计算机网络实验五:Wireshark软件使用与ARP协议分析

四、实验步骤
4.1 WireShark 基本使用
4.2 观察 MAC 地址
启动 Wireshark 捕捉数据包,在命令行窗口ping 网关,分析本机发出的数据包。重点观察以太网帧的 Destination 和 Source 的 MAC 地址,辨识 MAC 地址,解读 OUI 信息、I/G 和 G/L 位。
ping网关的作用是用来测试电脑到局域网的出口位置是否畅通,以便进行网络状态的判断
在这里插入图片描述
计算机网络实验五:Wireshark软件使用与ARP协议分析_第1张图片

使用ip.addr==10.68.0.1作为显示过滤条件进行过滤
计算机网络实验五:Wireshark软件使用与ARP协议分析_第2张图片

Destination:44:1a:fa:d4:70:02 0x44=(01000100)2
Source:dc:71:9675:66 0xdc=(11011100)2
MAC地址前3个字节称为组织唯一标识符OUI,是由 IEEE 的注册管理机构给不同厂家分配的代码,区分了不同的厂家;后3个字节是由厂家自己分配的,称为扩展标识符。每个字节的高位在前,低位在后,I/G位和G/L分别在第一个字节中的最低位和次低位。
如果G/L=0,则是全局管理地址,由IEEE分配;如果G/L=1,则是本地管理地址,是网络管理员为了加强自己对网络管理而指定的地址。
如果I/G=0,则是某台设备的MAC地址,即单播地址;如果I/G=1,则是多播地址(组播+广播=多播)。

4.3 分析以太网的帧结构
在这里插入图片描述

Frame: 物理层的数据帧情况。
Ethernet II , Src: 数据链路层以太网帧头部信息。上面分析过了。
0x08 00: 帧包含的是IPv4数据报。
Internet Protocol Version 4, Src: 互联网层IP包头信息。
计算机网络实验五:Wireshark软件使用与ARP协议分析_第3张图片
计算机网络实验五:Wireshark软件使用与ARP协议分析_第4张图片
计算机网络实验五:Wireshark软件使用与ARP协议分析_第5张图片

计算机网络实验五:Wireshark软件使用与ARP协议分析_第6张图片

0x4版本
0x5首部长度
0x00区分服务
0x3c总长度
0x8d af标识
0标志(3位,不看,不分段,是否有更多段)
0位偏移(13位)
0x80生存时间(IP包被路由器丢弃之前允许通过的最大网段数量)
0x01ICMP协议
0x00 00首部检验和[validation disabled]有时候TCP和UDP校验和会由网卡计算,因此wireshark抓到的本机发送的TCP/UDP数据包的校验和都是错误的,这样检验校验和没有意义,所以Wireshark不自动做TCP和UDP校验和的校验。
0x0a 45 ae 34源 IP 地址
0x0a 44 00 01目的 IP 地址

Internet Control Message Protocol: 互联网控制信息协议。
计算机网络实验五:Wireshark软件使用与ARP协议分析_第7张图片

Type:ICMP的类型
Code:进一步划分ICMP的类型
Checksum:检验和
ID值
Sequence序号
Data:填充的数据紧接在ICMP报头的后面(以8位为一组)
4.4 ARP 协议分析

  1. 使用 CTR –F命令,清空本机的ARP 缓存,开启 Wireshark,ping 本机的同网段地址。
    计算机网络实验五:Wireshark软件使用与ARP协议分析_第8张图片
    在这里插入图片描述
    在这里插入图片描述

①主机A首先查看自己的ARP表,如果找到了主机B的MAC地址,则利用这个地址对IP 数据报进行帧封装,并将数据报发送给主机B。
②如果主机A在ARP表中找不到主机B的MAC地址,则以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。
③主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。然后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
④主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据报进行封装后发送出去。

请求报文:
计算机网络实验五:Wireshark软件使用与ARP协议分析_第9张图片
计算机网络实验五:Wireshark软件使用与ARP协议分析_第10张图片

应答报文:
计算机网络实验五:Wireshark软件使用与ARP协议分析_第11张图片
计算机网络实验五:Wireshark软件使用与ARP协议分析_第12张图片

  1. 使用 CTR –F命令,清空本机的 ARP 缓存。开启Wireshark,ping与本机网段不同的 IP 地址或域名。
    计算机网络实验五:Wireshark软件使用与ARP协议分析_第13张图片

五、思考题 (六选二进行作答即可)
Q使用了显示过滤器后,Wireshark 的抓包工作量会减少吗?
A不会减少,过滤只是查找只显示的信息,不会减少任何抓包工作量。

Q什么是免费 ARP(Gratuitous ARP)?它的作用是什么?
A免费ARP指主机发送ARP查找自己的IP地址,通常发生在系统引导期间进行接口配置时。与标准ARP的区别就是免费ARP分组的目的IP地址字段封装的是自己的IP地址,即向所在网络请求自己的MAC地址。
1起到一个宣告作用,它以广播的形式将数据包发送出去,不需要得到回应,只为了告诉其他计算机自己的 IP 地址和 MAC 地址。
2可用于检测 IP 地址冲突,当一台主机发送了免费 ARP 请求报文后,如果收到了 ARP 响应报文,则说明网络内已经存在使用该 IP 地址的主机。
3可用于更新其他主机的 ARP 缓存表。如果该主机更换了网卡,而其他主机的 ARP 缓存表仍然保留着原来的 MAC 地址,这时,可以发送免费的 ARP 数据包。其他主机收到该数据包后,将更新 ARP 缓存表,将原来的 MAC 地址替换为新的 MAC 地址。
在这里插入图片描述
计算机网络实验五:Wireshark软件使用与ARP协议分析_第14张图片

硬件类型功能:以太网
IPV4类型
Mac地址长度
IP地址长度
Gratuitous:免费
六、实验心得与不足
心得:
通过本次实验,我学习了使用 Wireshark 抓取局域网的数据包并使用显示过滤器进行分析,观察 MAC 地址以及分析以太网帧结构,抓取 ARP 请求和应答报文并分析其工作过程。
不足:
不够熟悉ping的操作;ping手机一直出现问题,连接usb才解决了这个问题,耽误较长时间。没有理解透请求和响应的过程。

你可能感兴趣的:(计算机网络,计算机网络)