实验二、以太网帧格式与ARP协议分析

实验二用Wireshark 进行协议分析一．分组及实验任务组长：，组员：由于本次试验不需要合作，所以每个人的任务都一样。

任务：1. 学习协议分析软件Wireshark 的使用。

2. 分析以太网帧格式。

3. 分析IP、ICMP、ARP 数据包格式。

二．实验环境1.以太网交换机1 台、PC 机2 台；2.实验拓扑如下：三．实验过程在命令行界面执行命令ping，在Wireshark选项界面的Capture option 中设置过滤规则：“ether proto0x0806”，界面出现了arp request和arp reply的包；设置过滤规则：”ip proto 1 “,界面出现了ICMP request 和ICMP reply 的包；设置过滤规则：“ether proto 0x0806 or ip proto 1”后，界面出现了ARP和ICMP的request包以及reply包。

四．问题解答1. 抓取一对ARP 包（包括ARP request 和ARP reply ），分析以太网帧头的字段。

解：下图是做实验时用软件抓到的ARP包：以太网首部：目的主机采用的是广播地址00:21:97:29:44，源主机的MAC地址是00:21:97:29:80:50;上层协议类型0x0806代表ARP2. 抓取一对封装ICMP 报文的IP 数据报（包括echo 和echo reply ），然后1) 找到两个ICMP 报文中的类型（type）和代码（code ）字段，2) 分析其中一个IP 数据报的首部字段值，3) 并计算首部校验和。

解：1）：这是一个ICMP回应请求报文，报文类型为08，代码字段为00这是一个ICMP回应应答报文，报文类型为00，代码字段为002）：ICMP回应请求报文中IP数据报的首部字段为：45:00:00:3c:a4:2a:00:00:80:01:13:62:c0:98:01:03:c0:98:01:01第一个字节“45”高四位为“4”，代表IP协议的版本为4，低四位为“5”，代表该IP数据报的首部长度为20个字节；第二个字节为“00”，为区分服务；第三、四个字节为“003c”，表示该IP数据报的总长度为60字节（3x16+12=60）；第五六字节为“a42a”,为标识字段；第七八字节为“0000”，前三位为标志字段，表示该数据报为若干数据报片中的最后一个，在这代表只有一个数据报，不存在分片；后十三位为片偏移字段，在这没有意义；第九个字节为“80”，表示生存时间；第十个字节为“01”，表用来示该数据报携带的数据使用的何种协议，在这表示使用的是UDP协议；第十一十二字节为“13 62”,为首部检验和；第十三至第十六字节为“c0 98 01 03”,表示源地址；第十七至第二十字节为“c0 98 01 01”,表示目的地址；3）：数据报首部反码算术求和二进制表示为0011011100111001,取反码为1100100011000110;即首部校验和为1100100011000110；五．实验总结本次试验主要要求我们熟悉wireshark软件，难度不是很大，我们很快就做完了，再结合课堂上学习到的知识，思考题也迎刃而解。

竭诚为您提供优质文档/双击可除以太网协议分析实验总结篇一：网络协议分析实验一学院学生姓名计算机学院专业学号网络工程指导教师实验日期黄杰11.6一、以太帧格式的分析1.抓取方法描述先在命令窗口下输入ipconfig查看本地的ip地址，得到的结果如下：可以得到本地的ip地址为10.66.126.254，默认网关为10.66.64.1，物理地址为3c-77-e6-6e-92-85，然后打开wireshark软件开始抓包，找到可以建立连接的ip地址来进行ping。

这里选择的目的ip地址为119.90.37.235，将wireshark之前抓取的包清空重新打开进行抓取。

在命令窗口下输入ping119.90.37.235.2.记录抓取的过程关闭wireshark，在过滤器中输入icmp,可以找到发送并接受的8个icmp协议下的数据包。

选择其中一个数据包对以太帧格式进行分析。

3.抓取数据的内容抓取数据内容如下：这里面包括了发送数据包的源mac地址和接受数据包的目的mac地址，以太帧类型以及数据内容等等。

4.抓取数据的格式解释（可直接在抓取数据的内容旁边标注）源mac地址：3c-77-e6-6e-92-85目的mac地址：00-00-54-00-01-02类型：协议类型为icmp类型长度:ip包总长度为60校验和以太帧类型：0x0800帧内封装的上层协议类型为ip,十六进制码为08005.补充说明（如果有需要补充的内容写在这）icmp的以太帧中数据内容为32字节，这里可以看到里面的内容是：abcdefghijklmnopqrstuvwabcdefghi。

二、aRp协议的分析1.抓取方法描述首先查看本地的ip地址：这里是192.168.1.7，目的主机是室友的电脑，ip地址为192.168.1.4。

首先清除arp缓存2.记录抓取的过程在wireshark中选择arp过滤，在过滤规则中设置host192.168.1.4，然后点击开始抓包。

1.掌握 ARP 协议的报文格式2.掌握 ARP 协议的工作原理3.理解 ARP 高速缓存的作用4.掌握 ARP 请求和应答的实现方法5.掌握 ARP 缓存表的维护过程2 学时该实验采用网络结构二物理地址是节点的地址，由它所在的局域网或者广域网定义。

物理地址包含在数据链路层的帧中。

物理地址是最低一级的地址。

物理地址的长度和格式是可变的，取决于具体的网络。

以太网使用写在网络接口卡(NIC)上的 6 字节的标识作为物理地址。

物理地址可以是单播地址 (一个接收者) 、多播地址 (一组接收者) 或者广播地址 (由网络中的所有主机接收) 。

有些网络不支持多播或者广播地址，当需要把帧发送给一组主机或者所有主机时，多播地址或者广播地址就需要用单播地址来摹拟。

在互联网的环境中仅使用物理地址是不合适的，因为不同网络可以使用不同的地址格式。

因此，需要一种通用的编址系统，用来惟一地标识每一台主机，而不管底层使用什么样的物理网络。

逻辑地址就是为此目的而设计的。

目前 Internet 上的逻辑地址是 32 位地址，通常称为 IP 地址，可以用来标识连接在 Internet 上的每一台主机。

在 Internet 上没有两个主机具有同样的 IP 地址。

逻辑地址可以是单播地址、多播地址和广播地址。

其中广播地址有一些局限性。

在实验三中将详细介绍这三种类型的地址。

Internet 是由各种各样的物理网络通过使用诸如路由器之类的设备连接在一起组成的。

主机发送一个数据包到另一台主机时可能要经过多种不同的物理网络。

主机和路由器都是在网络层通过逻辑地址来识别的，这个地址是在全世界范围内是惟一的。

然而，数据包是通过物理网络传递的。

在物理网络中，主机和路由器通过其物理地址来识别的，其范围限于本地网络中。

物理地址和逻辑地址是两种不同的标识符。

这就意味着将一个数据包传递到一个主机或者路由器需要进行两级寻址：逻辑地址和物理地址。

需要能将一个逻辑地址映射到相应的物理地址。

以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验课时2学时四、实验步骤1、运行WinPcap_3_0.exe，安装WINPCAP抓包驱动程序库；2、在VC6.0以上环境下编译提供PKTdump协议包分析程序，了解其工作原理和执行流程，重点熟悉以太帧解包函数和ARP包解包函数，然后运行该程序，并完成下列实验。

3、以太协议分析●阅读PKTdump协议包分析程序，了解其工作原理和执行流程，重点熟悉ARP包解包函数，然后运行该程序，并指定源IP地址为主机A的地址，目的IP地址为主机B的地址，分析开关为以太帧协议；●从主机A上向主机B发PING检测报文，捕获以太数据帧，记录并分析各字段的含义，并与802.3数据帧格式进行比较。

表1：以太帧格式4、ARP协议分析●阅读PKTdump协议包分析程序，熟悉ARP包解包函数，然后运行该程序，指定源IP地址为主机A的地址，目的IP地址为主机B的地址，分析开关为ARP协议；●进入DOS仿真窗口，用arp – a 查看本机上的ARP表的情况，然后用arp –d B 删除B的记录（如果有的话）；●把网线断开1分钟，然后再联网，观察此时是否能捕获ARP报文，如果能，记录并分析各字段的含义；●从主机A上向主机B发PING检测报文，观察此时是否能捕获ARP报文，如果能，记录并分析各字段的含义；●通过arp - a 查看ARP表的更新情况，记录此时能否看到B对应的MAC地址；●再次从主机A上向主机B发PING检测报文，或者再次从主机B上向主机A发PING检测报文，观察看此时是否能捕获ARP报文；主机A上和主机B停止进行任何数据通信，5分钟后再次从A向B发PING检测报文，或者从主机B上向主机A发PING检测报文，观察看此时是否能捕获ARP报文。

五、实验体会六、思考问题在ARP包分析实验过程中，为什么A有时能捕获ARP报文，有时却不能捕获ARP报文？。

重庆理工大学计算机学院实验报告书课程名称：《TCP/IP原理及应用》实验题目：实验二实验名称：ARP协议分析班级：392学号：************名：***5. 实验过程及结果记录（1）实验设备和连接实验设备和连接图如图所示，一台交换机连接了2 台PC 机，分别命名为PC1、PC2，交换机命名为Switch。

图ARP 协议分析实验连接图（2）实验分组每两名同学为一组，其中每两人一小组，每小组各自独立完成实验。

（3）实验步骤1～7的操作步骤1：按照如图所示连接好设备，查看PC1 和PC2 的IP 地址；步骤2：在PC1、PC2 两台计算机上执行如下命令，清除ARP 缓存：ARP –d步骤3：在PC1、PC2 两台计算机上执行如下命令，查看高速缓存中的ARP 地址映射表的内容：ARP –a （对相应结果截图）步骤 4：在PC1 和 PC2 上运行 Ethereal 截获报文，为了截获和实验内容有关的报文， Ethereal 的Captrue Filter 的混杂模式的勾去掉；步骤5：在主机PC1 上执行message服务用net send向PC2 发送消息；步骤6：执行完毕，对截获的数据包进行筛选ARP报文；步骤7：在PC1、PC2 两台计算机上再次执行ARP –a 命令，查看高速缓存中的ARP 地址映射表的内容（对相应结果截图）。

、（4）根据以上操作步骤回答问题：步骤3和步骤7的执行ARP –a命令结果内容相同吗（附上截图）？结合两次看到的结果，理解ARP缓冲区的作用。

在步骤6中截获的报文中有几个ARP报文？在以太帧中，ARP协议类型的代码值是什么？对步骤6中截获的报文进行分析：ARP 报文分析ARP 请求报文ARP 应答报文字段报文信息及参数字段报文信息及参数硬件类型Ethernet（0x0001）硬件类型Ethernet（0x0001）协议类型Ip（0x0800）协议类型Ip（0x0800）硬件地址长度 6 硬件地址长度 6协议地址长度 4 协议地址长度 4操作Request（0x0001）操作Reply(0x0002)。

实验二、以太网帧格式与ARP协议分析实验类型: 验证类实验实验课时: 2学时实验时间和地点: 4月25日星期三、第一大节（8:00-10:00)，计算机中心学号：200911715 姓名：张亚飞一、实验目的验证以太网帧格式，理解ARP协议的工作原理。

二、实验准备提前下载EtherPeek（/soft/17558.html），学习EtherPeek的使用，见《EtherPeek使用说明（部分）》；会用“ipconfig –all”查看本机IP地址。

三、实验步骤假设邻座同学的主机为A，IP地址为w.x.y.z，在Windows下运行EtherPeek，新建一个Filter，只捕获本机与w.x.y.z之间的IP分组。

1．以太网帧格式分析开始捕获，然后在命令行执行ping w.x.y.z，再停止捕获；分析捕获的IP分组，记录以太网帧头各字段以及FCS字段的值和含义（如表1），并与802.3帧格式进行比较。

2．ARP协议分析（1）进入DOS仿真窗口，执行“arp – a”查看本机的ARP缓存内容，若有w.x.y.z的记录，执行“arp –d w.x.y.z”删除该记录。

注：执行“arp -help”可知arp的各选项用法。

（2）开始捕获，然后执行“ping w.x.y.z”，停止捕获，记录并分析ARP报文各字段的含义，如表2。

表2 ARP报文格式表2 ARP报文格式（3）执行“arp –d w.x.y.z”清除缓存的IP-MAC记录。

本机和主机A停止任何数据通信，在主机A上访问本机外的任何主机，再执行“arp – a”查看本机ARP缓存，看是否新增了主机A的IP-MAC记录，解释一下。

答：删除过之后，被删除的记录不存在缓存中了。

当主机A访问本机的时候，本机的ARP 缓存中重新出现A的记录。

出现这种现象的原因在于本机ARP缓存中对应该主机A的记录一开始不存在，对方发送ping并显示可以连通后，本机就可以通过ARP解析出对方的MAC 地址。

以太网帧格式分析实验报告以太网帧格式分析实验报告一、实验目的本次实验旨在通过对以太网帧格式的分析，深入了解以太网的工作原理和数据传输过程，掌握以太网帧的基本结构和各个字段的含义，为今后的网络协议分析和网络编程打下坚实的基础。

二、实验原理以太网是一种局域网协议，采用广播方式进行数据传输。

在以太网中，数据传输的基本单位是帧。

以太网帧由一系列字段组成，包括前导码、帧起始定界符、目的MAC地址、源MAC地址、类型/长度、数据、帧校验序列等。

通过对这些字段的分析，可以了解以太网帧的传输过程和数据结构。

三、实验步骤1.搭建实验环境：在本次实验中，我们使用Wireshark软件捕获网络数据包，并对捕获到的以太网帧进行分析。

首先，我们需要将计算机连接到局域网中，并确保Wireshark软件已经正确安装和运行。

2.数据包捕获：打开Wireshark软件，选择正确的网络接口，开始捕获数据包。

在捕获过程中，我们可以设置过滤器，只捕获以太网帧。

3.数据分析：在捕获到数据包后，我们可以对以太网帧进行分析。

首先，我们可以查看以太网帧的基本信息，如源MAC地址、目的MAC地址、类型/长度等。

然后，我们可以深入了解各个字段的含义和作用。

4.数据统计：在数据分析的基础上，我们可以对捕获到的以太网帧进行统计和分析。

例如，我们可以统计不同类型以太网帧的数量和比例，分析网络流量的特点和规律。

5.实验总结：根据实验结果和分析，对以太网帧格式进行深入理解和掌握，总结实验经验和收获。

四、实验结果与分析在本次实验中，我们捕获了大量的以太网帧，并对这些帧进行了详细的分析。

以下是我们对实验结果的分析和总结：1.以太网帧的基本结构：以太网帧由前导码、帧起始定界符、目的MAC地址、源MAC地址、类型/长度、数据、帧校验序列等字段组成。

其中，前导码和帧起始定界符用于同步和标识帧的开始；目的MAC地址和源MAC地址分别表示接收方和发送方的MAC地址；类型/长度字段用于标识上层协议的类型或数据的长度；数据字段包含实际传输的数据；帧校验序列用于校验数据的正确性。

以太帧和ARP包协议分析实验一、目的1、理解以太帧格式2、理解ARP协议格式和ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一：运行wireshark开始捕获数据包，如图所示点击第二行的start开始捕获数据包。

启动界面：抓包界面的启动是按file下的按钮（或capture下的interfaces）之后会出现这个是网卡的显示，因为我有虚拟机所以会显示虚拟网卡，我们现在抓的是真实网卡上的包所以在以太网卡右边点击start 开始抓包。

（捕捉本地连接对应的网卡，可用ipconfig/all 查看）二：几分钟后就捕获到许多的数据包了，主界面如图所示：如上图所示，可看到很多捕获的数据。

第一列是捕获数据的编号；第二列是捕获数据的相对时间，从开始捕获算为0.000秒；第三列是源地址，第四列是目的地址；第五列是数据包的信息。

选中第一个数据帧，然后从整体上看看Wireshark的窗口，主要被分成三部分。

上面部分是所有数据帧的列表；中间部分是数据帧的描述信息；下面部分是帧里面的数据。

三：开始分析数据1.打开“命令提示符”窗口，使用“arp -a”命令查看本地计算机ARP高速缓存。

2.使用“arp -d”命令清除本地计算机ARP高速缓存，再使用“arp -a”命令查看。

此时，本地计算机ARP高速缓存为空。

3.在下图中Filter后面的编辑框中输入：arp（注意是小写），然后回车或者点击“Apply”按钮将计算机与数据设备相连（3928或路由器），参见静态路由配置。

3.此时，网络协议分析软件开始捕获数据，在“命令提示符”窗口中PING同一子网中的任意主机。

（计算机Aping计算机B）因为PING命令的参数为IP地址，因此使用PING命令前，需要使用ARP机制将IP地址转换为MAC地址，这个过程用户是无法感知的。

因为我们在使用PING命令前已经开始网络数据包捕获，因此，此时网络协议分析软件将捕获到ARP解析数据包。

实验二使用W i r e s h a r k分析以太网帧与A R P协议work Information Technology Company.2020YEAR实验二使用Wireshark分析以太网帧与ARP协议一、实验目的分析以太网帧，MAC地址和ARP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。

三、实验步骤：IP地址用于标识因特网上每台主机，而端口号则用于区别在同一台主机上运行的不同网络应用程序。

在链路层，有介质访问控制（Media Access Control,MAC）地址。

在局域网中，每个网络设备必须有唯一的MAC地址。

设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。

Wireshark 能把MAC地址的组织标识转化为代表生产商的字符串，例如，00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示，因为组织唯一标识符00:06:5b属于Dell。

地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址，意味着数据应该广播到局域网的所有设备。

在因特网上，IP地址用于主机间通信，无论它们是否属于同一局域网。

同一局域网间主机间数据传输前，发送方首先要把目的IP地址转换成对应的MAC地址。

这通过地址解析协议ARP实现。

每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分，而帧的目的地址将被设置为ARP高速缓存中找到的MAC地址。

如果没有发现IP地址的转换项，那么本机将广播一个报文，要求具有此IP地址的主机用它的MAC地址作出响应。

具有该IP地址的主机直接应答请求方，并且把新的映射项填入ARP高速缓存。

发送分组到本地网外的主机，需要跨越一组独立的本地网，这些本地网通过称为网关或路由器的中间机器连接。

网关有多个网络接口卡，用它们同时连接多个本地网。

最初的发送者或源主机直接通过本地网发送数据到本地网关，网关转发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。

实验一、以太网帧和ARP协议实验一、实验目的1、理解以太帧格式。

2、理解ARP协议格式和ARP 协议的工作原理，理解ARP高速缓存的作用。

3、学会使用wireshark抓取数据包并分析。

二、实验学时建议2学时。

三、实验类型验证性实验。

四、实验原理1例如0x0800表示IP地址。

硬件长度指明硬件地址长度，单位是字节，MAC是48位，长度是6个字节。

协议长度表示高层协议地址的长度，对于IP地址，长度是4个字节。

操作字段共有二种操作类型，1表示ARP请求，2表示ARP应答。

发送方MAC，6个字节的发送方MAC地址。

发送方IP，4个字节的发送方IP地址。

目的MAC，6个字节的目的MAC地址。

目的IP，4个字节的目的IP地址。

2、ARP地址解析过程五、实验步骤1、运行wireshark-win32-1.4.1.exe，安装wireshark协议分析程序。

2、运行协议分析软件wireshark，打开捕获窗口进行数据捕获。

3、主机A在命令行下运行“arp –d”命令，清空ARP高速缓存。

4、主机A 上ping 主机B的IP地址。

5、主机A停止捕获数据，察看协议分析器中采集到的ARP报文。

找到ARP请求报文和ARP响应报文，分析两种报文的内容。

并以下列表格的形式分别写出ARP请求报文和ARP响应报文以及对应的以太帧格式的内容。

6、在命令行下运行“arp –a”命令察看ARP高速缓存。

回答ARP高速缓存表由哪几项组成？六、实验结果注：要写好实验报告。

一、实验目的1、了解以太网协议。

2、了解arp协议的原理。

3、使用Ethereal软件观察以太帧的结构。

4、使用Ethereal软件观察arp地址解析过程二、实验内容1、在Ethereal来观察ping命令中产生的以太数据帧结构。

2、在Ethereal观察arp协议中地址解析过程。

三、实验要求1、记录ping命令中产生的以太帧及其类型。

2、记录arp请求及应答过程中产生的数据帧。

3、记录ARP地址解析过程。

四、实验设备、环境及拓扑图因特网连接的计算机网络系统；主机操作系统为windows7；E thereal五、实验步骤（1）获取本机信息：（2）使用ARP命令打开“命令提示符”界面，键入“arp -a”指令查看本机ARP 表中的内容。

（3）查看并清空本地ARP高速缓存，arp –d删除所有表项；（4）执行Ping 172.17.65.2,并用Ethereal捕获分组（5）Ping命令中产生的以太帧（包括请求与应答）：请求与回答帧格式如下（均为ICMP类型）：Ping请求产生的以太帧：主机172.17.65.2应答本机产生的以太帧：（6）arp请求及应答过程中产生的数据帧请求：应答：从图中看以看到两个 arp包的硬件类型均为以太网；协议类型为 IP；硬件地址长度为6；协议长度为 4；操作类型第一个是 request，第二个是 reply；第一个包的源主机 mac 和 ip 是主机 PC1 的地址，由于是request 包，所以目的地址只有主机 PC2 的 ip 地址，而 mac 地址默认为0。

第二个包 reply包，由于PC2会将自己的 mac地址封入其中返回给 PC1，所以我们看到 reply包的源 ip与mac 地址是PC2的地址，目的 ip与mac 地址是PC1的地址。

当一台主机要发送数据包时，首先它会将数据包中的目的地址与自己的子网掩码相“与”，判断结果是不是与自己在同一个网络中。

如果在同一个网络，则主机查询自己的 arp 表，看该目的 ip 有没有相应的 arp 表项，即与该 ip对等的 mac 地址。

实验二ARP分组的格式及协议分析【实验目的】1、理解IP地址和MAC地址分别所起作用的范围及其对应关系；2、掌握两种地址的转换原理和转换方式；3、熟悉ARP协议的工作原理、作用和报文格式。

【实验内容】1、分析ARP分组的结构，熟悉各个字段的内容、功能、格式和取值范围；2、编辑ARP分组各字段的内容；3、单个或批量发送已经编辑好的ARP分组；4、分析ARP分组的会话过程。

【实验原理】IP地址与硬件地址硬件地址就是在网络内部对一个计算机进行寻址时所使用的地址，局域网的硬件地址就行通信。

从IP地址到硬件地址的转换是由地址解析协议ARP来完成的。

每个主机都有一个ARP高速缓存存放IP地址到硬件地址的映射表。

主机A通过ARP获得主机B的硬件地址的工作过程如下：1、ARP进程在本局域网上广播发送一个ARP请求分组，上面有主机B的IP地址。

2、在本局域网上的所有主机上运行的ARP进程都收到此ARP请求分组。

3、主机B在ARP请求分组中见到自己的IP地址后，就向主机A发送一个ARP响应分组，上面写入自己的硬件地址。

4、主机A收到主机B的ARP响应分组后，就在ARP高速缓存中写入主机B的IP地址到硬件地址的映射。

5、主机A给B的ARP请求分组中带有A的硬件地址。

ARP●1；●协议类型：16bit字段，用力定义协议的类型，例如，对IPv4协议，这个字段的值为0x0800，ARP可以用于任何高层协议；●硬件长度：8bit字段，用来定义以字节为单位的物理地址长度，例如，对以太网这个值为6；●协议长度：8bit字段，用来定义以字节为单位的逻辑地址长度，例如，对IPv4协议这个值为6；●操作：16bit字段，用来定义分组的类型，已定义了四种类型，分别是ARP请求（1）、ARP回答（2）、RARP请求（3）和RARP回答（4）；●发送站硬件地址：这是可变长度字段，用来定义发送站的物理地址，例如，对以太网这个字段是6个字节；●发送站协议地址：这是可变长度字段，用来定义发送站的逻辑地址，例如，对IPv4协议这个字段长度是4个字节；●目标硬件地址：这是可变长度字段，用来定义目标的物理地址，对以太网这个字段是6个字节，对于ARP回答报文，这个字段全0；●目标协议地址，这是可变长度字段，用来定义目标的逻辑地址，例如，对IPv4协议这个字段长度是4个字节。

计算机网络技术试验报告学生学号:1107300215学生姓名:田凯飞专业年级:计科111开课学期:2013-2014（上）指导教师:宋玲一、实验名称以太网帧格式和ARP协议分析二、实验目的1.分析Ethernet V2标准规定的MAC层帧结构，了解IEEE802.3标准规定的MAC层帧结构和TCP/IP的主要协议和协议的层次结构。

2.分析ARP协议报文首部格式，分析ARP协议在同一网段内的解析过程。

三、实验任务3.通过对截获帧进行分析，分析和验证Ethernet V2和IEEE802.3标准规定的MAC层帧结构，初步了解TCP/IP的主要协议和协议的层次结构。

4.通过在同一网段的主机之间执行ping命令，截获报文，分析ARP协议报文结构，并分析ARP协议在同一网段内的解析过程。

四、实验环境及工具Win7系统电脑若干台，交换机一台，抓包工具wireshark五、实验记录（1）实验任务1实验时间实验内容实验地点实验人2013.12.10 分析MAC层帧结构计电学院307 田凯飞实验步骤1.打开WireShark网络协议分析器；2.点击“接口列表”按钮；3.选择相应的IP地址后点击“开始”按钮；4.选择列表框内任意一个“TCP/UDP”协议数据包，查看列表框下的MAC帧结构与TCP/IP协议的层次结构并分析。

实验现象实验现象见实验截图。

（2）实验任务2实验时间实验内容实验地点实验人2013.12.10 分析ARP协议报文结构计电学院307 田凯飞实验步骤1.打开WireShark网络协议分析器；2.点击“接口列表”按钮；3.选择相应的IP地址后点击“开始”按钮；4.选择列表框内任意一个“ARP”协议数据包，查看列表框下的ARP 协议报文的层次结构并分析。

实验现象见实验截图。

实验现象六、结果及分析1.任务一：实验结果：实验分析：从上面的实验截图中可以看到上面的16进制数字段详细的记录着MAC帧各部分以及TCP/IP协议各部分的详细信息。

计算机网络实验报告年级：姓名：学号：___________实验日期:_________________________实验名称：实验二：利用Wireshark分析ARP协议一、实验项目名称及实验项目编号ARP协议学习与分析二、课程名称及课程编号计算机网络三、实验目的和要求实验目的：通过本实验使学生：1．学习ARP协议的工作原理以及ARP分组格式；2．学习使用WireShark对ARP 协议进行分析。

实验要求：实验结果分析报告名称：实验一ARP协议实验结果分析_姓名.doc四、实验原理Wireshark介绍Wireshark 是网络包分析工具。

网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。

网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。

Wireshark的主要应用如下：（1）网络管理员用来解决网络问题（2）网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况（4）用来学习网络协议（5）除了上面提到的，Wireshark还可以用在其它许多场合。

Wireshark的主要特性（1）支持UNIX和Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4）可以打开/保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色彩显示包（9）创建多种统计分析五、实验内容1．了解数据包分析软件Wireshark的基本情况；2．安装数据包分析软件Wireshark；3．配置分析软件Wireshark；4．对本机网卡抓数据包；5．分析各种数据包。

六、实验方法及步骤1．Wireshark的安装及界面（1）Wireshark 的安装（2）Wireshark 的界面启动Wireshark 之后，主界面如图：主菜单项：主菜单包括以下几个项目:File包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

计算机网络实验2使用Wireshark分析以太网帧、ARP计算机网络实验2使用Wireshark分析以太网帧、ARP实验二：使用Wireshark分析以太网帧、MAC地址与ARP协议一、实验目的分析以太网帧，MAC地址和ARP协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。

三、实验步骤：IP地址用于标识因特网上每台主机，而端口号则用于区别在同一台主机上运行的不同网络应用程序。

在链路层，有介质访问控制（Media Access Control,MAC）地址。

在局域网中，每个网络设备必须有唯一的MAC地址。

设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。

Wireshark 能把MAC地址的组织标识转化为代表生产商的字符串，例如，00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示，因为组织唯一标识符00:06:5b属于Dell。

地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址，意味着数据应该广播到局域网的所有设备。

在因特网上，IP地址用于主机间通信，无论它们是否属于同一局域网。

同一局域网间主机间数据传输前，发送方首先要把目的IP地址转换成对应的MAC 地址。

这通过地址解析协议ARP实现。

每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分，而帧的目的地址将被设置为ARP 高速缓存中找到的MAC地址。

如果没有发现IP地址的转换项，那么本机将广播一个报文，要求具有此IP地址的主机用它的MAC地址作出响应。

具有该IP 地址的主机直接应答请求方，并且把新的映射项填入ARP高速缓存。

发送分组到本地网外的主机，需要跨越一组独立的本地网，这些本地网通过称为网关或路由器的中间机器连接。

网关有多个网络接口卡，用它们同时连接多个本地网。

最初的发送者或源主机直接通过本地网发送数据到本地网关，网关转发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。

一、实验目的1. 理解链路层协议的基本概念和功能。

2. 掌握链路层协议的常见类型及其工作原理。

3. 熟悉链路层协议的实验方法，提高动手实践能力。

二、实验内容1. 以太网协议2. ARP协议3. PPP协议三、实验原理1. 以太网协议以太网是一种局域网技术，它定义了网络拓扑结构、访问控制方式和传输速率等。

以太网帧格式包括源MAC地址、目的MAC地址、类型字段和CRC校验码。

以太网使用CSMA/CD（载波侦听多路访问/碰撞检测）机制来控制访问网络。

2. ARP协议ARP（Address Resolution Protocol）协议用于将IP地址映射到MAC地址。

在网络通信中，当一台主机需要与其他主机通信时，通常只知道对方的IP地址，ARP 协议的作用就是通过IP地址来确定主机的MAC地址。

3. PPP协议PPP（Point-to-Point Protocol）是一种数据链路层协议，用于在点对点链路上传输多种协议的数据。

PPP协议包括三个组成部分：链路控制协议（LCP）、网络控制协议（NCP）和链路质量监测（LQM）。

四、实验步骤1. 以太网协议实验（1）配置两台计算机，分别设置IP地址、子网掩码和默认网关。

（2）使用ping命令测试两台计算机之间的连通性。

（3）观察并记录两台计算机发送和接收的数据包，分析以太网帧格式。

2. ARP协议实验（1）在一台计算机上运行arp命令，查看ARP缓存表。

（2）在另一台计算机上修改IP地址，然后使用arp命令查看ARP缓存表，观察ARP协议如何更新MAC地址映射。

（3）在两台计算机之间发送和接收数据包，观察ARP协议在数据传输过程中的作用。

3. PPP协议实验（1）使用PPP协议连接两台计算机，配置相应的IP地址、子网掩码和默认网关。

（2）使用ping命令测试两台计算机之间的连通性。

（3）观察并记录PPP协议的配置过程，分析PPP协议的帧格式。

五、实验结果与分析1. 以太网协议实验实验结果表明，两台计算机之间可以通过以太网协议进行通信。

网络抓包分析实验-以太网帧-ARP一：实验目的：1.学习使用网络数据抓包软件，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析以太网帧格式。

2：分析ARP报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构五：分析1.以太网帧格式：以太网共有4种个格式一)：Ethernet II是DIX以太网联盟推出的，它由6个字节的目的MAC地址，6个字节的源MAC 地址，2个字节的类型域（用于表示装在这个Frame、里面数据的类型)，以上为Frame Header,接下来是46--1500字节的数据，和4字节的帧校验）二)：Novell Ethernet它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame，由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。

三)：IEEE 802.3/802.2802.3的Frame Header和Ethernet II的帧头有所不同，它把EthernetII 类型域变成了长度域(与Novell Ethernet相同)。

其中又引入802.2协议(LLC)在802.3帧头后面添加了一个LLC首部,由DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte,一个控制域 1 byte! SAP用于表示帧的上层协议。

四)：Ethernet SNAPEthernet SNAP Frame与802.3/802.2 Frame的最大区别是增加了一个5 Bytes的SNAP ID，其中前面3个byte通常与源mac地址的前三个bytes相同，为厂商代码！有时也可设为0。

实验内容：网络层IP/ARP协议分析一、实验目的1、理解IP协议报文类型和格式，掌握IP V4 地址的编址方法。

2、分析ARP 协议的报文格式，理解ARP 协议的解析过程。

二、实验方式每两位同学为一小组，每小组各自独立完成实验。

三、实验内容1、IP协议分析实验使用Ping 命令在两台计算机之间发送数据报，用Ethereal 截获数据报，分析IP 数据报的格式，理解IP V4 地址的编址方法，加深对IP 协议的理解。

2、IP 数据报分片实验我们已经从前边的实验中看到，IP 报文要交给数据链路层封装后才能发送。

理想情况下，每个IP 报文正好能放在同一个物理帧中发送。

但在实际应用中，每种网络技术所支持的最大帧长各不相同。

例如：以太网的帧中最多可容纳1500 字节的数据；FDDI帧最多可容纳4470 字节的数据。

这个上限被称为物理网络的最大传输单元（MTU，MaxiumTransfer Unit）。

TCP/IP 协议在发送IP 数据报文时，一般选择一个合适的初始长度。

当这个报文要从一个MTU 大的子网发送到一个MTU 小的网络时，IP 协议就把这个报文的数据部分分割成能被目的子网所容纳的较小数据分片，组成较小的报文发送。

每个较小的报文被称为一个分片（Fragment）。

每个分片都有一个IP 报文头，分片后的数据报的IP 报头和原始IP 报头除分片偏移、MF 标志位和校验字段不同外，其他都一样。

图5.2 显示了Ethereal 捕获的IP 数据报分片的分析情况，可参考。

图 5.2 IP 数据报分片示例重组是分片的逆过程，分片只有到达目的主机时才进行重组。

当目的主机收到IP 报文时，根据其片偏移和标志MF 位判断其是否一个分片。

若MF 为0，片偏移为0，则表明它是一个完整的报文；否则，则表明它是一个分片。

当一个报文的全部分片都到达目的主机时，IP 就根据报头中的标识符和片偏移将它们重新组成一个完整的报文交给上层协议处理。

实验一Ethernet and ARP一、实验目的1.加强对以太网帧格式的理解；2.理解ARP协议的工作原理。

二、实验环境1.PC机一台；2.WireShark软件。

三、实验内容1. Capturing and analyzing Ethernet frames2. The Address Resolution Protocol四、实验步骤及思考〔一〕Capturing and analyzing Ethernet framesGET Message(1)Based on the contents of the Ethernet frame containing the GET message1. What is the 48-bit Ethernet address of your computer?Answer：The 48-bit Ethernet address of my computer is:c8:0a:a9:db:9b:f3The Ethernet address of my computer2. What is the 48-bit destination address in the Ethernet frame? Is this the Ethernet address of ? (Hint: the answer is no). What device has this as its Ethernet address?[Note: this is an important question, and one that students sometimes get wrong. Re-read pages 468-469 in the text and make sure you understand the answer here.]Answer：1)The 48-bit destination address in the Ethernet frame is:00:23:89:8d:50:71The destination address in the Ethernet frame2)This is not the Ethernet address of .3)It is the address of my Linksys router, whick is the link used to get off the subnet.3.Give the hexadecimal value for the two-byte Frame type field. What do the bit(s) whose value is 1 mean within the flag field?Answer：1)The hexadecimal value for the two-byte Frame type field is:ox0800The hexadecimal value forthe two-byte Frame type2) The value is 1 within the flag field means the fragment has not been fragmented.Flag4.How many bytes from the very start of the Ethernet frame does the ASCII “G” in“GET” appear in the Ethernet frame?Answer：1)T he ASCII “G” appears 54 bytes from the very start of the Ethernet frame.2)Calculation process as follows:There are 14 bytes of Ethernet frame,20 bytes of IP header and 20 bytes of TCP header before data is encountered.5. What is the hexadecimal value of the CRC field in this Ethernet frame?Answer：1)There is no CRC field.2)Because the CRC calculated before the Wireshark packet sniffer start up.(2)Based on the contents of the Ethernet frame containing the first byte of the response message6. What is the value of the Ethernet source address? Is this the address of your computer, or of (Hint: the answer is no). What device has this as its Ethernet address?Answer：1)The value of the Ethernet source address is: 00:23:89:8d:50:71response message2)This is neither the address of your computer,northe address of .3)It is the address of my Linksys router,which is the link used to get ontomy subnet.7. What is the destination address in the Ethernet frame? Is this the Ethernet address of your computer?Answer：1)The destination address in the Ethernet frame is:c8:0a:a9:db:9b:f32)It is the address of my computer.(The 48-bit Ethernet address of my computer is:c8:0a:a9:db:9b:f3)8. Give the hexadecimal value for the two-byte Frame type field. What do the bit(s) whose value is 1 mean within the flag field?Answer：1)The hexadecimal value for the two-byte Frame type field is: 0x0800.2)The value is 1 within the flag field means the fragment has not been fragmented.Flag field9. How many bytes from the very start of the Ethernet frame does the ASCII “O” in“OK” (i.e., the response code) appear in the Ethernet frame?Answer：1)T he ASCII “O” appears 54 bytes from the very start of the Ethernet frame.2)Calculation process as follows:There are 14 bytes of Ethernet frame,20 bytes of IP header and 20 bytes of TCP header before data is encountered.10. What is the hexadecimal value of the CRC field in this Ethernet frame?Answer：1)There is no CRC field.2)The reason:Because the CRC calculated before the Wireshark packet sniffer start up.(二)The Address Resolution Protocol〔1〕ARP Caching11. Write down the contents of your computer’s ARP cache. What is the meaning of each column value?Answer：1)The Internet Address column contains the IP address,.2)The Physical Address column contains the MAC address, and the type indicates the protocol type.3)Observing ARP in action12. What are the hexadecimal values for the source and destination addresses in the Ethernet frame containing the ARP request message? Answer：1)The hexadecimal values for the source addresses in the Ethernet frame containing the ARP request message is: 00:23:89:8d:50:712)The destination addresses in the Ethernet frame containing the ARP request message is: ff:ff:ff:ff:ff:ff13. Give the hexadecimal value for the two-byte Ethernet Frame type field. What do the bit(s) whose value is 1 mean within the flag field? Answer：The hexadecimal value for the two-byte Ethernet Frame type field is:0x0806.14.Download the ARP specification fromftp:///innotes/std/std37.txt. A readable, detailed discussion of ARP is also at :///users/gorry/course/inet-pages/arp.html.a) How many bytes from the very beginning of the Ethernet frame doesthe ARP opcode field begin?Answer：The ARP opcode field begins 20 bytes from the very beginning of the Ethernet frame.b) What is the value of the opcode field within the ARP-payload part of the Ethernet frame in which an ARP request is made?Answer：The hex value for opcode field withing the ARP-payload of the request is 1.c) Does the ARP message contain the IP address of the sender? Answer：Yes, the ARP message containg the IP address 192.168.1.105 for the sender.d) Where in the ARP request does the “question” appear – the Ethernet address of the machine whose corresponding IP address is being queried?Answer：The field “Target MAC address” is set to 00:00:00:00:00:00 to question the machine whose corresponding IP address (192.168.1.105) is being queried.15.Now find the ARP reply that was sent in response to the ARP request.a) How many bytes from the very beginning of the Ethernet frame does the ARP opcode field begin?Answer：The ARP opcode field begins 20 bytes from the very beginning of the Ethernet frame.b) What is the value of the opcode field within the ARP-payload part of the Ethernet frame in which an ARP response is made?Answer：The hex value for opcode field withing the ARP-payload part of the Ethernet frame is 2．c) Where in the ARP message does the “answer” to the earlier ARP request appear –the IP address of the machine having the Ethernet address whose corresponding IP address is being queried?Answer：The answer to the earlier ARP request appears in the”Sender MAC address”field, which contains the Ethernet address 00:d0:59:a9:3d:68 for the sender with IP address 192.168.1.1.16. What are the hexadecimal values for the source and destination addresses in the Ethernet frame containing the ARP reply message? Answer：The hex value for the source address is 00:06:25:da:af:73 and for the destination is 00:d0:59:a9:3d:68 .17. Open the ethernet-ethereal-trace-1 trace file in:///wireshark-labs/wireshark-traces.zip. The first and second ARP packets in this trace correspond to an ARP request sent by the computer running Wireshark, and the ARP reply sent to the computer running Wireshark by the computer with the ARP-requested Ethernet address. But there is yet another computer on this network, as indiated by packet 6 – another ARP request. Why is there no ARP reply (sent in response to the ARP request in packet 6) in the packet trace? Answer：There is no reply in this trace, because we are not at the machinethat sent the request. The ARP request is broadcast, but the ARP reply is sent back directly to the sender’s Ethernet address.五、实验结论1.CRC在WireShark中是不能被抓到的，原因是CRC在抓包之前已经被计算好。