抓包分析以太网帧ARP.docx

网络抓包分析实验报告一：实验目的：1.学习使用网络数据抓包软件Ethereal,对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析以太网帧格式。2:分析ARP报文格式。三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark,简单描述安装步骤。2、 打开wireshark,选择接口选项列表。或单击“Capture"，配置“option” 选项。3、 设置完成后，点击“ start”开始抓包，显示结果。4、 选择某一行抓包结果，双击查看此数据包具体结构五：分析1.以太网帧格式：以太网共有 4种个格式一）:Ethernet II是DIX以太网联盟推出的，它由6个字节的目的MAC!址，6个字节的源MAC 地址，2个字节的类型域（用于表示装在这个 Frame里面数据的类型），以上为 Frame Header,接下来是46-1500字节的数据，和4字节的帧校验）D-MACS-MAC美事软据CRC66246 15004J J Jj J JJjbJJ-Ethernet II Frame .本旧不它的帧头与Ethernet有所不同其中Ethernets 帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame, 由于前面的0xFFFF站掉了两个字节所以数据域缩小为 44-1498个字节，帧校验不 变。0-MACS-MAC长度OXFFFFOXFFFF效据CRC6621144 1498Novell Ethernet Frame):IEEE 802.3/802.2802.3 的 Frame Header和 Ethernet II的帧头有所不同，它把 EthernetII类型域变成了长度域(与Novell Ethernet相同)。其中又引入802.2协议(LLC)在 802.3 帧头后面添加了一个 LLC首部，由 DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte, 一个控制域 1 byte! SAP 用于表示 帧的上层协议。D-WIACS-MAC长度DSAP数据CRC66211143-14974IEEE 802.3/802.2 Frame四)：Ethernet SNAPEthernet SNAP Frame 与 802.3/802.2 Frame 的最大区别是增加了一个 5Bytes的SNAP ID,其中前面3个byte通常与源mac地址的前三个bytes相同,为厂商代码！有时也可设为 0。后2 bytes与Ethernet II的类型域相同。D-MACS-MAC长度DSAPSSAP朋!Oig code类型领据CRC6621113238J工P|4jjEthernet SNAP Frame本次实验抓包分析Ethernet II的帧格式：截图:269Ti fi 已5. J63795SoiiTte202.115. 22- 221les ri nit inn192. 1B8» 1 LOOFrotflCdl TCPmeLtcfseigiraentofareassembl5. 070498302.115. Z2. 221L9Z.% L LOOTCFtctsegraeDtQf3reassembl2T15, 070526L9Z. 16B. 1. 1002U2. 115»22, 221TCPspcE dlobtiY)httpack Seq2Tz5b IJ7L1742Q3U15l 22b Z2119Zb 168» L LOOTCPtctseEirientQfareassenubl2T3士 CTL54W匆工口工24羽1氾 16& L LQQ丁 CPTCP点2即已门土Qf3reassemibLIi franc 1514 sytu: on wire (12112 bita), 1&14 by 1ca captured (121LL bitn)i= &thcrnci：】L Dre: TpLinkT_37:53: <c (i L:cc:33:37:53 : ic),蛇1： G5;:见：口吃(qc:8L : L2 iO* Deotinaticn: Con:ckTjOO: 91: tvi (ac:81.: 12:00:91: al)+ Source: 'prLini£,'l _37:&3:3c (fi:ec :30:37 !53:3e)Type: IP (OjOiBDO)li Internet Protocolj Orc: 202.115. 22, 221 1202.115. 224221), Dst: 192, lb8. MOD (192； 1B04 L100)ii IrancxisBl«n. Control Prtocsl., Src Port: http C90),二百二 P似t: spesdlotby (£8的Scq: 1C8L有截图分析得: 目的端口的 MAC 地址：ac:81:12:00:91:a4.源端口的 MAC 地址：f4:ec:38:37:53:3e 类型：IP(0x0800)2:分析ARP报文格式:,十晨旭升 K . ar_p 1 r. (4)art£paether_rJhset ether 3hoB!z以大网目的池址fibvtet以太网海吃升6地计4目标峙件船一4目标？地卅4工艮P苜部,rpbArl;以太网ARP字段* tb*r_arp1 抓包截图:Ho*lirrieScwce工匕筝毛二期唱"U 塾Et"4<>g?*l 工nfa4224. / 17594 12. IfiS. 1 10021S, 93. 211.12+ TCP vtwrgp-vtpr hTtp 二Z204 225. 143C75 J 168,1.100192. L6B, 1. 25 NEKS Rane cjjery NE ffINUiOflS-NQVni2205 225.295441 4心仃打二超：。日父AEFham 二般，16孔:L LOD? I门32Q5 225295*156 CenldiTeJQ;91 Azursvav_3a:i7：0e AKP 192.16B. -W Is atli Frann 2*0&: 42 bytes on virr t336 bi is),bytcz caplurc(336 biisl-i E-thrmet LT, Src : Cerbt iiTe_C0: 91 ： a4 (ac t01 ： 12 ： 0D! a4),比 t ： AzdrewaVii 1£7 : Dr COtSd： 60t93 Destination: AiurEiau_5a : f7:Oe (49: 5d:6Ci：5a:f 7:0eJ±j Source : SemekTe_OCl : 51 :a4 (a<2: El: 12:00:1 :a4JType： NRP £0工08点)1=' Adctresw HesoLutior Protocol (reply)Hereof acre "ype: Ethernet UxOQOl.PrdgL type： IP (OsO33O)JicrdyiD'c fisc： 6FtotocoL sizn； iCrpctde ： reply ' 2iy DC02)Cis ratuiraus： FalseSender JIAC addLr&f s: Gent&itTe.aD：?! ： a4 (ac:81 L2;0C7?L :al)Sender IF 3ddrer: 192.16B, 1. 2DQ(19C. l&S, 1.1D0)Target JI/IC addlrrc; Asure,va. 9a;：f7 ; Oe (43:5d: bQ;£atl7：Qs?Tarpet IP addict: 132.16B. 1.G92. l&B. 1. ：DJ)000 912OXL c D -u Dc- 2 e 00 G 7 H f o f2 4E1 9u 9 06 0 6 .0 6 d o d 5 .0 n- 8 & 8 4 0 41 i o .6 o L 00 6 8 o£硬件类型： Ethernet协议类型： IP硬件地址长度：6协议地址长度：4操作类型：reply （应答）源物理地址：ac:81:12:00:91:a4源 IP 地址 : 192.168.1.100目标物理地址: 48:5d60:9a:f7:0e目标 IP 地址 : 192.168.1.101六：实践总结通过这次试验，培养了自己动手的能力，另外，通过对wireshark 抓包软件的使用， 用其来抓取数据包，通过对以太网帧格式的分析，加深了对以太网的了解，对ARP艮文的分析，对地址解析协议有了进一步的了解，并且把课本上多学的理论知识与实践结合起来，对以前的知识得到深化和巩固，为以后学习新的知识打下基础，也提高了学习的兴趣，收获很大。