《抓包分析以太网帧ARP.docx》由会员分享,可在线阅读,更多相关《抓包分析以太网帧ARP.docx(5页珍藏版)》请在三一文库上搜索。
1、网络抓包分析实验报告一:实验目的:1.学习使用网络数据抓包软件Ethereal,对互连网进行数据抓包,巩固对所学知识的理解二:实验内容:1:分析以太网帧格式。2:分析ARP报文格式。三:实验工具Wireshark抓包软件四:实验步骤1、安装Wireshark,简单描述安装步骤。2、 打开wireshark,选择接口选项列表。或单击“Capture",配置“option” 选项。3、 设置完成后,点击“ start”开始抓包,显示结果。4、 选择某一行抓包结果,双击查看此数据包具体结构五:分析1.以太网帧格式:以太网共有 4种个格式一):Ethernet II是DIX以太网联盟推出的,
2、它由6个字节的目的MAC!址,6个字节的源MAC 地址,2个字节的类型域(用于表示装在这个 Frame里面数据的类型),以上为 Frame Header,接下来是46-1500字节的数据,和4字节的帧校验)D-MACS-MAC美事软据CRC66246 15004J J Jj J JJjbJJ-Ethernet II Frame .本旧不它的帧头与Ethernet有所不同其中Ethernets 帧头中的类型域变成了长度域,后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame, 由于前面的0xFFFF站掉了两个字节所以数据域缩小为 44-1498个字节,帧校验不
3、 变。0-MACS-MAC长度OXFFFFOXFFFF效据CRC6621144 1498Novell Ethernet Frame):IEEE 802.3/802.2802.3 的 Frame Header和 Ethernet II的帧头有所不同,它把 EthernetII类型域变成了长度域(与Novell Ethernet相同)。其中又引入802.2协议(LLC)在 802.3 帧头后面添加了一个 LLC首部,由 DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte, 一个控制域 1 byte! SAP 用
4、于表示 帧的上层协议。D-WIACS-MAC长度DSAP数据CRC66211143-14974IEEE 802.3/802.2 Frame四):Ethernet SNAPEthernet SNAP Frame 与 802.3/802.2 Frame 的最大区别是增加了一个 5Bytes的SNAP ID,其中前面3个byte通常与源mac地址的前三个bytes相同,为厂商代码!有时也可设为 0。后2 bytes与Ethernet II的类型域相同。D-MACS-MAC长度DSAPSSAP朋!Oig code类型领据CRC6621113238J工P|4jjEthernet SNAP Frame本次
5、实验抓包分析Ethernet II的帧格式:截图:269Ti fi 已5. J63795SoiiTte202.115. 22- 221les ri nit inn192. 1B8» 1 LOOFrotflCdl TCPmeLtcfseigiraentofareassembl5. 070498302.115. Z2. 221L9Z.% L LOOTCFtctsegraeDtQf3reassembl2T15, 070526L9Z. 16B. 1. 1002U2. 115»22, 221TCPspcE dlobtiY)httpack Seq2Tz5b IJ7L1742Q3U15l
6、 22b Z2119Zb 168» L LOOTCPtctseEirientQfareassenubl2T3士 CTL54W匆工口工24羽1氾 16& L LQQ丁 CPTCP点2即已门土Qf3reassemibLIi franc 1514 sytu: on wire (12112 bita), 1&14 by 1ca captured (121LL bitn)i= &thcrnci:】L Dre: TpLinkT_37:53: <c (i L:cc:33:37:53 : ic),蛇1: G5;:见:口吃(qc:8L : L2 iO* Deotinati
7、cn: Con:ckTjOO: 91: tvi (ac:81.: 12:00:91: al)+ Source: 'prLini£,'l _37:&3:3c (fi:ec :30:37 !53:3e)Type: IP (OjOiBDO)li Internet Protocolj Orc: 202.115. 22, 221 1202.115. 224221), Dst: 192, lb8. MOD (192; 1B04 L100)ii IrancxisBl«n. Control Prtocsl., Src Port: http C90),二百二 P似t:
8、 spesdlotby (£8的Scq: 1C8L有截图分析得: 目的端口的 MAC 地址:ac:81:12:00:91:a4.源端口的 MAC 地址:f4:ec:38:37:53:3e 类型:IP(0x0800)2:分析ARP报文格式:,十晨旭升 K . ar_p 1 r. (4)art£paether_rJhset ether 3hoB!z以大网目的池址fibvtet以太网海吃升6地计4目标峙件船一4目标?地卅4工艮P苜部,rpbArl;以太网ARP字段* tb*r_arp1 抓包截图:Ho*lirrieScwce工匕筝毛二期唱"U 塾Et"4<
9、;>g?*l 工nfa4224. / 17594 12. IfiS. 1 10021S, 93. 211.12+ TCP vtwrgp-vtpr hTtp 二Z204 225. 143C75 J 168,1.100192. L6B, 1. 25 NEKS Rane cjjery NE ffINUiOflS-NQVni2205 225.295441 4心仃打二超:。日父AEFham 二般,16孔:L LOD? I门32Q5 225295*156 CenldiTeJQ;91 Azursvav_3a:i7:0e AKP 192.16B. -W Is atli Frann 2*0&: 4
10、2 bytes on virr t336 bi is),bytcz caplurc(336 biisl-i E-thrmet LT, Src : Cerbt iiTe_C0: 91 : a4 (ac t01 : 12 : 0D! a4),比 t : AzdrewaVii 1£7 : Dr COtSd: 60t93 Destination: AiurEiau_5a : f7:Oe (49: 5d:6Ci:5a:f 7:0eJ±j Source : SemekTe_OCl : 51 :a4 (a<2: El: 12:00:1 :a4JType: NRP £0工0
11、8点)1=' Adctresw HesoLutior Protocol (reply)Hereof acre "ype: Ethernet UxOQOl.PrdgL type: IP (OsO33O)JicrdyiD'c fisc: 6FtotocoL sizn; iCrpctde : reply ' 2iy DC02)Cis ratuiraus: FalseSender JIAC addLr&f s: Gent&itTe.aD:?! : a4 (ac:81 L2;0C7?L :al)Sender IF 3ddrer: 192.16B, 1.
12、2DQ(19C. l&S, 1.1D0)Target JI/IC addlrrc; Asure,va. 9a;:f7 ; Oe (43:5d: bQ;£atl7:Qs?Tarpet IP addict: 132.16B. 1.G92. l&B. 1. :DJ)000 912OXL c D -u Dc- 2 e 00 G 7 H f o f2 4E1 9u 9 06 0 6 .0 6 d o d 5 .0 n- 8 & 8 4 0 41 i o .6 o L 00 6 8 o£硬件类型: Ethernet协议类型: IP硬件地址长度:6协议地址长度:4操作类型:reply (应答)源物理地址:ac:81:12:00:91:a4源 IP 地址 : 192.168.1.100目标物理地址: 48:5d60:9a:f7:0e目标 IP 地址 : 192.168.1.101六:实践总结通过这次试验,培养了自己动手的能力,另外,通过对wireshark 抓包软件的使用, 用其来抓取数据包,通过对以太网帧格式的分析,加深了对以太网的了解,对ARP艮文的分析,对地址解析协议有了进一步的了解,并且把课本上多学的理论知识与实践结合起来,对以前的知识得到深化和巩固,为以后学习新的知识打下基础,也提高了学习的兴趣,收获很大。