实验二 用 Wireshark 进行协议分析

实验二用Wireshark 进行协议分析
一．分组及实验任务
组长：，组员：
由于本次试验不需要合作，所以每个人的任务都一样。

任务：
1. 学习协议分析软件Wireshark 的使用。

2. 分析以太网帧格式。

3. 分析IP、ICMP、ARP 数据包格式。

二．实验环境
1.以太网交换机1 台、PC 机2 台；
2.实验拓扑如下：
三．实验过程
在命令行界面执行命令ping，在Wireshark选项界面的Capture option 中设置过滤规则：“ether proto0x0806”，界面出现了arp request和arp reply的包；设置过滤规则：”ip proto 1 “,界面出现了ICMP request 和ICMP reply 的包；设置过滤规则：“ether proto 0x0806 or ip proto 1”后，界面出现了ARP和ICMP的request包以及reply包。

四．问题解答
1. 抓取一对ARP 包（包括ARP request 和ARP reply ），分析以太网帧
头的字段。

解：下图是做实验时用软件抓到的ARP包：
以太网首部：目的主机采用的是广播地址00:21:97:29:44，
源主机的MAC地址是00:21:97:29:80:50;上层协议类型0x0806代表ARP
2. 抓取一对封装ICMP 报文的IP 数据报（包括echo 和echo reply ），
然后
1) 找到两个ICMP 报文中的类型（type）和代码（code ）字段，
2) 分析其中一个IP 数据报的首部字段值，
3) 并计算首部校验和。

解：
1）：
这是一个ICMP回应请求报文，报文类型为08，代码字段为00
这是一个ICMP回应应答报文，报文类型为00，代码字段为00
2）：
ICMP回应请求报文中IP数据报的首部字段为：
45:00:00:3c:a4:2a:00:00:80:01:13:62:c0:98:01:03:c0:98:01:01
第一个字节“45”高四位为“4”，代表IP协议的版本为4，低四位为“5”，代表该IP数据报的首部长度为20个字节；第二个字节为“00”，为区分服务；第三、四个字节为“003c”，表示该IP数据报的总长度为60字节（3x16+12=60）；第五六字节为“a42a”,为标识字段；第七八字节为“0000”，前三位为标志字段，表示该数据报为若干数据报片中的最后一个，在这代表只有一个数据报，不存在分片；后十三位为片偏移字段，在这没有意义；第九个字节为“80”，表示生存时间；第十个字节为“01”，表用来示该数据报携带的数据使用的何种协议，在这表示使用的是UDP协议；第十一十二字节为“13 62”,为首部检验和；第十三至第十六字节为“c0 98 01 03”,表示源地址；第十七至第二十字节为“c0 98 01 01”,表示目的地址；
3）：
数据报首部反码算术求和二进制表示为0011011100111001,取反码为1100100011000110;即首部校验和为1100100011000110；
五．实验总结
本次试验主要要求我们熟悉wireshark软件，难度不是很大，我们很快就做完了，再结合课堂上学习到的知识，思考题也迎刃而解。