以太网帧格式分析

1、实验名称以太网帧格式分析实验报告姓名学号实验日期3.实验环境7.实验体会4.实验作业实验报告要求：1.实验目的2.实验要求5.问题及解决6.思考问题【实验目的】1. 复习Wireshark抓包工具的使用及数据包分析方法。2. 通过分析以太网帧了解以太网数据包传输原理。【实验要求】用Wireshark1.4.9截包，分析数据包。观察以太网帧，Ping同学的IP地址，得到自己和同学的mac地址。观察以太网广播地址，观察ARP请求的帧中目标mac地址的格式。用ping-l指定数据包长度，观察最小帧长和最大帧长。观察封装IP和ARP的帧中的类型字段。【实验环境】用以太网交换机连接起来的windows 7操作系统的计算机，通过802.1x方式接入Interneto【实验中出现问题及解决方法】1. 在使用命令行“ping -l 0 IP”观察最小帧长时抓到了长度为42字节的帧，与理论上最小帧长64 字节相差甚远。通过询问教员和简单的分析，知道了缺少字节的原因是当Wireshark抓到这个ping请求 包时，物理层还没有将填充（Trailer）字符加到数据段后面，也没有算出最后4字节的校验和序列，导

2、致 出现最小42字节的“半成品”帧。可以通过网卡的设置将这个过程提前。2. 在做ping同学主机的实验中，发现抓到的所有ping请求帧中IP数据部分的头校验和都是错误的。 原本以为错误的原因与上一个问题有关，即校验和错误是因为物理层还没有将填充字符加到数据段后面。 但是这个想法很快被证明是错误的，因为在观察最大帧长时，不需要填充字符的帧也有同样的错误。一个 有趣的现象是，封装在更里层的ICMP数据包的校验和都是正确的。这就表明IP层的头校验和错误并没 有影响正常通信。进一步观察发现，这些出错的头校验和的值都是0x0000，这显然不是偶然的错误。虽 然目前还没有得到权威的答案，但是可以推测，可能是这一项校验实际上并没有被启用。作为中间层的 IP头的意义是承上启下，而校验的工作在更需要的上层的IMCP包和下层MAC头中都有，因此没有必要 多此一举。【思考问题】1. 为什么可以ping到同宿舍（连接在同一个交换机上）的主机而ping不到隔壁宿舍的主机？通常情况下，如果配置正确，设备都连接着同一个网络（互联网），而且没有防火墙等阻拦，就可I 正常ping到同一网络中的任何主机。在第一次实验中，

3、我们曾成功地ping到了 的IP。在ping其他宿舍的IP时需要通过宿舍的交换机将ping请求先转发给楼层交换机，再由楼层交换机转 发给目标IP所在的宿舍交换机。分析无法ping到隔壁宿舍主机的原因，很可能是楼层交换机设置了禁止 部ping的防火墙，阻止了本楼层交换机地址段的主机相互ping对方。而同宿舍之所以可以相互ping到， 是因为ping请求没有经过楼层交换机，直接由宿舍交换机转发给了目标IP主机。2. 什么是ARP攻击？让我们继续分析4.1 ARP原理，A得到ARP应答后，将B的MAC地址放入本机缓存。但是本机MAC 缓存是有生存期的，生存期结束后，将再次重复上面的过程。（类似与我们所学的学习网桥）。然而，ARP协议并不只在发送了 ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时 候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。这时，我们假设局域网中的某台机器C冒充B向A发送一个自己伪造的ARP应答，即IP地址为B的IP,而MAC地址是伪造的，则当A接收到伪造的ARP应答后，就会更新本地的ARP缓存，这样在A 看来B的IP地址没

4、有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地 址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的 MAC地址，这样就会造成网络不通，导致A不能Ping通B！这就是一个简单的ARP欺骗。【实验体会】这次实验最大的感触是体会到了网络通信过程的趣味性。在做ping同学IP的实验时，我发现抓到 的包之间有紧密的联系，相互的应答过程很像实际生活中人们之间的对话。尤其是ARP帧，为了获得 对方的MAC地址，乐此不疲地在网络中广播“谁有IP为XXX的主机？”，如果运气好，会收到网桥 中某个路由器发来的回复“我知道，XXX的MAC地址是YYY！”。另外，通过ping同学主机的实验， 以及对实验过程中问题的分析，使我对之前模糊不清的一些概念有了全面的认识，如交换机、路由器的 区别与功能，局域网各层次的传输顺序与规则等。还有一点就是，Wireshark不是万能的，也会有错误、 不全面的地方，这时更考验我们的理论分析与实践论证能力。成绩优良中及格不及格教师签名：日期：【实验作业】1观察并分析通常的以太网帧1.1以太网帧格式目前主要有两

5、种格式的以太网帧：Ethernet II（DIX 2.0）和IEEE 802.3。我们接触过的IP、ARP、 EAP和QICQ协议使用Ethernet II帧结构，而STP协议则使用IEEE 802.3帧结构。Ethernet II是由Xerox与DEC、Intel（DIX）在1982年制定的以太网标准帧格式，后来被定义在 RFC894中。IEEE 802.3是IEEE 802委员会在1985年公布的以太网标准封装结构（可以看出二者时间 相差不多，竞争激烈），RFC1042规定了该标准（但终究二者都写进了 IAB管理的RFC文档中）。下图分别给出了 Ethernet II和IEEE 802.3的帧格式：ElhQTlIiei662舶 5CMsllnElQnSourceTVP =FCS1EEE台 371662415004P也湖也白S 6 FAddress；L 日 ngmHvadvraniJ 口可帕res前导码（Preamble）:由0、1间隔代码组成，用来通知目标站作好接收准备。以太网帧则使用 8个字节的0、1间隔代码作为起始符。IEEE 802.3帧的前导码占用前7个字节，第8个字节是两

6、个连续 的代码1，名称为帧首定界符（SOF），表示一帧实际开始。 目标地址和源地址（Destination Address & Source Address）:表示发送和接收帧的工作站的地址， 各占据6个字节。其中，目标地址可以是单址，也可以是多点传送或广播地址。 类型（Type）或长度（Length）:这两个字节在Ethernet II帧中表示类型（Type），指定接收数 据的高层协议类型。而在IEEE 802.3帧中表示长度（Length），说明后面数据段的长度。 数据（Data）:在经过物理层和逻辑链路层的处理之后，包含在帧中的数据将被传递给在类型 段中指定的高层协议。该数据段的长度最小应当不低于46个字节，最大应不超过1500字节。如果数据 段长度过小，那么将会在数据段后自动填充（Trailer）字符。相反，如果数据段长度过大，那么将会把 数据段分段后传输。在IEEE 802.3帧中该部分还包含802.2的头部信息。帧校验序列（FSC）:包含长度为4个字节的循环冗余校验值（CRC），由发送设备计算产生， 在接收方被重新计算以确定帧在传送过程中是否被损坏。1.2实例分析I . E

7、thernet II 帧分析I出 Frane 5: 60 oytes an wire ISO bits, 60 bytes cplured *8D bits3 DastinaiioT: DeLl_7e:3ti:c? （oc:260a:-e :3ti：c7? ScLrce: iVistronl 叫成（EOidmfli鱼血呼明 ryle: IF （0x0800） TriileE: 000000 00 00 at 00 00 00 00 00 000000 00 0C11 Intfiirt Pratacal, SrcX W, 10-t, 13, 106 （.10. ffl liltrOOCQwl. 137. 1061, Dst; 104. 137.ODO5c 26 Oa 7e 3h cT fO de fl at 41 dfi 33 00ODltJ WD 1g 22 44 00 00 40 010020 卯初如好泸0。0Q3D【二一二.o oo oo uc no ou00 DO OD DO 00 00 00 00 00 00 00 001这一帧的长度是60字节，小于最小帧长64字节。对比1.1

8、帧结构可以发现，前导码（Preamble） 的8个字节已经被去除，因而实际帧长是68字节。目的地址（Destination Address）为5c:26:0a:7e:3b:c7， 源地址（Source Address）为f0:de:f1:ab:41:d8。类型（Type）为0x0800，表示该帧封装的高层协议类 型是IP协议。数据（Data）为45 0000 65，因为长度低于46个字节，该数据段自动填充（Trailer） 了一段字符。对比1.1帧结构可以发现，该帧没有帧校验序列（FSC），可能是抓到包时校验序列已经 被底层去除（但是第5周802.1x接入实验中的EAPOE协议帧中有帧校验序列）。,1-Linfc Contra 1门g Tt,营 亍昼口，由 FranE IL: 8。byt己s un 耳窿（48050 bytes captured （4S0 bits）R Diinaiion: SpaLiiiafi-tree- （f or-liridges?_00 -.0i:8D- c2：0000： 00）I田 Source: Hanffghan_i7 i午；待*招;Lci?th: 39I

9、riller: 00000000 Ot 00loWdUJS 00 OOD2 02 2cfSOOO 0D2D 0D 14 80 DO 3c 或 M fT 0030 02 DO Of 00 00 :j 43 4200 23 39 7e 35 bo 00 00=a9 =5 30 0c 01 00 14 00IEEF 802, 3 EthernetII. IEEE 802.3 帧分析这一帧的长度也是60字节，前导码的8个字节同样已经被去除，因而实际帧长也是68字节。目的 地址为01:80:c2:00:00:00（解析为网桥间的生成树），源地址为3c:e5:a6:f7:a9:f8。长度（Length）为39 字节，表示该帧封装的上层协议数据总长度为39字节。数据为42 4200 00，因为数据长度为39 字节低于46个字节，因此自动填充了一段字符。该帧同样没有帧校验序列。2 ping同学的IP地址，分析帧，得到自己和同学的mac地址开始做这个实验时，尝试去ping隔壁宿舍同学的IP地址10.104.137.124，但结果却不如人愿，无 法ping到其主机，结果如下图：raw曾隹员:匚膏ndow兰砂t?m塑亳膈毕司C5UsbfMJavid Lecpinjf 10.104.127.1244J - - kl -z_=kj-二正天共来共Pirff 10.104.137 10.1M4.137.138 10.104.137,13810.104.137.138 10.104.137,1387访访访访32在法法法

《以太网帧格式分析》由会员cl****1分享，可在线阅读，更多相关《以太网帧格式分析》请在金锄头文库上搜索。