实验二 以太网链路层帧格式分析

实验二以太网链路层帧格式分析

实验目的

1、分析Ethernet V2 标准规定的MAC 层帧结构，了解IEEE802.3 标准规定的MAC 层帧结构和TCP/IP 的主要协议和协议的层次结构；

2、掌握网络协议分析软件的基本使用方法；

3、掌握网络协议编辑软件的基本使用方法。

实验学时

4学时

实验类型

验证型

实验内容

1、学习网络协议编辑软件的各组成部分及其功能；

2、学习网络协议分析软件的各组成部分及其功能；

3、学会使用网络协议编辑软件编辑以太网数据包；

4、理解MAC地址的作用；

5、理解MAC首部中的LLC—PDU 长度/类型字段的功能；

6、学会观察并分析地址本中的MAC地址。

实验流程

实验环境

局域网环境，1台PC机。

实验原理

详见理论教材。

实验步骤

步骤1：运行ipconfig命令

1、在Windows的命令提示符界面中输入命令：ipconfig /all，会显示本机的网络信息：

2、观察运行结果，获得本机的以太网地址。

步骤2：编辑LLC信息帧并发送

1、打开协议编辑软件，在工具栏选择“添加”，会弹出“协议模版”的对话框，如图所示，在“选择生成的网络包”下拉列表中选择“LLC协议模版”，建立一个LLC帧；

添加一个数据包

2、在“协议模版”对话框中点击“确定”按钮后，会出现新建立的数据帧，此时在协议编辑软件的各部分会显示出该帧的信息。如图所示：

新建的LLC帧

数据包列表区中显示：新帧的序号(为0)、概要信息；

协议树中显示以太网MAC层协议；

数据包编辑区中显示新帧各字段的默认值；

十六进制显示区中显示新帧对应的十六进制信息。

3、编辑LLC帧

在数据包编辑区中编辑该帧；具体步骤为：

编辑LLC帧

填写“目的物理地址”字段；

方法一：手工填写。

方法二：选择”地址本”中主机B的IP地址，确定后即可填入主机B的MAC地址；

填写“源物理地址”字段，方法同上，此处为了提示这是一个在协议编辑软件中编辑的帧，填入一个不存在的源物理地址；

注意：协议编辑软件可以编辑本机发送的MAC帧，也可以编辑另一台主机发送MAC 帧，所以，源物理地址字段可以填写本机MAC地址，也可以填写其他主机的物理地址。但要注意网络协议分析软件中过滤器的设置，否则会捕获不到数据包。

协议树中会显示LLC；其中的目标服务访问点和源服务访问点，可以不变。

LLC的控制字段内容不需改变，因此最低位为零（传输时的第一位），表示信息帧。

发送数据包

4、数据包编辑区与十六进制显示区是联动的，选中数据包编辑区中的某一字段，该字

段对应的十六进制值会相应地改变颜色，观察十六进制显示区中该帧的信息。

5、点击工具栏或菜单栏中的“发送”，在弹出的“发送数据包”对话框上选中“循环发送”，填入发送次数，选择“开始”按钮，即可按照预定的数目发送该帧。在本例中，选择发送10次，如上图所示。

6、在主机B的网络协议分析软件一端，点击工具栏内的“开始”按钮，对数据帧进行捕获，按“结束”按钮停止捕获。捕获到的数据帧会显示在页面中，可以选择两种视图对捕获到的数据帧进行分析，会话视图和协议视图，如图所示的会话视图可以清楚的看到捕获数据包的分类统计结果：

捕获数据包——会话视图

从中可以看出，刚才编辑发送的10个数据帧已经全部被捕获到了。该数据帧的源MAC 地址是：00-11-11-22-22-22，目的MAC地址是00-15-58-2f-7e-7e（即主机B），数据帧总长度21字节，包括14字节的以太网帧头，3字节的LLC首部。LLC首部中，目标服务访问点和源服务访问点，以及控制字段的值均为0。协议视图中，则可以方便的看到数据帧内详细的十六进制数据内容。

步骤3：编辑LLC监控帧和无编号帧，并发送和捕获

1、编辑帧的步骤同步骤二，只是修改LLC PDU的控制字段。

2、编辑监控帧，注意LLC首部的控制字段值为0x01。

3、编辑无编号帧，注意LLC首部的控制字段值为0x03。

4、在监测端捕获数据包，确定是否是监控帧和无编号帧：

监控帧和无编号帧

步骤4：保存捕获的数据帧

1、在工具栏选择“导出”，会弹出“另存为”对话框，选择保存路径，如图所示。

导出捕获的数据帧

2、将编辑好的以太网帧保存到文件中，文件名为：MAC.xml。

3、在工具栏中选择“导入”，找到刚才保存的文件MAC.xml，打开，即可在网络协议分析软件中对已经保存的数据帧进行分析。

步骤5：捕获数据帧并分析

1、启动网络协议分析软件在网络内进行捕获，获得若干以太网帧。

2、对其中的5-10个帧的以太网首部进行观察和分析，分析的内容为：源物理地址、目的物理地址、上层协议类型。

思考问题

结合实验过程中的实验结果，回答下列问题：

1、在网络的分层体系结构中，MAC层的作用是什么？

答：它定义了数据包怎样在介质上进行传输。在共享同一个带宽的链路中，对连接介质的访问是“先来先服务”的。物理寻址在此处被定义，逻辑拓扑（信号通过物理拓扑的路径）也在此处被定义。线路控制、出错通知（不纠正）、帧的传递顺序和可选择的流量控制也在这一子层实现。

2、为什么IEEE802标准将数据链路层分割为MAC子层和LLC子层？

答：IEEE802参考模型将数据链路层划分为两个子层，媒体访问控制MAC 子层和逻辑链路控

制 LLC 子层。 MAC 子层与物理层相关联，而LLC子层则完全独立出来，为高层提供服务，这样就实现了物理层和数据链路层的完全独立，解决了l SO制定的计算机网络 7 层参考模型（即OSI模型）中局域网物理层和数据链路层不能完全独立的问题。

计算机网络课程设计-模拟以太网帧封装

计算机网络期中考试试题 —模拟虚拟机中局域网的传输过程，完成简单图形界面。 学生：韩成周 学号： 2014117138 完成时间：2016年12月

目录 1．设计任务和要求 ......................................... 1．1 课程设计任务 ...................................... 1．2课程设计要求 ...................................... 2．设计原理 ............................................... 2．1 802.3标准帧结构................................... 2．2CRC的基本实现..................................... 3．设计思路 ............................................... 4．程序源码 ............................................... 5．运行结果 ............................................... 1.设计任务和要求 1.1课程设计任务 虚拟局域网（VLAN），是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术，在功能和操作上和传统的LAN 基本相同。虚拟局域网技术是目前网络界最热门的技术之一，也是交换网络中最重要的技术之一，它的出现是和局域网的交换技术的发展分不开的。而我们的任务就是模拟虚拟局域网中帧的传输过程。 1.2设计要求 1．初始化交换机的转发表； 2．模拟虚拟局域网同一个局域网或者不同局域网之间帧的传输过程 2.设计原理 2.1 802.3标准帧结构 虚拟局域网帧格式：

2.6 数据链路层数据帧协议分析

实验数据链路层的帧分析 一、实验目的 分析 TCP、UDP的数据链路层帧结构、 二、准备工作 虚拟机XP，虚拟网卡设置，NAT模式，TCP/IP参数设置自动获取。本实验需安装抓包工具软件IPTool。 三、实验内容及步骤 1.运行ipconfig命令 在Windows的命令提示符界面中输入命令：ipconfig /all，会显示本机的网络配置信息。 2.运行抓包工具软件 双击抓把工具软件图标，输入所需参数，和抓包过滤参数，点击捕捉。 3.进行网络访问 进行网络访问，下载文件/搜索资料/www访问/登录邮件系统等均可。 4.从抓包工具中选择典型数据帧 5.保存捕获的数据帧 6.捕获数据帧并分析 1、启动网络抓包工具软件在网络内进行捕获，获得若干以太网帧。 2、对其中的5-10个帧的以太网首部进行观察和分析，分析的内容为：源物理地址、目的物理地址、上层协议类型。 实验过程: 1.TCP协议数据包、数据帧分析 启动IPTool，IE访问https://www.360docs.net/doc/f53917688.html,站点,使用iptool进行数据报的捕获。 TCP报文如下图：

根据所抓的数据帧进行分析： （1）MAC header 目的物理地址：00:D0:F8:BC:E7:06 源物理地址：00:16:EC:B2:BC:68 Type是0x800：意思是封装了ip数据报（2）ip数据报

由以上信息可以得出： ①版本：占4位，所以此ip是ipv4 ②首部长度：占4 位，可表示的最大十进制数值是15。此ip数据报没有选项，故它的最大十进制为5。 ③服务：占8 位，用来获得更好的服务。这里是0x00 ④总长度：总长度指首都及数据之和的长度，单位为字节。因为总长度字段为16位，所以数据报的最大长度为216-1=65 535字节。 此数据报的总长度为40字节，数据上表示为0x0028。 ⑤标识(Identification)：占16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并不是序号，因为IP是无连接的服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU 而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。 在这个数据报中标识为18358，对应报文16位为47b6 ⑥标志(Flag)：占3 位，但目前只有2位有意义。标志字段中的最低位记为MF (More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为DF(Don't Fragment)，意思是“不能分片”。只有当DF=0时才允许分片。这个报文的标志是010，故表示为不分片！对应报文16位为0x40。 ⑦片偏移：因为不分片，故此数据报为0。对应报文16位为0x00。 ⑧生存时间：占8位，生存时间字段常用的英文缩写是TTL (Time To Live)，其表明数据报在网络中的寿命。每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1 秒，就把TTL值减1。当TTL值为0时，就丢弃这个数据报。经分析，这个数据报的的TTL为64跳！对应报文16位为0x40。 ⑨协议：占8 位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。这个ip数据报显示使用得是TCP协议对应报文16位为0x06。

网络实验报告二三四

计算机网络实验 学院： 专业： 班级： 姓名： 学号：

实验二：数据链路层数据包抓包分析 实验内容 （1）安装Wireshark软件。 （2）掌握抓包软件的使用 （3）掌握通过抓包软件抓取帧并进行分析的办法 实验步骤 （1）常用的抓包软件包括Sniffer、NetXRay、Wireshark (又名EtheReal)。 我们采用免费的Wireshark，可以从https://www.360docs.net/doc/f53917688.html,或其他网站下载。安装完成后，Wireshark的主界面和各模块功能如下： 命令菜单（command menus）：最常用菜单命令有两个：File、Capture。File菜单允许你保存捕获的分组数据或打开一个已被保存的捕获分组数据文件。Capture菜单允许你开始捕获分组。 显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。 捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：Wireshark赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关的信息。如果利用TCP或UDP承载分组， Wireshark也会显示TCP或UDP协议头部信息。最后，分组最高层协议的头部字段也会被显示。 分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被捕获帧的完整内容。（2）下面我们进行抓包练习。 在capture菜单中选中options,可以设置抓包选项，如下图所示，这里我们需要选择要对其进行抓包的网卡。选择完成后按“start”开始抓包。

以太网帧的封装实验

实训报告以太网帧的封装实验 1．实训目的 1）观察以太网帧的封装格式 2）对比单播以太网帧和广播以太网帧的目标MAC地址 2．实训拓扑图 以太网帧实验拓扑 PC IP地址子网掩码 PC0 PC1 PC2 PC3 3．主要操作步骤及实训结果记录 （1）任务一：观察单播以太网帧的封装 步骤1：准备工作 打开对应文件，完成初始化，删除练习文件中预设场景 步骤2：捕获数据包 进入Simulation模式。添加数据包，单击auto capture/play捕获数据包，再次单击停止捕获 步骤3：观察以太网帧的封装格式 步骤4：观察该广播包的以太网封装

DEST MAC： MAC: 步骤4：观察交换机是否会修改以太网帧各字段取值 DEST MAC：MAC:

（2）任务二：观察广播以太网帧的封装 步骤1：捕获数据包 Pc0数据帧被交换机转发给pc1、pc2、pc3（所有节点），pc1、pc2、pc3（所有节点）接收该广播帧。 步骤2：观察该广播包的以太网封装 DEST MAC：字段的取值： MAC字段取值的含义：广播地址。

4．实训结果分析及心得体会 （1）任务一中，观察到以太网帧封装格式中前导字段的取值是什么阐述其在数据帧传输过程中的作用。 答：任务一中，前导码字段取值为···1010；以太网使用曼彻斯特编码传输数据，其特征是每个码元中间有一次电压的跳变，用于接收方提取同步信号，以太网帧中的前导码有何作用前导码是为了隔离每个以太网帧的,也是定位符。因为以太网是变长的,所以每个帧之间需要前导来区分。 （2）任务一中，Switch0转发数据帧时是否修改其源MAC地址和目标MAC地址 答：switch0转发给pc2地数据帧中源MAC地址和目标MAC地址并未进行修改。 （3）交换机接收数据帧后，依据什么判断该数据帧是单播还是广播或依据什么判断向哪个目标节点转发 答：交换机工作在数据链路层，依据数据帧中的目标MAC地址的取值判断数据帧是单播还是广播，依据目标MAC地址判断向哪个目标节点转发。

Ethernet帧结构解析..

实验一Ethernet帧结构解析 一．需求分析 实验目的：（1）掌握Ethernet帧各个字段的含义与帧接收过程； （2）掌握Ethernet帧解析软件设计与编程方法； （3）掌握Ethernet帧CRC校验算法原理与软件实现方法。 实验任务：（1）捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即Ethernet II）格式的帧并进行分析。 （2）捕捉并分析局域网上的所有ethernet broadcast帧进行分析。 （3）捕捉局域网上的所有ethernet multicast帧进行分析。 实验环境：安装好Windows 2000 Server操作系统+Ethereal的计算机 实验时间; 2节课 二．概要设计 1.原理概述： 以太网这个术语通常是指由DEC，Intel和Xerox公司在1982年联合公布的一个标准，它是当今TCP/IP采用的主要的局域网技术，它采用一种称作CSMA/CD的媒体接入方法。几年后，IEEE802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络；此三种帧的通用部分由802.2标准来定义，也就是我们熟悉的802网络共有的逻辑链路控制（LLC）。以太网帧是OSI参考模型数据链路层的封装，网络层的数据包被加上帧头和帧尾，构成可由数据链路层识别的数据帧。虽然帧头和帧尾所用的字节数是固定不变的，但根据被封装数据包大小的不同，以太网帧的长度也随之变化，变化的范围是64-1518字节（不包括8字节的前导字）。 帧格式Ethernet II和IEEE802.3的帧格式分别如下。 EthernetrII帧格式： ---------------------------------------------------------------------------------------------- | 前序| 目的地址| 源地址| 类型| 数据 | FCS | ---------------------------------------------------------------------------------------------- | 8 byte | 6 byte | 6 byte | 2 byte | 46~1500 byte | 4 byte| IEEE802.3一般帧格式 ----------------------------------------------------------------------------------------------------------- | 前序| 帧起始定界符| 目的地址| 源地址| 长度| 数据| FCS | ----------------------------------------------------------------------------------------------------------- | 7 byte | 1 byte | 2/6 byte | 2/6 byte| 2 byte| 46~1500 byte | 4 byte | Ethernet II和IEEE802.3的帧格式比较类似，主要的不同点在于前者定义的2字节的类型，而后者定义的是2字节的长度；所幸的是，后者定义的有效长度值与前者定义的有效类型值无一相同，这样就容易区分两种帧格式 2程序流程图：

1实验一数据链路层实验

实验1 数据链路层——检错与纠错 一实验任务 1通过【海明编码】和【CRC 检错】测试软件，验证纠错与检错功能和性能，掌握其工作原理； 2编写海明编码程序和 CRC 编码程序； 3总结实验过程（实验报告，左侧装订）：方案、编程、调试、结果、分析、结论。 二实验环境 1操作系统Windws 9x/NT/2000/XP/2003/2008/Vista/7 2软件Visual C++ 6.0/2005/2008/2010、Visual Basic 6.0/2005/2008/2010、Turbo C/C++ 3软件 C++ Builder 6.0/2006/2007/2009/2010/XE/XE2、Java、C# 或其它 4数制转换与比较 (16进制、2进制转换；通过比较，找出差错个数、差错位置和突发差错长度)。 三海明编码实验 下载【海明编码】测试软件，运行： 1 验证纠错能力； 2 验证检错能力； 3 若数据＝10011001，海明编码＝？，校验位=? 4若接收端收到的信息＝101010101001（海明编码），数据＝？ 5 尝试编写海明编码的程序。

四CRC编码实验 下载【CRC-8检错】测试软件，运行： CRC8UndetectedErrors 1验证检错能力，能检几位错？ 2 找出检错失败的信息码，并进行分析； 3 若数据＝“Hello!”，采用生成多项式107H，CRC校验码＝？ 4若数据＝“Hello!”，采用生成多项式131H，CRC校验码＝？ 5若接收端收到的信息＝4F6F1DH，采用生成多项式107H进行校验，结果如何？6自定义生成多项式，实验其性能，如何选择生成多项式？ 7试编写CRC-8编码程序； 8试编写CRC-16编码程序，参考【CRC-16 检错】测试软件。

分析数据链路层帧结构

南华大学计算机学院 实验报告 课程名称计算机网络原理 姓名杨国峰 学号 205 专业网络2班 任课教师谭邦 日期 2016年4月4日 成绩

南华大学 实验报告正文： 一、实验名称分析数据链路层帧结构 二、实验目的： 1. 掌握使用Wireshark分析俘获的踪迹文件的基本技能； 2. 深刻理解Ethernet帧结构。 3. 深刻理解IEEE 帧结构。 三、实验内容和要求 1. 分析俘获的踪迹文件的Ethernet帧结构； 2. 分析IEEE 帧结构。

四、实验环境

五、操作方法与实验步骤帧结构（本地连接与无线连接） 帧结构

六、实验数据记录和结果分析 1.Ethernet帧结构（本地连接为例）

Ethernet II, Src: Tp-LinkT_95:c6:20 (fc:d7:33:95:c6:20), Dst: Clevo_00:a1:18 (80:fa:5b:00:a1:18)以太网协议版本II，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址） Destination: Clevo_00:a1:18 (80:fa:5b:00:a1:18) 目的：厂名_序号（网卡地址） Source: Tp-LinkT_95:c6:20 (fc:d7:33:95:c6:20) 源：厂名_序号（网卡地址） Type: IP (0x0800) 帧内封装的上层协议类型为IP Padding: 000000000000 所有内边距属性 2.分析IEEE 帧结构 Protocol?version：表明版本类型，现在所有帧里面这个字段都是0x00。??*Type：指明数据帧类型，是管理帧，数据帧还是控制帧。??Subtype：指明数据帧的子类型，因为就算是控制帧，控制帧还分RTS帧，CTS帧，ACK????帧等等，通过这个域判断出该数据帧的具体类型。?To?DS/From?DS：这两个数据帧表明数据包的发送方向，分四种可能情况讨论：??**若数据包To?DS为0，From?DS为0，表明该数据包在网络主机间传输。??**若数据包To?DS为0，From?DS为1，表明该数据帧来自AP。??**若数据包To?DS为1，From?DS为0，表明该数据帧发送往AP。?若数据包To?DS为1，From?DS为1，表明该数据帧是从AP发送自AP的，也就是说这个是个WDS(Wireless?Distribution?System)数据帧。?Moreflag：分片标志，若数据帧被分片了，那么这个标志为1，否则为0。??*Retry：表明是否是重发的帧，若是为1，不是为0。?PowerManage：当网络主机处于省电模式时，该标志为1，否则为0。?Moredata：当AP缓存了处于省电模式下的网络主机的数据包时，AP给该省电模式下的网络主机的数据帧中该位为1，否则为0。?Wep：加密标志，若为1表示数据内容加密，否则为0。??*Order?这个表示用于PCF模式下。?Duration/ID（持续时间/标识）：表明该帧和它的确认帧将会占用信道多长时间；对于帧控制域子类型为：Power?Save-Poll的帧，该域表示了STA的连接身份（AID,?Association?Indentification）。?

实验二使用Wireshark分析以太网帧与ARP协议

实验二使用Wireshark分析以太网帧与ARP协议 一、实验目的 分析以太网帧，MAC地址和ARP协议 二、实验环境 与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。 三、实验步骤： IP地址用于标识因特网上每台主机，而端口号则用于区别在同一台主机上运行的不同网络应用程序。在链路层，有介质访问控制（Media Access Control,MAC）地址。在局域网中，每个网络设备必须有唯一的MAC地址。设备监听共享通信介质以获取目标MAC地址与自己相匹配的分组。 Wireshark 能把MAC地址的组织标识转化为代表生产商的字符串，例如，00:06:5b:e3:4d:1a也能以Dell:e3:4d:1a显示，因为组织唯一标识符00:06:5b属于Dell。地址ff:ff:ff:ff:ff:ff是一个特殊的MAC地址，意味着数据应该广播到局域网的所有设备。 在因特网上，IP地址用于主机间通信，无论它们是否属于同一局域网。同一局域网间主机间数据传输前，发送方首先要把目的IP地址转换成对应的MAC 地址。这通过地址解析协议ARP实现。每台主机以ARP高速缓存形式维护一张已知IP分组就放在链路层帧的数据部分，而帧的目的地址将被设置为ARP高速缓存中找到的MAC地址。如果没有发现IP地址的转换项，那么本机将广播一个报文，要求具有此IP地址的主机用它的MAC地址作出响应。具有该IP地址的主机直接应答请求方，并且把新的映射项填入ARP高速缓存。 发送分组到本地网外的主机，需要跨越一组独立的本地网，这些本地网通过称为网关或路由器的中间机器连接。网关有多个网络接口卡，用它们同时连接多个本地网。最初的发送者或源主机直接通过本地网发送数据到本地网关，网关转发数据报到其它网关，直到最后到达目的主机所在的本地网的网关。 1、俘获和分析以太网帧 （1）选择工具->Internet 选项->删除文件

实验3分析mac帧格式

实验3 分析MAC帧格式 实验目的 1．了解MAC帧首部的格式； 2．理解MAC帧固定部分的各字段含义； 3．根据MAC帧的内容确定是单播，广播。 实验设备 Winpcap、Wireshark等软件工具 相关背景 1．据包捕获的原理：为了进行数据包,网卡必须被设置为混杂模式。在现实的网络环境中,存在着许多共享式的以太网络。这些以太网是通过Hub 连接起来的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub进行转发,而Hub以广播的方式进行转发,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。目的机器是指自身MAC 地址与消息中指定的目的MAC 地址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析,这样就可以得到整个网络中信息的现状。 2．Tcpdump的简单介绍：Tcpdump是Unix平台下的捕获数据包的一个架构。Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的Van Jcaobson、Craig Leres和 Steve McCanne共同开发完成，它可以收集网上的IP数据包文，并用来分析网络可能存在的问题。现在，Tcpdump已被移植到几乎所有的UNIX系统上，如：HP-UX、SCO UNIX、SGI Irix、SunOS、Mach、Linux 和FreeBSD等等。更为重要的是Tcpdump是一个公开源代码和输出文件格式的软件，我们可以在Tcpdunp的基础上进行改进，加入辅助分析的功能，增强其网络分析能力。（详细信息可以参看相关的资料）。 3．Winpcap的简单介绍：WinPcap是由意大利Fulvio Risso和Loris Degioanni等人提出并实现的应用于Win32 平台的数据包捕获与分析的一种软件包,包括内核级的数据包监听设备驱动程序、低级动态链接库和高级系统无关库，其基本结构如图3-1所示：

实验一-以太网链路层帧格式分析报告

实验一以太网链路层帧格式分析 实验目的 1、分析Ethernet V2 标准规定的MAC 层帧结构，了解IEEE802.3 标准规定的MAC 层帧结构和TCP/IP 的主要协议和协议的层次结构； 2、掌握网络协议分析软件的基本使用方法； 3、掌握网络协议编辑软件的基本使用方法。 实验学时 3学时 实验类型 验证型 实验容 1、学习网络协议编辑软件的各组成部分及其功能； 2、学习网络协议分析软件的各组成部分及其功能； 3、学会使用网络协议编辑软件编辑以太网数据包； 4、理解MAC地址的作用； 5、理解MAC首部中的LLC—PDU 长度/类型字段的功能； 6、学会观察并分析地址本中的MAC地址。 实验流程

实验环境 局域网环境，1台PC机。 实验原理 详见《计算机网络》教材（P79和P92）或相关书籍，然后进行说明阐述 实验步骤 步骤1：运行ipconfig命令 1、在Windows的命令提示符界面中输入命令：ipconfig /all，会显示本机的网络信息： 2、观察运行结果，获得本机的以太网地址。

步骤2：编辑LLC信息帧并发送 1、在主机A，打开协议编辑软件，在工具栏选择“添加”，会弹出“协议模版”的对话框，如图所示，在“选择生成的网络包”下拉列表中选择“LLC协议模版”，建立一个LLC帧； 添加一个数据包 2、在“协议模版”对话框中点击“确定”按钮后，会出现新建立的数据帧，此时在协议编辑软件的各部分会显示出该帧的信息。如图所示：

新建的LLC帧 数据包列表区中显示：新帧的序号(为0)、概要信息； 协议树中显示以太网MAC层协议； 数据包编辑区中显示新帧各字段的默认值； 十六进制显示区中显示新帧对应的十六进制信息。 3、编辑LLC帧 在数据包编辑区中编辑该帧；具体步骤为： 编辑LLC帧 填写“目的物理地址”字段； 方法一：手工填写。 方法二：选择”地址本”中主机B的IP地址，确定后即可填入主机B的MAC地址；

网络数据包分析实验

实验一：网络数据包分析实验 班级：班学号：姓名:一、实验目的 通过对实际的网络数据包进行捕捉，分析数据包的结构，加深对网络协议分层概念的理解，并实际的了解数据链路层，网络层，传输层以及应用层的相关协议和服务。 、实验内容 1. IGMP包解析 1.1数据链路层 El代XEL洱丁；亡日：亡5 MB)」osr: IP- 4m 4 t-is ：hi-At I _n * tP f Ld L^iJ 1 Sei 00:00:1^^ saur-ctt El1imro_&ai?SiU Type；IP CgMOsw) 源数据： 数据链路层头部：01 00 5e 00 00 16 00 21 97 0a e5 16 08 00 数据链路层尾部：00 00 00 00 00 00 分析如下：

数据头部的前6个字节是接收者的mac地址：01 00 5e 00 00 16 数据头部的中间6个字节是发送者的mac地址：00 21 97 0a e5 16 数据头部的最后2个字节代表网络协议，即：08 00协议类型。 1.2网络层 Header* 1 cngth: 24 byres n axed services "乜Id：0x00 (.DSCP 0X00: D&fau11: 0x003 Tqtil rength:斗D Tdsrrtificar I cn： QklclJ 也^7460) H Flmqs： Q>00 Fra^Tienr offset;：Q Time VQ live; 1 Fr DTCCDl : IGMP go?) ￥ HPAder fhecksijn：CxJ85c [correct] 5DU RUM;172,10.103.?0

第三章计算机网络数据链路层教材

（答案仅供参考如有不对请自己加以思考） 第三章数据链路层 一习题 1，下列不属于数据链路层功能的是（）。 A 帧定界功能 B电路管理功能 C 差错检测功能 D链路管理功能 解析：B。数据链路层在物理层提供的服务的基础上向网络层提供服务，即将原始的，有差错的物理线路改进成逻辑上无差错的数据链路，从而向网络层提供高质量的服务。为了达到这一点，数据链路层必须具备一系列相应的功能，主要有：如何将二进制比特流组织成数据链路层的传输单元----帧；如何控制帧在物理信道上的传输，包括如何处理传输差错，在两个网络实体之间提供数据链路的建立，维护和释放管理。这些功能对应为帧定界，差错检测，链路管理等功能。 2 对于信道比较可靠并且对通信实时性要求高的网络，采用（）数据链路层服务比较合适。 A无确认的无连接服务 B 有确认的无连接服务 C 有确认的面向连接的服务 D 无确认的面向连接的服务 解析：A。无确认的无连接服务器是指源机器向目标机器发送独立的帧，目标机器并不对这些帧进行确认。事先并不建立逻辑连接，事后也不用释放逻辑连接。若由于线路上有噪声而造成了某一帧丢失，则数据链路层并不会检测这样的丢帧现象，也不会恢复。当错误率很低的时候，这一类服务是非常适合的，这时恢复过程可以留给上面的各层来完成。这类服务对于实时通信也是非常适合的，因为实时通信中数据的迟到比数据损坏更加不好。 3 在数据链路层中，网络互联表现为（）。 A，在电缆段之间复制比特流 B 在网段之间转发数据帧 C 在网络之间转发报文 D 连接不同体系结构的网络 解析： B。数据链路层的主要任务是将一个原始的传输设备（物理层设备）转变成一条逻辑的传输线路。数据链路层的传输单元为帧，网络层的传输单元为报文，物理层的传输单元为比特，所以A，C都是错误的。而连接不同体系结构的网络的工作是在网络层完成的。 4假设物理信道的传输成功率是95%，而平均一个网络层的分组需要10个数据链路层的帧来发送。如果数据链路层采用了无确认的无连接服务，那么发送网络层分组的成功率是（）。这个结论说明了什么？ A 40% B 60% C 80% D95% 解析：B。要成功发送一个网络层的分组，需要成功发送10个数据链路层帧。成功发送10个数据链路层帧的概率是（0.95）10 ≈0.598，即大约只有60%的成功率。 这个结论说明了在不可靠的信道上无确认的服务效率很低。为了提高可靠性应该引入有确认的服务。 5 在可靠传输机制中，发送窗口的位置由窗口前沿和后沿的位置共同确定，经过一段时间，发送串口的后沿的变化情况可能为（）。 I 原地不动 II 向前移动 III 向后移动 A I III B I II C II III D 都有可能 解析：B。发送窗口的后沿的变化情况只能有两种： 1）原地不动（没有收到新的确认）。

以太网帧格式分析

的IP，而MAC地址是伪造的，则当A接收到伪造的ARP应答后，就会更新本地的ARP缓存，这样在A 看来B的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通B！这就是一个简单的ARP欺骗。 【实验体会】 这次实验最大的感触是体会到了网络通信过程的趣味性。在做ping同学IP的实验时，我发现抓到的包之间有紧密的联系，相互的应答过程很像实际生活中人们之间的对话。尤其是ARP帧，为了获得对方的MAC地址，乐此不疲地在网络中广播“谁有IP为XXX的主机？”，如果运气好，会收到网桥中某个路由器发来的回复“我知道，XXX的MAC地址是YYY！”。另外，通过ping同学主机的实验，以及对实验过程中问题的分析，使我对之前模糊不清的一些概念有了全面的认识，如交换机、路由器的区别与功能，局域网各层次的传输顺序与规则等。还有一点就是，Wireshark不是万能的，也会有错误、不全面的地方，这时更考验我们的理论分析与实践论证能力。 成绩优良中及格不及格 教师签名：日期： 【实验作业】 1 观察并分析通常的以太网帧 1.1 以太网帧格式 目前主要有两种格式的以太网帧：Ethernet II（DIX 2.0）和IEEE 802.3。我们接触过的IP、ARP、EAP和QICQ协议使用Ethernet II帧结构，而STP协议则使用IEEE 802.3帧结构。 Ethernet II是由Xerox与DEC、Intel（DIX）在1982年制定的以太网标准帧格式，后来被定义在RFC894中。IEEE 802.3是IEEE 802委员会在1985年公布的以太网标准封装结构（可以看出二者时间 相差不多，竞争激烈），RFC1042规定了该标准（但终究二者都写进了IAB管理的RFC文档中）。 下图分别给出了Ethernet II和IEEE 802.3的帧格式： ⑴前导码（Preamble）：由0、1间隔代码组成，用来通知目标站作好接收准备。以太网帧则使用8个字节的0、1间隔代码作为起始符。IEEE 802.3帧的前导码占用前7个字节，第8个字节是两个连续的代码1，名称为帧首定界符（SOF），表示一帧实际开始。 ⑵目标地址和源地址（Destination Address & Source Address）：表示发送和接收帧的工作站的地址，各占据6个字节。其中，目标地址可以是单址，也可以是多点传送或广播地址。

计算机网络试验

计算机网络试验 文件管理序列号：[K8UY-K9IO69-O6M243-OL889-F88688]

课程名称：计算机网络试验 课程编号：C311 课程学分：2 适用学科：计算机应用技术 计算机网络试验 Experiment of Computer Network 教学大纲 一、课程性质 本课程是为计算机应用专业研究生开设的选修课，共32学时。本课程是在学生学习过计算机网络理论知识的基础上，通过一些相应的试验，使学生能将理论知识和实践结合起来，并使学生掌握这些知识的实际应用，提高学生的动手能力。 二、课程教学目的 本课程要求学生通过本课程的学习后，通过一些试验加深对计算机网络原理的了解，了解一些常见的网络操作系统、一些网络安全技术，了解网络管理协议，掌握一些简单的计算机网络编程技术。 三、课程教学基本内容及基本要求 下面是课程的内容和要求，内容可根据情况做些调整。 第一章绪论（掌握） 第二章网络原理实验（掌握） 1、物理层实验

2、数据链路层实验 3、网络层实验 4、传输层实验 5、应用层实验 第三章网络操作系统实验（了解） 第四章组网实验（了解） 第五章网络安全实验（了解） 第六章网络管理实验（掌握） 四、本课程与其它相关课程的联系与分工 本课程可与《面向对象技术与应用》，《Java技术》，《计算机网络》等一些课程结合学习。 五、实践环节教学内容的安排与要求 通过一些软件了解一些计算机网络协议的工作情况，以及一些计算机网络编程技术的使用。 六、本课程课外练习方面的要求 课外可安排12学时的上机试验。 七、本课程在使用现代化教学手段方面的要求 使用PowerPoint。 八、本课程成绩的考查方法及评定标准 考核形式：编写一个软件，计算机网络应用编程。 考核内容：所学的一些相关概念，对计算机网络协议的了解以及计算机网络编程技术的掌握。

实验一 以太网数据帧的构成

【实验一以太网数据帧的构成】 【实验目的】 1、掌握以太网帧的构成，了解各个字段的含义； 2、能够识别不同的MAC地址并理解MAC地址的作用； 3、掌握网络协议分析器的基本使用方法； 4、掌握协议仿真编辑器的基本使用方法； 【实验学时】 4学时； 【实验类型】 验证型； 【实验内容】 1、学习协议仿真编辑器的五个组成部分及其功能； 2、学习网络协议分析器的各组成部分及其功能； 3、学会使用协议仿真编辑器编辑以太网帧，包括单帧和多帧； 4、学会分析以太网帧的MAC首部； 5、理解MAC地址的作用； 6、理解MAC首部中的LLC-PDU长度/类型字段的功能； 7、学会观察并分析地址本中的MAC地址； 8、了解LLC-PDU的内容； 【实验原理】 局域网（LAN）是在一个小的范围内，将分散的独立计算机系统互联起来，实现资源的共享和数据通信。局域网的技术要素包括了体系结构和标准、传输媒体、拓扑结构、数据编码、媒体访问控制和逻辑链路控制等，其中主要的技术是传输媒体、拓扑结构和媒体访问控制方法。局域网的主要的特点是：地理分布范围小、数据传输速率高、误码率低和协议简单等。 1、三个主要技术 ⑴传输媒体：双绞线、同轴电缆、光缆、无线。 ⑵拓扑结构：总线型拓扑、星型拓扑和环型拓扑。 ⑶媒体访问控制方法：载波监听多路访问/冲突检测（CSMA/CD）技术。 2、IEEE 802标准的局域网参考模型 IEEE 802参考模型包括了OSI/RM最低两层（物理层和数据链路层）的功能。OSI/RM的数据链路层功能，在局域网参考模型中被分成媒体访问控制MAC（Medium Access Control）和逻辑链路控制LLC（Logical Link Control）两个子层。由于局域网采用的媒体有多种，对应的媒体访问控制方法也有多种，为了使数据帧的传送独立于所采用的物理媒体和媒体访问控制方法，IEEE 802 标准特意把LLC 独立出来形成单独子层，使LLC子层与媒体无关，仅让MAC子层依赖于物理媒体和媒

以太网数据帧的格式分析比较

一、 以太网数据帧的格式分析 大家都知道我们目前的局域网大多数是以太网，但以太网有多种标准，其数据帧有多种格式，恐怕有许多人不是太清楚，本文的目的就是通过帧格式和Sniffer捕捉的数据包解码来区别它们。 以太网这个术语一般是指数字设备公司（Digital Equipment）、英特尔公司（Intel）和施乐公司（Xerox）在1982年联合公布的一个标准（实际上它是第二版本，第一版本早在1972年就在施乐公司帕洛阿尔托研究中心PARC里产生了）。它是目前TCP/IP网络采用的主要的局域网技术。它采用一种称作CSMA/CD的媒体接入方法，其意思是带冲突检测的载波侦听多路接入（Carrier Sense, Multiple Access with Collision Detection）。它的速率为10 Mb/s，地址为48 bit。 1985年，IEEE（电子电气工程师协会） 802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络。这三者的共同特性由802.2标准来定义，那就是802网络共有的逻辑链路控制（LLC）。不幸的是，802.2和802.3定义了一个与以太网不同的帧格式，加上1983年Novell为其Netware 开发的私有帧，这些给以太网造成了一定的混乱，也给我们学习以太网带来了一定的影响。 1、通用基础 注：* VLAN Tag帧和Gigabit Jumbo帧可能会超过这个限制值 图1-1 图1-1中，数据链路层头（Header）是数据链路层的控制信息的长度不是固定的，根据

分析数据链路层帧结构

南华大学计算机学院 实验报告课程名称计算机网络原理 姓名杨国峰 学号 20144360205 专业网络2班 任课教师谭邦 日期 2016年4月4日 成绩 南华大学 实验报告正文：

一、实验名称分析数据链路层帧结构 二、实验目得： 1、掌握使用Wireshark分析俘获得踪迹文件得基本技能； 2、深刻理解Ethernet帧结构。 3、深刻理解IEEE 802、11帧结构。 三、实验内容与要求 1、分析俘获得踪迹文件得Ethernet帧结构； 2、分析IEEE 802、11帧结构。 四、实验环境

五、操作方法与实验步骤 1、Ethernet帧结构（本地连接与无线连接） 2、IEEE 802、11帧结构

六、实验数据记录与结果分析 1.Ethernet帧结构（本地连接为例）

Ethernet II, Src: Tp-LinkT_95:c6:20 (fc:d7:33:95:c6:20), Dst: Clevo_00:a1:18 (80:fa:5b:00:a1:18) 以太网协议版本II，源地址：厂名_序号（网卡地址），目得：厂名_序号（网卡地址） Destination: Clevo_00:a1:18 (80:fa:5b:00:a1:18) 目得：厂名_序号（网卡地址） Source: Tp-LinkT_95:c6:20 (fc:d7:33:95:c6:20) 源：厂名_序号（网卡地址） Type: IP (0x0800) 帧内封装得上层协议类型为IP Padding: 0 所有内边距属性 2、分析IEEE 802、11帧结构 Protocol version：表明版本类型，现在所有帧里面这个字段都就是0x00。 *Type：指明数据帧类型，就是管理帧，数据帧还就是控制帧。 Subtype：指明数据帧得子类型，因为就算就是控制帧，控制帧还分RTS帧，CTS 帧，ACK 帧等等，通过这个域判断出该数据帧得具体类型。 To DS/From DS：这两个数据帧表明数据包得发送方向，分四种可能情况讨论： **若数据包To DS为0，From DS为0，表明该数据包在网络主机间传输。 **若数据包To DS为0，From DS为1，表明该数据帧来自AP。 **若数据包To DS为1，From DS为0，表明该数据帧发送往AP。若数据包To DS为1，From DS为1，表明该数据帧就是从AP发送自AP得，也就就是说这个就是个WDS(Wireless Distribution System)数据帧。 Moreflag：分片标志，若数据帧被分片了，那么这个标志为1，否则为0。 *Retry：表明就是否就是重发得帧，若就是为1，不就是为0。 PowerManage：当网络主机处于省电模式时，该标志为1，否则为0。 Moredata：当AP缓存了处于省电模式下得网络主机得数据包时，AP给该省电模式下得网络主机得数据帧中该位为1，否则为0。 Wep：加密标志，若为1表示数据内容加密，否则为0。 *Order 这个表示用于PCF模式下。 Duration/ID（持续时间/标识）：表明该帧与它得确认帧将会占用信道多长时间；对于帧控制域子类型为：Power Save-Poll得帧，该域表示了STA得连接身份（AID, Association Indentification）。

实验四：以太网帧结构

北京理工大学珠海学院实验报告 ZHUHAI CAMPAUS OF BEIJING INSTITUTE OF TECHNOLOGY 班级：网络2班学号：120205021姓名：指导教师：高树风成绩实验题目：以太网帧结构实验时间：2013.11.22 第一部分、实验目的 掌握以太网的帧结构，理解以太网帧中各字段的含义和作用。 第二部分、实验环境 1．连网的Windows XP主机两台，PC1安装有科来网络分析系统，PC2安装IIS。 2．实验分组：两名同学一组，轮换进行实验。 第三部分、实验内容 用科来网络分析系统捕获并分析以太网的帧结构。 第四部分、实验步骤 1．在PC1上删除本机的ARP表项。如图： 2．先关闭防火墙，再在PC1上启动科来网络分析系统，准备开始捕获数据包，然后立刻访问

PC2的Web页面【利用实验三中建立的WWW服务器进行本实验】。 4．停止捕获。 5．分析捕获到的数据包。 （1）在捕获到的数据包中，找到每个数据包的数据帧，查看每个数据帧的首部各字段的内容并进行记录； （2）根据所学的内容和每个数据帧首部字段的MAC地址信息，判断数据帧的方向； （3）观察数据帧的大小，检查每个帧的大小是否符合协议要求。 第五部分、结论 通过次实验后，进一步掌握科来网络分析系统在网络分析中的作用和使用方法，理解并掌握了以太网帧结构、以太网帧中各字段的含义和作用，进一步了解并熟悉了科来网络分析系统的用法。 第六部分、思考 1．查看捕获到的数据帧，目的地址为PC2的数据帧中长度最小的是多大？查看这种帧的各个

域，查看先导域（前同步码）是否包括在记录的数据中？捕获到的数据帧从哪个字段开始，到哪个字段结束？是否包含帧校验序列？是否可以验证EthernetV2标准中规定的最小帧长为64字节？ 答：目的地址为PC2的数据帧中长度最小的是64，捕获到的数据帧从目标MAC地址开始，到目标IP地址结束，没有帧校验序列，可以验证EthernetV2标准中规定的最小帧长为64字节。2．查找捕获的帧中长度最长的帧。确定这些帧中最长的帧是多少字节？为什么？ 答：这些帧中最长的帧是64字节，帧携带的信息比较少！ 3．找到捕获的数据帧中由PC1发出的ARP请求帧，辨认其目的地址域和源地址域，查看目的MAC地址是多少？用IPconfig -all命令查看PC2的MAC地址，看是否与该帧中的源地址一致？答：其目的地址域 6C:62：6D:82：0B:7D，源地址域6C:62：6D:82：0B:49. 目的MAC地址是6C:62：6D:82：0B:7D 4．对比封装ARP分组的帧和其他帧（封装IP分组的帧），它们的类型字段分别是多少？答：类型字段分别是ox0806和OX0800