实验3分析MAC帧格式
华北电力大学计算机网络实验报告
计算机网络实验报告( 2012--2013年度第二学期)实验名称:计算机网络实验(课程设计) 院系:控制与计算机工程学院班级:软件1002 班学生姓名:汪豪学号:20成绩:指导教师:设计周数:1周2013年6月目录实验一数据链路层:以太网帧的构成 0一、实验目的 0二、实验环境配置 0三、实验原理 (1)1.两种不同的MAC帧格式 (1)2. MAC层的硬件地址 (1)四、实验方法与步骤 (1)练习一:编辑并发送LLC帧 (1)练习二:编辑并发送MAC广播帧 (2)练习三:领略真实的MAC帧 (2)练习四:理解MAC地址的作用 (2)五、实验结果与数据处理 (3)练习一:编辑并发送LLC帧 (3)实验截图: (3)六、讨论与结论 (8)1、对实验结果、实验过程中的问题及处理方法等进行分析和讨论。
(8)2、思考题: (8)实验二网络层:地址转换协议ARP (9)一、实验目的 (9)二、实验环境配置 (9)三、实验原理 (9)1、使用IP协议的以太网中ARP报文格式 (9)2、ARP地址解析过程 (10)四、实验方法与步骤 (10)练习一:领略真实的ARP(同一子网) (11)练习二:编辑并发送ARP报文(同一子网) (11)练习三:跨路由地址解析(不同子网) (12)五、实验结果与数据处理 (12)六、讨论与结论 (16)1、对实验结果、实验过程中的问题及处理方法等进行分析和讨论。
(16)2、思考题 (17)实验三网络层:网际协议IP (18)一、实验目的 (18)二、实验环境配置 (18)三、实验原理 (19)1、IP报文格式 (19)2、IP分片 (19)3、IP路由表 (19)4、路由选择过程 (20)四、实验步骤 (20)练习一:编辑并发送IP数据报 (20)练习二:特殊的IP地址 (21)练习三:IP数据报分片 (23)练习四:子网掩码与路由转发 (23)五、实验结果与数据处理 (24)练习一:编辑并发送IP数据报 (24)练习二:特殊的IP地址 (24)练习三:IP数据报分片 (25)练习四:子网掩码与路由转发 (25)六、讨论与结论 (26)一、实验目的 (27)二、实验环境配置 (27)三、实验原理 (27)目的不可达报文 (27)源端抑制报文 (28)超时报文 (28)参数问题 (29)改变路由 (29)回送请求和回答 (29)时间戳请求和回答 (29)地址掩码请求和回答 (29)路由询问和通告 (30)四、实验方法与步骤 (30)练习一:运行Ping命令 (30)练习二:ICMP查询报文 (30)练习三:ICMP差错报文 (31)五、实验结果与数据处理 (33)六、讨论与结论 (36)1、对实验结果、实验过程中的问题及处理方法等进行分析和讨论。
【协议分析】【基础】【以太网链路层帧格式分析】.
实验一以太网链路层帧格式分析【实验目的】1、分析 Ethernet II标准的MAC层帧结构;2、了解 IEEE 802.3 标准规定的 MAC 层帧结构;3、掌握网络协议分析仪的基本使用方法;4、掌握协议数据发生器的基本使用方法。
【实验学时】4学时【实验环境】本实验需要2台试验主机,在主机A上安装锐捷协议分析教学系统,使用其中的协议数据发生器对数据帧进行编辑发送,在主机B上安装锐捷协议分析教学系统,使用其中的网络协议分析仪对数据帧进行捕获分析,以此增强对数据链路层的理解和对以太网数据帧的理解。
实验拓扑如图2- 4所示:图2- 4 实验拓扑图【实验内容】1、学习协议数据发生器的各个组成部分及其功能;2、学习网络协议分析仪的各个组成部分及其功能;3、学会使用协议数据发生器编辑以太网帧;4、学会分析数据帧的MAC首部和LLC首部的内容;5、理解MAC地址的作用;6、理解MAC首部中的长度/类型字段的功能;7、学会观察并分析数据帧中的各个字段内容。
【实验流程】图2- 5 实验流程图【实验原理】目前,最常见的局域网是以太网。
以太网的帧结构如图2- 6所示: 目的地址DMAC 源地址SMAC帧类型/长度TYPE/LEN数据DATA帧校验FCS 图2- 6 以太网帧结构名字段的含义:z目的地址:6个字节的目的物理地址,标识帧的接收结点。
z源地址:6个字节的源物理地址,标识帧的发送结点。
z帧类型/长度(TYPE/LEN:该字段的值大于或等于0x0600时,表示上层数据使用的协议类型。
例如0x0806表示ARP请求或应答,0x0600表示IP协议。
该字段的值小于0x0600时表示以太网用户数据的长度字段,上层携带LLC PDU。
z数据字段:这是一个可变长度字段,用于携带上层传下来的数据。
z帧校验FCS:以太网采用32位CRC冗余校验。
校验范围是目的地址、源地址、长度/类型、数据字段。
当以太网数据帧的长度/类型字段的值小于0x0600时,说明数据字段携带的是LLC PDU。
以太网帧的构成
实验二、以太网帧的构成一、实验目的:掌握以太网的报文格式、MAC地址的作用、MAC广播地址的作用。
二、实验学时:建议2学时三、实验类型:验证性实验四、实验原理:1、两种不同的MAC帧格式常用的以太网MAC帧格式有两种标准,一种是DIX Ethernet V2标准;另一种是IEEE的802.3标准。
目前MAC帧最常用的是以太网V2的格式。
下图画出了两种不同的MAC帧格式。
2、MAC层的硬件地址在局域网中,硬件地址又称物理地址或MAC地址,它是数据帧在MAC层传输的一个非常重要的标识符。
网卡从网络上收到一个 MAC 帧后,首先检查其MAC 地址,如果是发往本站的帧就收下;否则就将此帧丢弃。
这里“发往本站的帧”包括以下三种帧:● 单播(unicast)帧(一对一),即一个站点发送给另一个站点的帧。
● 广播(broadcast)帧(一对全体),即发送给所有站点的帧(全1地址)。
● 多播(multicast)帧(一对多),即发送给一部分站点的帧。
五、网络结构该实验采用网络结构一。
说明:IP地址分配规则为主机使用原有IP,保证所有主机在同一网段内。
六、实验步骤按照拓扑结构图连接网络,使用拓扑验证检查连接的正确性。
1、编辑并发送LLC帧将主机A和B作为一组,主机C和D作为一组,主机E和F作为一组。
现仅以主机A和B为例,说明实验步骤。
(1)主机A启动仿真编辑器,并编写一个LLC帧。
● 目的MAC地址:主机B的MAC地址。
● 源MAC地址:主机A的MAC地址。
● 协议类型和数据长度:可以填写001F。
● 控制字段:填写02。
● 用户定义数据/数据字段: AAAAAAABBBBBBBCCCCCCCDDDDDDD。
(2)主机B开始捕获数据。
(3)主机A发送编辑好的LLC帧。
(4)主机B停止捕获数据,在捕获到的数据中查找主机A所发送的LLC帧,分析该帧内容。
并记录实验结果。
帧类型发送序号N(S)接受序号N(R)回答问题:简述“协议类型和数据长度”字段的两种含义。
编辑并发送mac广播帧
以太网的帧格式1. 以太网的MAC帧格式以太网的MAC帧格式有两种标准,一种是DIX Ethernet V2标准,另一种是IEEE的802.3标准。
但两种帧格式可以在同一以太网络共存。
两种帧格式都具有7个域:前导码、帧首定界符、目的MAC 地址、源MAC地址、协议类型或数据长度、数据、帧校验序列。
如下图所示:图1-5 以太网的MAC帧格式两种格式的帧可以依据协议类型或数据长度字段的值进行区分。
如果此帧是DIX Ethernet V2标准格式帧,则协议类型或数据长度字段的值大于1536;如果此帧是IEEE 802.3标准格式的帧,则协议类型或数据长度字段的值小于1518。
对DIX Ethernet V2 帧来说,此字段的值代表了高层协议的类型;对IEEE 802.3帧来说,它的高层协议一定是LLC,此字段的值代表了数据的长度。
在以太网的MAC帧格式中,各个字段的含义如下:●前导码:这是以太网MAC帧的第一个域,包含了7个字节的二进制“1”和“0”间隔的代码,即“10101010……10”共56 位,提示接收方一个数据帧即将到来,同时使接收系统建立起同步时钟。
●帧首定界符:帧首定界符标记了帧的开始。
它是一个字节的“10101011”二进制序列,帧首定界符通知接收方后面所有的内容都是数据,以便接收方对数据帧进行定位。
●目的MAC地址:目的MAC地址为6个字节,标记了数据帧下一个主机的物理地址。
如果数据包的目的地址必须从一个网络穿越到另一个网络,那么目的MAC地址所包含的是连接当前网络和下一个网络的路由器地址。
当数据包到达目标网络后,目的MAC地址域换成目的主机的地址。
●源MAC地址:源MAC地址也是6个字节。
它包含了最后一个转发此帧的设备的物理地址。
该设备可以是发送此数据帧的主机,也可以是最近接收和转发此数据帧的路由器。
●协议类型或数据长度:如果该字段的值小于1518,它用于定义后面数据字段的长度;如果字段的值大于1536,它定义一个封装在帧中的数据包的类型。
计算机网络实验报告3以太网链路层帧格式分析
南昌航空大学实验报告2019年 5月 2日课程名称:计算机网络与通信实验名称:以太网链路层帧格式分析班级:学生姓名:学号:指导教师评定:签名:一.实验目的分析Ethernet V2标准规定的MAC层帧结构,了解IEEE802.3标准规定的MAC层帧结构和TCP/IP的主要协议和协议的层次结构。
二.实验内容1.在PC机上运行WireShark截获报文,在显示过滤器中输入ip.addr==(本机IP地址)。
2.使用cmd打开命令窗口,执行“ping 旁边机器的IP地址”。
3.对截获的报文进行分析:(1)列出截获报文的协议种类,各属于哪种网络?(2)找到发送消息的报文并进行分析,研究主窗口中的数据报文列表窗口和协议树窗口信息。
三.实验过程局域网按照网络拓扑结构可以分为星形网、环形网、总线网和树形网,相应代表性的网络主要有以太网、令牌环形网、令牌总线网等。
局域网经过近三十年的发展,尤其是近些年来快速以太网(100Mb/s)、吉比特以太网(1Gb/s)和10吉比特以太网(10Gb/s)的飞速发展,采用CSMA/CD(carrier sense,multiple access with collision detection)接入方法的以太网已经在局域网市场中占有绝对的优势,以太网几乎成为局域网的同义词。
因此,本章的局域网实验以以太网为主。
常用的以太网MAC帧格式有两种标准,一种是DIX Ethernet V2标准,另一种是IEEE802.3标准。
1. Ethernet V2标准的MAC帧格式DIX Ethernet V2标准是指数字设备公司(Digital Equipment Corp.)、英特尔公司(Intel corp.)和Xerox公司在1982年联合公布的一个标准。
它是目前最常用的MAC帧格式,它比较简单,由5个字段组成。
第一、二字段分别是目的地址和源地址字段,长度都是6字节;第三字段是类型字段,长度是2字节,标志上一层使用的协议类型;第四字段是数据字段,长度在46~1500字节之间;第五字段是帧检验序列FCS,长度是4字节。
计算机网络 (实验三:数据包结构分析)
标识:数据分片和重组时使用
标志:前三bit 010,最后一个数据片,传输过程中不能分片
生存时间:最多经过64个路由
上层协议:6 TCP协议
5.TCP协议
1)格式
2)数据包分析结果
3)说明
标志位(010000):URG=0紧急指针无效
ACK=1确认信号有效
PSH=0不立即响应
RST=0 TCP连接没有问题
思考题:(10分)
思考题1:(4分)
得分:
写出捕获的数据包格式。
1.打开软件。选择网络配适器。(如此处选择无线网络连接ip:10.99.45.90)
2.设置捕捉过滤器,并新建一个自定义规则filter 1。
3.点击右下角开始按钮,开始抓包,一段时间后停止。
4.停止抓包后协议统计信息
思考题2:(6分)
问题2:开始捕获数据后多久停止
按照实验步骤设置好过滤器之后,点击开始捕获数据包按钮进入数据包分析页面,此时数据可能还没有显示,需要等待一段时间,观察到流量图表上开始有较明显的折线,表示有数据了。此时可以点击停止按钮。停止后可以查看到协议统计信息。
问题3:捕获数据包后,查看数据包协议时发现HTTP协议中没有文本内容,只有二进制符号
2.在这个实验中,你将使用抓包软件捕获数据包,并通过数据包分析每一层协议。
实验内容:
使用抓包软件捕获数据包,并通过数据包分析每一层协议。
实验要求:(学生对预习要求的回答)(10分)
得分:
常用的抓包工具
Sniffer软件有很多,常用的有Sniffer Pro、Iris、NetXray、Ethereal、科来等,本实验以科来为主来介绍该软件的基本使用方法。Sniffer软件的基本功能有:
MAC帧格式
令牌环上传输的数据格式(帧)有两种:一种是令牌,另一种是常规帧。
令牌是占有发送权的标志,占有令牌的站才能发送。
常规帧用来发送数据或控制信息。
两种帧的格式如图5所示。
图5帧首定界符(SD )和帧尾定界符(ED )字段分别是一种专门标志帧首和帧尾的特殊字段,段1个字节。
为了使用户数据获得透明性,应采取某种机制,使信息字段不会出现与SD 或ED 相同的比特序列。
在令牌环网中所用的机制是除SD 和ED 字段外,其它所有信息比特都使用曼彻斯特编码,也就是说通过不同的编码方法来获得专门的标志。
从图5的字段描述可知,要作到这一点,J.K 符号必须与常规编码规则不同,即J 符号与其前面的符号具有相同的极性,K 符号与前面的符号具有相反的极性。
使用这种方式,接收机便可可靠地鉴别帧或令牌帧的开始和结束。
访问控制(AC)字段由优先权比特(P )、令牌(T )和监视(M?)比特以及保留比特(R)组成。
由该字段的名字可知,基功能是控制对环的访问。
在其出现在令牌帧时,P 比特表示令牌的优先权,因此指示工作站收到该令牌后便可发送那些帧。
T 比特用来区分令牌帧和常规。
M 比特由活动监视器用来防止帧绕环连续散发。
R 比特用来使工作站指示高优先权帧的请求,请求发出的下一个令牌具有请求的优先权。
SD=帧首定界符 I=信息字段AC=访问控制 FSC=帧检验序列FC=帧控制 ED=帧尾定界符DA=终点地址 FS=帧状态字段SA=源点地址帧控制(FC)字段定义帧的类型和控制功能如果帧类型(F)指示MAC帧,环上所有工作站都对其接收和解释,并根据需要对控制比特(Z)进行动作。
如果它是工帧,控制比特公由终点地址字段标识的工作站解释。
源点地址(SA)和终点地址(DA)字段可为16比特或48比特。
对于特定的令牌环网,应有一致的地址长度。
DA标识帧意图发往的工作站,可以是一个站或多个站。
源点地址(SA)字段表示发送该帧的站。
信息(I)字段用来载携用户数据或附加控制信息。
计算机网络实验报告 安徽工业大学
校验和:在其他所有字段填充完毕后计算并填充。
【说明】先使用仿真编辑器的“手动计算”校验和,再使用仿真编辑器的“自动计算”校验和,将两次计算结果相比较,若结果不一致,则重新计算。
IP在计算校验和时包括那些内容?
答:IP报文中的首部。
2.在主机B(两块网卡分别打开两个捕获窗口)、E上启动协议分析器,设置过滤条件(提取IP协议),开始捕获数据。
3.主机A发送第1步中编辑好的报文。
4.主机B、E停止捕获数据,在捕获到的数据中查找主机A所发送的数据报,并回答以下问题:
第1步中主机A所编辑的报文,经过主机B到达主机E后,报文数据是否发生变化?若发生变化,记录变化的字段,并简述发生变化的原因。
第1步中主机A所编辑的报文,经过主机B到达主机E后,报文数据是否发生变化?若发生变化,记录变化的字段,并简述发生变化的原因。
主机B、E是否能捕获到主机A所发送的报文?简述产生这种现象的原因。
答:主机B对应于172.16.1.1的接口可以捕获到主机A所发送的报文;主机B对应于172.16.0.1的接口和主机E不能捕获到主机A所发送的报文;原因:当“生存时间”字段的值减至为0时,路由器将该报文丢弃不进行转发。
答:报文数据发生变化。发生变化的字段有:“生存时间”和“首部校验和”。原因:主机B为路由器,数据包每经过一路由器“生存时间”字段的值会减1,并重新计算校验和。
5.将第2步中主机A所编辑的报文的“生存时间”设置为1。重新计算校验和。
6.主机B、E重新开始捕获数据。
7.主机A发送第5步中编辑好的报文。
8.主机B、E停止捕获数据,在捕获到的数据中查找主机A所发送的数据报,并回答以下问题:
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验3 分析MAC帧格式3.1 实验目的1.了解MAC帧首部的格式;2.理解MAC帧固定部分的各字段含义;3.根据MAC帧的容确定是单播,广播。
3.2 实验设备Winpcap、Wireshark等软件工具3.3 相关背景1.据包捕获的原理:为了进行数据包,网卡必须被设置为混杂模式。
在现实的网络环境中,存在着许多共享式的以太网络。
这些以太网是通过Hub 连接起来的总线网络。
在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub进行转发,而Hub以广播的方式进行转发,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。
目的机器是指自身MAC 地址与消息中指定的目的MAC 地址相匹配的计算机。
网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析,这样就可以得到整个网络息的现状。
2.Tcpdump的简单介绍:Tcpdump是Unix平台下的捕获数据包的一个架构。
Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的Van Jcaobson、Craig Leres和Steve McCanne共同开发完成,它可以收集网上的IP数据包文,并用来分析网络可能存在的问题。
现在,Tcpdump已被移植到几乎所有的UNIX系统上,如:HP-UX、SCO UNIX、SGI Irix、SunOS、Mach、Linux和FreeBSD等等。
更为重要的是Tcpdump是一个公开源代码和输出文件格式的软件,我们可以在Tcpdunp的基础上进行改进,加入辅助分析的功能,增强其网络分析能力。
(详细信息可以参看相关的资料)。
3.Winpcap的简单介绍:WinPcap是由意大利Fulvio Risso和Loris Degioanni等人提出并实现的应用于Win32 平台的数据包捕获与分析的一种软件包,包括核级的数据包监听设备驱动程序、低级动态库(Packet.dll)和高级系统无关库(Winpcap.dll),其基本结构如图3-1所示:图3-1 Winpcap的体系结构WinPcap由3个模块组成:1)NPF (NetgroupPacket Filter),是一个虚拟设备驱动程序文件。
它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块;2)Packet.dll为Win32 平台提供了一个公共的接口。
不同版本的Windows系统都有自己的核模块和用户层模块。
Packet.dll直接映射了核的调用,运行在用户层,把应用程序和数据包监听设备驱动程序隔离开,使应用程序可以不加修改地在不同的Windows系统上运行。
通过Packet.dll提供的能用来直接访问BPF驱动程序的包驱动API利用raw模式发送和接收包。
3)Wpcap. dll是不依赖于操作系统的。
Wpcap.dll和应用程序在一起,使用低级动态库提供的服务,向应用程序提供完善的监听接口和更加友好、功能更加强大的函数调用(详细信息可以参看相关的资料)。
4. 数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。
数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源机网络层发来的数据可靠地传输到相邻节点的目标机网络层。
为达到这一目的,数据链路必须具备一系列相应的功能,主要有:如何将数据组合成数据块,在数据链路层中称这种数据块为帧(frame),帧是数据链路层的传送单位;如何控制帧在物理信道上的传输,包括如何处理传输差错,如何调节发送速率以使与接收方相匹配;以及在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。
以太网帧的概述:以太网的帧是数据链路层的封装,网络层的数据包被加上帧头和帧尾成为可以被数据链路层识别的数据帧(成帧)。
虽然帧头和帧尾所用的字节数是固定不变的,但依被封装的数据包大小的不同,以太网的长度也在变化,其围是64~1518字节(不算8字节的前导字)。
图3-2 MAC帧格式以太网帧的最小长度为64字节(6+6+2+46+4),最大长度为1518字节(6+6+2+1500+4)。
其中前12字节分别标识出发送数据帧的源节点MAC 地址和接收数据帧的目标节点MAC地址。
(注:ISL封装后可达1548字节,802.1Q封装后可达1522字节)接下来的2个字节标识出以太网帧所携带的上层数据类型,如16进制数0x0800代表IP协议数据,16进制数0x809B代表AppleTalk协议数据,16进制数0x8138代表Novell类型协议数据等。
在不定长的数据字段后是4个字节的帧校验序列(Frame. Check Sequence,FCS),采用32位CRC循环冗余校验对从"目标MAC地址"字段到"数据"字段的数据进行校验。
3.4 实验容1. 捕获数据包;2. 解析出数据包的各个字段;3. 分析各字段的含义;4. 分析实验结果,加深对数据包首部各字段的理解;5. 整理实验结果,书写实验报告。
3.5 实验步骤1 安装实验中提供两种安装软件“Wireshark 1.7.0 Development Release (32-bit).exe”和“wireshark-win32-1.4.9中文版.exe”。
两者区别由名字已经可以看出,前者是英文版,后者是汉化后的中文版。
Wireshark软件安装包中,目前包含的网络数据采集软件是winpcap 4.0版本,保存捕获数据时可以用中文的文件名,文件名默认后缀为.pcap。
winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。
开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。
2 界面功能在此为了方便即时上手操作,以中文版界面进行讲解,英文版操作类同,可以自行使用。
安装后,双击桌面“Wireshark”图标,打开操作界面如图3-3所示。
图3-3 操作界面以捕获数据包后的界面为例,将整个操作环境分为7个区域,如图3-4所示。
图3-4 捕获数据包后的界面(1)菜单其中常用【文件】打开或保存捕获的信息,【编辑】查找或标记包,【视图】设置Wireshark的视图,【定位】跳转到捕获的数据包,【抓包】设置捕捉过滤器并开始捕捉,【分析】设置分析选项,【统计】查看Wireshark的统计信息,【帮助】查看本地或者在线支持。
(2)快捷菜单将鼠标移至到每个按钮上,可以获得按钮的功能提示信息。
其中常用列出可以抓包的接口,显示抓包参数,开始抓包,停止抓包,重新开始抓包。
(3)过滤器过滤器主要用于查找捕捉记录中的容。
从已经捕捉的数据包中,按照某种要求查找需要的数据包进行分析。
比如,希望查找IP地址为192.168.0.1的IP数据报信息,可以在过滤器的文本框中输入表达式“ip.addr==192.168.0.1”,单击【应用】或回车进行筛选,则凡是目的地址、源地址为192.168.0.1的IP数据报均被筛选出来。
表达式可以自己写,也可以通过【表达式】按钮弹出界面帮助完成。
【清除】用来清空过滤器文本框容。
(4)数据包列表图3-5 数据包列表数据包列表显示所有已经捕获的数据包的基本信息,默认的包括捕获编号、时间、源地址、目的地址、协议、报文信息等。
列信息可以根据分析需要自己添加。
鼠标移至列信息空白处,单击右键,在快捷菜单中选择【列首选项设置】,在弹出的窗口中可以进行列的添加、删除和修改等操作。
(5)数据包详细信息图3-6 数据包详细信息显示被选中的数据包中的详细信息。
信息按照网络体系结构中的不同层次进行了分组。
可以展开每个项目进行展开查看。
例如,图中红色部分即是IP数据报的首部信息。
展开可以显示IP数据报首部中的每个字段信息。
(6)解析器窗口图3-7 解析器窗口“解析器”也可以称作“16进制数据查看面板”,以16进制的形式展示一个数据包。
这里的容和“数据包详细信息”中的容相同,并且单击各首部、字段时,两个窗口的容对应反白显示。
(7)状态信息在操作窗口的最下端,可以显示当前Wireshark的状态,以及一些信息统计。
3 捕获数据包捕捉数据包之前可以通过设置参数,选择希望捕捉的网络数据。
简单操作方法:单击快捷菜单中的按钮,弹出当前计算机上所有的网络接口列表,选择准备捕捉数据包的网络接口,单击【开始】按钮或者按钮,开始抓捕数据包。
此时,“数据包列表”窗口中会不断变化,显示当前抓捕的数据包。
单击按钮,停止抓捕。
选择列表中的一个数据包进行分析。
根据不同的分析需求,可以在过滤器过不同的表达式来对已经捕获的数据包进行筛选,然后再选择适当报文进行分析。
注意,这里谈到了两种过滤:捕捉过滤、显示过滤。
两者的区别在于捕捉过滤是在捕捉数据包之前,先设置过滤原则,然后再捕捉符合原则的数据包;而显示过滤是在已经捕捉的数据包中进行选择性的显示。
4 分析MAC帧结构MAC帧结构是符合Ethernet V2标准的帧结构。
MAC帧结构中主要包含硬件地址,因此首先对“数据包列表”窗口的列信息进行添加。
鼠标移至列信息空白处,单击右键,在弹出的快捷菜单中选择【列首选项设置】,弹出【列信息配置窗口】,单击【添加】按钮,添加两列,调整到适当位置。
分别修改“标题”为“源MAC”和“目的MAC”,“字段类型”为“Hw src addr”和“Hw dest addr”。
如图3-8所示。
图3-8 列信息配置窗口图3-9所示为一次抓捕的“数据包列表”界面。
图3-9 数据包列表界面在图3-9中,鼠标单击某个数据包反蓝显示。
与此同时,在“数据包详细信息”窗口、“解析器窗口”中会分别显示这个数据包的所有信息以及16进制数据信息,如图3-10所示。
图3-10 显示选中数据包信息在“详细信息”窗口的“Ethernet II”项目,即是MAC帧的首部信息。
双击改项展开,可见MAC帧首部的详细分析,对应“解析器”窗口中的16进制数据会反蓝显示。
单击某个字段,对应的首部字段均会反蓝显示,如图3-11所示。
图3-11 单击首部字段显示5. 解析出数据包的各个字段:在本实验中我们解析出了数据包的时间戳、源地址、目标地址、帧、协议、源MAC、目标MAC、源端口、目标端口、大小等字段。
6. 分析各字段的含义:时间戳:表示捕获到该数据包的时间,格式为“年—月—日,时:分:秒”;源地址/目标地址:该数据包的源地址/目标地址;帧:数据包捕获的是哪种协议的帧,在这里一般是IP协议;协议:该数据包的协议类型;远端口/目标端口:发送/接收该数据包的端口号;大小:数据包的长度。
7. 分析实验的结果:点击图3-9上的数据分析,将显示图3-10的界面。