四、实验步骤
4.1 WireShark 基本使用
4.2 观察 MAC 地址
启动 Wireshark 捕捉数据包,在命令行窗口ping 网关,分析本机发出的数据包。重点观察以太网帧的 Destination 和 Source 的 MAC 地址,辨识 MAC 地址,解读 OUI 信息、I/G 和 G/L 位。
ping网关的作用是用来测试电脑到局域网的出口位置是否畅通,以便进行网络状态的判断
使用ip.addr==10.68.0.1作为显示过滤条件进行过滤
Destination:44:1a:fa:d4:70:02 0x44=(01000100)2
Source:dc:71:9675:66 0xdc=(11011100)2
MAC地址前3个字节称为组织唯一标识符OUI,是由 IEEE 的注册管理机构给不同厂家分配的代码,区分了不同的厂家;后3个字节是由厂家自己分配的,称为扩展标识符。每个字节的高位在前,低位在后,I/G位和G/L分别在第一个字节中的最低位和次低位。
如果G/L=0,则是全局管理地址,由IEEE分配;如果G/L=1,则是本地管理地址,是网络管理员为了加强自己对网络管理而指定的地址。
如果I/G=0,则是某台设备的MAC地址,即单播地址;如果I/G=1,则是多播地址(组播+广播=多播)。
4.3 分析以太网的帧结构
Frame: 物理层的数据帧情况。
Ethernet II , Src: 数据链路层以太网帧头部信息。上面分析过了。
0x08 00: 帧包含的是IPv4数据报。
Internet Protocol Version 4, Src: 互联网层IP包头信息。
0x4版本
0x5首部长度
0x00区分服务
0x3c总长度
0x8d af标识
0标志(3位,不看,不分段,是否有更多段)
0位偏移(13位)
0x80生存时间(IP包被路由器丢弃之前允许通过的最大网段数量)
0x01ICMP协议
0x00 00首部检验和[validation disabled]有时候TCP和UDP校验和会由网卡计算,因此wireshark抓到的本机发送的TCP/UDP数据包的校验和都是错误的,这样检验校验和没有意义,所以Wireshark不自动做TCP和UDP校验和的校验。
0x0a 45 ae 34源 IP 地址
0x0a 44 00 01目的 IP 地址
Internet Control Message Protocol: 互联网控制信息协议。
Type:ICMP的类型
Code:进一步划分ICMP的类型
Checksum:检验和
ID值
Sequence序号
Data:填充的数据紧接在ICMP报头的后面(以8位为一组)
4.4 ARP 协议分析
①主机A首先查看自己的ARP表,如果找到了主机B的MAC地址,则利用这个地址对IP 数据报进行帧封装,并将数据报发送给主机B。
②如果主机A在ARP表中找不到主机B的MAC地址,则以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。
③主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。然后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
④主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据报进行封装后发送出去。
请求报文:
五、思考题 (六选二进行作答即可)
Q使用了显示过滤器后,Wireshark 的抓包工作量会减少吗?
A不会减少,过滤只是查找只显示的信息,不会减少任何抓包工作量。
Q什么是免费 ARP(Gratuitous ARP)?它的作用是什么?
A免费ARP指主机发送ARP查找自己的IP地址,通常发生在系统引导期间进行接口配置时。与标准ARP的区别就是免费ARP分组的目的IP地址字段封装的是自己的IP地址,即向所在网络请求自己的MAC地址。
1起到一个宣告作用,它以广播的形式将数据包发送出去,不需要得到回应,只为了告诉其他计算机自己的 IP 地址和 MAC 地址。
2可用于检测 IP 地址冲突,当一台主机发送了免费 ARP 请求报文后,如果收到了 ARP 响应报文,则说明网络内已经存在使用该 IP 地址的主机。
3可用于更新其他主机的 ARP 缓存表。如果该主机更换了网卡,而其他主机的 ARP 缓存表仍然保留着原来的 MAC 地址,这时,可以发送免费的 ARP 数据包。其他主机收到该数据包后,将更新 ARP 缓存表,将原来的 MAC 地址替换为新的 MAC 地址。
硬件类型功能:以太网
IPV4类型
Mac地址长度
IP地址长度
Gratuitous:免费
六、实验心得与不足
心得:
通过本次实验,我学习了使用 Wireshark 抓取局域网的数据包并使用显示过滤器进行分析,观察 MAC 地址以及分析以太网帧结构,抓取 ARP 请求和应答报文并分析其工作过程。
不足:
不够熟悉ping的操作;ping手机一直出现问题,连接usb才解决了这个问题,耽误较长时间。没有理解透请求和响应的过程。