实验一 分析以太网数据帧的构成

实验一分析以太网数据帧的构成实验项目性质：验证性计划学时：2学时一、实验目的掌握以太网帧的构成，了解各个字段的含义；掌握网络协议分析软件的基本使用方法；掌握常用网络管理命令的使用方法。

二、实验原理数据链路层将不可靠的物理层转变为一条无差错的链路，涉及的数据单位是帧(frame)，高层的协议数据被封装在以太网帧的数据字段发送。

使用网络协议分析软件可以捕获各种协议数据包，通过查看这些协议数据包中数据链路帧的各字段可以分析网络协议的内部机制。

三、实验设备计算机及以太网环境。

四、实验内容与步骤1.打开网络协议分析软件（Ethereal）Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。

借助这个程序，我们既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

目前，Ethereal 能够解析761种协议数据包，选择菜单命令“Help”→“Supported Protocol”子菜单项可以查看详细信息。

2.选择菜单命令“Capture”→“Interfaces…”子菜单项。

弹出“Ethereal: Capture Interfaces”对话框。

此对话框列出了本地计算机中存在的网络适配器。

单击“Details”按钮可以查看对应适配器的详细信息。

从上图中可以看出，本机可用适配器的IP地址为：10.0.1.94。

单击“Capture”按钮可以立即开始捕获网络数据包，单击“Prepare”按钮可以在经过详细设置后开始捕获网络数据包。

3.单击“Prepare”按钮，弹出“Ethereal: Capture Options”对话框。

此对话框列出了当前可用适配器、本地计算机IP地址、数据捕获缓冲区大小、是否采用混杂模式、捕获数据包最大长度限制、数据捕获过滤规则等配制参数。

4.单击“Start”按钮，网络数据包捕获开始，同时弹出“Ethereal: Capture from ……”对话框。

试验一以太网帧的构成
练习一
帧类型发送序号N（S）接受序号N（R）Information ....00.. 000.....
Unnumbered 没有没有
简述“类型和长度”字段的两种含义。

答：这个字段值大于0x0600时（十进制的1536），就表示“类型”，只有当这个字段值小于0x0600时才表示“长度”，即MAC帧的数据部分长度
练习二
简述FFFFFF-FFFFFF作为目的MAC地址的作用。

答：以广播的形式向整个网络发送MAC帧
练习四
本机MAC地址源MAC地址目的MAC地址是否收到，
为什么
主机B000D87-DF7A8E000D87-DF9BB1000D87-DF997C收到
主机D收到
主机E收不到
主机F 收不到
A向C发送MAC帧，A——>共享模块——>交换模块——>共享模块——>C 【思考问题】
1．为什么IEEE802标准将数据链路层分割为MAC子层和LLC子层？
I EEE802参考模型将数据链路层划分为两个子层，媒体访问控制MAC 子层和逻辑链路控制LLC 子层。

MAC 子层与物理层相关联，而LLC子层则完全独立出来，为高层提供服务，这样就实现了物理层和数据链路层的完全独立，解决了l SO制定的计算机网络7 层参考模型（即OSI模型）中局域网物理层和数据链路层不能完全独立的问题。

2．为什么以太网有最短帧长度的要求？
以太网把争用期定为51.2us ，对于10Mb/s的以太网，在争用期内可以发送512bit，即64字节。

以太网在发送数据时，如果帧的前64字节没有发生冲突，那么后续的数据就不会发生冲突。

所以最短有效帧长为64字节。

分析以太网数据帧的构成2009-06-15 11:221.以太网的报文格式如下2.MAC地址的作用:不同物理主机(唯一的MAC标识)之间的通信地址，标识以太网上的每台主机，需要给每台主机上的网络适配器（网络接口卡）分配一个唯一的通信地址。

3.MAC广播地址的作用:48位全1的地址为MAC广播地址,其作用使主机发送一个ARP或其它广播协议包时同一网内的其它主机均能收到此包.4.LLC帧报文的格式如下；5.仿真编辑器和协议分析器的使用方法:用了很多次基本结构已了解.以太网数据帧的构成抓取一个原始IP包捕获一个数据包并分析数据链路层的帧结构No. Time Source Destination Protocol Info2350 703.174591 172.16.77.15 172.16.77.6 IP Fragmented IP protocol (proto=ICMP 0x01, off=1480) [Reassembled in #2393]Frame 2350 (1514 bytes on wire, 1514 bytes captured)Arrival Time: Jun 15, 2009 09:20:09.379091000[Time delta from previous captured frame: 0.000021000 seconds][Time delta from previous displayed frame: 0.000021000 seconds][Time since reference or first frame: 703.174591000 seconds]Frame Number: 2350Frame Length: 1514 bytesCapture Length: 1514 bytes[Frame is marked: False][Protocols in frame: eth:ip:data]分析数据链路层的帧结构Ethernet II, Src: AsustekC_97:2a:ee (厂家名_后3位16进制数为MAC)(00:13:d4:97:2a:ee)(源MAC,前6位16进制数代表网络硬件制造商的编号, 后3位16进制数代表该制造商所制造的某个网络产品（如网卡）的系列号), Dst: AsustekC_97:2b:17 (00:13:d4:97:2b:17)(目标MAC)Destination: AsustekC_97:2b:17 (00:13:d4:97:2b:17)目标MACAddress: AsustekC_97:2b:17 (00:13:d4:97:2b:17).... ...0 .... .... .... .... = IG bit: Individual address (unicast) 无效单播地址.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)全局唯一地址(厂家默认)Source: AsustekC_97:2a:ee (00:13:d4:97:2a:ee)源MACAddress: AsustekC_97:2a:ee (00:13:d4:97:2a:ee).... ...0 .... .... .... .... = IG bit: Individual address (unicast) 无效单播地址.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) 全局唯一地址(厂家默认)Type: IP (0x0800)类型IPInternet Protocol, Src: 172.16.77.15 (172.16.77.15), Dst: 172.16.77.6 (172.16.77.6) Version: 4Header length: 20 bytesDifferentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)0000 00.. = Differentiated Services Codepoint: Default (0x00).... ..0. = ECN-Capable Transport (ECT): 0.... ...0 = ECN-CE: 0Total Length: 1500Identification: 0x490d (18701)Flags: 0x02 (More Fragments)0... = Reserved bit: Not set.0.. = Don't fragment: Not set..1. = More fragments: SetFragment offset: 1480Ti me to live: 128Protocol: ICMP (0x01)Header checksum: 0xd924 [correct][Good: True][Bad : False]Source: 172.16.77.15 (172.16.77.15)Destination: 172.16.77.6 (172.16.77.6)Reassembled IP in frame: 2393以太网帧格式2009-06-15 11:06目前，有四种不同格式的以太网帧在使用，它们分别是：●Ethernet II即DIX 2.0：Xerox与DEC、Intel在1982年制定的以太网标准帧格式。

实验一以太网链路层帧格式分析实验目的1、分析Ethernet V2 标准规定的MAC 层帧结构，了解IEEE802.3 标准规定的MAC 层帧结构和TCP/IP 的主要协议和协议的层次结构；2、掌握网络协议分析软件的基本使用方法；3、掌握网络协议编辑软件的基本使用方法。

实验学时3学时实验类型验证型实验内容1、学习网络协议编辑软件的各组成部分及其功能；2、学习网络协议分析软件的各组成部分及其功能；3、学会使用网络协议编辑软件编辑以太网数据包；4、理解MAC地址的作用；5、理解MAC首部中的LLC—PDU 长度/类型字段的功能；6、学会观察并分析地址本中的MAC地址。

实验流程实验环境局域网环境，1台PC机。

实验原理详见《计算机网络》教材（P79和P92）或相关书籍，然后进行说明阐述实验步骤步骤1：运行ipconfig命令1、在Windows的命令提示符界面中输入命令：ipconfig /all，会显示本机的网络信息：2、观察运行结果，获得本机的以太网地址。

步骤2：编辑LLC信息帧并发送1、在主机A，打开协议编辑软件，在工具栏选择“添加”，会弹出“协议模版”的对话框，如图所示，在“选择生成的网络包”下拉列表中选择“LLC协议模版”，建立一个LLC帧；添加一个数据包2、在“协议模版”对话框中点击“确定”按钮后，会出现新建立的数据帧，此时在协议编辑软件的各部分会显示出该帧的信息。

如图所示：新建的LLC帧数据包列表区中显示：新帧的序号(为0)、概要信息；协议树中显示以太网MAC层协议；数据包编辑区中显示新帧各字段的默认值；十六进制显示区中显示新帧对应的十六进制信息。

3、编辑LLC帧在数据包编辑区中编辑该帧；具体步骤为：编辑LLC帧填写“目的物理地址”字段；方法一：手工填写。

方法二：选择”地址本”中主机B的IP地址，确定后即可填入主机B的MAC地址；填写“源物理地址”字段，方法同上，此处为了提示这是一个在协议编辑软件中编辑的帧，填入一个不存在的源物理地址；注意：协议编辑软件可以编辑本机发送的MAC帧，也可以编辑另一台主机发送MAC 帧，所以，源物理地址字段可以填写本机MAC地址，也可以填写其他主机的物理地址。

院系：计算机学院实验课程：计算机网络实验实验项目：以太网帧的构成指导老师：XXX开课时间：XXXX ～ XXXX年度第 2学期专业：XXXX班级：XXXX级本X班学生：XXX学号：XXXXXXXX实验一以太网帧的构成一、实验目的掌握以太网帧的构成模式，能够识别不同的MAC地址并理解MAC地址的作用，了解网络故障分析仪的基本使用方法。

二、实验学时4学时三、实验类型综合型四、实验要求1．了解协议仿真编辑器的五个组成部分及其功能2．了解网络协议分析仪的各组成部分及其功能3．学会使用协议仿真编辑器编辑以太网帧，包括单帧和多帧的编辑4．学会观察并分析地址本中的MAC地址5．学会分析以太网帧的MAC首部6．理解MAC地址的作用7．理解MAC首部中的LLC-PDU长度/类型字段五、实验原理(1)6 6 2帧类型字段：表示后面数据类型。

例如0x0806表示ARP请求或应答。

(2) 太网帧的构成14 20－60 根据协议而定(TCP20-60)4(3) 其他原理请参考教材：第一章：计算机网络的基本概念第二章：局域网技术六、实验步骤（一）仿真机端练习一：运行ipconfig命令1．启动网络协议仿真编辑器，选择“工具”菜单栏中的IPCONFIG项，观察ipconfig /all；命令下的运行结果，获得本机的主机名及以太网地址。

Ethernet adapter 本地连接2:Connection-specific DNS Suffix . :Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network ConnectionPhysical Address. . . . . . . . . : 00-13-20-AA-F4-7CDHCP Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : 192.168.0.100Subnet Mask . . . . . . . . . . . : 255.255.255.0IP Address. . . . . . . . . . . . : fe80::213:20ff:feaa:f47c%7Default Gateway . . . . . . . . . :DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%2fec0:0:0:ffff::2%2fec0:0:0:ffff::3%22．在地址本中找到本机的信息练习二：单帧编辑并发送1．打开协议仿真编辑器，在界面初始状态下，程序会自动新建一个单帧。

实验一 Ethernet帧结构解析一．需求分析实验目的：（1）掌握Ethernet帧各个字段的含义与帧接收过程；（2）掌握Ethernet帧解析软件设计与编程方法；（3）掌握Ethernet帧CRC校验算法原理与软件实现方法。

实验任务：（1）捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即Ethernet II）格式的帧并进行分析。

（2）捕捉并分析局域网上的所有ethernet broadcast帧进行分析。

（3）捕捉局域网上的所有ethernet multicast帧进行分析。

实验环境：安装好Windows 2000 Server操作系统+Ethereal的计算机实验时间; 2节课二．概要设计1.原理概述：以太网这个术语通常是指由DEC，Intel和Xerox公司在1982年联合公布的一个标准，它是当今TCP/IP采用的主要的局域网技术，它采用一种称作CSMA/CD的媒体接入方法。

几年后，IEEE802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络；此三种帧的通用部分由802.2标准来定义，也就是我们熟悉的802网络共有的逻辑链路控制（LLC）。

以太网帧是OSI参考模型数据链路层的封装，网络层的数据包被加上帧头和帧尾，构成可由数据链路层识别的数据帧。

虽然帧头和帧尾所用的字节数是固定不变的，但根据被封装数据包大小的不同，以太网帧的长度也随之变化，变化的范围是64-1518字节（不包括8字节的前导字）。

帧格式 Ethernet II和IEEE802.3的帧格式分别如下。

EthernetrII帧格式：----------------------------------------------------------------------------------------------| 前序 | 目的地址 | 源地址 | 类型 | 数据| FCS |----------------------------------------------------------------------------------------------| 8 byte | 6 byte | 6 byte | 2 byte | 46~1500 byte | 4 byte| IEEE802.3一般帧格式----------------------------------------------------------------------------------------------------------- | 前序 | 帧起始定界符 | 目的地址 |源地址| 长度| 数据| FCS | ----------------------------------------------------------------------------------------------------------- | 7 byte | 1 byte | 2/6 byte | 2/6 byte| 2 byte| 46~1500 byte | 4 byte | Ethernet II和IEEE802.3的帧格式比较类似，主要的不同点在于前者定义的2字节的类型，而后者定义的是2字节的长度；所幸的是，后者定义的有效长度值与前者定义的有效类型值无一相同，这样就容易区分两种帧格式2程序流程图：三．详细设计：1.CRC校验部分设计：为了对以太网帧的对错进行检验，需要设计CRC校验部分。

常见以太网帧结构详解以太网是一个常用的局域网技术，其数据传输是以帧的形式进行的。

以太网帧是以太网数据传输的基本单位，通过帧头、帧数据和帧尾等部分来描述有效载荷的数据。

以太网帧的结构如下：1. 帧前同步码（Preamble）：以太网帧的开始部分有7个字节的帧前同步码，其作用是为接收端提供定时的参考，帮助接收端进行帧同步。

2.帧起始界定符（SFD）：帧前同步码之后的1字节帧起始界定符为0x55，标志着以太网帧的开始。

3. 目标MAC地址（Destination MAC Address）：目标MAC地址占6个字节，表示帧的接收者的MAC地址。

4. 源MAC地址（Source MAC Address）：源MAC地址占6个字节，表示帧的发送者的MAC地址。

5. 长度/类型字段（Length/Type Field）：长度/类型字段占2个字节，当该字段的值小于等于1500时，表示以太网帧的长度；当该字段大于等于1536时，表示该字段定义了帧中的协议类型。

6. 帧数据（Data）：帧数据部分是以太网帧的有效载荷，其长度为46到1500字节，不包括帧头和帧尾。

7. 帧校验序列（Frame Check Sequence，FCS）：帧校验序列占4个字节，主要用于对帧进行错误检测，以保证数据的可靠性。

8. 帧尾（Frame Check Sequence，FCS）：帧尾占4个字节，用于标识以太网帧的结束。

以太网帧的长度为64到1518字节，其中有效载荷部分数据长度为46到1500字节，不同帧的长度可以根据网络需求进行调整。

在发送以太网帧时，发送方会在帧尾的后面添加额外的字节以保证整个帧的长度达到最低限制。

这些额外的字节即填充字节（Padding），用于使帧长达到最小限制的要求。

以上是以太网帧的常见结构，它描述了以太网帧的各个部分的作用和位置。

了解以太网帧的结构对于理解以太网的工作原理和网络通信非常重要。

实验⼀以太⽹数据帧的构成【实验⼀以太⽹数据帧的构成】【实验⽬的】1、掌握以太⽹帧的构成，了解各个字段的含义；2、能够识别不同的MAC地址并理解MAC地址的作⽤；3、掌握⽹络协议分析器的基本使⽤⽅法；4、掌握协议仿真编辑器的基本使⽤⽅法；【实验学时】4学时；【实验类型】验证型；【实验内容】1、学习协议仿真编辑器的五个组成部分及其功能；2、学习⽹络协议分析器的各组成部分及其功能；3、学会使⽤协议仿真编辑器编辑以太⽹帧，包括单帧和多帧；4、学会分析以太⽹帧的MAC⾸部；5、理解MAC地址的作⽤；6、理解MAC⾸部中的LLC-PDU长度/类型字段的功能；7、学会观察并分析地址本中的MAC地址；8、了解LLC-PDU的内容；【实验原理】局域⽹（LAN）是在⼀个⼩的范围内，将分散的独⽴计算机系统互联起来，实现资源的共享和数据通信。

局域⽹的技术要素包括了体系结构和标准、传输媒体、拓扑结构、数据编码、媒体访问控制和逻辑链路控制等，其中主要的技术是传输媒体、拓扑结构和媒体访问控制⽅法。

局域⽹的主要的特点是：地理分布范围⼩、数据传输速率⾼、误码率低和协议简单等。

1、三个主要技术⑴传输媒体：双绞线、同轴电缆、光缆、⽆线。

⑵拓扑结构：总线型拓扑、星型拓扑和环型拓扑。

⑶媒体访问控制⽅法：载波监听多路访问/冲突检测（CSMA/CD）技术。

2、IEEE 802标准的局域⽹参考模型IEEE 802参考模型包括了OSI/RM最低两层（物理层和数据链路层）的功能。

OSI/RM的数据链路层功能，在局域⽹参考模型中被分成媒体访问控制MAC（Medium Access Control）和逻辑链路控制LLC（Logical Link Control）两个⼦层。

由于局域⽹采⽤的媒体有多种，对应的媒体访问控制⽅法也有多种，为了使数据帧的传送独⽴于所采⽤的物理媒体和媒体访问控制⽅法，IEEE 802 标准特意把LLC 独⽴出来形成单独⼦层，使LLC⼦层与媒体⽆关，仅让MAC⼦层依赖于物理媒体和媒体访问控制⽅法。

实验一以太网帧的构成一．实验目的1.掌握以太网的报文格式2. 掌握MAC地址的作用3. 掌握MAC广播地址的作用4. 掌握LLC帧报文格式5. 掌握仿真编辑器和协议分析器的使用方法二.实验原理:1、两种不同的MAC帧格式常用的以太网MAC帧格式有两种标准，一种是DIX Ethernet V2标准；另一种是IEEE的802.3标准。

目前MAC帧最常用的是以太网V2的格式。

2、MAC层的硬件地址1.在局域网中，硬件地址又称物理地址或MAC地址，它是数据帧在MAC层传输的一个非常重要的标识符。

2.网卡从网络上收到一个 MAC 帧后，首先检查其MAC 地址，如果是发往本站的帧就收下；否则就将此帧丢弃。

这里“发往本站的帧”包括以下三种帧：单播(unicast)帧（一对一），即一个站点发送给另一个站点的帧。

广播(broadcast)帧（一对全体），即发送给所有站点的帧(全1地址)。

多播(multicast)帧（一对多），即发送给一部分站点的帧。

三．实验内容:MAC广播帧实验操作步骤：一、试验网络拓扑验证1.验证结果E、F无法连接，故只对ABCD进行实验仿真编辑器。

2.主机D启动仿真编辑器。

3.主机D编辑一个MAC帧：目的MAC地址：FFFFFF-FFFFFF。

源MAC地址：主机D的MAC地址。

协议类型或数据长度：0x0601。

数据字段：编辑长度在46—1500字节之间的数据。

4.主机A、B、C启动协议分析器，打开捕获窗口进行数据捕获并设置过滤条件（源MAC地址为主机D的MAC地址）。

4.主机D发送已编辑好的数据帧。

5.主机A、B、C、上停止捕获数据，察看捕获到的数据中是否含有主机D所发送的数据帧。

主机ABC捕捉图思考：结合练习二的实验结果，简述FFFFFF-FFFFFF作为目的MAC地址的作用。

答：以 FFFFFF-FFFFFF 作为目的 MAC 地址时，发送数据的主机所发送数据被所有在此局域网上的主机接收，也就是这个地址代表所有局域网内其他主机的MAC 地址，使发送数据主机以广播方式发送数据。

计算机网络实验指导华北电力大学2019年7月目录第一章实验概述 (1)第二章仿真编辑器使用说明 (2)第三章协议分析器使用说明 (10)第四章计算机网络实验—基本实验 (14)实验 1 数据链路层：以太网帧的构成 (14)实验 2 网络层：地址转换协议ARP (17)实验 3 网络层：网际协议IP (21)实验 4 网络层：Internet控制报文协议ICMP (27)实验 5 传输层：用户数据报协议UDP (33)实验 6 传输层：传输控制协议TCP (37)实验7 网络地址转换NAT (42)实验8 静态路由与路由信息协议RIP (45)实验9 网络综合实验 (51)附录三种网络结构图 (52)第一章实验概述【实验环境】每个实验均要求以下实验环境：1.服务器一台：装有HTTP、FTP、TELNET、MAIL、DHCP、DNS等服务。

2.中心设备一台。

3.组控设备若干。

4.实验机：运行网络协议仿真教学系统通用版程序。

5.Visual Studio 2003（C＋＋，C#）。

【实验内容】《计算机网络实验指导》根据教学内容将实验划分为九个基本实验。

希望学生能够通过一系列的实验对TCP/IP协议有一个更深刻的理解。

实验1 数据链路层：以太网帧的构成：该实验类型为验证性实验，要求学生在了解网络协议仿真教学系统平台的基础上，学会使用仿真编辑器编辑以太网帧，学会两种不同MAC帧格式，认真观察和分析以太网帧的MAC首部。

实验教学效果达到理解MAC地址、MAC广播地址的作用。

实验2 网络层：地址转换协议 ARP：该实验类型为验证性实验，要求学生在理解IP地址与MAC地址对应关系的基础上，掌握ARP协议的报文格式、作用与工作原理。

实验教学效果达到利用ARP协议的工作原理，设计类似ARP协议程序，学会在局域网中查找MAC地址。

实验3 网络层：网际协议IP：该实验类型为验证性实验，要求学生学会分类IP地址，掌握IP数据报的格式、长度以及各字段的功能，掌握路由转发的原理。

实验一以太网帧的构成练习一：编辑并发送LLC帧步骤4实验记录：帧内容分析：这一字段定义为长度或类型字段。

如果字段的值小于1518，它就是长度字段，用于定义下面数据字段的长度；另一方面，如果字段的值大于1536，它定义一个封装在帧中的PDU分组的类型。

实验步骤截图如下：练习二：编辑并发送MAC广播帧简述FFFFFF-FFFFFF作为目的MAC地址的作用。

该地址为广播地址，作用是完成一对多的通信方式，即一个数据帧可发送给同一网段内的所有节点。

练习三：领略真实的MAC帧由实验得到的MAC帧可知：ＭＡＣ帧头有MAC目的地址、MAC源地址、类型；IP字段有总长度、生存时间、目的IP、源IP、校验等等内容；ICMP有，ICMP类型、Checksum 校验和、Code 代码、ICMP报文类型、ICMP报文的数据长度；综上可总结出，MAC帧是IP数据报在数据链路层运输时包装的结果。

练习四：理解MAC地址的作用步骤3的实验记录：五、实验总结与心得通过本次实验，我了解了以太网的报文格式、MAC地址的作用、MAC 广播地址的作用、LLC帧报文格式以及仿真编辑器、协议分析器的使用方法。

我认为这为我以后做好后面的几个实验做好了一定的准备。

另外，由于我本身知识点的局限性，我认为还有需要知识点要加强巩固，所以操作起来会比较笨拙刻板，做到真正的理论与实践相结合最好。

【思考问题】1．出于厂商们在商业上的激烈竞争，IEEE的802委员会未能形成一个统一的、最佳的局域网标准，而是被迫制定了几个不同标准，如802.4令牌总线网、802.5令牌环网等。

为了使数据链路层能更好地适应多种局域网标准，802委员会就将局域网的数据链路层拆成两个子层，即逻辑链路控制LLC子层和媒体接入控制MAC子层。

与接入到传输媒体有关的内容都放在MAC子层，而LLC子层与传输媒体无关，不管采用何种协议的局域网对LLC子层来说都是透明的。

（摘自《计算机网络》P95）2．传统的以太网是共享性局域网，采用载波侦听多路访问/冲突检测CSMA/CD协议。

以太⽹帧格式分析实验报告IP,⽽MAC地址就是伪造的,则当A接收到伪造的ARP应答后,就会更新本地的ARP缓存,这样在A瞧来B 的IP地址没有变,⽽它的MAC地址已经不就是原来那个了。

由于局域⽹的⽹络流通不就是根据IP地址进⾏,⽽就是按照MAC地址进⾏传输。

所以,那个伪造出来的MAC地址在A上被改变成⼀个不存在的MAC 地址,这样就会造成⽹络不通,导致A不能Ping通B！这就就是⼀个简单的ARP欺骗。

【实验体会】这次实验最⼤的感触就是体会到了⽹络通信过程的趣味性。

在做ping同学IP的实验时,我发现抓到的包之间有紧密的联系,相互的应答过程很像实际⽣活中⼈们之间的对话。

尤其就是ARP帧,为了获得对⽅的MAC地址,乐此不疲地在⽹络中⼴播“谁有IP为XXX的主机？”,如果运⽓好,会收到⽹桥中某个路由器发来的回复“我知道,XXX的MAC地址就是YYY！”。

另外,通过ping同学主机的实验,以及对实验过程中问题的分析,使我对之前模糊不清的⼀些概念有了全⾯的认识,如交换机、路由器的区别与功能,局域⽹各层次的传输顺序与规则等。

还有⼀点就就是,Wireshark不就是万能的,也会有错误、不全⾯的地⽅,这时更考验我们的理论分析与实践论证能⼒。

成绩优良中及格不及格教师签名: ⽇期:【实验作业】1 观察并分析通常的以太⽹帧1、1 以太⽹帧格式⽬前主要有两种格式的以太⽹帧:Ethernet II(DIX 2、0)与IEEE 802、3。

我们接触过的IP、ARP、EAP 与QICQ协议使⽤Ethernet II帧结构,⽽STP协议则使⽤IEEE 802、3帧结构。

Ethernet II就是由Xerox与DEC、Intel(DIX)在1982年制定的以太⽹标准帧格式,后来被定义在RFC894中。

IEEE 802、3就是IEEE 802委员会在1985年公布的以太⽹标准封装结构(可以瞧出⼆者时间相差不多,竞争激烈),RFC1042规定了该标准(但终究⼆者都写进了IAB管理的RFC⽂档中)。

成绩评阅人评阅日期计算机科学与技术系实验报告课程名称：计算机网络实验名称：用协议分析器分析以太帧结构班级：学号：姓名：年月日实验一用协议分析器分析以太帧结构【实验目的】1.熟悉网络协议分析的原理。

2.熟悉网络协议分析软件Ethereal的使用。

3.掌握Ethernet帧的构成【实验内容】1.学习使用网络协议分析软件Ethereal。

2.捕捉任何主机发出的DIX Ethernet V2（即Ethernet Ⅱ）格式的帧并进行分析。

3.捕捉并分析局域网上的所有Ethernet broadcast帧进行分析。

4.捕捉局域网上的所有Ethernet multicast帧进行分析。

【实验原理】1.网络协议分析原理网络协议分析是截获网络上正在传输的数据报文，并对数据报文的内容进行分析。

网络协议分析需要截获网络上的所有报文，根据上面对网卡接收模式的分析，只要将网卡的接收模式置于混杂模式即可实现。

在接收到网络上所有的数据报文后，通过相应的网络协议分析软件进行处理，可以实时分析这些数据的内容，进而分析网络状态和整体布局。

网络协议分析技术主要用来帮助网络管理员对网络进行管理。

通过网络协议分析技术，网络管理员可以了解目前网络中正在应用的协议种类，每种协议所占的比例，及哪些设备应用哪些协议进行通讯；同时可以分析协议应用的合理性与有效性，从而合理的选择协议，节约有限的网络宽带，提高网络传输效率；另外，可以诊断出大量的不可见模糊问题，为管理员管理网络区域提供了非常宝贵的信息。

2. 以太网数据帧的格式分析以太网这个术语一般是指数字设备公司（Digital Equipment）、英特尔公司（Intel）和施乐公司（Xerox）在1982年联合公布的一个标准（实际上它是第二版本）。

它是目前TCP/IP 网络采用的主要的局域网技术。

1985年，IEEE（电子电气工程师协会）802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络。

以太网帧的构成通信1201 11212101114 卢超实验运行结果为：捕获源MAC地址为：00-0f-e2-cc-d0-f9 的帧进行分析：由上图可见，其目的MAC地址为：01-00-5e-40-98-8f，上层协议是UDP。

对思考题的回答：（1）我的计算机主机的MAC地址是（见图），它是一个本地管理的MAC地址。

以太网：80-c1-6e-4d-eb-9d无限网卡：c0-18-85-27-b2-32（2）以太网帧中的目的MAC地址是：０１－００－５ｅ－４０－９８－８ｆ。

这个地址并非目的主机的MAC地址，它是下一跳的MAC地址。

（3）两个字节的帧类型字段的十六进制值是：０ｘ０８００它意味着，上层采用的是IP协议，封装的是IP数据报，需要把MAC帧的数据部分交付给IP协议栈处理。

（４）以太网帧的CRC（checksum）的值为：０ｘ４ｆ２ｄ．地址解析协议ARP协议实验1.查看地址转换表：2.通过ping命令，增加地址转换表记录（1.）ping本子网的主机地址，结果为ping过以后的地址转换记录：（2）ping外网，如百度（202.108.22.5）的结果：ping过以后的arp映射表：3.使用s参数及d参数增加和删除地址转换表记录：可能是系统设置问题，我的PC没有成功，具体如下：4.对思考题的回答：（1）ping本子网的主机地址后，地址转换表会自动记录下IP与MAC的映射关系；Ping外网的站点后，地址转换表并没有记录下IP与MAC的映射关系。

（２）ＡＲＰ协议广播的范围：ＩＣＭＰ协议实验１.测试本机网卡的连通性，执行ｐｉｎｇ１２７．０．０．１命令：可见网卡本身已经连通。

２.启动wireshark软件捕获数据报：３.ｐｉｎｇ新浪ｎｅｗｓ．ｓｉｎａ．ｃｏｍ．ｃｎ，同时捕获数据报。

捕获的数据报为：（协议筛选为ＩＣＭＰ）：其中一个一个ICMP数据报文的request:对应的reply为：对思考题的回答：（1）我的主机的IP地址是58.63.236.41，目的主机的IP地址是10.120.106.10（2）发送的ping请求ICMP报文的头部的类型字段是flags：0x00,编码字段是Identification:0xe3df,校验和checksum为0x66f7,是两个字节。

实验报告实验名称以太网帧分层结构分析队别姓名学号实验日期2015.3.15实验报告要求：1.实验目的 2.实验要求 3.实验环境 4.实验作业5.问题及解决6.思考问题7.实验体会【实验目的】1．复习Wireshark抓包工具的使用及数据包分析方法。

2．通过分析以太网帧了解以太网数据包传输原理。

【实验要求】用Wireshark1.4.9截包，分析数据包。

观察以太网帧，Ping同学的IP地址，得到自己和同学的mac地址。

观察以太网广播地址，观察ARP请求的帧中目标mac地址的格式。

用ping-l指定数据包长度，观察最小帧长和最大帧长。

观察封装IP和ARP的帧中的类型字段。

【实验环境】用以太网交换机连接起来的windows 7操作系统的计算机，通过802.1x方式接入Internet。

【实验中出现问题及解决方法】1．在使用命令行“ping -l 0 IP”观察最小帧长时抓到了长度为42字节的帧，与理论上最小帧长64字节相差甚远。

通过询问教员和简单的分析，知道了缺少字节的原因是当Wireshark抓到这个ping请求包时，物理层还没有将填充（Trailer）字符加到数据段后面，也没有算出最后4字节的校验和序列，导致出现最小42字节的“半成品”帧。

可以通过网卡的设置将这个过程提前。

2．在做ping同学主机的实验中，发现抓到的所有ping请求帧中IP数据部分的头校验和都是错误的。

原本以为错误的原因与上一个问题有关，即校验和错误是因为物理层还没有将填充字符加到数据段后面。

但是这个想法很快被证明是错误的，因为在观察最大帧长时，不需要填充字符的帧也有同样的错误。

一个有趣的现象是，封装在更里层的ICMP数据包的校验和都是正确的。

这就表明IP层的头校验和错误并没有影响正常通信。

进一步观察发现，这些出错的头校验和的值都是0x0000，这显然不是偶然的错误。

虽然目前还没有得到权威的答案，但是可以推测，可能是这一项校验实际上并没有被启用。

一、实验目的1.了解协议分析器安装；2.了解协议分析器使用方法和基本特点；3.分析以太网层的数据帧格式（包括源地址、目的地址和上层协议）。

二、实验前的准备1.了解协议分析器的功能和工作原理；2.了解Ethereal分析器的使用方法；3.阅读实验的相关阅读文献。

三、实验内容1.Ethereal协议分析器并安装。

记录安装过程。

2.分析以太网层的数据帧格式（包括源地址、目的地址和上层协议），下图是打开的已经捕获的文件界面，选中第4个组，再选中Ethernet 层即以太网层。

观察帧信息。

3.自己捕获网络活动，并形成一个数据文件。

查看其特点。

四、实验要求1.完成上述实验内容；2.记录捕获的关键数据。

附件：Ethereal 简介及安装说明Ethereal 简介及使用说明Ethereal 是一款免费的网络协议分析程序，支持Unix、Linux、Windows，它可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。

用户能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。

Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

对于我们学习来说，可以通过Ethereal 观察网络活动跟踪记录来学习因特网所基于的网络协议。

1.Ethereal的安装：略2.Ethereal的使用简介：2.1 启动Ethereal：Ethereal启动后，如图1。

图1 Ethereal启动界面我们可以从Capture(捕获)项中选择Start开始捕获。

2.2 Capture(捕获)设置可以在Capture项中选择Options(捕获选项)对话框进行设置，见图2。

图2 Options(捕获选项)对话框以下对Options(捕获选项)对话框的部分选项进行简要介绍，方便大家学习使用。

Interface(接口)这项用于选择跟踪所用的接口。

如以太网接口或无线网络接口。