实验二使用Wireshark分析以太网帧与ARP协议

《计算机网络与通信原理》课程实验报告Wireshark和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

（2）Wireshark的显示过滤器显示过滤器可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找感兴趣的数据包。

注意：捕获过滤器（Capture Filters）和显示过滤器（Display Filters）的语法规则是不同的。

值比较表达式可以使用下面的操作符来构造：●eq ==，如ip.addr==10.1.10.20●ne !=，如ip.addr!=10.1.10.20●gt >，如frame.pkt_len>10●lt <，如frame.pkt_len<10●ge >=，如frame.pkt_len>=10●le <=，如frame.pkt_len<=10可以使用下面的逻辑操作符将表达式组合起来：●and &&逻辑与，如ip.addr=10.1.10.20 && tcp.flag.fin●or || 逻辑或，如ip.addr=10.1.10.20||ip.addr=10.1.10.21●not ! 逻辑非，如!llc例如：IP 地址是192.168.2.10 的主机，它所接收收或发送的所有的HTTP 报文，那么合适的Filter（过滤器）就是：ip.addr == 192.168.2.10 && http。

提示：Filter的背景显示出表达式的合法与否，绿色为合法，红色为否。

（3）菜单Capture的Options说明Interface:选择采集数据包的网卡IP address:选择的网卡所对应的IP地址Link-layer header type:数据链路层的协议，在以太网中一般是Ethernet IIBuffer size:数据缓存大小设定，默认是1M字节。

实验二用Wireshark 进行协议分析一．分组及实验任务组长：，组员：由于本次试验不需要合作，所以每个人的任务都一样。

任务：1. 学习协议分析软件Wireshark 的使用。

2. 分析以太网帧格式。

3. 分析IP、ICMP、ARP 数据包格式。

二．实验环境1.以太网交换机1 台、PC 机2 台；2.实验拓扑如下：三．实验过程在命令行界面执行命令ping，在Wireshark选项界面的Capture option 中设置过滤规则：“ether proto0x0806”，界面出现了arp request和arp reply的包；设置过滤规则：”ip proto 1 “,界面出现了ICMP request 和ICMP reply 的包；设置过滤规则：“ether proto 0x0806 or ip proto 1”后，界面出现了ARP和ICMP的request包以及reply包。

四．问题解答1. 抓取一对ARP 包（包括ARP request 和ARP reply ），分析以太网帧头的字段。

解：下图是做实验时用软件抓到的ARP包：以太网首部：目的主机采用的是广播地址00:21:97:29:44，源主机的MAC地址是00:21:97:29:80:50;上层协议类型0x0806代表ARP2. 抓取一对封装ICMP 报文的IP 数据报（包括echo 和echo reply ），然后1) 找到两个ICMP 报文中的类型（type）和代码（code ）字段，2) 分析其中一个IP 数据报的首部字段值，3) 并计算首部校验和。

解：1）：这是一个ICMP回应请求报文，报文类型为08，代码字段为00这是一个ICMP回应应答报文，报文类型为00，代码字段为002）：ICMP回应请求报文中IP数据报的首部字段为：45:00:00:3c:a4:2a:00:00:80:01:13:62:c0:98:01:03:c0:98:01:01第一个字节“45”高四位为“4”，代表IP协议的版本为4，低四位为“5”，代表该IP数据报的首部长度为20个字节；第二个字节为“00”，为区分服务；第三、四个字节为“003c”，表示该IP数据报的总长度为60字节（3x16+12=60）；第五六字节为“a42a”,为标识字段；第七八字节为“0000”，前三位为标志字段，表示该数据报为若干数据报片中的最后一个，在这代表只有一个数据报，不存在分片；后十三位为片偏移字段，在这没有意义；第九个字节为“80”，表示生存时间；第十个字节为“01”，表用来示该数据报携带的数据使用的何种协议，在这表示使用的是UDP协议；第十一十二字节为“13 62”,为首部检验和；第十三至第十六字节为“c0 98 01 03”,表示源地址；第十七至第二十字节为“c0 98 01 01”,表示目的地址；3）：数据报首部反码算术求和二进制表示为0011011100111001,取反码为1100100011000110;即首部校验和为1100100011000110；五．实验总结本次试验主要要求我们熟悉wireshark软件，难度不是很大，我们很快就做完了，再结合课堂上学习到的知识，思考题也迎刃而解。

《信息系统安全》实验实验 - 使用 Wireshark 检查以太网帧Mininet 拓扑目标第 1 部分：检查以太网 II 帧中的报头字段第 2 部分：使用 Wireshark 捕获和分析以太网帧背景/场景当上层协议互相通信时，数据会向下流到开放式系统互联 (OSI) 的各层中，并最终被封装进第 2 层帧。

帧的成分取决于介质访问类型。

例如，如果上层协议是 TCP 和 IP 并且访问介质是以太网，则第 2 层帧的封装为以太网 II。

这是 LAN 环境的典型情况。

在了解第 2 层的概念时，分析帧报头信息很有帮助。

在此实验的第 1 部分，同学们将复习以太网 II 帧包含的字段。

在第 2 部分，同学们将使用 Wireshark 为本地通信和远程通信捕获和分析以太网 II 帧头字段。

所需资源•CyberOps Workstation VM•互联网接入第 1 部分：检查以太网 II 帧中的报头字段在第 1 部分中，同学们需要检查提供给同学们的以太网 II 帧中的报头字段和内容。

Wireshark 捕获可用于检查这些字段中的内容。

第 1 步：检查以太网 II 帧头字段的描述和长度。

第 2 步：在 Wireshark 捕获中检查以太网帧。

以下 Wireshark 捕获显示了从 PC 主机向其默认网关发出 ping 操作生成的数据包。

Wireshark 应用了一个过滤器，以仅查看 ARP 和 ICMP 协议。

会话首先利用 ARP 查询网关路由器的 MAC 地址，然后是四次 ping 请求和应答。

第 3 步：检查 ARP 请求的以太网 II 报头内容。

下表使用 Wireshark 捕获中的第一个帧，并显示以太网 II 帧头字段中的数据。

关于目的地址字段的内容，需要注意什么？_______________________________________________________________________________________ _______________________________________________________________________________________ 为什么 PC 会在发送第一个 ping 请求之前发送广播 ARP？_______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 第一个帧的源设备的 MAC 地址是什么？_______________________________________________________ 源设备的网卡的供应商 ID (OUI) 是什么？ ______________________________________________________ MAC 地址的哪个部分是 OUI？______________________________________________________________ 源设备的网卡序列号是什么？_______________________________________________________________ 第 2 部分：使用 Wireshark 捕获和分析以太网帧在第 2 部分中，同学们将使用 Wireshark 捕获本地和远程以太网帧。

使用wireshark分析网络协议实验报告一、实验目的1. 掌控几种常用的网络命令，通过采用这些命令能够检测常用网络故障2. 理解各命令的含义，并能解释其显示内容的意义二、实验内容1. 运行 Windows 常用的网络命令，ipconfig、ping、netstat、nbtstat、arp、route、 net、tracert2. 利用子网掩码、同时实现子网的分割3. 了解 VRP 的各种视图及各视图下的常用命令三、实验原理、方法、手段该实验通过执行一些常用的网络命令，来了解网络的状况、性能，并对一些网络协议能更好的理解。

下面介绍一下实验中用到的网络命令：1. ipconfig 命令该命令显示IP 协议的具体配置信息，命令可以显示网络适配器的物理地址、主机的IP 地址、子网掩码以及默认网关等，还可以查看主机名、DNS 服务器、节点类型等相关信息。

2. ping 命令该命令用于测试网络联接状况以及信息发送和接收状况。

3. netstat 命令该命令用于检验网络连接情况，它可以显示当前正在活动的网络连接的详细信息。

4. nbtstat 命令该命令用于查看本地计算机或远程计算机上的NetBIOS 的统计数据，显示协议统计情况以及当前TCP/IP 的连接所使用NETBIOS 情况，运用NETBIOS，可以查看本地计算机或远程计算机上的NETBIOS 名字列表。

5. arp 命令使用ARP 命令，你能够查看本地计算机或另一台计算机的'ARP 高速缓存中的当前内容，也可以用人工方式输入静态的网卡物理地址/IP 地址对，使用这种方式为缺省网关和本地服务器等常用主机进行这项操作，有助于减少网络上的信息量。

6. route 命令ROUTE 命令用于显示、人工添加和修改路由表项目。

7. net 命令net 命令是WIN 系列里面最有用的网络方面的命令之一，它不是一个命令，而是一组命令。

8. tracert 命令Tracert 使用很简单，只需要在tracert 后面跟一个IP 地址或URL，tracert 会在进行相应的域名转换的。

计算机网络实验报告年级：姓名：学号：实验日期：实验名称：利用wireshark分析arp协议一、实验项目名称及实验项目编号ARP协议学习与分析二、课程名称及课程编号计算机网络三、实验目的通过本实验使学生：1．学习ARP协议的工作原理以及ARP分组格式；2．学习使用WireShark对ARP协议进行分析。

四、要求1、结果分析与保存的数据一致，否则没有实验成绩2、数据保存名称：Arp数据：w09101-arp.pcap(网络091班01号arp协议) d09101-arp.pcap(电信091班01号arp协议)（其余报告相同）实验结果分析报告名称：实验一ARP协议实验结果分析_w09101.doc五、学习使用WireShark对ARP协议进行分析（1）启动WireShark（2）捕获数据（3）停止抓包并分析ARP请求报文将Filter过滤条件设为arp，回车或者点击“Apply”按钮，（4）ARP请求报文分析1）粘贴你捕获的ARP请求报文2）分析你捕获的ARP请求报文第一行帧基本信息分析（粘贴你的Frame信息）Frame Number（帧的编号）：__________（捕获时的编号）Frame Length(帧的大小)：________字节。

（以太网的帧最小64个字节，而这里只有６０个字节，应该是没有把四个字节的CRC计算在里面，加上它就刚好。

）Arrival Time(帧被捕获的日期和时间): _________Time delta from previous captured frame(帧距离前一个帧的捕获时间差):________Time since refernce or first frame(帧距离第一个帧的捕获时间差)：_______________Protocols in frame(帧装载的协议)：____________第二行数据链路层：（粘贴你的数据链路层信息）Destination（目的地址）：__________（这是个MAC地址，这个MAC地址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧）Source（源地址）：_______________帧中封装的协议类型：__________（这个是ARP协议的类型编号。

实验二使用Wireshark分析以太网帧与ARP协议一、实验目的分析以太网帧，MAC地址和ARP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。

三、实验步骤：IP地址用于标识因特网上每台主机，而端口号则用于区别在同一台主机上运行的不同网络应用程序。

在链路层，有介质访问控制（Media Access Control,MAC）地址。

在局域网中，每个网络设备必须有唯一的MAC地址。

设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。

Wireshark 能把MAC地址的组织标识转化为代表生产商的字符串，例如，00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示，因为组织唯一标识符00:06:5b 属于Dell。

地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址，意味着数据应该广播到局域网的所有设备。

在因特网上，IP地址用于主机间通信，无论它们是否属于同一局域网。

同一局域网间主机间数据传输前，发送方首先要把目的IP地址转换成对应的MAC 地址。

这通过地址解析协议ARP实现。

每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分，而帧的目的地址将被设置为ARP高速缓存中找到的MAC地址。

如果没有发现IP地址的转换项，那么本机将广播一个报文，要求具有此IP地址的主机用它的MAC地址作出响应。

具有该IP地址的主机直接应答请求方，并且把新的映射项填入ARP高速缓存。

发送分组到本地网外的主机，需要跨越一组独立的本地网，这些本地网通过称为网关或路由器的中间机器连接。

网关有多个网络接口卡，用它们同时连接多个本地网。

最初的发送者或源主机直接通过本地网发送数据到本地网关，网关转发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。

1、俘获和分析以太网帧（1）选择工具->Internet 选项->删除文件（2）启动Wireshark 分组嗅探器（3）在浏览器地址栏中输入如下网址：会出现wireshark实验室主页。

wireshark arp协议总结
ARP（Address Resolution Protocol）是一个用于在网络层和物理层之间进行地址解析（Address Resolution）的协议。

以下是Wireshark中ARP协议的一些总结：
1. ARP请求与响应是用于查找主机MAC地址的。

2. ARP请求包含目标IP地址，在请求发送之前，主机会对目标IP地址进行查询，以获取目标主机的MAC地址。

3. ARP响应包含目标主机的MAC地址，发送地址和接收地址都为目标主机的MAC地址。

4. ARP有两种类型：请求和响应。

5. ARP协议使用广播，发送ARP请求到所有主机以获取目标主机的MAC地址。

6. ARP缓存用于缓存最近的地址解析结果，以便在以后的请求中更快地查找地址。

7. ARP请求和响应都可以被欺骗，通过欺骗，攻击者可以发送虚假网络流量来故意误导另一端主机，以达到攻击其他主机的目的。

8. ARP欺骗可以通过使用ARP缓存来诱导主机向攻击者发送流量，而不是正确的目标主机。

9. ARP欺骗可以被发现，有些工具如Arpwatch可以通过监控网络流量来检测攻击行为。

实验二Wireshark使用及ARP协议学习与分析（自学部分）《计算机网络》课程实验项目2Wireshark使用及ARP协议学习与分析第一部分Wireshark使用一、实验项目名称及实验项目编号Wireshark使用二、课程名称及课程编号计算机网络三、实验目的通过本实验使学生：1．了解数据包捕获的方法、原理；2．学习数据包捕获软件（Wireshark）的安装、配置方法；3．学习数据包捕获软件（Wireshark）的使用。

四、实验原理Wireshark介绍Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

Wireshark的主要应用如下：（1）网络管理员用来解决网络问题（2）网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况（4）用来学习网络协议（5）除了上面提到的，Wireshark还可以用在其它许多场合。

Wireshark的主要特性（1）支持UNIX和Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4）可以打开/保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色彩显示包（9）创建多种统计分析五、实验内容1．了解数据包分析软件Wireshark的基本情况；2．安装数据包分析软件Wireshark；3．配置分析软件Wireshark；4．对本机网卡抓数据包；5．分析各种数据包。

六、实验方法及步骤1．Wireshark的安装及界面（1）Wireshark的安装（2）Wireshark的界面启动Wireshark之后，主界面如图：主菜单项：主菜单包括以下几个项目:File包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

《信息系统安全》实验实验 - 使用 Wireshark 检查以太网帧Mininet 拓扑目标第 1 部分：检查以太网 II 帧中的报头字段第 2 部分：使用 Wireshark 捕获和分析以太网帧背景/场景当上层协议互相通信时，数据会向下流到开放式系统互联 (OSI) 的各层中，并最终被封装进第 2 层帧。

帧的成分取决于介质访问类型。

例如，如果上层协议是 TCP 和 IP 并且访问介质是以太网，则第 2 层帧的封装为以太网 II。

这是 LAN 环境的典型情况。

在了解第 2 层的概念时，分析帧报头信息很有帮助。

在此实验的第 1 部分，同学们将复习以太网 II 帧包含的字段。

在第 2 部分，同学们将使用 Wireshark 为本地通信和远程通信捕获和分析以太网 II 帧头字段。

所需资源•CyberOps Workstation VM•互联网接入第 1 部分：检查以太网 II 帧中的报头字段在第 1 部分中，同学们需要检查提供给同学们的以太网 II 帧中的报头字段和内容。

Wireshark 捕获可用于检查这些字段中的内容。

第 1 步：检查以太网 II 帧头字段的描述和长度。

第 2 步：在 Wireshark 捕获中检查以太网帧。

以下 Wireshark 捕获显示了从 PC 主机向其默认网关发出 ping 操作生成的数据包。

Wireshark 应用了一个过滤器，以仅查看 ARP 和 ICMP 协议。

会话首先利用 ARP 查询网关路由器的 MAC 地址，然后是四次 ping 请求和应答。

第 3 步：检查 ARP 请求的以太网 II 报头内容。

下表使用 Wireshark 捕获中的第一个帧，并显示以太网 II 帧头字段中的数据。

关于目的地址字段的内容，需要注意什么？_______________________________________________________________________________________ _______________________________________________________________________________________ 为什么 PC 会在发送第一个 ping 请求之前发送广播 ARP？_______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 第一个帧的源设备的 MAC 地址是什么？_______________________________________________________ 源设备的网卡的供应商 ID (OUI) 是什么？ ______________________________________________________ MAC 地址的哪个部分是 OUI？______________________________________________________________ 源设备的网卡序列号是什么？_______________________________________________________________ 第 2 部分：使用 Wireshark 捕获和分析以太网帧在第 2 部分中，同学们将使用 Wireshark 捕获本地和远程以太网帧。

计算机网络实验报告年级：姓名：学号：___________实验日期:_________________________实验名称：实验二：利用Wireshark分析ARP协议一、实验项目名称及实验项目编号ARP协议学习与分析二、课程名称及课程编号计算机网络三、实验目的和要求实验目的：通过本实验使学生：1．学习ARP协议的工作原理以及ARP分组格式；2．学习使用WireShark对ARP 协议进行分析。

实验要求：实验结果分析报告名称：实验一ARP协议实验结果分析_姓名.doc四、实验原理Wireshark介绍Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

Wireshark的主要应用如下：（1）网络管理员用来解决网络问题（2）网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况（4）用来学习网络协议（5）除了上面提到的，Wireshark还可以用在其它许多场合。

Wireshark的主要特性（1）支持UNIX和Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4）可以打开/保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色彩显示包（9）创建多种统计分析五、实验内容1．了解数据包分析软件Wireshark的基本情况；2．安装数据包分析软件Wireshark；3．配置分析软件Wireshark；4．对本机网卡抓数据包；5．分析各种数据包。

六、实验方法及步骤1．Wireshark的安装及界面（1）Wireshark 的安装（2）Wireshark 的界面启动Wireshark 之后，主界面如图：主菜单项：主菜单包括以下几个项目:File包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

计算机网络实验2使用Wireshark分析以太网帧、ARP计算机网络实验2使用Wireshark分析以太网帧、ARP实验二：使用Wireshark分析以太网帧、MAC地址与ARP协议一、实验目的分析以太网帧，MAC地址和ARP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。

三、实验步骤：IP地址用于标识因特网上每台主机，而端口号则用于区别在同一台主机上运行的不同网络应用程序。

在链路层，有介质访问控制（Media Access Control,MAC）地址。

在局域网中，每个网络设备必须有唯一的MAC地址。

设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。

Wireshark 能把MAC地址的组织标识转化为代表生产商的字符串，例如，00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示，因为组织唯一标识符00:06:5b属于Dell。

地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址，意味着数据应该广播到局域网的所有设备。

在因特网上，IP地址用于主机间通信，无论它们是否属于同一局域网。

同一局域网间主机间数据传输前，发送方首先要把目的IP地址转换成对应的MAC 地址。

这通过地址解析协议ARP实现。

每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分，而帧的目的地址将被设置为ARP 高速缓存中找到的MAC地址。

如果没有发现IP地址的转换项，那么本机将广播一个报文，要求具有此IP地址的主机用它的MAC地址作出响应。

具有该IP 地址的主机直接应答请求方，并且把新的映射项填入ARP高速缓存。

发送分组到本地网外的主机，需要跨越一组独立的本地网，这些本地网通过称为网关或路由器的中间机器连接。

网关有多个网络接口卡，用它们同时连接多个本地网。

最初的发送者或源主机直接通过本地网发送数据到本地网关，网关转发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。

1.ARP 基础知识学习1.1.ARP 协议的概念ARP ,即地址解析协议，实现通过IP得知其物理地址。

在CP/IP网络环境下，每个主机分配了一个32位的IP地址，这种互联网地址是在网际范围表示主机的一种逻辑地址。

为了让报文在物理线路上的传输，必须知道对方目的主机的物理地址。

这样就存在把IP地址变成物理地址的转换问题。

一以太网环境为例，为了正确的向目的主机传送报文，就必须将主机的32位IP地址转换成48位的以太网的地址。

这就需要在互联层有一组服务将IP地址转换成物理地址，这组协议就是ARP协议。

1.2 ARP 协议实现的基本功能在以太网协议中，同一局域网中的一台主机要和另一台主机进行直接通信，必须知道目标主机的MAC地址。

而在TCP/IP协议栈中，网络层和传输层只关心目标主机的IP地址。

这就导致再以太网中使用IP协议时，数据链路层的以太网协议连接到上层IP协议提供的数据中，只包含目的的IP地址。

于是需要一种方法，更具目的主机的IP的地址，获取其MAC 地址。

这就是ARP协议要做的事。

所谓地址解析（address resolution）就是主机再发送阵前将目标地址转换成目标MAC地址的过程。

另外，当发送主机和目标及不在同一个局域网时，即便知道目的主机的MAC地址，两者也不能直接通信，必须有路由转发才行。

所以此时，发送主机通过ARP协议获得的将不是目的主机的真实MAC地址，而是一台可以通往局域网外地路由器的某个端口的MAC 地址。

于是此后发送主机发送目的和主机的所有帧，都将发往该路由，通过他向外发送。

这种情况成为ARP代理（ARP Proxy）.1.3 工作的原理每台装有TCP/IP协议的电脑里都有一个ARP缓存表，表里IP与MAC地址是一一对应的。

例如，主机A (192.168.1.5)主机B（192.168.1.1）发送数据.当发送数据时，主机A 会在自己的ARP缓存表中查找是否有目标IP地址。

网络抓包分析实验-以太网帧-ARP一：实验目的：1.学习使用网络数据抓包软件，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析以太网帧格式。

2：分析ARP报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构五：分析1.以太网帧格式：以太网共有4种个格式一)：Ethernet II是DIX以太网联盟推出的，它由6个字节的目的MAC地址，6个字节的源MAC 地址，2个字节的类型域（用于表示装在这个Frame、里面数据的类型)，以上为Frame Header,接下来是46--1500字节的数据，和4字节的帧校验）二)：Novell Ethernet它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame，由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。

三)：IEEE 802.3/802.2802.3的Frame Header和Ethernet II的帧头有所不同，它把EthernetII 类型域变成了长度域(与Novell Ethernet相同)。

其中又引入802.2协议(LLC)在802.3帧头后面添加了一个LLC首部,由DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte,一个控制域 1 byte! SAP用于表示帧的上层协议。

四)：Ethernet SNAPEthernet SNAP Frame与802.3/802.2 Frame的最大区别是增加了一个5 Bytes的SNAP ID，其中前面3个byte通常与源mac地址的前三个bytes相同，为厂商代码！有时也可设为0。

信息网络技术实验报告实验名称利用wireshark 分析ARP协议实验编号姓名学号成绩常见网络协议分析实验实验室名称：电子政务可视化再现实验室二、实验项目名称：利用wireshark 分析ARP协议三、实验原理：Wireshark:Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试获取网络包，并尝试显示包的尽可能详细的情况。

网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48bit 的以太网地址来确定目的接口的. 设备驱动程序从不检查IP 数据报中的目的IP 地址。

地址解析为这两种不同的地址形式提供映射：32bit 的IP 地址和数据链路层使用的任何类型的地址。

ARP根据IP 地址获取物理地址的一个TCP/IP 协议。

ARP为IP 地址到对应的硬件地址之间提供动态映射。

主机发送信息时将包含目标IP 地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP 地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP 缓存。

四、实验目的：目的是通过实验加深对数据包的认识，网络信息传输过程的理解，加深对协议的理解，并了解协议的结构与区别。

利用wireshark 捕获发生在ping 过程中的ARP报文，加强对ARP协议的理解，掌握ARP报文格式，掌握ARP请求报文和应答报文的区别。

五、实验内容：利用wireshark 分析ARP协议六、实验器材（设备、元器件）运行Windows 的计算机，带有并正确安装网卡；wireshark 软件；具备路由器、交换机等网络设备的网络连接。

Wireshark抓包课堂实验用wireshark捕获和分析以太网帧一、实训目的熟识以太网帧的格式以及tcp协议二、实训环境虚拟机，wireshark软件、ie等软件。

三、实训内容1、arp分析实验步骤：1）打开两台虚拟机，pc1和pc22）登入pc1，去除arp内存3）启动wireshark，在界面中选择网络接口卡的类型，启动捕获4）回到命令提示符窗口，pingpc2的ip地址，停止捕获5）检查捕获的会话6）在filter工具条中，输出arp，按下enter，过滤器捕捉的会话，只表明arp数据包7）查阅arp内存中的内容思索：1)、写下你主机arp缓存中的内容。

描述每一列的含义是什么？2)、查阅你捕捉的arp数据包，涵盖arp命令报文的以太网帧的源地址和目的地址的十六进制值各就是多少？、3)、给出frame头部type字段的十六进制值。

4)、在arp报文中与否涵盖传送方的ip地址？5）、包含arp响应(reply)报文的以太网帧中，源地址和目的地址的十六进制值各是多少？第1页共3页1）开启两台虚拟机，pc1和pc22）登入pc1（windowsserver2021操作系统），构建并打开一个web服务器3）进占pc2（xp操作系统），启动wireshark，在界面中选择网络接口卡的类型，启动捕捉4）在pc2上，启动ie浏览器，输出pc1的ip地址，出访pc1的web站点5）暂停捕捉检验三次击掌，分析数据包思考：第2页共3页第3页共3页1)、以太frame的源mac地址就是多少？该地址就是你主机的mac地址吗？就是服务器的mac地址吗？如果不是，该地址就是什么设备的mac地址？2)、以太网帧的目的mac地址是多少？该地址是你主机的地址吗？3)、得出frame头部2-字节type字段的十六进制值。

第4页共3页第5页共3页。

实验二网络实用工具与以太网帧分析【实验目的】1．加深理解TCP/IP体系结构；理解与掌握网络基本配置2．掌握几个基本的实用网络命令3．熟悉以太网报文格式；熟悉网络分析工具wireshark使用【实验原理】1.以太网协议典型的两种帧格式: Ehternet II, ieee802.3基本组成：如图所示，以太网和IEEE 802.3帧的基本结构如下：1、前导码：由0、1间隔代码组成，可以通知目标站作好接收准备。

IEEE 802.3帧的前导码占用7个字节，紧随其后的是长度为1个字节的帧首定界符（SOF）。

以太网帧把SOF包含在了前导码当中，因此，前导码的长度扩大为8个字节。

2、帧首定界符（SOF）：IEEE 802.3帧中的定界字节，以两个连续的代码1结尾，表示一帧实际开始。

3、目标和源地址：表示发送和接收帧的工作站的地址，各占据6个字节。

其中，目标地址可以是单址，也可以是多点传送或广播地址。

类型（以太网）：占用2个字节，指定接收数据的高层协议。

长度（IEEE 802.3）：表示紧随其后的以字节为单位的数据段的长度。

数据（以太网）：在经过物理层和逻辑链路层的处理之后，包含在帧中的数据将被传递给在类型段中指定的高层协议。

虽然以太网版本2中并没有明确作出补齐规定，但是以太网帧中数据段的长度最小应当不低于46个字节。

数据（IEEE 802.3）：IEEE 802.3帧在数据段中对接收数据的上层协议进行规定。

如果数据段长度过小，使帧的总长度无法达到64个字节的最小值，那么相应软件将会自动填充数据段，以确保整个帧的长度不低于64个字节。

帧校验序列（FCS）：该序列包含长度为4个字节的循环冗余校验值（CRC），由发送设备计算产生，在接收方被重新计算以确定帧在传送过程中是否被损坏。

2.以太网报文（帧）长度最大长度：1518字节最小长度：64字节3.网络分析工具wireshark简介主要功能：网络报文捕捉、解码分析类似的软件还有sniffer实际使用中，在开始捕捉报文前，需要设置“过滤器”,以设定条件。