以太网帧格式分析

TCP/IP协议抓包分析实验学号:05姓名：张辛楠一、实验目的了解以太网的几种帧格式学会使用Ethereal抓取数据包并分析根据所获数据包分析EthernetⅡ标准规定的以太网帧结构二、实验环境联网的笔记本一台；主机操作系统为WIN7；Ethereal等软件。

三、实验类型实践性实验。

四、实验内容通过对抓到的包进行分析，分析和验证TCP/IP协议，初步了解TCP/IP的主要协议和协议的层次结构。

五、实验原理目前以太网帧格式主要有两个标准：EthernetⅡ和IEEE 。

Eth ernetⅡ是最常见的一种以太网格式，也是今天以太网的事实标准。

EthernetⅡ的帧头结构为6字节的源地址+6字节的目标地址+2字节的协议类型字段+数据+4字节的校验位。

EthernetⅡ标准的以太网帧格式如下：目标MAC地址源MAC地址类型数据FCS 6字节6字节2字节46—1500字节4字节常见的协议类型如下：080008068137809bIP ARP Novell IPX Apple Talk六、实验步骤1、运行Ethereal，安装Ethereal协议分析程序。

2、运行协议分析软件Ethereal，打开捕获窗口进行数据捕获。

3、抓包，进行帧格式分析。

七、实验结果与分析TCP包版本号：IPV4 头长度：20bytes服务类型：0x00（DSCP0x00:defult;ECN：0x00）总长度:48标识：0x6c32(27698) 标志：0x02 片偏移：0生存时间：49 上层协议标识：TCP（0x06）头部校验和：0x94f0[correct] 源IP地址：目标IP地址：版本号：IPV4 头长度：20bytes 服务类型：0x00（DSCP0x00:defult;ECN：0x00）总长度：64标识：0x6c3e(27710) 标志：0x00 片偏移：0生存时间：1 上层协议标识：UDP（0x11）头部校验和：0x0000[incorrect,should be 0x5eda(maybe caused by “IP checksumoffload”)]源IP地址：目标IP地址：。

实验一以太网链路层帧格式分析实验目的1、分析Ethernet V2 标准规定的MAC 层帧结构，了解IEEE802.3 标准规定的MAC 层帧结构和TCP/IP 的主要协议和协议的层次结构；2、掌握网络协议分析软件的基本使用方法；3、掌握网络协议编辑软件的基本使用方法。

实验学时3学时实验类型验证型实验内容1、学习网络协议编辑软件的各组成部分及其功能；2、学习网络协议分析软件的各组成部分及其功能；3、学会使用网络协议编辑软件编辑以太网数据包；4、理解MAC地址的作用；5、理解MAC首部中的LLC—PDU 长度/类型字段的功能；6、学会观察并分析地址本中的MAC地址。

实验流程实验环境局域网环境，1台PC机。

实验原理详见《计算机网络》教材（P79和P92）或相关书籍，然后进行说明阐述实验步骤步骤1：运行ipconfig命令1、在Windows的命令提示符界面中输入命令：ipconfig /all，会显示本机的网络信息：2、观察运行结果，获得本机的以太网地址。

步骤2：编辑LLC信息帧并发送1、在主机A，打开协议编辑软件，在工具栏选择“添加”，会弹出“协议模版”的对话框，如图所示，在“选择生成的网络包”下拉列表中选择“LLC协议模版”，建立一个LLC帧；添加一个数据包2、在“协议模版”对话框中点击“确定”按钮后，会出现新建立的数据帧，此时在协议编辑软件的各部分会显示出该帧的信息。

如图所示：新建的LLC帧数据包列表区中显示：新帧的序号(为0)、概要信息；协议树中显示以太网MAC层协议；数据包编辑区中显示新帧各字段的默认值；十六进制显示区中显示新帧对应的十六进制信息。

3、编辑LLC帧在数据包编辑区中编辑该帧；具体步骤为：编辑LLC帧填写“目的物理地址”字段；方法一：手工填写。

方法二：选择”地址本”中主机B的IP地址，确定后即可填入主机B的MAC地址；填写“源物理地址”字段，方法同上，此处为了提示这是一个在协议编辑软件中编辑的帧，填入一个不存在的源物理地址；注意：协议编辑软件可以编辑本机发送的MAC帧，也可以编辑另一台主机发送MAC 帧，所以，源物理地址字段可以填写本机MAC地址，也可以填写其他主机的物理地址。

实验二、以太网帧格式与ARP协议分析实验类型: 验证类实验实验课时: 2学时实验时间和地点: 4月25日星期三、第一大节（8:00-10:00)，计算机中心学号：200911715 姓名：张亚飞一、实验目的验证以太网帧格式，理解ARP协议的工作原理。

二、实验准备提前下载EtherPeek（/soft/17558.html），学习EtherPeek的使用，见《EtherPeek使用说明（部分）》；会用“ipconfig –all”查看本机IP地址。

三、实验步骤假设邻座同学的主机为A，IP地址为w.x.y.z，在Windows下运行EtherPeek，新建一个Filter，只捕获本机与w.x.y.z之间的IP分组。

1．以太网帧格式分析开始捕获，然后在命令行执行ping w.x.y.z，再停止捕获；分析捕获的IP分组，记录以太网帧头各字段以及FCS字段的值和含义（如表1），并与802.3帧格式进行比较。

2．ARP协议分析（1）进入DOS仿真窗口，执行“arp – a”查看本机的ARP缓存内容，若有w.x.y.z的记录，执行“arp –d w.x.y.z”删除该记录。

注：执行“arp -help”可知arp的各选项用法。

（2）开始捕获，然后执行“ping w.x.y.z”，停止捕获，记录并分析ARP报文各字段的含义，如表2。

表2 ARP报文格式表2 ARP报文格式（3）执行“arp –d w.x.y.z”清除缓存的IP-MAC记录。

本机和主机A停止任何数据通信，在主机A上访问本机外的任何主机，再执行“arp – a”查看本机ARP缓存，看是否新增了主机A的IP-MAC记录，解释一下。

答：删除过之后，被删除的记录不存在缓存中了。

当主机A访问本机的时候，本机的ARP 缓存中重新出现A的记录。

出现这种现象的原因在于本机ARP缓存中对应该主机A的记录一开始不存在，对方发送ping并显示可以连通后，本机就可以通过ARP解析出对方的MAC 地址。

一、 以太网数据帧的格式分析大家都知道我们目前的局域网大多数是以太网，但以太网有多种标准，其数据帧有多种格式，恐怕有许多人不是太清楚，本文的目的就是通过帧格式和Sniffer捕捉的数据包解码来区别它们。

以太网这个术语一般是指数字设备公司（Digital Equipment）、英特尔公司（Intel）和施乐公司（Xerox）在1982年联合公布的一个标准（实际上它是第二版本，第一版本早在1972年就在施乐公司帕洛阿尔托研究中心PARC里产生了）。

它是目前TCP/IP网络采用的主要的局域网技术。

它采用一种称作CSMA/CD的媒体接入方法，其意思是带冲突检测的载波侦听多路接入（Carrier Sense, Multiple Access with Collision Detection）。

它的速率为10 Mb/s，地址为48 bit。

1985年，IEEE（电子电气工程师协会） 802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络。

这三者的共同特性由802.2标准来定义，那就是802网络共有的逻辑链路控制（LLC）。

不幸的是，802.2和802.3定义了一个与以太网不同的帧格式，加上1983年Novell为其Netware 开发的私有帧，这些给以太网造成了一定的混乱，也给我们学习以太网带来了一定的影响。

1、通用基础注：* VLAN Tag帧和Gigabit Jumbo帧可能会超过这个限制值图1-1图1-1中，数据链路层头（Header）是数据链路层的控制信息的长度不是固定的，根据以太网数据帧的格式的不同而不同，那么判断IEEE802.3、IEEE802.3 SNAP、Ethernet Version2、Netware 802.3 “Raw”这些数据帧的最主要依据也源于Header的变化。

从该图中也可以看出，Sniffer捕捉数据包的时候是掐头去尾的，不要前面的前导码，也丢弃后面的CRC校验（注意它只是不在Decode里显示该区域，但并不代表它不去做数据包CRC校验），这就是很多人困惑为什么Sniffer捕捉到的数据包长度跟实际长度不相符的原因。

实验二网络实用工具与以太网帧分析【实验目的】1．加深理解TCP/IP体系结构；理解与掌握网络基本配置2．掌握几个基本的实用网络命令3．熟悉以太网报文格式；熟悉网络分析工具wireshark使用【实验原理】1.以太网协议典型的两种帧格式: Ehternet II, ieee802.3基本组成：如图所示，以太网和IEEE 802.3帧的基本结构如下：1、前导码：由0、1间隔代码组成，可以通知目标站作好接收准备。

IEEE 802.3帧的前导码占用7个字节，紧随其后的是长度为1个字节的帧首定界符（SOF）。

以太网帧把SOF包含在了前导码当中，因此，前导码的长度扩大为8个字节。

2、帧首定界符（SOF）：IEEE 802.3帧中的定界字节，以两个连续的代码1结尾，表示一帧实际开始。

3、目标和源地址：表示发送和接收帧的工作站的地址，各占据6个字节。

其中，目标地址可以是单址，也可以是多点传送或广播地址。

类型（以太网）：占用2个字节，指定接收数据的高层协议。

长度（IEEE 802.3）：表示紧随其后的以字节为单位的数据段的长度。

数据（以太网）：在经过物理层和逻辑链路层的处理之后，包含在帧中的数据将被传递给在类型段中指定的高层协议。

虽然以太网版本2中并没有明确作出补齐规定，但是以太网帧中数据段的长度最小应当不低于46个字节。

数据（IEEE 802.3）：IEEE 802.3帧在数据段中对接收数据的上层协议进行规定。

如果数据段长度过小，使帧的总长度无法达到64个字节的最小值，那么相应软件将会自动填充数据段，以确保整个帧的长度不低于64个字节。

帧校验序列（FCS）：该序列包含长度为4个字节的循环冗余校验值（CRC），由发送设备计算产生，在接收方被重新计算以确定帧在传送过程中是否被损坏。

2.以太网报文（帧）长度最大长度：1518字节最小长度：64字节3.网络分析工具wireshark简介主要功能：网络报文捕捉、解码分析类似的软件还有sniffer实际使用中，在开始捕捉报文前，需要设置“过滤器”,以设定条件。

以太网帧格式分析实验报告以太网帧格式分析实验报告一、实验目的本次实验旨在通过对以太网帧格式的分析，深入了解以太网的工作原理和数据传输过程，掌握以太网帧的基本结构和各个字段的含义，为今后的网络协议分析和网络编程打下坚实的基础。

二、实验原理以太网是一种局域网协议，采用广播方式进行数据传输。

在以太网中，数据传输的基本单位是帧。

以太网帧由一系列字段组成，包括前导码、帧起始定界符、目的MAC地址、源MAC地址、类型/长度、数据、帧校验序列等。

通过对这些字段的分析，可以了解以太网帧的传输过程和数据结构。

三、实验步骤1.搭建实验环境：在本次实验中，我们使用Wireshark软件捕获网络数据包，并对捕获到的以太网帧进行分析。

首先，我们需要将计算机连接到局域网中，并确保Wireshark软件已经正确安装和运行。

2.数据包捕获：打开Wireshark软件，选择正确的网络接口，开始捕获数据包。

在捕获过程中，我们可以设置过滤器，只捕获以太网帧。

3.数据分析：在捕获到数据包后，我们可以对以太网帧进行分析。

首先，我们可以查看以太网帧的基本信息，如源MAC地址、目的MAC地址、类型/长度等。

然后，我们可以深入了解各个字段的含义和作用。

4.数据统计：在数据分析的基础上，我们可以对捕获到的以太网帧进行统计和分析。

例如，我们可以统计不同类型以太网帧的数量和比例，分析网络流量的特点和规律。

5.实验总结：根据实验结果和分析，对以太网帧格式进行深入理解和掌握，总结实验经验和收获。

四、实验结果与分析在本次实验中，我们捕获了大量的以太网帧，并对这些帧进行了详细的分析。

以下是我们对实验结果的分析和总结：1.以太网帧的基本结构：以太网帧由前导码、帧起始定界符、目的MAC地址、源MAC地址、类型/长度、数据、帧校验序列等字段组成。

其中，前导码和帧起始定界符用于同步和标识帧的开始；目的MAC地址和源MAC地址分别表示接收方和发送方的MAC地址；类型/长度字段用于标识上层协议的类型或数据的长度；数据字段包含实际传输的数据；帧校验序列用于校验数据的正确性。

一、以太网帧格式来自线路的二进制数据包称作一个帧。

从物理线路上看到的帧，除其他信息外，还有前导码和帧开始符。

任何物理硬件都会需要这些信息。

下面的表格显示了在以1500个八位元组为MTU传输(有些吉比特以太网甚至更高速以太网支持更大的帧，称作巨型帧)时的完整帧格式。

一个八位元组是八个位组成的数据(也就是现代计算机的一个字节)。

表1：802.3 以太网帧结构802.3 以太网帧结构前导码帧开始符MAC 目标地址MAC源地址802.1Q 标签(可选)以太类型或长度负载冗余校验帧间距10101010 7个octet 101010111个octet6 octets6octets(4 octets) 2 octets46–1500 octets4octets12octets64–1522 octets72–1530 octets84–1542 octets二、PPPOE格式PPPOE，全称Point-to-Point Protocol Over Ethernet,它工作在OSI的数据链路层，PPPOE协议提供了在广播式的网络（如以太网）中多台主机连接到远端的访问集中器（我们对目前能完成上述功能的设备为宽带接入服务器）上的一种标准。

PPPOE协议共包括两个阶段，即PPPOE的发现阶段（PPPOE Discovery Stage）和PPPOE的会话阶段（PPPOE Session Stage）。

而两者的主要区别在于只是在PPP的数据报文前封装了PPPOE的报文头。

PPPOE的数据报文是被封装在以太网帧的数据域内的。

简单来说我们可能把PPPOE报文分成两大块，，一大块是PPPOE的数据报头，另一块则是PPPOE 的净载荷（数据域），对于PPPOE报文数据域中的内容会随着会话过程的进行而不断改变。

下表为PPPOE的报文的格式：表2：PPPOE报文的格式+ Bits 0–3 4–7 8–15 16–310 版本类型代码会话ID32 长度数据以下是对上表中PPPOE各个字段的描述：表1：PPPOE各个字段的描述版本这个域的内容填充0x1。

常见以太网帧结构详解以太网是一个常用的局域网技术，其数据传输是以帧的形式进行的。

以太网帧是以太网数据传输的基本单位，通过帧头、帧数据和帧尾等部分来描述有效载荷的数据。

以太网帧的结构如下：1. 帧前同步码（Preamble）：以太网帧的开始部分有7个字节的帧前同步码，其作用是为接收端提供定时的参考，帮助接收端进行帧同步。

2.帧起始界定符（SFD）：帧前同步码之后的1字节帧起始界定符为0x55，标志着以太网帧的开始。

3. 目标MAC地址（Destination MAC Address）：目标MAC地址占6个字节，表示帧的接收者的MAC地址。

4. 源MAC地址（Source MAC Address）：源MAC地址占6个字节，表示帧的发送者的MAC地址。

5. 长度/类型字段（Length/Type Field）：长度/类型字段占2个字节，当该字段的值小于等于1500时，表示以太网帧的长度；当该字段大于等于1536时，表示该字段定义了帧中的协议类型。

6. 帧数据（Data）：帧数据部分是以太网帧的有效载荷，其长度为46到1500字节，不包括帧头和帧尾。

7. 帧校验序列（Frame Check Sequence，FCS）：帧校验序列占4个字节，主要用于对帧进行错误检测，以保证数据的可靠性。

8. 帧尾（Frame Check Sequence，FCS）：帧尾占4个字节，用于标识以太网帧的结束。

以太网帧的长度为64到1518字节，其中有效载荷部分数据长度为46到1500字节，不同帧的长度可以根据网络需求进行调整。

在发送以太网帧时，发送方会在帧尾的后面添加额外的字节以保证整个帧的长度达到最低限制。

这些额外的字节即填充字节（Padding），用于使帧长达到最小限制的要求。

以上是以太网帧的常见结构，它描述了以太网帧的各个部分的作用和位置。

了解以太网帧的结构对于理解以太网的工作原理和网络通信非常重要。

运城学院实验报告
专业：计算机科学与技术系（班）：计算机科学与技术系1001班姓名：陈嘉斌（2010100137）课程名称：计算机网络基础
实验项目：实验二以太网帧格式分析实验类型：验证性指导老师：杜经纬实验地点：网络实验室（2）时间：2012年11月15日8:00-9:50
一、实验目的：
1、分析Ethernet V2标准规定的MAC层帧结构。

2、了解IEEE802.3标准规定的MAC层帧结构和TCP/IP的主要协议和协议的层次结构。

二、实验内容：
1、通过对截获帧进行分析，分析和验证Ethernet V2标准和IEEE802.3标准规定的MAC层帧结构。

2、初步了解TCP/IP的主要协议和协议的层次结构。

三、实验方案设计：
设备连接：
设置pc0为192.168.1.1，pc1为192.168.1.2，pc2为192.168.1.3，pc3为192.168.1.4
四、实验步骤：
1、按图所示连接好设备，正确配置PC0,PC1,PC2,和PC3的IP地址,将交换机的配置清空。

2、在PC0和PC1上运行Wireshark截获报文，然后进入PC0的Windows命令行窗口，执行如下命令：
ping 192.168.1.2
这是PC0向PC1发送消息的命令，等到PC1显示器上收到消息后，终止截获报文。

3、对截获的报文进行分析
五、实验结果：
六、实验总结：
通过本次实验我通过在截获帧的过程中了解MAC层结构。

同时还了解ICMP数据报文格式和TCP/IP的主要协议和协议的层次结构。

并且了解了mac帧的结构，对于mac帧的具体结构，有了更加深的了解。

以太网帧，IP，TCP,UDP首部结构1.以太网帧的格式以太网封装格式2.IP报头格式IP是TCP/IP协议簇中最为重要的协议。

所有的TCP，UDP, ICMP 和IGMP数据都以IP数据报格式传输。

IP提供的是不可靠、无连接的协议。

普通的IP首部长为20个字节，除非含有选项字段。

4位版本：目前协议版本号是4，因此IP有时也称作IPV4.4位首部长度：首部长度指的是首部占32bit字的数目，包括任何选项。

由于它是一个4比特字段，因此首部长度最长为60个字节。

服务类型（TOS）：服务类型字段包括一个3bit的优先权字段（现在已经被忽略），4bit的TOS子字段和1bit未用位必须置0。

4bit的TOS分别代表：最小时延，最大吞吐量，最高可靠性和最小费用。

4bit中只能置其中1比特。

如果所有4bit均为0，那么就意味着是一般服务。

总长度：总长度字段是指整个IP数据报的长度，以字节为单位。

利用首部长度和总长度字段，就可以知道IP数据报中数据内容的起始位置和长度。

由于该字段长16bit，所以IP数据报最长可达65535字节。

当数据报被分片时，该字段的值也随着变化。

标识字段：标识字段唯一地标识主机发送的每一份数据报。

通常每发送一份报文它的值就会加1。

生存时间：T T L（time-to-live）生存时间字段设置了数据报可以经过的最多路由器数。

它指定了数据报的生存时间。

T T L的初始值由源主机设置（通常为 3 2或6 4），一旦经过一个处理它的路由器，它的值就减去 1。

当该字段的值为 0时，数据报就被丢弃，并发送 I C M P报文通知源主机。

首部检验和：首部检验和字段是根据 I P首部计算的检验和码。

它不对首部后面的数据进行计算。

I C M P、I G M P、U D P和T C P在它们各自的首部中均含有同时覆盖首部和数据检验和码。

3.TCP首部格式尽管T C P和U D P都使用相同的网络层（ I P），T C P却向应用层提供与U D P完全不同的服务。

地址没有变，而它的MAC地址已经不是原来那个了。

由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。

所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通B！这就是一个简单的ARP欺骗。

【实验体会】这次实验最大的感触是体会到了网络通信过程的趣味性。

在做ping同学IP的实验时，我发现抓到的包之间有紧密的联系，相互的应答过程很像实际生活中人们之间的对话。

尤其是ARP帧，为了获得对方的MAC 地址，乐此不疲地在网络中广播“谁有IP为XXX的主机”，如果运气好，会收到网桥中某个路由器发来的回复“我知道，XXX的MAC地址是YYY！”。

另外，通过ping同学主机的实验，以及对实验过程中问题的分析，使我对之前模糊不清的一些概念有了全面的认识，如交换机、路由器的区别与功能，局域网各层次的传输顺序与规则等。

还有一点就是，Wireshark不是万能的，也会有错误、不全面的地方，这时更考验我们的理论分析与实践论证能力。

成绩优良中及格不及格教师签名：日期：【实验作业】1 观察并分析通常的以太网帧以太网帧格式目前主要有两种格式的以太网帧：Ethernet II（DIX ）和IEEE 。

我们接触过的IP、ARP、EAP和QICQ协议使用Ethernet II帧结构，而STP协议则使用IEEE 帧结构。

Ethernet II是由Xerox与DEC、Intel（DIX）在1982年制定的以太网标准帧格式，后来被定义在RFC894中。

IEEE 是IEEE 802委员会在1985年公布的以太网标准封装结构（可以看出二者时间相差不多，竞争激烈），RFC1042规定了该标准（但终究二者都写进了IAB管理的RFC文档中）。

下图分别给出了Ethernet II和IEEE 的帧格式：⑴前导码（Preamble）：由0、1间隔代码组成，用来通知目标站作好接收准备。

以太网帧则使用8个字节的0、1间隔代码作为起始符。

以太网帧格式分析实验报告【摘要】本实验主要对以太网帧格式进行了详细分析和实验验证。

首先，我们了解了以太网帧的基本概念和结构，并学习了以太网帧在网络中的传输过程。

然后，我们通过Wireshark工具对以太网帧进行捕获和分析，并对实验结果进行了解读。

最后，我们总结了实验过程中遇到的问题和经验教训，并对以太网帧格式进行了简要评价。

【关键词】以太网帧格式，Wireshark，捕获，分析一、引言以太网是目前最常用的局域网传输技术，而以太网帧则是以太网传输过程中的基本单位。

以太网帧格式的正确理解对于网络工程师来说非常重要。

本实验的目的是通过对以太网帧格式的分析和实验验证，加深对以太网帧的理解和应用能力。

二、以太网帧结构以太网帧是由头部（header）、数据（data）和尾部（trailer）三部分组成的。

头部包含了目的MAC地址、源MAC地址、帧类型等信息；数据部分是要传输的数据内容；尾部则包括了帧校验序列等信息。

三、以太网帧的传输过程以太网帧的传输是通过物理层和数据链路层进行的。

当数据从网络层传输到数据链路层时，会被封装成以太网帧的格式。

然后，以太网帧通过物理层的传输介质（如电缆）进行传输。

接收端收到以太网帧后，会解析帧头部来获取目的MAC地址，并将帧传输到上层。

四、Wireshark工具的使用Wireshark是一个常用的网络抓包工具，可以捕获网络中的数据包，并对数据包进行分析。

在本实验中，我们使用Wireshark来捕获和分析以太网帧。

五、实验步骤与结果1. 打开Wireshark并选择网络接口；2. 开始启动网络通信，在Wireshark中捕获数据包；3.分析捕获到的数据包，查看其中的以太网帧信息，如目的MAC地址、源MAC地址、帧类型等。

通过实验，我们成功捕获了多个以太网帧，并对其进行了分析。

我们发现，捕获到的以太网帧中的帧头部包含了各种重要信息，如源MAC地址、目的MAC地址、帧类型等。

这些信息对于实现正确的数据传输非常重要。

以太网帧格式分析本页仅作为文档封面，使用时可以删除This document is for reference only-rar21year.March【实验作业】1 观察并分析通常的以太网帧以太网帧格式目前主要有两种格式的以太网帧：Ethernet II（DIX ）和IEEE 。

我们接触过的IP、ARP、EAP和QICQ协议使用Ethernet II帧结构，而STP协议则使用IEEE 帧结构。

Ethernet II是由Xerox与DEC、Intel（DIX）在1982年制定的以太网标准帧格式，后来被定义在RFC894中。

IEEE 是IEEE 802委员会在1985年公布的以太网标准封装结构（可以看出二者时间相差不多，竞争激烈），RFC1042规定了该标准（但终究二者都写进了IAB 管理的RFC文档中）。

下图分别给出了Ethernet II和IEEE 的帧格式：⑴前导码（Preamble）：由0、1间隔代码组成，用来通知目标站作好接收准备。

以太网帧则使用8个字节的0、1间隔代码作为起始符。

IEEE 帧的前导码占用前7个字节，第8个字节是两个连续的代码1，名称为帧首定界符（SOF），表示一帧实际开始。

⑵目标地址和源地址（Destination Address & Source Address）：表示发送和接收帧的工作站的地址，各占据6个字节。

其中，目标地址可以是单址，也可以是多点传送或广播地址。

⑶类型（Type）或长度（Length）：这两个字节在Ethernet II帧中表示类型（Type），指定接收数据的高层协议类型。

而在IEEE 帧中表示长度（Length），说明后面数据段的长度。

⑷数据（Data）：在经过物理层和逻辑链路层的处理之后，包含在帧中的数据将被传递给在类型段中指定的高层协议。

该数据段的长度最小应当不低于46个字节，最大应不超过1500字节。

如果数据段长度过小，那么将会在数据段后自动填充（Trailer）字符。

一、实验目的1.了解协议分析器安装；2.了解协议分析器使用方法和基本特点；3.分析以太网层的数据帧格式（包括源地址、目的地址和上层协议）。

二、实验前的准备1.了解协议分析器的功能和工作原理；2.了解Ethereal分析器的使用方法；3.阅读实验的相关阅读文献。

三、实验内容1.Ethereal协议分析器并安装。

记录安装过程。

2.分析以太网层的数据帧格式（包括源地址、目的地址和上层协议），下图是打开的已经捕获的文件界面，选中第4个组，再选中Ethernet 层即以太网层。

观察帧信息。

3.自己捕获网络活动，并形成一个数据文件。

查看其特点。

四、实验要求1.完成上述实验内容；2.记录捕获的关键数据。

附件：Ethereal 简介及安装说明Ethereal 简介及使用说明Ethereal 是一款免费的网络协议分析程序，支持Unix、Linux、Windows，它可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

用户能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

对于我们学习来说，可以通过Ethereal 观察网络活动跟踪记录来学习因特网所基于的网络协议。

1.Ethereal的安装：略2.Ethereal的使用简介：2.1 启动Ethereal：Ethereal启动后，如图1。

图1 Ethereal启动界面我们可以从Capture(捕获)项中选择Start开始捕获。

2.2 Capture(捕获)设置可以在Capture项中选择Options(捕获选项)对话框进行设置，见图2。

图2 Options(捕获选项)对话框以下对Options(捕获选项)对话框的部分选项进行简要介绍，方便大家学习使用。

Interface(接口)这项用于选择跟踪所用的接口。

如以太网接口或无线网络接口。