实验二网络协议以太网帧分析

实验二 以太网帧分析

实验目的：掌握以太网的帧首部格式，理解其功能与含义。
原理概述：
在有线局域网中，目前只有一种，即以太网。下图是以太网的帧格式。

实验内容步骤：
IP地址用于标识因特网上每台主机，而端口号则用于区别在同一台主机上运行的不同网络应用程序。在链路层，有介质访问控制（Media Access Control,MAC）地址。在局域网中，每个网络设备必须有唯一的MAC地址。设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。 Wireshark能把MAC地址的组织标识转化为代表生产商的字符串，例如，00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示，因为组织唯一标识符00:06:5b属于Dell。地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址，意味着数据应该广播到局域网的所有设备。 
在因特网上，IP地址用于主机间通信，无论它们是否属于同一局域网。同一局域网间主机间数据传输前，发送方首先要把目的IP地址转换成对应的MAC地址。这通过地址解析协议ARP实现。每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分，而帧的目的地址将被设置为ARP高速缓存中找到的MAC地址。如果没有发现IP地址的转换项，那么本机将广播一个报文，要求具有此IP地址的主机用它的MAC地址作出响应。具有该IP地址的主机直接应答请求方，并且把新的映射项填入ARP高速缓存。  发送分组到本地网外的主机，需要跨越一组独立的本地网，这些本地网通过称为网关或路由器的中间机器连接。网关有多个网络接口卡，用它们同时连接多个本地网。最初的发送者或源主机直接通过本地网发送数据到本地网关，网关转发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。
发送分组到本地网外的主机，需要跨越一组独立的本地网，这些本地网通过称为网关或路由器的中间机器连接。网关有多个网络接口卡，用它们同时连接多个本地网。最初的发送者或源主机直接通过本地网发送数据到本地网关，网关转发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。 
1、俘获和分析以太网帧  
（1）选择 工具->Internet 选项->删除文件 
（2）启动Wireshark 分组嗅探器 
（3）在浏览器地址栏中输入如下网址：  http://www.sina.com.cn 。 
（4）停止分组俘获。在俘获分组列表中（listing of captured packets）中找到HTTP GET 信息和响应信息，如图1所示。（如果你无法俘获此分组，在Wireshark下打开文件名为ethernet–ethereal-trace-1的文件进行学习）。 
HTTP GET信息被封装在TCP分组中，TCP分组又被封装在IP数据报中，IP数据报又被封装在以太网帧中）。在分组明细窗口中展开Ethernet II信息（packet details window）。
回答下面的问题： 
1、你所在的主机48-bit Ethernet 地址是多少？

2、以太网帧中报文类型字段的值是多少？代表什么含义？如果网络层是一个arp协议的数据包，该字段取值应为多少？
2字节 字段的类型

3、住一个目的IP地址为自己的报文，它的源物理地址字段和目的物理地址字段分别取值多少，分别是那个IP地址的MAC地址？

4、抓到一个源IP地址是自己，目的IP地址是新浪服务器的报文，这个目的物理地址是www.sina.com.cn的Ethernet 地址吗？若不是，它应是谁的地址？截图证明。

5、Ethernet 帧中目的地址是多少？在网络课程学习中，EthernetV2规定以太网的MAC层的报文格式分为7字节的前导符、1字节的帧首定界、6字节的目的MAC地址、6字节的源MAC地址、2字节的类型、46~1500字节的数据字段和4字节的帧尾校验字段。分析一个Ethernet V2帧。查看这个帧由几部分组成，缺少了哪几部分组成，缺少了哪几部分？为什么？
Ethernet 帧中目的地址为14-14-4b-81-92-8b
Ethernet V2帧头结构为 6bytes的源地址 + 6bytes的目标地址 + 2Bytes的协议类型字段 + 数据
缺少了7字节的前导符，1字节的帧首定界，4字节的帧尾校验字段
这是因为sniffer的设计原理，能捕捉数据链路层上的包，是已经校验正确的，就不再显示帧尾的4字节的FCS校验。