精华内容
下载资源
问答
  • 计算机网络实验-使用wireshark分析以太网帧与arp协议.docx 实验4使用WIRESHARK分析以太网帧与ARP协议一、实验目的分析以太网帧,MAC地址和ARP协议二、实验环境与因特网连接的计算机网络系统;主机操作系统为WINDOWS...

    41528d3028836879cd698677c3999917.gif计算机网络实验-使用wireshark分析以太网帧与arp协议.docx

    实验4使用WIRESHARK分析以太网帧与ARP协议一、实验目的分析以太网帧,MAC地址和ARP协议二、实验环境与因特网连接的计算机网络系统;主机操作系统为WINDOWS;使用WIRESHARK、IE等软件。三、实验步骤IP地址用于标识因特网上每台主机,而端口号则用于区别在同一台主机上运行的不同网络应用程序。在链路层,有介质访问控制(MEDIAACCESSCONTROL,MAC)地址。在局域网中,每个网络设备必须有唯一的MAC地址。设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。WIRESHARK能把MAC地址的组织标识转化为代表生产商的字符串,例如,00065BE34D1A也能以DELLE34D1A显示,因为组织唯一标识符00065B属于DELL。地址FFFFFFFFFFFF是一个特殊的MAC地址,意味着数据应该广播到局域网的所有设备。在因特网上,IP地址用于主机间通信,无论它们是否属于同一局域网。同一局域网间主机间数据传输前,发送方首先要把目的IP地址转换成对应的MAC地址。这通过地址解析协议ARP实现。每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分,而帧的目的地址将被设置为ARP高速缓存中找到的MAC地址。如果没有发现IP地址的转换项,那么本机将广播一个报文,要求具有此IP地址的主机用它的MAC地址作出响应。具有该IP地址的主机直接应答请求方,并且把新的映射项填入ARP高速缓存。发送分组到本地网外的主机,需要跨越一组独立的本地网,这些本地网通过称为网关或路由器的中间机器连接。网关有多个网络接口卡,用它们同时连接多个本地网。最初的发送者或源主机直接通过本地网发送数据到本地网关,网关转发数据报到其它网关,直到最后到达目的主机所在的本地网的网关。1、俘获和分析以太网帧(1)选择工具INTERNET选项删除文件(2)启动WIRESHARK分组嗅探器(3)在浏览器地址栏中输入如下网址HTTP//GAIACSUMASSEDU/WIRESHARKLABS会出现WIRESHARK实验室主页。(4)停止分组俘获。在俘获分组列表中(LISTINGOFCAPTUREDPACKETS)中找到HTTPGET信息和响应信息,如图1所示。。HTTPGET信息被封装在TCP分组中,TCP分组又被封装在IP数据报中,IP数据报又被封装在以太网帧中)。在分组明细窗口中展开ETHERNETII信息(PACKETDETAILSWINDOW)。图21HTTPGET信息和响应信息2、分析地址ARP协议1ARPCACHINGARP协议用于将目的IP转换为对应的MAC地址。ARP命令用来观察和操作缓存中的内容。虽然ARP命令和ARP有一样的名字,很容易混淆,但它们的作用是不同的。在命令提示符下输入ARP可以看到在你所在电脑中ARP缓存中的内容。为了观察到你所在电脑发送和接收ARP信息,我们需要清除ARP缓存,否则你所在主机很容易找到已知IP和匹配的MAC地址。步骤如下(1)清除ARPCACHE,具体做法在MSDOS环境下,输入命令ARP–D(2)选择工具INTERNET选项删除文件(3)启动WIRESHARK分组俘获器(4)在浏览器地址栏中输入如下网址HTTP//GAIACSUMASSEDU/WIRESHARKLABS/HTTPWIRESHARKLABFILE3HTML(5)停止分组俘获。(6)选择ANALYZEENABLEDPROTOCOLS取消IP选项选择OK。如图3所示图22利用WIRESHARK俘获的ARP分组四、实验报告根据实验,回答下面问题回答下面的问题0你所在的主机48BITETHERNET地址是多少1包含ARP请求消息的以太帧的十六进制目的地和源地址是什么2ARP操作码出现在以太帧从最前端开始的第几字节(操作码OPCODE)3包含ARP响应消息的以太帧的十六进制目的地和源地址是什么

    展开全文
  • 实验报告实验名称以太网帧分层结构分析队别姓名学号实验日期2015.3...2.通过分析以太网帧了解以太网数据包传输原理。【实验要求】用Wireshark1.4.9截包,分析数据包。观察以太网帧,Ping同学的IP地址,得到自己和同...

    实验名称

    以太网帧分层结构分析

    实验日期

    2015.3.15

    实验报告要求:

    1.

    实验目的

    2.

    实验要求

    3.

    实验环境

    4.

    实验作业

    5.

    问题及解决

    6.

    思考问题

    7.

    实验体会

    【实验目的】

    1

    .复习

    Wireshark

    抓包工具的使用及数据包分析方法。

    2

    .通过分析以太网帧了解以太网数据包传输原理。

    【实验要求】

    Wireshark1.4.9

    截包,分析数据包。

    观察以太网帧,

    Ping

    同学的

    IP

    地址,得到自己和同学的

    mac

    地址。

    观察以太网广播地址,观察

    ARP

    请求的帧中目标

    mac

    地址的格式。

    ping-l

    指定数据包长度,观察最小帧长和最大帧长。

    观察封装

    IP

    ARP

    的帧中的类型字段。

    【实验环境】

    用以太网交换机连接起来的

    windows 7

    操作系统的计算机,通过

    802.1x

    方式接入

    Internet

    【实验中出现问题及解决方法】

    1

    .在使用命令行“

    ping

    -l

    0

    IP

    ”观察最小帧长时抓到了长度为

    42

    字节的帧,与理论上最小帧长

    64

    字节相差甚远。通过询问教员和简单的分析,知道了缺少字节的原因是当

    Wireshark

    抓到这个

    ping

    请求

    包时,物理层还没有将填充(

    Trailer

    )字符加到数据段后面,也没有算出最后

    4

    字节的校验和序列,导致

    出现最小

    42

    字节的“半成品”帧。可以通过网卡的设置将这个过程提前。

    2

    在做

    ping

    同学主机的实验中,

    发现抓到的所有

    ping

    请求帧中

    IP

    数据部分的头校验和都是错误的。

    原本以为错误的原因与上一个问题有关,即校验和错误是因为物理层还没有将填充字符加到数据段后面。

    但是这个想法很快被证明是错误的,

    因为在观察最大帧长时,

    不需要填充字符的帧也有同样的错误。

    一个

    有趣的现象是,封装在更里层的

    ICMP

    数据包的校验和都是正确的。这就表明

    IP

    层的头校验和错误并没

    有影响正常通信。进一步观察发现,这些出错的头校验和的值都是

    0x0000

    ,这显然不是偶然的错误。虽

    然目前还没有得到权威的答案,但是可以推测,可能是这一项校验实际上并没有被启用。作为中间层的

    IP

    头的意义是承上启下,

    而校验的工作在更需要的上层的

    IMCP

    包和下层

    MAC

    头中都有,

    因此没有必要

    多此一举。

    【思考问题】

    1

    .为什么可以

    ping

    到同宿舍(连接在同一个交换机上)的主机而

    ping

    不到隔壁宿舍的主机?

    通常情况下,如果配置正确,设备都连接着同一个网络(互联网),而且没有防火墙等阻拦,就可以

    正常

    ping

    到同一网络中的任何主机。在第一次实验中,我们曾成功地

    ping

    到了

    baidu.com

    IP

    ping

    其他宿舍的

    IP

    时需要通过宿舍的交换机将

    ping

    请求先转发给楼层交换机,

    再由楼层交换机转

    发给目标

    IP

    所在的宿舍交换机。分析无法

    ping

    到隔壁宿舍主机的原因,很可能是楼层交换机设置了禁止

    内部

    ping

    的防火墙,阻止了本楼层交换机地址段内的主机相互

    ping

    对方。而同宿舍之所以可以相互

    ping

    到,是因为

    ping

    请求没有经过楼层交换机,直接由宿舍交换机转发给了目标

    IP

    主机。

    2

    .什么是

    ARP

    攻击?

    让我们继续分析

    4.1 ARP

    原理,

    A

    得到

    ARP

    应答后,

    B

    MAC

    地址放入本机缓存。

    但是本机

    MAC

    缓存是有生存期的,生存期结束后,将再次重复上面的过程。(类似与我们所学的学习网桥)。

    然而,

    ARP

    协议并不只在发送了

    ARP

    请求才接收

    ARP

    应答。当计算机接收到

    ARP

    应答数据包的时

    候,就会对本地的

    ARP

    缓存进行更新,将应答中的

    IP

    MAC

    地址存储在

    ARP

    缓存中。

    这时,我们假设局域网中的某台机器

    C

    冒充

    B

    A

    发送一个自己伪造的

    ARP

    应答,即

    IP

    地址为

    B

    展开全文
  • 对于搞交换机这个行业的,...首先我们分析一下sireshark抓包出来的数据:以太网帧结构wireshark中的结构说明上图可以看出 0000行中,前6bytes为目的地址 00 1d 72 f5 11 12;然后6bytes是源mac地址24 af 4a bc 50...

    对于搞交换机这个行业的,以太网帧应该是熟悉不过的了。我们知道,以太网帧包括目的地址、源地址、类型、vlan标签等,但是我们知道如何构造一个你想要的以太网帧吗?

    首先我们分析一下sireshark抓包出来的数据:

    以太网帧结构在wireshark中的结构说明

    上图可以看出 0000行中,前6bytes为目的地址 00 1d 72 f5 11 12;然后6bytes是源mac地址24 af 4a bc 50 a1; 接下来2bytes81 00表示后续的2bytes是vlan 和优先级;然后2bytes的8863是指以太网类型为PPPOE;

    这里主要看一下81 00后面的两个bytes,图片中看到的为e4 67 ,其中e代表该以太网帧的优先级为7,467代表他的vlan id(十六进制的),转换成十进制为1127.

    对于以太网帧的优先级,再多说两句:两位对应一个优先级的关系(0 1对应优先级为1,2 3对应优先级为2,以此类推E F对应优先级为7)。

    如果是IP报文,结构会是00 1d 72 f5 11 12?24 af 4a bc 50 a1 81 00 e4 67 08 00 45 00;

    这里前面都解释过了,08 00代表的意思就是IP报文,后面跟IP报文的长度、内容等;

    展开全文
  • 摘要:该文从Ethernet和wifi的帧格式着手进行了分析,并讨论了帧结构的各个字段的含义且对于该如何分析进行了举例,加深了读者对帧格式的理解,增强了wireshark的应用。关键词:wireshark;ethernet;wifi中图分类号...

    摘要:该文从Ethernet和wifi的帧格式着手进行了分析,并讨论了帧结构的各个字段的含义且对于该如何分析进行了举例,加深了读者对帧格式的理解,增强了wireshark的应用。

    关键词:wireshark;ethernet;wifi

    中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)28-6831-02

    Use Wireshark to Analyze a Frame

    BAI Jie

    (Shanghai Tongji University, Shanghai 201800, China)

    Abstract: This article talks about the frame format of Ethernet and wifi, and it also discuss the meaning of each domain, from this article, we can learn how to use wireshark to analyze a frame, and our comprehension of it is also been deepen.

    Key word: wireshark; ethernet; wifi

    1 预备知识

    要深入理解网络协议,需要仔细观察协议实体之间交换的报文序列。观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器(分组捕获库,分析器)。

    分组捕获库接收计算机发送和接收的每一个链路层帧的拷贝。高层协议交换的报文都被封装在链路层帧中,并沿着物理介质传输。

    分析器用来显示协议报文所有字段的内容。为此,分析器必须能够理解协议所交换的所有报文的结构。

    WireShark是一种可以运行在Windows, UNIX等操作系统上的分组分析器,由五个组成部分:命令菜单,捕获分组列表,分组头部明细,分组内容窗口,显示筛选规则。其所捕获的包符合了TCP/IP 的总体网络层次结构。

    2 Ethernet帧结构简介

    Ethernet II 类型以太网帧的最小长度为64 字节,最大长度为1518字节(6+6+2+1500+4)。其中前12 字节分别标识出发送数据帧的源节点MAC 地址和接收数据帧的目标节点MAC 地址。

    接下来的2个字节标识出以太网帧所携带的上层数据类型,如0x0800 代表IP协议数据, 0x809B 代表AppleTalk协议数据, 0x8138 代表Novell类型协议数据等。

    在不定长的数据字段后是4个字节的帧校验序列,采用32 位CRC循环冗余校验对从目标MAC地址字段到数据字段的数据进行校验。

    在包分析的时候并没有先导域和校验码,是由于在物理层向数据链路层递交数据时会将FCS 和先导域抛弃导致的。

    3 Wifi帧格式简介

    802.11帧格式

    -----------------------------------------------

    Preamble|PLCP |MAC |User Data |CRC

    其中preamble是一个前导标识,用于接收设备识别802.11,而PLCP域中包含一些物理层的协议参数,显然Preamble及PLCP是物理层的一些细节 。

    其中,MAC帧包含信息根据帧的类型有所不同,主要封装的是上层的数据单元,长度为0-2312个字节,可以推出,802.11帧最大长度为2346个字节。

    针对帧的不同功能,可将802.11中的MAC帧细分为以下3类:

    1)控制帧:用于竞争期间的握手通信和正向确认、结束非竞争期等;

    2)管理帧:主要用于STA与AP之间协商、关系的控制如关联、认证、同步等;

    3)数据帧:用于在竞争期和非竞争期传输数据。

    Mac帧中的Frame Control域的Type和Subtype共同指出帧的类型,当Type的B3B2位为00时,该帧为管理帧;为01时,该帧为控制帧;为10时,该帧为数据帧。而Subtype进一步判断帧类型,如管理帧里头细分为关联和认证帧。

    4 帧格式分析举例

    A.Ethernet

    B.Ethernet II, Src: Sony_ef:c7:2d(00:1a:80:ef:c7:2d), Dst: IPv4mcast_7f:ff:fa (01:00:5e:7f:ff:fa)

    C.Type: IP (0*0800)

    可知目的地址是一个标准的6字节的mac地址:01:00:5e: 7f: ff: fa,是一个组播地址。

    源地址也是一个标准的6字节mac地址:00:1a : 80: ef: c7: 2d,通过网卡查阅本机的mac地址,知道目的地址就是本机的mac地址。

    类型域类型为2字节(0800),指明上层网络层所用的协议,由于是接入因特网的主机和路由器,所以也容易知道网络层所用的协议为IP协议。

    到此为止,以太网帧的头就完了,之后为数据域。

    000001 00 5e 7f ff fa 00 1a80 ef c7 2d 08 00 45 00 ..^..... ...-..E.

    001000 a1 02 3d 00 00 01 1127 af a9 fe f5 67 ef ff ...=.... '....g..

    0020ff fa e8 10 07 6c 00 8d8f ff 4d 2d 53 45 41 52 .....l.. ..M-SEAR

    0030……

    a.01 00 5e 7f ff fa 00 1a 80 ef c7 2d是目的地址和源地址

    b.0800是协议类型,0800为ip协议

    c.下一行中的14-33字节,指的是网络层的协议分析。含有发送方的ip地址和接收方的ip地址,校验码等

    000045 00 00 a1 02 3d 00 0001 11 27 af a9 fe f5 67 ..^..... ...-..E.

    0010ef ff ff fa ...=.... '....g..

    d.后面的20个字节,显示的是传输层的各种信息,端口号,传输层的具体协议,窗口大小等

    e.之后的所有字节就是头信息中各种反馈信息,cookies,语言等等

    D.Wifi

    IEEE 802.11 Data+CF-Poll, Flags : op..R.F.

    Type/Subtype: Data + CF C Poll (0*22)

    Destination address: 3c: dd: 58: 90: 00: 25

    Source address: 4f: 02: 00: 20: 00: 00

    Data+CF-Poll: 该帧只归AP所有,功能是表示有数据要发送,或将要轮询接收该数据的站点,即接受数据的站点和被轮询的站点相同。

    目的地址是6字节的mac地址:3c: dd: 58: 90: 00: 25

    源地址是6字节mac地址:4f: 02: 00: 20: 00: 00

    Frame Control: 0*CA28 (Normal)

    Version:0

    Type: Data frame (2)

    Subtype: 2

    Flags: 0*CA

    …. ..10= DS status: Frame from DS to a STA via AP(To DS: 0 From DS:1) (0*02)

    …. .0..= More Fragments: This is the last fragment

    …0 ….=PWR MGT: STA will stay up

    ..0. ….=More Data: Nodata buffered

    .1.. ….=Protected flag: Data is protected

    1… ….=Order flag: Strictly ofdered

    帧控制域有11 个子域,其中第一个子域是协议版本。接下来是类型域和子类型域。

    DS status域表明了该帧是来自于跨单元的分布系统。

    More Fragments域意味着这是the last fragment。

    Retry域表明了这是以前发送的某一帧的重传。

    电源管理域是由基站使用的。

    More 域表明发送方是否还有更多的帧要发送给该接受方。

    Protected flag域表明数据是否是被保护的。

    Order flage域表面帧是严格按顺序的。

    5 总结

    实践是我们学习过程中必不可少的一个环节,动手有助于加强我们对于笼统的概念的理解,同时也引导我们的进行适当的思考。在考研中我们也越来越重视对于实践的考察,正如2011年考研题目网络的最后一个大题一样,如果平时没有进行必要的训练,很难在较短的时间内得出满意的答案。所以,每个学生都应该积极主动的加强自己的动手训练,努力达到技能和知识上的双赢。

    参考文献:

    [1] Tanenbaum A S.计算机网络(修订版)[M].4版.北京:清华大学出版社,2005.

    展开全文
  • 以太网帧,属于二层数据,分为2种:EthernetII帧和IEEE802.3帧。其中EthernetII帧格式为:而IEEE802.3帧格式为:两种帧的区别----->在于Type / Length字段数值的大小。Type/Length >=1536(0x0600) ----->...
  • 以太网帧的格式如下:这里的地址指的是MAC地址,每一个网卡对应唯一的MAC。 类型指的是IP、ARP...... 。CRC效验数据是否异常。在wireshark 中,数据包的第二行指的是链路层协议。在Ethernet II中,SRC表示的是源地址...
  • 在初学TCP/IP协议时,会觉得协议是一种很抽象的东西,通过wireshark抓包分析各种协议,可以让抽象变得具体。wireshark抓包wireshar抓包的教程很多,这里就不再重复。参考下图:wireshark抓包wireshark快速get对应...
  • 》》测试网络变量摘要通常情况下都是通过wireshark去解析网络报文,比如EtherCAT报文来分析一些测试数据,比如伺服发送的过程数据是否正确,但是却没法直观的跟踪到数据的变化趋势,本节介绍如何利用以太网分析仪的...
  • 阅读导览1. 学习Wireshark的安装与使用下载并安装网络装包软件... 设计应用以获取以太网链路数据(1)抓取 ping 应用获取以太网链路数据开始抓包Ping 当前实验室某计算机的ip:172.18.3.132停止抓包,获取...
  • 大家肯定会想到PROFINET、ETHERNET/IP、ETHERCAT等工业以太网:技术解读PROFINET、Ethernet/IP等7种主流工业以太网最全整理工业通讯上的领域各种总线+协议+规范+接口—数据采集与控制但是说到协议的分析,...
  • Wireshark-IP帧结构分析

    千次阅读 2016-03-29 10:43:37
    IP协议 I P是T C P / I P协议族中最为核心的协议,所有的 T C P、 U D P、 I C M P及I G M P数据都以I P数据报格式传输,它是网络层最重要的一个...由上面可以看到,以太网帧结构由6字节的目的地址,6字节的源地
  • 以太网数据帧结构分析

    千次阅读 2014-07-23 09:15:16
    实验目的:分析IP报头数据段组件,了解数据帧结构 ...802.3 以太网帧结构 前导码 帧开始符 MAC 目标地址 MAC 源地址 802.1Q 标签 (可选) 以太类型或长度 负载 冗余校验 帧间距 101
  • Ethernet II 的以太网帧结构分析总结 最近在做一个发包程序,程序的功能就是向指定的mac地址发送数据包。其中,这些数据包都是自己从wireshark抓来的,在程序里对这些包的mac地址和ip、端口都进行了修改,当然其他...
  • Wireshark 分析捕获的数据记录 使用 Wireshark 选取你要抓包的网络接口,并设置你的过滤器之后,当有数据通信后即可抓到对应的数据包,这里将分析其每一帧...Ethernet II , Src: 数据链路层以太网帧头部信息。 Inte...
  • wireshark是在数据链路层抓包,如下图抓的UDP包,实际上抓到的是封装了UDP数据包的MAC,有以太网src IP和dst IP在内 MAC主要有两种格式,一种是以太网V2标准,一种是IEEE 802.3,常用的是前者。下图...
  • 1. 对以太网帧、ip数据报、TCP报文结构分析以南邮图书馆网站为例,图书馆网址为:http://lib.njupt.edu.cn,对应的IP地 202.119.224.202。 设置wireshark的过滤条件为”ip.addr == 202.119.224.202”,得到下面...
  • 分析Ethernet V2标准规定的MAC层帧结构,了解IEEE802.3标准规定的MAC层帧结构和TCP/IP的主要协议和协议的层次结构。 实验内容 1.在PC机上运行WireShark截获报文,在显示过滤器中输入ip.addr==(...
  • 分析所用软件下载:Wireshark-win32-1.10.2.exe ...4. 分析以太网链路数据格式与内容 1. 学习Wireshark的安装与使用 下载并安装网络装包软件Wireshark-win32-1.10.2 安装软件所需环境 ...
  • 以太网报文的结构如下: 其中,以太网头: 14 Bytes:MAC目的地址48bit(6B),MAC源地址48bit(6B),Type域2B,一共14B。 IP头部: TCP头部: ...
  • wireshark抓包分析报文

    千次阅读 2018-06-28 22:10:47
    现行计算机网络体系结构 整个报文以太网协议(物理链路) -&...物理链路层 以太网帧 网络层 ip报头 传输层 UDP报头 TCP报头 应用层 Http Request Response ...
  • 数据帧结构2.Wireshark抓取数据包验证 前言 EtherCATE作为一项高性能、低成本、应用简易、拓扑灵活的工业以太网技术正被越来越多的个人和企业使用。在对其的理论学习中,理解其数据帧的结构是很重要的一环。本文通...
  • wireshark常见协议包分析1 数据包的分成结构 以太网2的首部 可以看出按顺序:以太网V2的MAC格式(参照书P96页) 目的地址:(占6个字节)(当目的地址为全1时,即为广播broadcast) 源地址:(占6个字节) ...
  • 数据包结构分析

    万次阅读 多人点赞 2017-04-18 21:08:05
    通过wireshark抓取在不同链路上的数据包,分析数据在网上传输过程。首先要有下面基础知识。 1,网络数据封装过程,数据包发送的时候从上往下封装的,解封装反过来。 从下往上看 最下面是以太网帧,位于osi...
  • 第1关:抓取Ethernet包 任务描述 相关知识 以太帧类型 Ethernet帧格式 IEEE 802.3 帧格式: ... 学会抓取一组以太帧结构。 以太帧类型 以太帧有很多种类型。不同类型的帧具有不同的格式和 MT

空空如也

空空如也

1 2 3
收藏数 43
精华内容 17
关键字:

wireshark分析以太网帧结构