推荐-实验二使用Wireshark分析以太网帧与ARP协议

《计算机网络与通信原理》课程实验报告Wireshark和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。

（2）Wireshark的显示过滤器显示过滤器可以根据1)协议2)是否存在某个域3)域值4)域值之间的比较来查找感兴趣的数据包。

注意：捕获过滤器（Capture Filters）和显示过滤器（Display Filters）的语法规则是不同的。

值比较表达式可以使用下面的操作符来构造：●eq ==，如ip.addr==10.1.10.20●ne !=，如ip.addr!=10.1.10.20●gt >，如frame.pkt_len>10●lt <，如frame.pkt_len<10●ge >=，如frame.pkt_len>=10●le <=，如frame.pkt_len<=10可以使用下面的逻辑操作符将表达式组合起来：●and &&逻辑与，如ip.addr=10.1.10.20 && tcp.flag.fin●or || 逻辑或，如ip.addr=10.1.10.20||ip.addr=10.1.10.21●not ! 逻辑非，如!llc例如：IP 地址是192.168.2.10 的主机，它所接收收或发送的所有的HTTP 报文，那么合适的Filter（过滤器）就是：ip.addr == 192.168.2.10 && http。

提示：Filter的背景显示出表达式的合法与否，绿色为合法，红色为否。

（3）菜单Capture的Options说明Interface:选择采集数据包的网卡IP address:选择的网卡所对应的IP地址Link-layer header type:数据链路层的协议，在以太网中一般是Ethernet IIBuffer size:数据缓存大小设定，默认是1M字节。

实验二用Wireshark 进行协议分析一．分组及实验任务组长：，组员：由于本次试验不需要合作，所以每个人的任务都一样。

任务：1. 学习协议分析软件Wireshark 的使用。

2. 分析以太网帧格式。

3. 分析IP、ICMP、ARP 数据包格式。

二．实验环境1.以太网交换机1 台、PC 机2 台；2.实验拓扑如下：三．实验过程在命令行界面执行命令ping，在Wireshark选项界面的Capture option 中设置过滤规则：“ether proto0x0806”，界面出现了arp request和arp reply的包；设置过滤规则：”ip proto 1 “,界面出现了ICMP request 和ICMP reply 的包；设置过滤规则：“ether proto 0x0806 or ip proto 1”后，界面出现了ARP和ICMP的request包以及reply包。

四．问题解答1. 抓取一对ARP 包（包括ARP request 和ARP reply ），分析以太网帧头的字段。

解：下图是做实验时用软件抓到的ARP包：以太网首部：目的主机采用的是广播地址00:21:97:29:44，源主机的MAC地址是00:21:97:29:80:50;上层协议类型0x0806代表ARP2. 抓取一对封装ICMP 报文的IP 数据报（包括echo 和echo reply ），然后1) 找到两个ICMP 报文中的类型（type）和代码（code ）字段，2) 分析其中一个IP 数据报的首部字段值，3) 并计算首部校验和。

解：1）：这是一个ICMP回应请求报文，报文类型为08，代码字段为00这是一个ICMP回应应答报文，报文类型为00，代码字段为002）：ICMP回应请求报文中IP数据报的首部字段为：45:00:00:3c:a4:2a:00:00:80:01:13:62:c0:98:01:03:c0:98:01:01第一个字节“45”高四位为“4”，代表IP协议的版本为4，低四位为“5”，代表该IP数据报的首部长度为20个字节；第二个字节为“00”，为区分服务；第三、四个字节为“003c”，表示该IP数据报的总长度为60字节（3x16+12=60）；第五六字节为“a42a”,为标识字段；第七八字节为“0000”，前三位为标志字段，表示该数据报为若干数据报片中的最后一个，在这代表只有一个数据报，不存在分片；后十三位为片偏移字段，在这没有意义；第九个字节为“80”，表示生存时间；第十个字节为“01”，表用来示该数据报携带的数据使用的何种协议，在这表示使用的是UDP协议；第十一十二字节为“13 62”,为首部检验和；第十三至第十六字节为“c0 98 01 03”,表示源地址；第十七至第二十字节为“c0 98 01 01”,表示目的地址；3）：数据报首部反码算术求和二进制表示为0011011100111001,取反码为1100100011000110;即首部校验和为1100100011000110；五．实验总结本次试验主要要求我们熟悉wireshark软件，难度不是很大，我们很快就做完了，再结合课堂上学习到的知识，思考题也迎刃而解。

《信息系统安全》实验实验 - 使用 Wireshark 检查以太网帧Mininet 拓扑目标第 1 部分：检查以太网 II 帧中的报头字段第 2 部分：使用 Wireshark 捕获和分析以太网帧背景/场景当上层协议互相通信时，数据会向下流到开放式系统互联 (OSI) 的各层中，并最终被封装进第 2 层帧。

帧的成分取决于介质访问类型。

例如，如果上层协议是 TCP 和 IP 并且访问介质是以太网，则第 2 层帧的封装为以太网 II。

这是 LAN 环境的典型情况。

在了解第 2 层的概念时，分析帧报头信息很有帮助。

在此实验的第 1 部分，同学们将复习以太网 II 帧包含的字段。

在第 2 部分，同学们将使用 Wireshark 为本地通信和远程通信捕获和分析以太网 II 帧头字段。

所需资源•CyberOps Workstation VM•互联网接入第 1 部分：检查以太网 II 帧中的报头字段在第 1 部分中，同学们需要检查提供给同学们的以太网 II 帧中的报头字段和内容。

Wireshark 捕获可用于检查这些字段中的内容。

第 1 步：检查以太网 II 帧头字段的描述和长度。

第 2 步：在 Wireshark 捕获中检查以太网帧。

以下 Wireshark 捕获显示了从 PC 主机向其默认网关发出 ping 操作生成的数据包。

Wireshark 应用了一个过滤器，以仅查看 ARP 和 ICMP 协议。

会话首先利用 ARP 查询网关路由器的 MAC 地址，然后是四次 ping 请求和应答。

第 3 步：检查 ARP 请求的以太网 II 报头内容。

下表使用 Wireshark 捕获中的第一个帧，并显示以太网 II 帧头字段中的数据。

关于目的地址字段的内容，需要注意什么？_______________________________________________________________________________________ _______________________________________________________________________________________ 为什么 PC 会在发送第一个 ping 请求之前发送广播 ARP？_______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 第一个帧的源设备的 MAC 地址是什么？_______________________________________________________ 源设备的网卡的供应商 ID (OUI) 是什么？ ______________________________________________________ MAC 地址的哪个部分是 OUI？______________________________________________________________ 源设备的网卡序列号是什么？_______________________________________________________________ 第 2 部分：使用 Wireshark 捕获和分析以太网帧在第 2 部分中，同学们将使用 Wireshark 捕获本地和远程以太网帧。

实验二、以太网帧格式与ARP协议分析实验类型: 验证类实验实验课时: 2学时实验时间和地点: 4月25日星期三、第一大节（8:00-10:00)，计算机中心学号：200911715 姓名：张亚飞一、实验目的验证以太网帧格式，理解ARP协议的工作原理。

二、实验准备提前下载EtherPeek（/soft/17558.html），学习EtherPeek的使用，见《EtherPeek使用说明（部分）》；会用“ipconfig –all”查看本机IP地址。

三、实验步骤假设邻座同学的主机为A，IP地址为w.x.y.z，在Windows下运行EtherPeek，新建一个Filter，只捕获本机与w.x.y.z之间的IP分组。

1．以太网帧格式分析开始捕获，然后在命令行执行ping w.x.y.z，再停止捕获；分析捕获的IP分组，记录以太网帧头各字段以及FCS字段的值和含义（如表1），并与802.3帧格式进行比较。

2．ARP协议分析（1）进入DOS仿真窗口，执行“arp – a”查看本机的ARP缓存内容，若有w.x.y.z的记录，执行“arp –d w.x.y.z”删除该记录。

注：执行“arp -help”可知arp的各选项用法。

（2）开始捕获，然后执行“ping w.x.y.z”，停止捕获，记录并分析ARP报文各字段的含义，如表2。

表2 ARP报文格式表2 ARP报文格式（3）执行“arp –d w.x.y.z”清除缓存的IP-MAC记录。

本机和主机A停止任何数据通信，在主机A上访问本机外的任何主机，再执行“arp – a”查看本机ARP缓存，看是否新增了主机A的IP-MAC记录，解释一下。

答：删除过之后，被删除的记录不存在缓存中了。

当主机A访问本机的时候，本机的ARP 缓存中重新出现A的记录。

出现这种现象的原因在于本机ARP缓存中对应该主机A的记录一开始不存在，对方发送ping并显示可以连通后，本机就可以通过ARP解析出对方的MAC 地址。

实验项目名称：利用Wireshark实现网络协议分析年月日一、实验目的1.了解Wireshark软件的使用；2. 掌握查看计算机的硬件地址ARP(地址解析协议)；二、实验原理及实验流程或装置示意图Wireshark软件的使用，查看计算机的硬件地址ARP。

三、使用仪器、材料1.装有Windows Server 2003的主机；2.装有Wireshark软件四、实验步骤及注意事项1. Wireshark 的安装选择局域网（部门级）中一台PC 微机（已装Windows 2000 操作系统），此例选微机A安装网络协议分析软件。

开始来安装软件->同意这个授权->选择要安装的套餐种类，用预设->要建立哪些快捷方式或相关的程序连结，请自行选用->你要把软件安装在哪边，如不变动就按下一步->询问你是否要安装WinPcap，请选择安装->开始进行安装……->执行WinPcap 的安装->下一步->按同意->WinPcap 安装中……-> ＷinPcap 安装完成-> 继续回到Wireshark 的安装……->Wireshark 安装完成。

2.启动Wireshark1）可以直接执行或观看说明，开始加载WireShark->WireShark 的主画面-点选『Capture』->『interfaces』，选择你要监听的网络卡，开始监听。

3.捕获的包实例学习Wireshark 可以将从网络捕获到的二进制数据按照不同的协议包结构规范，翻译解释为人们可以读懂的英文信息，并显示在主界面的中部窗格中。

为了帮助大家在网络安全与管理的数据分析中，迅速理解Wireshark 显示的捕获数据帧内的英文信息，特做如下中文的翻译解释。

Wireshark 显示的下面这些数据信息的顺序与各数据包内各字段的顺序相同，其他帧的内容展开与此类似。

4.以太网数据帧结构分析利用Wireshark 捕获局域网中的数据帧，从局域网数据帧中找出下图以太网数据帧中的各字段的内容。

以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一：运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。

启动界面：抓包界面的启动是按file下的按钮（或capture下的interfaces）之后会出现这个是网卡的显示，因为我有虚拟机所以会显示虚拟网卡，我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包。

（捕捉本地连接对应的网卡，可用ipconfig/all 查看）二：几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。

三：开始分析数据1.打开“命令提示符”窗口，使用“arp -a”命令查看本地计算机ARP高速缓存。

2.使用“arp -d”命令清除本地计算机ARP高速缓存，再使用“arp -a”命令查看。

此时，本地计算机ARP高速缓存为空。

3.在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply”按钮将计算机与数据设备相连（3928或路由器），参见静态路由配置。

3.此时，网络协议分析软件开始捕获数据，在“命令提示符”窗口中PING同一子网中的任意主机。

（计算机Aping计算机B）因为PING命令的参数为IP地址，因此使用PING命令前，需要使用ARP机制将IP地址转换为MAC地址，这个过程用户是无法感知的。

因为我们在使用PING命令前已经开始网络数据包捕获，因此，此时网络协议分析软件将捕获到ARP解析数据包。

使用Wireshark辅助观察ARP协议工作原理在命令提示符内输入ipconfig/all，查看自己的IP及Mac地址。

查看同宿舍主机的IP地址（192.168.1.144）运行Wireshark，开始捕获所有属于ARP协议并且源或者目的Mac是本机的包在命令提示符内输入ping 192.168.1.144Mac帧地址分析：广播帧目的地址：ff:ff:ff:ff:ff 源地址：48:45:20:9b:95:51（本机）帧类型：地址解析协议（0x0806）目的地址：48:45:20:9b:95:51 源地址：4c:bb:58:0c:b6:82（同宿舍主机）从实验结果及分析中可知，当主机A要向本局域网上主机B发送IP数据报时，若其ARP高速缓存中没有主机B的IP地址对应的Mac地址，主机A就自动运行ARP，在本局域网上广播发送一个ARP请求分组（例如，我的IP地址是192.168.1.163，硬件地址是48:45:20:9b:95:51，我想知道IP地址是192.168.1.144的主机的硬件地址。

），在本局域网上的所有主机运行的ARP进程都收到此ARP请求分组，主机B的IP地址与ARP请求分组中要查询的IP地址一致，就收下这个ARP请求分组，并向主机A发送ARP响应分组，同时在这个ARP响应分组中写入自己的硬件地址。

其余所有主机的IP地址都与这个ARP请求中要查询的IP地址不一致，因此都不理睬这个ARP请求分组。

在命令提示符内输入ping Mac帧地址分析：广播帧目的地址：ff:ff:ff:ff:ff 源地址：48:45:20:9b:95:51（本机）帧类型：地址解析协议（0x0806）目的地址：48:45:20:9b:95:51 源地址：f8:0c:f3:7a:8c:7a(路由器)从实验结果及分析中可知，当发送方是主机，要把IP数据报发送到另一个网络上的一台主机，这时主机发送ARP请求分组（在局域网上广播），找到局域网上的路由器的硬件地址，剩下的工作由路由器来完成。

使用wireshark进行协议分析实验报告一、实验目的本次实验旨在掌握使用Wireshark进行网络协议分析的方法与技巧，了解网络通信特点和协议机制。

二、实验内容及步骤1.实验准备b.配置网络环境：保证实验环境中存在数据通信的网络设备和网络流量。

2.实验步骤a. 打开Wireshark软件：启动Wireshark软件并选择需要进行抓包的网络接口。

b. 开始抓包：点击“Start”按钮开始抓包，Wireshark将开始捕获网络流量。

c.进行通信：进行网络通信操作，触发网络流量的产生。

d. 停止抓包：点击“Stop”按钮停止抓包，Wireshark将停止捕获网络流量。

e. 分析流量：使用Wireshark提供的分析工具和功能对抓包所得的网络流量进行分析。

三、实验结果通过Wireshark软件捕获的网络流量，可以得到如下分析结果：1. 抓包结果统计：Wireshark会自动统计捕获到的数据包数量、每个协议的数量、数据包的总大小等信息，并显示在界面上。

2. 协议分析：Wireshark能够通过解析网络流量中的各种协议，展示协议的各个字段和值，并提供过滤、等功能。

3. 源和目的地IP地址：Wireshark能够提取并显示各个IP数据包中的源IP地址和目的地IP地址，帮助我们分析网络通信的端点。

四、实验分析通过对Wireshark捕获到的网络流量进行分析，我们可以得到以下几个重要的分析结果和结论：1.流量分布：根据抓包结果统计，我们可以分析不同协议的数据包数量和比例，了解网络中各个协议的使用情况。

2. 协议字段分析：Wireshark能够对数据包进行深度解析，我们可以查看各个协议字段的值，分析协议的工作机制和通信过程。

3.网络性能评估：通过分析网络流量中的延迟、丢包等指标，我们可以评估网络的性能，并找出网络故障和瓶颈问题。

4. 安全分析：Wireshark能够分析HTTP、FTP、SMTP等协议的请求和响应内容，帮助我们发现潜在的网络安全问题。

计算机网络实验报告年级：姓名：学号：实验日期：实验名称：利用wireshark分析arp协议一、实验项目名称及实验项目编号ARP协议学习与分析二、课程名称及课程编号计算机网络三、实验目的通过本实验使学生：1．学习ARP协议的工作原理以及ARP分组格式；2．学习使用WireShark对ARP协议进行分析。

四、要求1、结果分析与保存的数据一致，否则没有实验成绩2、数据保存名称：Arp数据：w09101-arp.pcap(网络091班01号arp协议) d09101-arp.pcap(电信091班01号arp协议)（其余报告相同）实验结果分析报告名称：实验一ARP协议实验结果分析_w09101.doc五、学习使用WireShark对ARP协议进行分析（1）启动WireShark（2）捕获数据（3）停止抓包并分析ARP请求报文将Filter过滤条件设为arp，回车或者点击“Apply”按钮，（4）ARP请求报文分析1）粘贴你捕获的ARP请求报文2）分析你捕获的ARP请求报文第一行帧基本信息分析（粘贴你的Frame信息）Frame Number（帧的编号）：__________（捕获时的编号）Frame Length(帧的大小)：________字节。

（以太网的帧最小64个字节，而这里只有６０个字节，应该是没有把四个字节的CRC计算在里面，加上它就刚好。

）Arrival Time(帧被捕获的日期和时间): _________Time delta from previous captured frame(帧距离前一个帧的捕获时间差):________Time since refernce or first frame(帧距离第一个帧的捕获时间差)：_______________Protocols in frame(帧装载的协议)：____________第二行数据链路层：（粘贴你的数据链路层信息）Destination（目的地址）：__________（这是个MAC地址，这个MAC地址是一个广播地址，就是局域网中的所有计算机都会接收这个数据帧）Source（源地址）：_______________帧中封装的协议类型：__________（这个是ARP协议的类型编号。

实验一、以太网帧和ARP协议实验一、实验目的1、理解以太帧格式。

2、理解ARP协议格式和ARP 协议的工作原理，理解ARP高速缓存的作用。

3、学会使用wireshark抓取数据包并分析。

二、实验学时建议2学时。

三、实验类型验证性实验。

四、实验原理1例如0x0800表示IP地址。

硬件长度指明硬件地址长度，单位是字节，MAC是48位，长度是6个字节。

协议长度表示高层协议地址的长度，对于IP地址，长度是4个字节。

操作字段共有二种操作类型，1表示ARP请求，2表示ARP应答。

发送方MAC，6个字节的发送方MAC地址。

发送方IP，4个字节的发送方IP地址。

目的MAC，6个字节的目的MAC地址。

目的IP，4个字节的目的IP地址。

2、ARP地址解析过程五、实验步骤1、运行wireshark-win32-1.4.1.exe，安装wireshark协议分析程序。

2、运行协议分析软件wireshark，打开捕获窗口进行数据捕获。

3、主机A在命令行下运行“arp –d”命令，清空ARP高速缓存。

4、主机A 上ping 主机B的IP地址。

5、主机A停止捕获数据，察看协议分析器中采集到的ARP报文。

找到ARP请求报文和ARP响应报文，分析两种报文的内容。

并以下列表格的形式分别写出ARP请求报文和ARP响应报文以及对应的以太帧格式的内容。

6、在命令行下运行“arp –a”命令察看ARP高速缓存。

回答ARP高速缓存表由哪几项组成？六、实验结果注：要写好实验报告。

信息网络技术实验报告实验名称利用wireshark分析ARP协议实验编号6、1姓名学号成绩2、6常见网络协议分析实验一、实验室名称：电子政务可视化再现实验室二、实验项目名称：利用wireshark分析ARP协议三、实验原理：Wireshark:Wireshark 就是网络包分析工具。

网络包分析工具得主要作用就是尝试获取网络包，并尝试显示包得尽可能详细得情况。

网络包分析工具就是一种用来测量有什么东西从网线上进出得测量工具，Wireshark 就是最好得开源网络分析软件。

当一台主机把以太网数据帧发送到位于同一局域网上得另一台主机时，就是根据48bit 得以太网地址来确定目得接口得、设备驱动程序从不检查IP数据报中得目得IP地址。

地址解析为这两种不同得地址形式提供映射：32bit得IP地址与数据链路层使用得任何类型得地址。

ARP根据IP地址获取物理地址得一个TCP/IP协议。

ARP为IP地址到对应得硬件地址之间提供动态映射。

主机发送信息时将包含目标IP地址得ARP请求广播到网络上得所有主机，并接收返回消息，以此确定目标得物理地址；收到返回消息后将该IP地址与物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

地址解析协议就是建立在网络中各个主机互相信任得基础上得，网络上得主机可以自主发送ARP应答消息，其她主机收到应答报文时不会检测该报文得真实性就会将其记入本机ARP缓存。

四、实验目得：目得就是通过实验加深对数据包得认识，网络信息传输过程得理解，加深对协议得理解，并了解协议得结构与区别。

利用wireshark捕获发生在ping过程中得ARP报文，加强对ARP协议得理解，掌握ARP报文格式，掌握ARP请求报文与应答报文得区别。

五、实验内容：利用wireshark分析ARP协议六、实验器材（设备、元器件）运行Windows得计算机，带有并正确安装网卡；wireshark软件；具备路由器、交换机等网络设备得网络连接。

《信息系统安全》实验实验 - 使用 Wireshark 检查以太网帧Mininet 拓扑目标第 1 部分：检查以太网 II 帧中的报头字段第 2 部分：使用 Wireshark 捕获和分析以太网帧背景/场景当上层协议互相通信时，数据会向下流到开放式系统互联 (OSI) 的各层中，并最终被封装进第 2 层帧。

帧的成分取决于介质访问类型。

例如，如果上层协议是 TCP 和 IP 并且访问介质是以太网，则第 2 层帧的封装为以太网 II。

这是 LAN 环境的典型情况。

在了解第 2 层的概念时，分析帧报头信息很有帮助。

在此实验的第 1 部分，同学们将复习以太网 II 帧包含的字段。

在第 2 部分，同学们将使用 Wireshark 为本地通信和远程通信捕获和分析以太网 II 帧头字段。

所需资源•CyberOps Workstation VM•互联网接入第 1 部分：检查以太网 II 帧中的报头字段在第 1 部分中，同学们需要检查提供给同学们的以太网 II 帧中的报头字段和内容。

Wireshark 捕获可用于检查这些字段中的内容。

第 1 步：检查以太网 II 帧头字段的描述和长度。

第 2 步：在 Wireshark 捕获中检查以太网帧。

以下 Wireshark 捕获显示了从 PC 主机向其默认网关发出 ping 操作生成的数据包。

Wireshark 应用了一个过滤器，以仅查看 ARP 和 ICMP 协议。

会话首先利用 ARP 查询网关路由器的 MAC 地址，然后是四次 ping 请求和应答。

第 3 步：检查 ARP 请求的以太网 II 报头内容。

下表使用 Wireshark 捕获中的第一个帧，并显示以太网 II 帧头字段中的数据。

关于目的地址字段的内容，需要注意什么？_______________________________________________________________________________________ _______________________________________________________________________________________ 为什么 PC 会在发送第一个 ping 请求之前发送广播 ARP？_______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 第一个帧的源设备的 MAC 地址是什么？_______________________________________________________ 源设备的网卡的供应商 ID (OUI) 是什么？ ______________________________________________________ MAC 地址的哪个部分是 OUI？______________________________________________________________ 源设备的网卡序列号是什么？_______________________________________________________________ 第 2 部分：使用 Wireshark 捕获和分析以太网帧在第 2 部分中，同学们将使用 Wireshark 捕获本地和远程以太网帧。

计算机网络技术试验报告学生学号:1107300215学生姓名:田凯飞专业年级:计科111开课学期:2013-2014（上）指导教师:宋玲一、实验名称以太网帧格式和ARP协议分析二、实验目的1.分析Ethernet V2标准规定的MAC层帧结构，了解IEEE802.3标准规定的MAC层帧结构和TCP/IP的主要协议和协议的层次结构。

2.分析ARP协议报文首部格式，分析ARP协议在同一网段内的解析过程。

三、实验任务3.通过对截获帧进行分析，分析和验证Ethernet V2和IEEE802.3标准规定的MAC层帧结构，初步了解TCP/IP的主要协议和协议的层次结构。

4.通过在同一网段的主机之间执行ping命令，截获报文，分析ARP协议报文结构，并分析ARP协议在同一网段内的解析过程。

四、实验环境及工具Win7系统电脑若干台，交换机一台，抓包工具wireshark五、实验记录（1）实验任务1实验时间实验内容实验地点实验人2013.12.10 分析MAC层帧结构计电学院307 田凯飞实验步骤1.打开WireShark网络协议分析器；2.点击“接口列表”按钮；3.选择相应的IP地址后点击“开始”按钮；4.选择列表框内任意一个“TCP/UDP”协议数据包，查看列表框下的MAC帧结构与TCP/IP协议的层次结构并分析。

实验现象实验现象见实验截图。

（2）实验任务2实验时间实验内容实验地点实验人2013.12.10 分析ARP协议报文结构计电学院307 田凯飞实验步骤1.打开WireShark网络协议分析器；2.点击“接口列表”按钮；3.选择相应的IP地址后点击“开始”按钮；4.选择列表框内任意一个“ARP”协议数据包，查看列表框下的ARP 协议报文的层次结构并分析。

实验现象见实验截图。

实验现象六、结果及分析1.任务一：实验结果：实验分析：从上面的实验截图中可以看到上面的16进制数字段详细的记录着MAC帧各部分以及TCP/IP协议各部分的详细信息。

计算机网络实验报告年级：姓名：学号：___________实验日期:_________________________实验名称：实验二：利用Wireshark分析ARP协议一、实验项目名称及实验项目编号ARP协议学习与分析二、课程名称及课程编号计算机网络三、实验目的和要求实验目的：通过本实验使学生：1．学习ARP协议的工作原理以及ARP分组格式；2．学习使用WireShark对ARP 协议进行分析。

实验要求：实验结果分析报告名称：实验一ARP协议实验结果分析_姓名.doc四、实验原理Wireshark介绍Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

Wireshark的主要应用如下：（1）网络管理员用来解决网络问题（2）网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况（4）用来学习网络协议（5）除了上面提到的，Wireshark还可以用在其它许多场合。

Wireshark的主要特性（1）支持UNIX和Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4）可以打开/保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色彩显示包（9）创建多种统计分析五、实验内容1．了解数据包分析软件Wireshark的基本情况；2．安装数据包分析软件Wireshark；3．配置分析软件Wireshark；4．对本机网卡抓数据包；5．分析各种数据包。

六、实验方法及步骤1．Wireshark的安装及界面（1）Wireshark 的安装（2）Wireshark 的界面启动Wireshark 之后，主界面如图：主菜单项：主菜单包括以下几个项目:File包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

计算机网络实验2使用Wireshark分析以太网帧、ARP计算机网络实验2使用Wireshark分析以太网帧、ARP实验二：使用Wireshark分析以太网帧、MAC地址与ARP协议一、实验目的分析以太网帧，MAC地址和ARP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。

三、实验步骤：IP地址用于标识因特网上每台主机，而端口号则用于区别在同一台主机上运行的不同网络应用程序。

在链路层，有介质访问控制（Media Access Control,MAC）地址。

在局域网中，每个网络设备必须有唯一的MAC地址。

设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。

Wireshark 能把MAC地址的组织标识转化为代表生产商的字符串，例如，00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示，因为组织唯一标识符00:06:5b属于Dell。

地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址，意味着数据应该广播到局域网的所有设备。

在因特网上，IP地址用于主机间通信，无论它们是否属于同一局域网。

同一局域网间主机间数据传输前，发送方首先要把目的IP地址转换成对应的MAC 地址。

这通过地址解析协议ARP实现。

每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分，而帧的目的地址将被设置为ARP 高速缓存中找到的MAC地址。

如果没有发现IP地址的转换项，那么本机将广播一个报文，要求具有此IP地址的主机用它的MAC地址作出响应。

具有该IP 地址的主机直接应答请求方，并且把新的映射项填入ARP高速缓存。

发送分组到本地网外的主机，需要跨越一组独立的本地网，这些本地网通过称为网关或路由器的中间机器连接。

网关有多个网络接口卡，用它们同时连接多个本地网。

最初的发送者或源主机直接通过本地网发送数据到本地网关，网关转发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。

计算机网络实验报告年级：姓名：学号：___________实验日期:_________________________实验名称：实验二：利用Wireshark分析ARP协议一、实验项目名称及实验项目编号ARP协议学习与分析二、课程名称及课程编号计算机网络三、实验目的和要求实验目的：通过本实验使学生：1．学习ARP协议的工作原理以及ARP分组格式；2．学习使用WireShark对ARP 协议进行分析。

实验要求：实验结果分析报告名称：实验一ARP协议实验结果分析_姓名.doc四、实验原理Wireshark介绍Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

Wireshark的主要应用如下：（1）网络管理员用来解决网络问题（2）网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况（4）用来学习网络协议（5）除了上面提到的，Wireshark还可以用在其它许多场合。

Wireshark的主要特性（1）支持UNIX和Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4）可以打开/保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色彩显示包（9）创建多种统计分析五、实验内容1．了解数据包分析软件Wireshark的基本情况；2．安装数据包分析软件Wireshark；3．配置分析软件Wireshark；4．对本机网卡抓数据包；5．分析各种数据包。

六、实验方法及步骤1．Wireshark的安装及界面（1）Wireshark 的安装（2）Wireshark 的界面启动Wireshark 之后，主界面如图：主菜单项：主菜单包括以下几个项目:File包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

（完整）使⽤wireshark进⾏协议分析实验报告1 深圳⼤学实验报告实验课程名称：计算机⽹络实验项⽬名称：使⽤wireshark进⾏协议分析学院：计算机与软件学院专业：计算机科学与技术报告⼈：邓清津学号：2011150146 班级：2班同组⼈：⽆指导教师：杜⽂峰实验时间：2013/6/10实验报告提交时间：2013/6/10教务处制⼀、实验⽬的与要求学习使⽤⽹络数据抓包软件.学习使⽤⽹络数据抓包软件wireshark，并对⼀些协议进⾏分析。

⼆、实验仪器与材料Wireshark抓包软件三、实验内容使⽤wireshark分析各层⽹络协议1.HTTP协议2.ARP协议，ICMP协议3.IP协议4.EthernetII层数据帧为了分析这些协议，可以使⽤⼀些常见的⽹络命令。

例如，ping等。

四、实验步骤1、安装Wireshark，简单描述安装步骤:2、打开wireshark，选择接⼝选项列表。

或单击“Capture”，配置“option”选项。

3.点击start后，进⾏分组捕获，所有由选定⽹卡发送和接收的分组都将被捕获。

4. 开始分组捕获后，会出现如图所⽰的分组捕获统计窗⼝。

该窗⼝统计显⽰各类已捕获分组的数量。

在该窗⼝中有⼀个“stop”按钮，可以停⽌分组的捕获。

⼀、分析HTTP协议1.在浏览器地址栏中输⼊某⽹页的URL，如：/doc/b02e161128f90242a8956bec0975f46527d3a70c.html 。

为显⽰该⽹页，浏览器需要连接/doc/b02e161128f90242a8956bec0975f46527d3a70c.html 的服务器，并与之交换HTTP消息，以下载该⽹页。

包含这些HTTP消息的以太⽹帧(Frame)将被WireShark捕获。

2. 在显⽰筛选编辑框中输⼊“http”，单击“apply”，分组列表窗⼝将只显⽰HTTP消息。

3.点击其中⼀个http协议包请求⾏：⽅法字段：GET，版本是http/1.1.⾸部⾏：主机host：/doc/b02e161128f90242a8956bec0975f46527d3a70c.html ；Connection：Keep-Alive，即保持持久连接；Accept-language：zh-cn，即接收语⾔是中⽂。

网络抓包分析实验-以太网帧-ARP一：实验目的：1.学习使用网络数据抓包软件，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析以太网帧格式。

2：分析ARP报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构五：分析1.以太网帧格式：以太网共有4种个格式一)：Ethernet II是DIX以太网联盟推出的，它由6个字节的目的MAC地址，6个字节的源MAC 地址，2个字节的类型域（用于表示装在这个Frame、里面数据的类型)，以上为Frame Header,接下来是46--1500字节的数据，和4字节的帧校验）二)：Novell Ethernet它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame，由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。

三)：IEEE 802.3/802.2802.3的Frame Header和Ethernet II的帧头有所不同，它把EthernetII 类型域变成了长度域(与Novell Ethernet相同)。

其中又引入802.2协议(LLC)在802.3帧头后面添加了一个LLC首部,由DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte,一个控制域 1 byte! SAP用于表示帧的上层协议。

四)：Ethernet SNAPEthernet SNAP Frame与802.3/802.2 Frame的最大区别是增加了一个5 Bytes的SNAP ID，其中前面3个byte通常与源mac地址的前三个bytes相同，为厂商代码！有时也可设为0。

信息网络技术实验报告实验名称利用wireshark 分析ARP协议实验编号姓名学号成绩常见网络协议分析实验实验室名称：电子政务可视化再现实验室二、实验项目名称：利用wireshark 分析ARP协议三、实验原理：Wireshark:Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试获取网络包，并尝试显示包的尽可能详细的情况。

网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48bit 的以太网地址来确定目的接口的. 设备驱动程序从不检查IP 数据报中的目的IP 地址。

地址解析为这两种不同的地址形式提供映射：32bit 的IP 地址和数据链路层使用的任何类型的地址。

ARP根据IP 地址获取物理地址的一个TCP/IP 协议。

ARP为IP 地址到对应的硬件地址之间提供动态映射。

主机发送信息时将包含目标IP 地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP 地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP 缓存。

四、实验目的：目的是通过实验加深对数据包的认识，网络信息传输过程的理解，加深对协议的理解，并了解协议的结构与区别。

利用wireshark 捕获发生在ping 过程中的ARP报文，加强对ARP协议的理解，掌握ARP报文格式，掌握ARP请求报文和应答报文的区别。

五、实验内容：利用wireshark 分析ARP协议六、实验器材（设备、元器件）运行Windows 的计算机，带有并正确安装网卡；wireshark 软件；具备路由器、交换机等网络设备的网络连接。