实验3分析mac帧格式
华北电力大学计算机网络实验报告
计算机网络实验报告( 2012--2013年度第二学期)实验名称:计算机网络实验(课程设计) 院系:控制与计算机工程学院班级:软件1002 班学生姓名:汪豪学号:20成绩:指导教师:设计周数:1周2013年6月目录实验一数据链路层:以太网帧的构成 0一、实验目的 0二、实验环境配置 0三、实验原理 (1)1.两种不同的MAC帧格式 (1)2. MAC层的硬件地址 (1)四、实验方法与步骤 (1)练习一:编辑并发送LLC帧 (1)练习二:编辑并发送MAC广播帧 (2)练习三:领略真实的MAC帧 (2)练习四:理解MAC地址的作用 (2)五、实验结果与数据处理 (3)练习一:编辑并发送LLC帧 (3)实验截图: (3)六、讨论与结论 (8)1、对实验结果、实验过程中的问题及处理方法等进行分析和讨论。
(8)2、思考题: (8)实验二网络层:地址转换协议ARP (9)一、实验目的 (9)二、实验环境配置 (9)三、实验原理 (9)1、使用IP协议的以太网中ARP报文格式 (9)2、ARP地址解析过程 (10)四、实验方法与步骤 (10)练习一:领略真实的ARP(同一子网) (11)练习二:编辑并发送ARP报文(同一子网) (11)练习三:跨路由地址解析(不同子网) (12)五、实验结果与数据处理 (12)六、讨论与结论 (16)1、对实验结果、实验过程中的问题及处理方法等进行分析和讨论。
(16)2、思考题 (17)实验三网络层:网际协议IP (18)一、实验目的 (18)二、实验环境配置 (18)三、实验原理 (19)1、IP报文格式 (19)2、IP分片 (19)3、IP路由表 (19)4、路由选择过程 (20)四、实验步骤 (20)练习一:编辑并发送IP数据报 (20)练习二:特殊的IP地址 (21)练习三:IP数据报分片 (23)练习四:子网掩码与路由转发 (23)五、实验结果与数据处理 (24)练习一:编辑并发送IP数据报 (24)练习二:特殊的IP地址 (24)练习三:IP数据报分片 (25)练习四:子网掩码与路由转发 (25)六、讨论与结论 (26)一、实验目的 (27)二、实验环境配置 (27)三、实验原理 (27)目的不可达报文 (27)源端抑制报文 (28)超时报文 (28)参数问题 (29)改变路由 (29)回送请求和回答 (29)时间戳请求和回答 (29)地址掩码请求和回答 (29)路由询问和通告 (30)四、实验方法与步骤 (30)练习一:运行Ping命令 (30)练习二:ICMP查询报文 (30)练习三:ICMP差错报文 (31)五、实验结果与数据处理 (33)六、讨论与结论 (36)1、对实验结果、实验过程中的问题及处理方法等进行分析和讨论。
以太网帧的构成
实验二、以太网帧的构成一、实验目的:掌握以太网的报文格式、MAC地址的作用、MAC广播地址的作用。
二、实验学时:建议2学时三、实验类型:验证性实验四、实验原理:1、两种不同的MAC帧格式常用的以太网MAC帧格式有两种标准,一种是DIX Ethernet V2标准;另一种是IEEE的802.3标准。
目前MAC帧最常用的是以太网V2的格式。
下图画出了两种不同的MAC帧格式。
2、MAC层的硬件地址在局域网中,硬件地址又称物理地址或MAC地址,它是数据帧在MAC层传输的一个非常重要的标识符。
网卡从网络上收到一个 MAC 帧后,首先检查其MAC 地址,如果是发往本站的帧就收下;否则就将此帧丢弃。
这里“发往本站的帧”包括以下三种帧:● 单播(unicast)帧(一对一),即一个站点发送给另一个站点的帧。
● 广播(broadcast)帧(一对全体),即发送给所有站点的帧(全1地址)。
● 多播(multicast)帧(一对多),即发送给一部分站点的帧。
五、网络结构该实验采用网络结构一。
说明:IP地址分配规则为主机使用原有IP,保证所有主机在同一网段内。
六、实验步骤按照拓扑结构图连接网络,使用拓扑验证检查连接的正确性。
1、编辑并发送LLC帧将主机A和B作为一组,主机C和D作为一组,主机E和F作为一组。
现仅以主机A和B为例,说明实验步骤。
(1)主机A启动仿真编辑器,并编写一个LLC帧。
● 目的MAC地址:主机B的MAC地址。
● 源MAC地址:主机A的MAC地址。
● 协议类型和数据长度:可以填写001F。
● 控制字段:填写02。
● 用户定义数据/数据字段: AAAAAAABBBBBBBCCCCCCCDDDDDDD。
(2)主机B开始捕获数据。
(3)主机A发送编辑好的LLC帧。
(4)主机B停止捕获数据,在捕获到的数据中查找主机A所发送的LLC帧,分析该帧内容。
并记录实验结果。
帧类型发送序号N(S)接受序号N(R)回答问题:简述“协议类型和数据长度”字段的两种含义。
实验3-以太网MAC帧分析
实验3 以太网MAC 帧分析1.实验目的1.理解以太网MAC 地址2.学习并分析以太网MAC 帧格式的结构、含义2.实验设备与环境1.Ethereal 网络分析软件2.实验文件“计算机网络-实验文件”3.相关知识在局域网中,每个网络设备具有唯一的硬件地址又称为物理地址,或 MAC 地址, 它是固化在网卡的ROM 上的48位数字,如1A-24-F6-54-1B-0E 、00-00-A2-A4-2C-02。
网卡从网络上每收到一个 MAC 帧就首先用硬件检查 MAC 帧中的 MAC 地址,如果是发往本站的帧则收下,然后再进行其他的处理。
否则就将此帧丢弃,不再进行其他的处理。
“发往本站的帧”包括以下三种帧:单播(unicast)帧(一对一)广播(broadcast)帧(一对全体)多播(multicast)帧(一对多)如下的图1 是以太网 V2 MAC 帧格式图1以太网V2 的 MAC 帧格式当数据字段的长度小于 46 字节时,应在数据字段的后面加入整数字节的填充字段,以保证以太网的 MAC 帧长不小于 64 字节。
FCS 字段 4 字节,用于帧的校验。
2.以太网MAC 帧格式的结构和含义的分析打开文件“计算机网络-实验文件”,这是一个网络通信记录,详细记录了分组的序号、相对时间、源地址、目标地址、协议类型、内容,如图1是对第26个分组的详细信息。
在协议框内,分别显示了该分组的各层协议:接口层以太网协议(eth)、arp地址解析协议。
图1 第26个分组MAC帧格式的结构和含义图中的Frame 26为例,可以发现该MAC帧是一个广播帧broadcast,目标address是ff:ff:ff:ff:ff:ff,源地址是00 25 11 4e 02 34 ,帧类型是地址解析协议ARP(0806),ff:ff:ff:ff:ff:ff是广播地址。
图2 第27个分组MAC帧格式的结构和含义第27个分组数据字段的长度小于46 字节,在数据字段的后面加入整数字节的填充字段Trailer,以保证以太网的MAC 帧长不小于64 字节(含FCS)。
计算机网络协议,以太网帧格式
计算机⽹络协议,以太⽹帧格式以太⽹的MAC帧格式有好⼏种,被⼴泛应⽤的是DIX Ethernet V2标准,还有⼀种是IEEE的802.3标准,该标准经过了多年的发展,已经出现了很多种⼦标准。
DIX Ethernet V2 标准与 IEEE 的 802.3 标准只有很⼩的差别,因此可以将 802.3 局域⽹简称为“以太⽹”。
严格说来,“以太⽹”应当是指符合DIX Ethernet V2 标准的局域⽹⼀、DIX Ethernet V2(Ethernet II)1.帧结构2.字段分析=======================================================================================================源MAC地址 ===> 发送⽅的MAC地址=======================================================================================================⽬的MAC地址 ===> 接收⽅的MAC地址=======================================================================================================上层协议类型 ===> 该MAC数据报中包装的⽹络层数据报协议类型若该字段的值⼩于1518,那么这个字段就是长度字段,并定义后⾯的数据字段的长度。
若该字段的值⼤于1518,它就定义使⽤因特⽹服务的上层协议(⼩于0600H的值是⽤于IEEE802的,表⽰数据包的长度)具体协议类型可以参考如下两个表:表1:协议ID(Type)以太⽹协议0x0800Internet Protocol, Version 4(IPv4)0x0806Address Resolution Protocol(ARP)0x0842Wake-on-LAN Magic Packet0x1337SYN-3 Heartbeat Protocol(SYNdog)0x22F3IETF TRILL Protocol0x6003DECnet Phase IV0x8035Reverse Address Resolution Protocol(RARP)0x809B AppleTalk(Ethertalk)0x80F3AppleTalk Address Resolution Protocol(AARP)0x8100VLAN-tagged frame(IEEE 802.1Q)0x8137Novell IPX(alt)0x8138Novell0x8204QNX Qnet0x86DD Internet Protocol, Version 6(IPv6)0x8808MAC Control0x8809Slow Protocols(IEEE 802.3)0x8819CobraNet0x8847MPLS unicast0x8848MPLS multicast0x8863PPPoE Discovery Stage0x8864PPPoE Session Stage0x886F Microsoft NLB heartbeat0x8870Jumbo Frames0x887B HomePlug 1.0 MME0x888E EAP over LAN(IEEE 802.1X)0x888E EAP over LAN(IEEE 802.1X)协议ID(Type)以太⽹协议0x8892PROFINET Protocol0x889A HyperSCSI(SCSI over Ethernet)0x88A2ATA over Ethernet0x88A4EtherCat Protocol0x88A8Provider Bridging(IEEE 802.1ad)0x88AB Ethernet Powerlink0x88CC LLDP0x88CD sercos III0x88D8Circuit Emulation Services over Ethernet(MEF-8)0x88E1HomePlug AV MME0x88E3Media Redundancy Protocol(IEC62439-2)0x88E5MAC security(IEEE 802.1AE)0x88F7Precision Time Protocol(IEEE 1588)0x8902IEEE 802.1ag Connectivity Fault Management(CFM) Protocol / ITU-T Recommendation Y.1731(OAM) 0x8906Fibre Channel over Ethernet0x8914FCoE Initialization Protocol0x9000Configuration Test Protocol(Loop)0x9100Q-in-Q表2:以太类型值 (16 进制 )对应协议备注0x0000 - 0x05DC IEEE 802.3 长度0x0101 – 0x01FF实验0x0660XEROX NS IDP0x06610x0800DLOG0x0801X.75 Internet0x0802NBS Internet0x0803ECMA Internet0x0804Chaosnet0x0805X.25 Level 30x0806ARP0x0808帧中继ARP0x6559原始帧中继RFR0x8035动态 DARP,反向地址解析协议 RARP0x8037Novell Netware IPX0x809B EtherTalk0x80D5IBM SNA Services over Ethernet0x80F3AppleTalk 地址解析协议 AARP0x8100以太⽹⾃动保护开关 EAPS0x8137因特⽹包交换 IPX0x814C简单⽹络管理协议 SNMP0x86DD⽹际协议 v6 IPv6重要字段含义:Dest addr :以太⽹ OAM 报⽂的⽬的 MAC地址,为组播 MAC 地址 0180c2000002Source addr :以太⽹ OAM 报⽂的源 MAC地址,为发送端的桥 MAC 地址,该地址是⼀个单播 MAC地址Type :以太⽹ OAM 报⽂的协议类型,为0x8809Subtype :以太⽹ OAM 报⽂的协议⼦类型,为 0x030x8809OAM Flags : Flags 域,包含了以太⽹ OAM 实体的状态信息Code :本字段指明了 OAMPDU 的报⽂类型。
ieee 802.11系列标准中mac帧的类型
IEEE 802.11系列标准中MAC帧的类型是无线网络通信中的重要组成部分。
它们对于无线网络的数据传输起着至关重要的作用,并且对于网络的性能和安全性都有着直接影响。
在本文中,我将对IEEE 802.11系列标准中MAC帧的类型进行全面评估,并探讨它们在无线网络通信中的作用和意义。
我们需要了解IEEE 802.11系列标准中MAC帧的类型都有哪些。
根据标准,MAC帧可以分为管理帧、控制帧和数据帧三种类型。
管理帧主要用于网络的管理和控制,包括对网络的加入、退出和定位等操作;控制帧用于控制数据帧的传输和接收,包括对数据传输的确认和重传等控制操作;数据帧则用于实际的数据传输,包括对数据的传输、接收和处理。
这三种类型的MAC帧共同组成了无线网络通信中的基本框架,为无线网络的正常运行提供了基本保障。
在实际的无线网络通信中,这些MAC帧的类型起着非常重要的作用。
管理帧通过对网络的管理和控制,保证了无线网络的正常运行和稳定性;控制帧则通过对数据传输的控制,保证了数据的可靠传输和接收;数据帧则完成了实际的数据传输,保证了用户数据的正常传输和处理。
这三种类型的MAC帧共同构成了无线网络通信的基本框架,为无线网络的正常运行提供了基本保障。
从技术的角度来看,这三种类型的MAC帧又分别具有不同的技术特点和应用场景。
管理帧主要用于网络配置和管理,包括网络的加入、退出和定位等操作,对于网络的正常运行和稳定性至关重要;控制帧则负责对数据传输的控制和调度,包括对数据传输的确认和重传等控制操作,对于保证数据传输的可靠性和稳定性至关重要;数据帧则进行实际的数据传输,完成用户数据的正常传输和处理,对于用户的数据通信至关重要。
除了技术特点外,这三种类型的MAC帧还对无线网络的性能和安全性有着直接影响。
管理帧的稳定和可靠性直接影响着网络的正常运行和稳定性;控制帧的稳定和可靠性直接影响着数据传输的可靠性和稳定性;数据帧的稳定和可靠性则直接影响着用户数据通信的质量和稳定性。
编辑并发送mac广播帧
以太网的帧格式1. 以太网的MAC帧格式以太网的MAC帧格式有两种标准,一种是DIX Ethernet V2标准,另一种是IEEE的802.3标准。
但两种帧格式可以在同一以太网络共存。
两种帧格式都具有7个域:前导码、帧首定界符、目的MAC 地址、源MAC地址、协议类型或数据长度、数据、帧校验序列。
如下图所示:图1-5 以太网的MAC帧格式两种格式的帧可以依据协议类型或数据长度字段的值进行区分。
如果此帧是DIX Ethernet V2标准格式帧,则协议类型或数据长度字段的值大于1536;如果此帧是IEEE 802.3标准格式的帧,则协议类型或数据长度字段的值小于1518。
对DIX Ethernet V2 帧来说,此字段的值代表了高层协议的类型;对IEEE 802.3帧来说,它的高层协议一定是LLC,此字段的值代表了数据的长度。
在以太网的MAC帧格式中,各个字段的含义如下:●前导码:这是以太网MAC帧的第一个域,包含了7个字节的二进制“1”和“0”间隔的代码,即“10101010……10”共56 位,提示接收方一个数据帧即将到来,同时使接收系统建立起同步时钟。
●帧首定界符:帧首定界符标记了帧的开始。
它是一个字节的“10101011”二进制序列,帧首定界符通知接收方后面所有的内容都是数据,以便接收方对数据帧进行定位。
●目的MAC地址:目的MAC地址为6个字节,标记了数据帧下一个主机的物理地址。
如果数据包的目的地址必须从一个网络穿越到另一个网络,那么目的MAC地址所包含的是连接当前网络和下一个网络的路由器地址。
当数据包到达目标网络后,目的MAC地址域换成目的主机的地址。
●源MAC地址:源MAC地址也是6个字节。
它包含了最后一个转发此帧的设备的物理地址。
该设备可以是发送此数据帧的主机,也可以是最近接收和转发此数据帧的路由器。
●协议类型或数据长度:如果该字段的值小于1518,它用于定义后面数据字段的长度;如果字段的值大于1536,它定义一个封装在帧中的数据包的类型。
计算机网络实验报告3以太网链路层帧格式分析
南昌航空大学实验报告2019年 5月 2日课程名称:计算机网络与通信实验名称:以太网链路层帧格式分析班级:学生姓名:学号:指导教师评定:签名:一.实验目的分析Ethernet V2标准规定的MAC层帧结构,了解IEEE802.3标准规定的MAC层帧结构和TCP/IP的主要协议和协议的层次结构。
二.实验内容1.在PC机上运行WireShark截获报文,在显示过滤器中输入ip.addr==(本机IP地址)。
2.使用cmd打开命令窗口,执行“ping 旁边机器的IP地址”。
3.对截获的报文进行分析:(1)列出截获报文的协议种类,各属于哪种网络?(2)找到发送消息的报文并进行分析,研究主窗口中的数据报文列表窗口和协议树窗口信息。
三.实验过程局域网按照网络拓扑结构可以分为星形网、环形网、总线网和树形网,相应代表性的网络主要有以太网、令牌环形网、令牌总线网等。
局域网经过近三十年的发展,尤其是近些年来快速以太网(100Mb/s)、吉比特以太网(1Gb/s)和10吉比特以太网(10Gb/s)的飞速发展,采用CSMA/CD(carrier sense,multiple access with collision detection)接入方法的以太网已经在局域网市场中占有绝对的优势,以太网几乎成为局域网的同义词。
因此,本章的局域网实验以以太网为主。
常用的以太网MAC帧格式有两种标准,一种是DIX Ethernet V2标准,另一种是IEEE802.3标准。
1. Ethernet V2标准的MAC帧格式DIX Ethernet V2标准是指数字设备公司(Digital Equipment Corp.)、英特尔公司(Intel corp.)和Xerox公司在1982年联合公布的一个标准。
它是目前最常用的MAC帧格式,它比较简单,由5个字段组成。
第一、二字段分别是目的地址和源地址字段,长度都是6字节;第三字段是类型字段,长度是2字节,标志上一层使用的协议类型;第四字段是数据字段,长度在46~1500字节之间;第五字段是帧检验序列FCS,长度是4字节。
计算机网络 (实验三:数据包结构分析)
标识:数据分片和重组时使用
标志:前三bit 010,最后一个数据片,传输过程中不能分片
生存时间:最多经过64个路由
上层协议:6 TCP协议
5.TCP协议
1)格式
2)数据包分析结果
3)说明
标志位(010000):URG=0紧急指针无效
ACK=1确认信号有效
PSH=0不立即响应
RST=0 TCP连接没有问题
思考题:(10分)
思考题1:(4分)
得分:
写出捕获的数据包格式。
1.打开软件。选择网络配适器。(如此处选择无线网络连接ip:10.99.45.90)
2.设置捕捉过滤器,并新建一个自定义规则filter 1。
3.点击右下角开始按钮,开始抓包,一段时间后停止。
4.停止抓包后协议统计信息
思考题2:(6分)
问题2:开始捕获数据后多久停止
按照实验步骤设置好过滤器之后,点击开始捕获数据包按钮进入数据包分析页面,此时数据可能还没有显示,需要等待一段时间,观察到流量图表上开始有较明显的折线,表示有数据了。此时可以点击停止按钮。停止后可以查看到协议统计信息。
问题3:捕获数据包后,查看数据包协议时发现HTTP协议中没有文本内容,只有二进制符号
2.在这个实验中,你将使用抓包软件捕获数据包,并通过数据包分析每一层协议。
实验内容:
使用抓包软件捕获数据包,并通过数据包分析每一层协议。
实验要求:(学生对预习要求的回答)(10分)
得分:
常用的抓包工具
Sniffer软件有很多,常用的有Sniffer Pro、Iris、NetXray、Ethereal、科来等,本实验以科来为主来介绍该软件的基本使用方法。Sniffer软件的基本功能有:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验3 分析MAC帧格式实验目的1.了解MAC帧首部的格式;2.理解MAC帧固定部分的各字段含义;3.根据MAC帧的内容确定是单播,广播。
实验设备Winpcap、Wireshark等软件工具相关背景1.据包捕获的原理:为了进行数据包,网卡必须被设置为混杂模式。
在现实的网络环境中,存在着许多共享式的以太网络。
这些以太网是通过Hub 连接起来的总线网络。
在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub进行转发,而Hub以广播的方式进行转发,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。
目的机器是指自身MAC 地址与消息中指定的目的MAC 地址相匹配的计算机。
网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析,这样就可以得到整个网络中信息的现状。
2.Tcpdump的简单介绍:Tcpdump是Unix平台下的捕获数据包的一个架构。
Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的Van Jcaobson、Craig Leres和 Steve McCanne共同开发完成,它可以收集网上的IP数据包文,并用来分析网络可能存在的问题。
现在,Tcpdump已被移植到几乎所有的UNIX系统上,如:HP-UX、SCO UNIX、SGI Irix、SunOS、Mach、Linux 和FreeBSD等等。
更为重要的是Tcpdump是一个公开源代码和输出文件格式的软件,我们可以在Tcpdunp的基础上进行改进,加入辅助分析的功能,增强其网络分析能力。
(详细信息可以参看相关的资料)。
3.Winpcap的简单介绍:WinPcap是由意大利Fulvio Risso和Loris Degioanni等人提出并实现的应用于Win32 平台的数据包捕获与分析的一种软件包,包括内核级的数据包监听设备驱动程序、低级动态链接库和高级系统无关库,其基本结构如图3-1所示:图3-1 Winpcap的体系结构WinPcap由3个模块组成:1)NPF (NetgroupPacket Filter),是一个虚拟设备驱动程序文件。
它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块;2)为Win32 平台提供了一个公共的接口。
不同版本的Windows系统都有自己的内核模块和用户层模块。
直接映射了内核的调用,运行在用户层,把应用程序和数据包监听设备驱动程序隔离开,使应用程序可以不加修改地在不同的Windows系统上运行。
通过提供的能用来直接访问BPF驱动程序的包驱动API 利用raw模式发送和接收包。
3)Wpcap. dll是不依赖于操作系统的。
和应用程序链接在一起,使用低级动态链接库提供的服务,向应用程序提供完善的监听接口和更加友好、功能更加强大的函数调用(详细信息可以参看相关的资料)。
4. 数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。
数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源机网络层发来的数据可靠地传输到相邻节点的目标机网络层。
为达到这一目的,数据链路必须具备一系列相应的功能,主要有:如何将数据组合成数据块,在数据链路层中称这种数据块为帧(frame),帧是数据链路层的传送单位;如何控制帧在物理信道上的传输,包括如何处理传输差错,如何调节发送速率以使与接收方相匹配;以及在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。
以太网帧的概述:以太网的帧是数据链路层的封装,网络层的数据包被加上帧头和帧尾成为可以被数据链路层识别的数据帧(成帧)。
虽然帧头和帧尾所用的字节数是固定不变的,但依被封装的数据包大小的不同,以太网的长度也在变化,其范围是64~1518字节(不算8字节的前导字)。
图3-2 MAC帧格式以太网帧的最小长度为64字节(6+6+2+46+4),最大长度为1518字节(6+6+2+1500+4)。
其中前12字节分别标识出发送数据帧的源节点MAC地址和接收数据帧的目标节点MAC地址。
(注:ISL封装后可达1548字节,封装后可达1522字节)接下来的2个字节标识出以太网帧所携带的上层数据类型,如16进制数0x0800代表IP协议数据,16进制数0x809B代表AppleTalk协议数据,16进制数0x8138代表Novell类型协议数据等。
在不定长的数据字段后是4个字节的帧校验序列(Frame. Check Sequence,FCS),采用32位CRC循环冗余校验对从"目标MAC地址"字段到"数据"字段的数据进行校验。
实验内容1. 捕获数据包;2. 解析出数据包的各个字段;3. 分析各字段的含义;4. 分析实验结果,加深对数据包首部各字段的理解;5. 整理实验结果,书写实验报告。
实验步骤1 安装实验中提供两种安装软件“Wireshark Development Release (32-bit).exe”和“中文版.exe”。
两者区别由名字已经可以看出,前者是英文版,后者是汉化后的中文版。
Wireshark软件安装包中,目前包含的网络数据采集软件是winpcap 版本,保存捕获数据时可以用中文的文件名,文件名默认后缀为.pcap。
winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。
开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。
2 界面功能在此为了方便即时上手操作,以中文版界面进行讲解,英文版操作类同,可以自行使用。
安装后,双击桌面“Wireshark”图标,打开操作界面如图3-3所示。
图3-3 操作界面以捕获数据包后的界面为例,将整个操作环境分为7个区域,如图3-4所示。
图3-4 捕获数据包后的界面(1)菜单其中常用【文件】打开或保存捕获的信息,【编辑】查找或标记包,【视图】设置Wireshark的视图,【定位】跳转到捕获的数据包,【抓包】设置捕捉过滤器并开始捕捉,【分析】设置分析选项,【统计】查看Wireshark的统计信息,【帮助】查看本地或者在线支持。
(2)快捷菜单将鼠标移至到每个按钮上,可以获得按钮的功能提示信息。
其中常用列出可以抓包的接口,显示抓包参数,开始抓包,停止抓包,重新开始抓包。
(3)过滤器过滤器主要用于查找捕捉记录中的内容。
从已经捕捉的数据包中,按照某种要求查找需要的数据包进行分析。
比如,希望查找IP地址为的IP数据报信息,可以在过滤器的文本框中输入表达式“==,单击【应用】或回车进行筛选,则凡是目的地址、源地址为的IP数据报均被筛选出来。
表达式可以自己写,也可以通过【表达式】按钮弹出界面帮助完成。
【清除】用来清空过滤器文本框内容。
(4)数据包列表图 3-5 数据包列表数据包列表显示所有已经捕获的数据包的基本信息,默认的包括捕获编号、时间、源地址、目的地址、协议、报文信息等。
列信息可以根据分析需要自己添加。
鼠标移至列信息空白处,单击右键,在快捷菜单中选择【列首选项设置】,在弹出的窗口中可以进行列的添加、删除和修改等操作。
(5)数据包详细信息图3-6 数据包详细信息显示被选中的数据包中的详细信息。
信息按照网络体系结构中的不同层次进行了分组。
可以展开每个项目进行展开查看。
例如,图中红色部分即是IP数据报的首部信息。
展开可以显示IP数据报首部中的每个字段信息。
(6)解析器窗口图 3-7 解析器窗口“解析器”也可以称作“16进制数据查看面板”,以16进制的形式展示一个数据包。
这里的内容和“数据包详细信息”中的内容相同,并且单击各首部、字段时,两个窗口的内容对应反白显示。
(7)状态信息在操作窗口的最下端,可以显示当前Wireshark的状态,以及一些信息统计。
3 捕获数据包捕捉数据包之前可以通过设置参数,选择希望捕捉的网络数据。
简单操作方法:单击快捷菜单中的按钮,弹出当前计算机上所有的网络接口列表,选择准备捕捉数据包的网络接口,单击【开始】按钮或者按钮,开始抓捕数据包。
此时,“数据包列表”窗口中会不断变化,显示当前抓捕的数据包。
单击按钮,停止抓捕。
选择列表中的一个数据包进行分析。
根据不同的分析需求,可以在过滤器中通过不同的表达式来对已经捕获的数据包进行筛选,然后再选择适当报文进行分析。
注意,这里谈到了两种过滤:捕捉过滤、显示过滤。
两者的区别在于捕捉过滤是在捕捉数据包之前,先设置过滤原则,然后再捕捉符合原则的数据包;而显示过滤是在已经捕捉的数据包中进行选择性的显示。
4 分析MAC帧结构MAC帧结构是符合Ethernet V2标准的帧结构。
MAC帧结构中主要包含硬件地址,因此首先对“数据包列表”窗口的列信息进行添加。
鼠标移至列信息空白处,单击右键,在弹出的快捷菜单中选择【列首选项设置】,弹出【列信息配置窗口】,单击【添加】按钮,添加两列,调整到适当位置。
分别修改“标题”为“源MAC”和“目的MAC”,“字段类型”为“Hw src addr”和“Hw dest addr”。
如图3-8所示。
图3-8 列信息配置窗口图3-9所示为一次抓捕的“数据包列表”界面。
图3-9 数据包列表界面在图3-9中,鼠标单击某个数据包反蓝显示。
与此同时,在“数据包详细信息”窗口、“解析器窗口”中会分别显示这个数据包的所有信息以及16进制数据信息,如图3-10所示。
图3-10 显示选中数据包信息在“详细信息”窗口内的“Ethernet II”项目,即是MAC帧的首部信息。
双击改项展开,可见MAC帧首部的详细分析,对应“解析器”窗口中的16进制数据会反蓝显示。
单击某个字段,对应的首部字段均会反蓝显示,如图3-11所示。
图3-11 单击首部字段显示5. 解析出数据包的各个字段:在本实验中我们解析出了数据包的时间戳、源地址、目标地址、帧、协议、源MAC、目标MAC、源端口、目标端口、大小等字段。
6. 分析各字段的含义:时间戳:表示捕获到该数据包的时间,格式为“年—月—日,时:分:秒”;源地址/目标地址:该数据包的源地址/目标地址;帧:数据包捕获的是哪种协议的帧,在这里一般是IP协议;协议:该数据包的协议类型;远端口/目标端口:发送/接收该数据包的端口号;大小:数据包的长度。
7. 分析实验的结果:点击图3-9上的数据分析,将显示图3-10的界面。
本实验我们解析出了数据包的源MAC、目标MAC、类型、以及给IP数据包首部的各个字段,并指出了各个字段的具体含义(点开对应的加号,将显示更加具体的内容)。
图3-10的下面窗口部分显示的是该IP数据包首部相应的十六进制的表示。
实验报告要求在实验报告中应记录实验目的、实验环境,简要实验内容和实验步骤,实验数据要包括以下内容:1. 记录所使用的协议分析软件信息(名称、版本号)2. 记录本机的MAC地址3. 至少采集三种类型的MAC帧:(1)从本机发出的数据帧;(2)本机收到的数据帧;(3)广播帧;(4)多播帧(选做)。