抓包分析(以太网帧 ARP)

网络抓包分析实验报告

一：实验目的：

1.学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：

1：分析以太网帧格式。

2：分析ARP报文格式。

三：实验工具

Wireshark抓包软件

四：实验步骤

1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。或单击“Capture”，配置“option”

选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构

五：分析

1.以太网帧格式：以太网共有4种个格式

一)：Ethernet II

是DIX以太网联盟推出的，它由6个字节的目的MAC地址，6个字节的源MAC 地址，2个字节的类型域（用于表示装在这个Frame、里面数据的类型)，以上为Frame Header,接下来是46--1500 字节的数据，和4字节的帧校验）

二)：Novell Ethernet

它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame，由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。

三)：IEEE 802.3/802.2

802.3的Frame Header和Ethernet II的帧头有所不同，它把EthernetII

类型域变成了长度域(与Novell Ethernet相同)。其中又引入802.2协议(LLC)在802.3帧头后面添加了一个LLC首部,由DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte,一个控制域 1 byte! SAP用于表示

帧的上层协议。

四)：Ethernet SNAP

Ethernet SNAP Frame与802.3/802.2 Frame的最大区别是增加了一个5 Bytes的SNAP ID，其中前面3个byte通常与源mac地址的前三个bytes相同，为厂商代码！有时也可设为0。后2 bytes 与Ethernet II的类型域相同。

本次实验抓包分析Ethernet II的帧格式：截图：

有截图分析得：

目的端口的MAC地址：ac:81:12:00:91:a4.

源端口的MAC地址：f4:ec:38:37:53:3e

类型：IP(0x0800)

2:分析ＡＲＰ报文格式：

抓包截图：

硬件类型: Ethernet

协议类型: IP

硬件地址长度: ６

协议地址长度: 4

操作类型: reply（应答）

源物理地址: ac:81:12:00:91:a4

源IP地址: 192.168.1.100

目标物理地址: 48:5d60:9a:f7:0e

目标IP地址: 192.168.1.101

六：实践总结

通过这次试验，培养了自己动手的能力，另外，通过对wireshark抓包软件的使用，用其来抓取数据包，通过对以太网帧格式的分析，加深了对以太网的了解，对ARP报文的分析，对地址解析协议有了进一步的了解，并且把课本上多学的理论知识与实践结合起来，对以前的知识得到深化和巩固，为以后学习新的知识打下基础，也提高了学习的兴趣，收获很大。