网络协议分析工具Wireshark的使用、用Wireshark观察ARP协议以及ping命令的工作过程分析以太网报文格式

 实验名称：

网络协议分析工具Wireshark的使用

 实验目的：

1）学习安装、使用网络协议分析工具Wireshark的方法；

2）通过Wireshark对arp、icmp、ip、udp、tcp等协议进行分析。

实验环境：

Win764位操作系统

实验内容：

1用Wireshark观察ARP协议以及ping命令的工作过程

1.1arp表为空的情况，目的地址为本网段

1）用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；

ipconfig/all   34:DE:1A:48:37:CB  172.16.140.72

2）用“arp”命令清空本机的缓存：arp-d

3）运行Wireshark，开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）;

过滤规则：ether host 00:15:C5:7B:30:A6 and(arp or icmp)

4）执行命令：“ping   本网段的IP地址” ；ping 172.16.140.72

5）分析执行流程、以太网帧中的MAC地址； 

1>arp请求mac地址分析

Mac帧地址分析：广播帧。目的地址：ff:ff:ff:ff:ff:ff   源地址：08:81:f4:94:17:68

帧类型：地址解析协议（0806）  地址的第一字段最低位是1，表示组地址。

2>arp应答mac地址分析

目的地址：34:de:1a:48:37:cb源地址：08:81:f4:94:17:68帧类型：地址解析协议（0806）

地址的第一字段最低位是1，表示组地址。

3>执行流程分析：因为执行arp –d清空本机缓存，本机在ARP表中找不到对应的MAC地址，则将缓存该数据报文，然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为本机IP地址和MAC地址，目标IP地址和目标MAC地址为本机的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。 

 

1.2arp表不为空的情况，目的地址为本网段

1）重复3.1.1的步骤，进行试验；

2）分析执行过程有何不同；

1>arp请求mac地址分析

目的地址：08:81:f4:94:17:68          源地址：34:de:1a:48:37:cb

帧类型：地址解析协议（0806）      地址的第一字段最低位是1，表示组地址。

2>arp应答mac地址分析

目的地址：34:de:1a:48:37:cb           源地址：08:81:f4:94:17:68

帧类型：地址解析协议（0806）       地址的第一字段最低位是1，表示组地址。

3>执行流程：本机首先查看自己的ARP表，确定其中包含有主机对应的ARP表项。找到了对应的MAC地址，直接利用ARP表中的MAC地址，对IP数据包进行帧封装，并将数据包发送给主机B。当主机B收到此请求时，进行响应。

 

1.3arp表为空的情况，目的地址不为本网段

       1）重复3.1.1的步骤，进行试验；

       2）分析arp解析与3.1.1有何不同；

       3）分析以太网帧中的MAC地址；

1>arp请求max帧分析

2>arpy应答mac帧分析

3>执行流程：主机A就会先向网关发出ARP请求，ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后，将报文封装并发给网关。如果网关没有主机B的ARP表项，网关会广播ARP请求，目标IP地址为主机B的IP地址，当网关从收到的响应报文中获得主机B的MAC地址后，就可以将报文发给主机B；如果网关已经有主机B的ARP表项，网关直接把报文发给主机B。

2 用Wireshark观察IP报文分片及以太网最小传输长度

1）执行ping –l 长度 目的IP；

可得最小帧长在size=0时获得。

2）分析参数长度小于多少时，数据链路层进行填充；

答：数据字段长度在46到1500字节之间，故小于46字节时，数据链路层进行填充。

3 分析以太网报文格式

目前主要有两种格式的以太网帧：Ethernet II（DIX 2.0）和IEEE 802.3。我们接触过的IP、ARP、EAP和QICQ协议使用Ethernet II帧结构，而STP协议则使用IEEE 802.3帧结构。

1）Ethernet II帧分析

帧长度为71字节，前导码的8个字节已经被除去，实际帧长79字节。目的地址为34:de:1a:48:37:cb

源地址：14:14:4b:77:30:5d

类型：IP协议（0800）

2）IEEE 802.2/802.3帧分析

4.分析arp协议

1）原理：地址解析协议，即ARP（AddressResolution Protocol），是根据IP地址获取物理地的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

2）报文格式

3)利用Wireshark对arp的解析见3.1

实验结果

用Wireshark观察ARP协议以及ping命令的工作过程。花费了一定时间摸索软件。实验完成。 用Wireshark观察IP报文分片及以太网最小传输长度。该实验中长度为1514字节长度的报文较难发现。实验基本完成。

通过本次试验，对ARP、ICMP协议和以太网报文格式有了深入理解。不足之处在于对软件不够熟练。