实验：Wireshark 抓包软件的使用及MAC协议分析

实验目的

1、理解抓包软件的工作原理；
2、掌握Wireshark软件的安装和使用方法。
3、掌握MAC协议分析的技术与方法

实验任务

1、安装和运行Wireshark软件；
2、使用Wireshark软件抓取网络报文；
3、选取两个以上的以太网报文进行深入对比分析。

实验环境及工具

硬件：连接互联网的PC机；
软件：Wireshark 3.6.2。

实验记录（尽可能详细记录每个实验任务的过程与现象）

1、安装和运行Wireshark软件；
到官网下载网络抓包工具Wireshark，可以从https://www.wireshark.org/下载。注意在安装过程中要点勾这个Install Npcap ，下面的提示是说如果崩溃，要以管理员身份运行。后面一直默认Install / Net 就行。

2、使用Wireshark软件抓取网络报文；
1)首先车看自己的电脑的联网状态、连的是什么网，控制面板\网络和 Internet\网络连接。

2)打开Wireshark 网络分析器监听；打开“命令提示符”窗口（win + R -> cmd），输入 ipconfig /all 查看

打开Wireshark，选择捕获过滤器（双击）

3、选取来回的两个以太网的帧进行深入分析。
输入一个互联网地址，例如：win+R ,cmd , ping baidu.com


(以太网帧首部的硬件地址填FF:FF:FF:FF:FF:FF表示广播）
1）查找过滤信息（ip.addr == 目的ip）

第二栏里依次往下是物理层数据帧概况、数据链路层以太网帧、网络层IP、网络层控制信息（icmp）。
2）根据实验目的“重点观察以太网帧的 Destination 和 Source 的 MAC 地址，辨识 MAC 地址类型，解读 OUI 信息、I/G 和 G/L 位”

MAC（硬件）地址长48位（6字节），采用十六进制格式，下图说明了48位的MAC地址及其组成部分。

组织唯一标识符（OUI）由IEEE（电气和电子工程师协会）分配给厂商，它包含24位。厂商再用剩下的24位（EUI，扩展唯一标识符）为其生产的每个网卡分配一个全球唯一的全局管理地址，一般来说大厂商都会购买多个OUI。
I/G（Individual/Group）位，如果I/G=0，则是某台设备的MAC地址，即单播地址；如果I/G=1，则是多播地址（组播+广播=多播）。
G/L（Global/Local，也称为U/L位，其中U表示Universal）位，如果G/L=0，则是全局管理地址，由IEEE分配；如果G/L=1，则是本地管理地址，是网络管理员为了加强自己对网络管理而指定的地址。

思考题

1. 使用了显示过滤器后，Wireshark 的抓包工作量会减少吗？
   不会减少，过滤只是查找只显示的信息，不会减少任何抓包工作量。
   但捕抓过滤会减少，对确定的捕抓类型抓包。

2. MAC 帧的长度和 IP 数据报的长度有怎样的关系？请用你的数据记录进行验证。
   MAC帧 = 6字节源mac地址 + 6字节目标mac地址 + 2字节类型（ipv4或ipv6） + ip数据报（46~1500字节）+ 4字节帧检验序列FCS
   MAC帧长度是需要在64~1518字节之间的，太长或者太短都是无效的帧。

3. 假设本机 IP 地址是 192.168.0.38，在本机上运行 Wireshark 捕获报文，使用 “ip.addr == 192.168.0.38”作为过滤条件，能否过滤出本机发出/收到的 ARP 报文？为什么？
   能，免费ARP指主机发送ARP查找自己的IP地址，通常发生在系统引导期间进行接口配置时。与标准ARP的区别就是免费ARP分组的目的IP地址字段封装的是自己的IP地址，即向所在网络请求自己的MAC地址。

4. ping 同一局域网内的主机和局域网外的主机，都会产生 ARP 报文么？所产生的 ARP 报文有何不同，为什么？
   Ping查找地址那就都会产生ARP报文。

它们的发送端mac地址不同，同一局域网则是该连接的交换机mac,局域网外则是目的端交换机的mac

5. ARP 请求数据包是支撑 TCP/IP 协议正常运作的广播包。如果滥发或错发 ARP 广播包会产生那些不良影响？如何发现和应对？
   会产生ARP攻击

6. 什么是免费 ARP（Gratuitous ARP）？它的作用是什么？请使用 Wireshark 进行捕 捉和分析
   免费ARP指主机发送ARP查找自己的IP地址，通常发生在系统引导期间进行接口配置时。与标准ARP的区别就是免费ARP分组的目的IP地址字段封装的是自己的IP地址，即向所在网络请求自己的MAC地址。

1. 一个主机可以通过它来确定另一个主机是否设置了相同的 IP地址。　　　正常情况下发送免费ARP请求不会收到ARP应答，如果收到了一个ARP应答，则说明网络中存在与本机相同的IP地址的主机，发生了地址冲突。
   　　2)更新其他主机高速缓存中旧的硬件地址信息。　　　如果发送免费ARP的主机正好改变了硬件地址，如更换了接口卡。其他主机接收到这个ARP请求的时候，发现自己的ARP高速缓存表中存在对应的IP地址，但是MAC地址不匹配，那么就需要利用接收的ARP请求来更新本地的ARP高速缓存表表项。
   　　3)网关利用免费ARP防止ARP攻击有些网关设备在一定的时间间隔内向网络主动发送免费ARP报文，让网络内的其他主机更新ARP表项中的网关MAC地址信息，以达到防止或缓解ARP攻击的效果。