度。例如，如果值为0x0800，表示上层协议为IPv4；如果值小于等于0x05DC，则表示数据的长度。4.数据：数据字段包含上层协议的数据，其长度根据具体情况而定，通常在461500字节之间。5.帧校验序列：FCS字段用于检测帧在传输过程中是否发生错误。通过Wireshark的统计功能，可以查看捕获的数据包中FCS错误的数量，了解网络传输的可靠性。

ARP协议工作流程分析结果1.ARP请求：当主机需要解析目标IP地址的MAC地址时，会发送ARP请求广播包。在Wireshark中，可以看到ARP请求包的目的MAC地址为广播地址（FF:FF:FF:FF:FF:FF），源MAC地址为发送主机的MAC地址，操作码为1（请求）。2.ARP响应：目标主机收到ARP请求后，会发送ARP响应单播包。在Wireshark中，可以看到ARP响应包的目的MAC地址为发送主机的MAC地址，源MAC地址为目标主机的MAC地址，操作码为2（响应）。3.ARP缓存表更新：通过在命令行中输入"arpa"命令，可以观察到主机的ARP缓存表在收到ARP响应后会更新。新的条目包含目标IP地址和对应的MAC地址，以及缓存的时间。

过滤数据包的效果1.通过使用Wireshark的过滤功能，只显示以太网帧或ARP协议的数据包后，可以更清晰地观察和分析特定类型的数据包。2.例如，只显示ARP协议的数据包时，可以专注于ARP请求和响应的过程，更准确地理解ARP协议的工作原理。

六、实验总结通过本次实验，使用Wireshark工具对以太网帧和ARP协议进行了深入分析。1.了解了以太网帧的结构和各个字段的含义，包括前导码、帧开始定界符、目的MAC地址、源MAC地址、类型/长度、数据和帧校验序列等。2.掌握了ARP协议的工作流程，包括ARP请求、ARP响应和ARP缓存表的更新。3.通过实际捕获和分析网络数据包，验证了以太网帧和ARP协议的运行机制，提高了对网络协议的理解和分析能力。4.学会了使用Wireshark的过滤功能，能够更方便地专注于特定类型的数据包进行分析，提高了分析效率。

在今后的网络学习和实践中，可以进一步深入研究以太网帧和ARP协议的其他方面，如不同网络环境下的运行情况、安全问题等，为解决实际网络问题打下坚实的基础。

七、附录：相关命令及截图1.查看ARP缓存表命令在命令行中输入"arpa"命令，可查看主机的ARP缓存表，示例如下：```C:\Users\Administrator>arpaInterface:192.168.1.1000x2InternetAddressPhysicalAddressType192.168.1.100155d8e3c46dynamic192.168.1.255ffffffffffffstatic224.0.0.2201005e000016static224.0.0.25101005e0000fbstatic239.255.255.25001005e7ffffastatic```

2.Wireshark捕获数据包截图图1：Wireshark主界面及捕获的数据包列表

图2：以太网帧详细信息

图3：ARP请求数据包详细信息

图4：ARP响应数据包详细信息