MAC帧格式 SNAP和DIXv2

EthernetⅡ/ETHERNET 802.3 IEEE802.2.SAP/SNAP的区别

1.Ethernet V1：

这是最原始的一种格式，是由Xerox PARC提出的3Mbps CSMA/CD以太网标准的封装格式，后来在1980年由DEC，Intel和Xerox标准化形成Ethernet V1标准；

2.Ethernet V2(ARPA)：

这是最常见的一种以太网帧格式，也是今天以太网的事实标准，由DEC，Intel 和Xerox在1982年公布其标准，主要更改了Ethernet V1的电气特性和物理接口，在帧格式上并无变化；Ethernet V2出现后迅速取代Ethernet V1成为以太网事实标准；Ethernet V2帧头结构为6bytes的源地址+6bytes的目标地址

+2Bytes的协议类型字段+数据。

常见协议类型如下：

0800 IP

0806 ARP

8137 Novell IPX

809b Apple Talk

如果协议类型字段取值为0000-05dc(十进制的0-1500)，则该帧就不是Ethernet V2(ARPA)类型了，而是下面讲到的三种802.3帧类型之一；Ethernet可以支持TCP/IP，Novell IPX/SPX，Apple Talk Phase I等协议；RFC 894定义了IP报文在Ethernet V2上的封装格式；

Ethernet_II中所包含的字段：

在每种格式的以太网帧的开始处都有64比特（8字节）的前导字符，如图所示。其中，前7个字节称为前同步码（Preamble），内容是16进制数0xAA，最后1字节为帧起始标志符0xAB，它标识着以太网帧的开始。前导字符的作用是使接收节点进行同步并做好接收数据帧的准备。

——PR：同步位，用于收发双方的时钟同步，同时也指明了传输的速率（10M和100M的时钟频率不一样，所以100M网卡可以兼容10M网卡），是56位的二进制数101010101010.....

——SD: 分隔位,表示下面跟着的是真正的数据,而不是同步时钟,为8位的10101011,跟同步位不同的是最后2位是11而不是10.

——DA:目的地址,以太网的地址为48位(6个字节)二进制地址,表明该帧传输给哪个网卡.如果为FFFFFFFFFFFF,则是广播地址,广播地址的数据可以被任何网

卡接收到.

——SA:源地址,48位,表明该帧的数据是哪个网卡发的,即发送端的网卡地址,

同样是6个字节.

----TYPE：类型字段，表明该帧的数据是什么类型的数据，不同的协议的类型字段不同。如：0800H 表示数据为IP包，0806H 表示数据为ARP包，814CH是SNMP 包,8137H为IPX/SPX包，（小于0600H的值是用于IEEE802的，表示数据包的长度。）

----DATA：数据段，该段数据不能超过1500字节。因为以太网规定整个传输包的最大长度不能超过1514字节。（14字节为DA，SA，TYPE）

----PAD：填充位。由于以太网帧传输的数据包最小不能小于60字节, 除去（DA，SA，TYPE 14字节），还必须传输46字节的数据，当数据段的数据不足46字节时，后面补000000.....(当然也可以补其它值)

----FCS:32位数据校验位.为32位的CRC校验,该校验由网卡自动计算,自动生成,自动校验,自动在数据段后面填入.对于数据的校验算法,我们无需了解.

----事实上,PR,SD,PAD,FCS这几个数据段我们不用理它 ,它是由网卡自动产生

的,我们要理的是DA,SA,TYPE,DATA四个段的内容.

----所有数据位的传输由低位开始(但传输的位流是用曼彻斯特编码的)

----以太网的冲突退避算法就不介绍了,它是由硬件自动执行的.

DA+SA+TYPE+DATA+PAD最小为60字节,最大为1514字节.

----以太网卡可以接收三种地址的数据,一个是广播地位,一个是多播地址(我们用不上),一个是它自已的地址.但网卡也可以设置为接收任何数据包(用于网络分析和监控).

----任何两个网卡的物理地址都是不一样的,是世界上唯一的,网卡地址由专门机构分配.不同厂家使用不同地址段,同一厂家的任何两个网卡的地址也是唯一的.根据网卡的地址段(网卡地址的前三个字节),可以知道网卡的生产厂家.有些网卡的地址也可以由用户去设定,但一般不需要.

Ethernet_II的主要特点是通过类型域标识了封装在帧里的数据包所采用的协议，类型域是一个有效的指针，通过它，数据链路层就可以承载多个上层（网络层）协议。但是，Ethernet_II的缺点是没有标识帧长度的字段。

3.RAW 802.3：（NOVELL Ethernet 802.3）

这是1983年Novell发布其划时代的Netware/86网络套件时采用的私有以太网帧格式，该格式以当时尚未正式发布的802.3标准为基础；但是当两年以后IEEE正式发布802.3标准时情况发生了变化—IEEE在802.3帧头中又加入了802.2 LLC(Logical Link Control)头，这使得Novell的RAW 802.3格式跟正式的IEEE 802.3标准互不兼容；可以看到在Novell的RAW 802.3帧结构中并没有标志协议类型的字段，而只有Length 字段(2bytes,取值为0000-05dc，即十进制的0-1500)，因为RAW 802.3帧只支持IPX/SPX一种协议；

原始的802.3帧是早期的Novell NetWare网络的默认封装。它使用802.3

的帧类型，但没有LLC域。同Ethernet_II的区别：将类型域改为长度域，其取值范围为：46-1500。解决了原先存在的问题。但是由于缺省了类型域，因此不能区分不同的上层协议。

接下来的2个字节是固定不变的16进制数0xFFFF，它标识此帧为Novell

以太类型数据帧。

4.IEEE 802.3/802.2 LLC：

这是IEEE 正式的802.3标准，它由Ethernet V2发展而来。它将Ethernet V2帧头的协议类型字段替换为帧长度字段(取值为0000-05dc;十进制的1500 )；并加入802.2 LLC头用以标志上层协议，LLC头中包含DSAP，SSAP以及Crontrol 字段；

为了区别802.3数据帧中所封装的数据类型， IEEE引入了802.2SAP和SNAP 的标准。它们工作在数据链路层的LLC（逻辑链路控制）子层。通过在802.3帧的数据字段中划分出被称为服务访问点（SAP）的新区域来解决识别上层协议的问题，这就是802.2SAP。LLC标准包括两个服务访问点，源服务访问点（SSAP）和目标服务访问点（DSAP）。每个SAP只有1字节长，而其中仅保留了6比特用于标识上层协议，所能标识的协议数有限。因此，又开发出另外一种解决方案，在802.2SAP的基础上又新添加了一个2字节长的类型域（同时将SAP的值置为AA），使其可以标识更多的上层协议类型，这就是802.2SNAP。

常见SAP值：

0：Null LSAP[IEEE]

4：SNA Path Control[IEEE]

6：DOD IP[79,JBP]

AA：SNAP[IEEE]

FE：ISO DIS 8473[52,JXJ]

FF：Global DSAP[IEEE]

在Ethernet 802.3 SAP帧中，将原Ethernet 802.3 raw帧中2个字节的

0xFFFF变为各1个字节的DSAP和SSAP，同时增加了1个字节的"控制"字段，构成了802.2逻辑链路控制（LLC）的首部。LLC提供了无连接（LLC类型1）和面向连接（LLC类型2）的网络服务。LLC1是应用于以太网中，而LLC2应用在IBM SNA网络环境中。

5.IEEE 802.3/802.2 SNAP：

这是IEEE为保证在 802.2 LLC上支持更多的上层协议同时更好的支持IP

协议而发布的标准，与802.3/802.2 LLC一样802.3/802.2 SNAP也带有LLC头，但是扩展了LLC属性，新添加了一个2Bytes的协议类型域（同时将SAP的值置为AA），从而使其可以标识更多的上层协议类型；另外添加了一个3Bytes的OUI 字段用于代表不同的组织，RFC 1042定义了IP报文在802.2网络中的封装方法和ARP协议在802.2 SANP中的实现；

今天的实际环境中大多数 TCP/IP设备都使用Ethernet V2格式的帧。这是因为第一种大规模使用的TCP/IP系统(4.2/3 BSD UNIX)的出现时间介于RFC 894和RFC 1042之间，它为了避免不能和别的主机互操作的风险而采用了RFC 894的实现；也由于大家都抱着这种想法，所以802. 3标准并没有如预期那样得到普及；

MAC帧格式分析与应用

IEEE 802.3 MAC帧格式的分析与应用 学生姓名：学号：指导老师： 摘要本文介绍了IEEE802．3标准中规定的两种以太网帧格式，基本帧格式和扩展帧格式。得出以下结论，IEEE802.3-2005基本帧格式，主要由前导、SDF、DA、SA、Length/Type、DATA、Pad、FCS等8部分组成，还可增添4字节的扩展部分，其总长度为64-1518字节。扩展帧格式在基本帧格式上增加了“802.1Q TAG”类型和TCI字段，可实现对用户优先级和VLAN加标帧的控制。 关键词 IEEE 802.3 基本帧格式扩展帧格式 Abstract This essay introduces two different kinds of Ethernet MAC frame,the basic and Q-tagged. We concluded that,the basic MAC frame of IEEE 802.3-2005,whose length is 64-1518 bytes, are mainly consisted of by 8 parts,including Preabmle, SDF,DA,SA,Length/Type,Data,Pad,FCS, and additional part,sized 4 bytes. While, the Q-tagged frame adds another two parts on the bisas of the basic one, that is ‘802.1Q TAQ’ and ‘TCI’, whose fuction are dividually to control the VLAN Tagged Frame and the user’s priority. Keyword IEEE 802.3 Basic Frame Q-tagged Frame

实验3分析mac帧格式

实验3 分析MAC帧格式 实验目的 1．了解MAC帧首部的格式； 2．理解MAC帧固定部分的各字段含义； 3．根据MAC帧的内容确定是单播，广播。 实验设备 Winpcap、Wireshark等软件工具 相关背景 1．据包捕获的原理：为了进行数据包,网卡必须被设置为混杂模式。在现实的网络环境中,存在着许多共享式的以太网络。这些以太网是通过Hub 连接起来的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub进行转发,而Hub以广播的方式进行转发,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。目的机器是指自身MAC 地址与消息中指定的目的MAC 地址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析,这样就可以得到整个网络中信息的现状。 2．Tcpdump的简单介绍：Tcpdump是Unix平台下的捕获数据包的一个架构。Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的Van Jcaobson、Craig Leres和 Steve McCanne共同开发完成，它可以收集网上的IP数据包文，并用来分析网络可能存在的问题。现在，Tcpdump已被移植到几乎所有的UNIX系统上，如：HP-UX、SCO UNIX、SGI Irix、SunOS、Mach、Linux 和FreeBSD等等。更为重要的是Tcpdump是一个公开源代码和输出文件格式的软件，我们可以在Tcpdunp的基础上进行改进，加入辅助分析的功能，增强其网络分析能力。（详细信息可以参看相关的资料）。 3．Winpcap的简单介绍：WinPcap是由意大利Fulvio Risso和Loris Degioanni等人提出并实现的应用于Win32 平台的数据包捕获与分析的一种软件包,包括内核级的数据包监听设备驱动程序、低级动态链接库和高级系统无关库，其基本结构如图3-1所示：

实验3 分析MAC帧格式分析

实验3 分析MAC帧格式 3.1 实验目的 1．了解MAC帧首部的格式； 2．理解MAC帧固定部分的各字段含义； 3．根据MAC帧的内容确定是单播，广播。 3.2 实验设备 Winpcap、Wireshark等软件工具 3.3 相关背景 1．据包捕获的原理：为了进行数据包,网卡必须被设置为混杂模式。在现实的网络环境中,存在着许多共享式的以太网络。这些以太网是通过Hub 连接起来的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub进行转发,而Hub以广播的方式进行转发,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。目的机器是指自身MAC 地址与消息中指定的目的MAC 地址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析,这样就可以得到整个网络中信息的现状。 2．Tcpdump的简单介绍：Tcpdump是Unix平台下的捕获数据包的一个架构。Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的Van Jcaobson、Craig Leres和Steve McCanne共同开发完成，它可以收集网上的IP数据包文，并用来分析网络可能存在的问题。现在，Tcpdump已被移植到几乎所有的UNIX系统上，如：HP-UX、SCO UNIX、SGI Irix、SunOS、Mach、Linux和FreeBSD等等。更为重要的是Tcpdump是一个公开源代码和输出文件格式的软件，我们可以在Tcpdunp的基础上进行改进，加入辅助分析的功能，增强其网络分析能力。（详细信息可以参看相关的资料）。 3．Winpcap的简单介绍：WinPcap是由意大利Fulvio Risso和Loris Degioanni等人提出并实现的应用于Win32 平台的数据包捕获与分析的一种软件包,包括内核级的数据包监听设备驱动程序、低级动态链接库(Packet.dll)和高级系统无关库(Winpcap.dll)，其基本结构如图3-1所示：

以太网帧格式分析

实验报告 实验名称以太网帧格式分析 姓名学号实验日期 实验报告要求：1.实验目的 2.实验要求 3.实验环境 4.实验作业 5.问题及解决 6.思考问题 7.实验体会 【实验目的】 1．复习Wireshark抓包工具的使用及数据包分析方法。 2．通过分析以太网帧了解以太网数据包传输原理。 【实验要求】 用Wireshark1.4.9截包，分析数据包。 观察以太网帧，Ping同学的IP地址，得到自己和同学的mac地址。 观察以太网广播地址，观察ARP请求的帧中目标mac地址的格式。 用ping-l指定数据包长度，观察最小帧长和最大帧长。 观察封装IP和ARP的帧中的类型字段。 【实验环境】 用以太网交换机连接起来的windows 7操作系统的计算机，通过802.1x方式接入Internet。 【实验中出现问题及解决方法】 1．在使用命令行“ping -l 0 IP”观察最小帧长时抓到了长度为42字节的帧，与理论上最小帧长64字节相差甚远。通过询问教员和简单的分析，知道了缺少字节的原因是当Wireshark抓到这个ping请求包时，物理层还没有将填充（Trailer）字符加到数据段后面，也没有算出最后4字节的校验和序列，导致出现最小42字节的“半成品”帧。可以通过网卡的设置将这个过程提前。 2．在做ping同学主机的实验中，发现抓到的所有ping请求帧中IP数据部分的头校验和都是错误的。原本以为错误的原因与上一个问题有关，即校验和错误是因为物理层还没有将填充字符加到数据段后面。但是这个想法很快被证明是错误的，因为在观察最大帧长时，不需要填充字符的帧也有同样的错误。一个有趣的现象是，封装在更里层的ICMP数据包的校验和都是正确的。这就表明IP层的头校验和错误并没有影响正常通信。进一步观察发现，这些出错的头校验和的值都是0x0000，这显然不是偶然的错误。虽然目前还没有得到权威的答案，但是可以推测，可能是这一项校验实际上并没有被启用。作为中间层的IP头的意义是承上启下，而校验的工作在更需要的上层的IMCP包和下层MAC头中都有，因此没有必要多此一举。 【思考问题】 1．为什么可以ping到同宿舍（连接在同一个交换机上）的主机而ping不到隔壁宿舍的主机？ 通常情况下，如果配置正确，设备都连接着同一个网络（互联网），而且没有防火墙等阻拦，就可以正常ping到同一网络中的任何主机。在第一次实验中，我们曾成功地ping到了https://www.360docs.net/doc/f08536896.html,的IP。 在ping其他宿舍的IP时需要通过宿舍的交换机将ping请求先转发给楼层交换机，再由楼层交换机转发给目标IP所在的宿舍交换机。分析无法ping到隔壁宿舍主机的原因，很可能是楼层交换机设置了禁止内部ping的防火墙，阻止了本楼层交换机地址段内的主机相互ping对方。而同宿舍之所以可以相互ping 到，是因为ping请求没有经过楼层交换机，直接由宿舍交换机转发给了目标IP主机。 2．什么是ARP攻击？ 让我们继续分析4.1 ARP原理，A得到ARP应答后，将B的MAC地址放入本机缓存。但是本机MAC 缓存是有生存期的，生存期结束后，将再次重复上面的过程。（类似与我们所学的学习网桥）。 然而，ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。 这时，我们假设局域网中的某台机器C冒充B向A发送一个自己伪造的ARP应答，即IP地址为B

以太网帧格式分析实验报告

IP,而MAC地址就是伪造的,则当A接收到伪造的ARP应答后,就会更新本地的ARP缓存,这样在A瞧来B 的IP地址没有变,而它的MAC地址已经不就是原来那个了。由于局域网的网络流通不就是根据IP地址进行,而就是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC 地址,这样就会造成网络不通,导致A不能Ping通B！这就就是一个简单的ARP欺骗。 【实验体会】 这次实验最大的感触就是体会到了网络通信过程的趣味性。在做ping同学IP的实验时,我发现抓到的包之间有紧密的联系,相互的应答过程很像实际生活中人们之间的对话。尤其就是ARP帧,为了获得对方的MAC地址,乐此不疲地在网络中广播“谁有IP为XXX的主机？”,如果运气好,会收到网桥中某个路由器发来的回复“我知道,XXX的MAC地址就是YYY！”。另外,通过ping同学主机的实验,以及对实验过程中问题的分析,使我对之前模糊不清的一些概念有了全面的认识,如交换机、路由器的区别与功能,局域网各层次的传输顺序与规则等。还有一点就就是,Wireshark不就是万能的,也会有错误、不全面的地方,这时更考验我们的理论分析与实践论证能力。 成绩优良中及格不及格 教师签名: 日期: 【实验作业】 1 观察并分析通常的以太网帧 1、1 以太网帧格式 目前主要有两种格式的以太网帧:Ethernet II(DIX 2、0)与IEEE 802、3。我们接触过的IP、ARP、EAP 与QICQ协议使用Ethernet II帧结构,而STP协议则使用IEEE 802、3帧结构。 Ethernet II就是由Xerox与DEC、Intel(DIX)在1982年制定的以太网标准帧格式,后来被定义在RFC894中。IEEE 802、3就是IEEE 802委员会在1985年公布的以太网标准封装结构(可以瞧出二者时间相差不多,竞争激烈),RFC1042规定了该标准(但终究二者都写进了IAB管理的RFC文档中)。 下图分别给出了Ethernet II与IEEE 802、3的帧格式: ⑴前导码(Preamble):由0、1间隔代码组成,用来通知目标站作好接收准备。以太网帧则使用8个字节的0、1间隔代码作为起始符。IEEE 802、3帧的前导码占用前7个字节,第8个字节就是两个连续的代码1,名称为帧首定界符(SOF),表示一帧实际开始。 ⑵目标地址与源地址(Destination Address & Source Address):表示发送与接收帧的工作站的地址,各占据6个字节。其中,目标地址可以就是单址,也可以就是多点传送或广播地址。 ⑶类型(Type)或长度(Length):这两个字节在Ethernet II帧中表示类型(Type),指定接收数据的高层协议类型。而在IEEE 802、3帧中表示长度(Length),说明后面数据段的长度。

arp帧格式

arp帧格式 IP地址实现了底层网络物理地址的统一，但因特网技术并没有改变底层的物理网络，数据最终还是要在物理网络上传输，而在物理网络中传输时使用的仍是物理地址。 我们知道，当我们在浏览器里面输入网址时，DNS服务器会自动把它解析为IP地址，浏览器实际上查找的是IP地址而不是网址。那么IP地址是如何转换为第二层物理地址（即MAC 地址）的呢？这就是ARP的功能。 一、什么是ARP协议 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获 得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP 地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行. 二、ARP解析过程 （1）源主机与目的主机位于同一子网中 ①检查本地ARP高速缓存 当要确定同一子网上的目的主机的物理地址时，ARP先检查本地ARP高速缓存，确定IP地址与物理地址的映射，如果包含，则取出目的主机的物理地址，利用这个地址将IP数据报封装成帧。若不存在就进行下一步。 ②向目的主机发送ARP请求 ARP请求以物理广播地址（MAC 全0）在本地子网上广播，并等待目的主机应答，ARP请求包含发送方的IP地址和物理地址，和目的主机的IP地址。 ③将请求方的地址信息写入ARP缓存缓存 由于ARP请求是子网上的广播，因而该子网中的每台主机都会收到广播，并将自己的IP地址和该ARP请求中的主机IP地址进行比较，如果不匹配，那么ARP请求将被忽略，若匹配，那么目的主机将会把发送方的IP地址与物理地址写入本机ARP告诉缓存中。 ④向请求方发送ARP应答 目的主机想发送主机以单播发送一个ARP应答，应答包含本机IP和MAC,以及源机IP和MAC。 ⑤请求方更新ARP高速缓存 源机受到ARP应答后，取出应答中目的主机的IP和MAC,并将其写入本机ARP高速缓存中。

常见报文格式帧结构

常见报文格式汇总 1.1Ethernet数据包格式(RFC894) 1、目的Mac的最高字节的第8位如果为1，表明此包是以太网组播/广播包，送给CPU处理。 2、将目的Mac和本端口的MAC进行比较，如果不一致就丢弃。 3、获取以太网类型字段Type/Length。 0x0800→IP 继续进行3层的IP包处理。 0x0806→ARP 送给CPU处理。 0x8035→RARP 送给CPU处理。 0x8863→PPPoE discovery stage 送给CPU处理。 0x8864→PPPoE session stage 继续进行PPP的2层包处理。 0x8100→VLAN 其它值当作未识别包类型而丢弃。 4、Tag帧。 Type：长度为2字节，取值为0x8100，表示此帧的类型为802.1Q Tag帧。 PRI：长度为3比特，可取0～7之间的值，表示帧的优先级，值越大优先级越高。该优先级主要为QoS差分服务提供参考依据（COS）。 VID(Vlan ID):长度12bits，可配置的VLAN ID取值范围为1～4094。通常vlan 0和vlan 4095预留，vlan1为缺省vlan，一般用于网管。 1.2PPP数据包格式 1、获取PPP包类型字段。 0x0021→IP 继续进行3层的IP包处理。 0x8021→IPCP 送给CPU处理。 0xC021→LCP 送给CPU处理。 0xc023→PAP 送给CPU处理。 0xc025→LQR 送给CPU处理。 0xc223→CHAP 送给CPU处理。 0x8023→OSICP 送给CPU处理。 0x0023→OSI 送给CPU处理。 其它值当作未识别包类型而丢弃。

以太网帧格式分析

运城学院实验报告 专业：计算机科学与技术系（班）：计算机科学与技术系1001班姓名：陈嘉斌（2010100137）课程名称：计算机网络基础 实验项目：实验二以太网帧格式分析实验类型：验证性指导老师：杜经纬实验地点：网络实验室（2）时间：2012年11月15日8:00-9:50 一、实验目的： 1、分析Ethernet V2标准规定的MAC层帧结构。 2、了解IEEE802.3标准规定的MAC层帧结构和TCP/IP的主要协议和协议的层次结构。 二、实验内容： 1、通过对截获帧进行分析，分析和验证Ethernet V2标准和IEEE802.3标准规定的MAC层帧结构。 2、初步了解TCP/IP的主要协议和协议的层次结构。 三、实验方案设计： 设备连接： 设置pc0为192.168.1.1，pc1为192.168.1.2，pc2为192.168.1.3，pc3为192.168.1.4 四、实验步骤： 1、按图所示连接好设备，正确配置PC0,PC1,PC2,和PC3的IP地址,将交换机的配置清空。 2、在PC0和PC1上运行Wireshark截获报文，然后进入PC0的Windows命令行窗口，执行如下命令： ping 192.168.1.2 这是PC0向PC1发送消息的命令，等到PC1显示器上收到消息后，终止截获报文。

3、对截获的报文进行分析 五、实验结果： 六、实验总结： 通过本次实验我通过在截获帧的过程中了解MAC层结构。同时还了解ICMP数据报文格式和TCP/IP的主要协议和协议的层次结构。并且了解了mac帧的结构，对于mac帧的具体结构，有了更加深的了解。

MAC帧格式

令牌环上传输的数据格式（帧）有两种：一种是令牌，另一种是常规帧。令牌是占有发送权的标志，占有令牌的站才能发送。常规帧用来发送数据或控制信息。两种帧的格式如图 5所示。 图5 帧首定界符(SD ）和帧尾定界符（ED ）字段分别是一种专门标志帧首和帧尾的特殊字段，段1个字节。为了使用户数据获得透明性，应采取某种机制，使信息字段不会出现与SD 或ED 相同的比特序列。在令牌环网中所用的机制是除SD 和ED 字段外,其它所有信息比特都使用曼彻斯特编码，也就是说通过不同的编码方法来获得专门的标志。从图5的字段描述可知，要作到这一点，J.K 符号必须与常规编码规则不同，即J 符号与其前面的符号具有相同的极性，K 符号与前面的符号具有相反的极性。使用这种方式，接收机便可可靠地鉴别帧或令牌帧的开始和结束。访问控制(AC)字段由优先权比特（P ）、令牌（T ）和监视（M?）比特以及保留比特(R)组成。由该字段的名字可知，基功能是控制对环的访问。在其出现在令牌帧时，P 比特表示令牌的优先权，因此指示工作站收到该令牌后便可发送那些帧。T 比特用来区分令牌帧和常规。 M 比特由活动监视器用来防止帧绕环连续散发。R 比特用来使工作站指示高优先权帧的请求，请求发出的下一个令牌具有请求的优先权。 SD=帧首定界符 Ｉ＝信息字段 AC=访问控制 FSC=帧检验序列 FC=帧控制 ED=帧尾定界符 DA=终点地址 FS=帧状态字段 SA=源点地址

帧控制（FC）字段定义帧的类型和控制功能如果帧类型（F）指示MAC帧，环上所有工作站都对其接收和解释，并根据需要对控制比特（Z）进行动作。如果它是工帧，控制比特公由终点地址字段标识的工作站解释。 源点地址（SA）和终点地址（DA）字段可为16比特或48比特。对于特定的令牌环网，应有一致的地址长度。DA标识帧意图发往的工作站,可以是一个站或多个站。源点地址(SA)字段表示发送该帧的站。 信息（I）字段用来载携用户数据或附加控制信息。I字段中最大长度虽无限制，但由于允许DTE发送帧时有时间限制，所以也就限制了I字段的长度，通常最大值的5000个字节。 帧检验序列（FCS）是32比特的循环冗余检验用来检验FC，DA，SA和I 各字段在传输中有无差错。最后一个字段为帧状态（FS）。FS由两个字段组成：地址识别比特（A）和帧拷贝比特（C）。如果该帧要由一个或多个工作站识别，则将A比特置为1。如果它拷贝了该帧，便将C比特置1。使用这种方法，发起工作站可了解下述状态： ．被寻址的工作站是否存在或关闭； ．被寻址的工作站在工作，但未拷贝帧； ．被寻址的站工作且拷贝了帧。

ARP帧格式

ARP帧格式 ARP帧格式 //////////////////////////////////////////////////////////////////////////////// 大概了解一下ARP协议。ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写， 它的作用是将IP地址转换成物理地址（就是常说的MAC地址），其详细过程参考《TCP/IP详解卷一》。 协议ARP的分组格式如下: ------------------------------------------ 以太网目的地址（6个字节） 以太网源地址（6个字节） 帧类型(ARP = 0806)（2个字节） ------------------------------------------ 硬件类型(Ethernet=01)（2个字节） 协议类型(IPv4=0800)（2个字节） 硬件地址长度（1个字节） 协议地址长度（1个字节） OP操作选项(ARP request=01,ARP reply=02)（2个字节） 发送端以太网地址（6个字节） 发送端IP地址（4个字节）

目的以太网地址（6个字节） 目的IP地址（4个字节） -------------------------------------------- //////////////////////////////////////////////////////////////////////////////// 我们向目标主机发送一个ARP请求，如果目标主机处于活动状态则会返回其MAC地址， 如果对方返回MAC地址，则表明对方处于活动状态，这样达到探测目的。 ARP请求包内容如下: ------------------------------------------ 以太网目的地址|FFFFFFFFFFFF（广播地址） 以太网源地址|本地MAC地址 帧类型|0806 ------------------------------------------ 硬件类型|01 协议类型|0800 硬件地址长度|06 协议地址长度|04 OP操作选项|01 发送端以太网地址|本地MAC地址 发送端IP地址|目标主机IP地址

MAC数据帧

802.11 MAC层帧解析 1.MAC帧格式 对应的数据结构如下： 1.typedef struct _rtw_ieee80211_hdr_qos { 2.__le16 frame_ctl; 3.__le16 duration_id; 4.u8 addr1[ETH_ALEN]; 5.u8 addr2[ETH_ALEN]; 6.u8 addr3[ETH_ALEN]; 7.u16 seq_ctl; 8.u8 addr4[ETH_ALEN]; 9.} rtw_ieee80211_hdr_qos,*prtw_ieee80211_hdr_qos; 1.1 地址格式 addr1：接收地址（所有包都包含它） addr2：传输地址（除ACK和CTS包外的其他包都包含它）

addr3：只用于管理包和数据包。 addr4：无线分布系统模式下，FROM DS和TO DS都被置位时使用。 下图中，占两个字节的Frame control ，其To DS和From Ds决定了这四个地址的使用。 Frame control对应的地址如下：（Little ENDIAN） 1.typedef struct _frame_contrl{ 2.unsigned char version:2; 3.unsigned char type:2;//00 管理帧 01控制帧 10数据帧 11保留 4.unsigned char subtype:4;//0000 0001 Association request/respon se； 0010 0011 reassociation request/response 5.//0100 0101 probe requset/response； 0110-0111 reserved

实验3-以太网MAC帧分析

实验3 以太网MAC 帧分析 1．实验目的 1.理解以太网MAC 地址 2.学习并分析以太网MAC 帧格式的结构、含义 2．实验设备与环境 1．Ethereal 网络分析软件 2．实验文件“网络协议的层次观察.cap ” 3．相关知识 在局域网中，每个网络设备具有唯一的硬件地址又称为物理地址，或 MAC 地址， 它是固化在网卡的ROM 上的48位数字，如1A-24-F6-54-1B-0E 、00-00-A2-A4-2C-02。 网卡从网络上每收到一个 MAC 帧就首先用硬件检查 MAC 帧中的 MAC 地址，如果是发往本站的帧则收下，然后再进行其他的处理。否则就将此帧丢弃，不再进行其他的处理。 “发往本站的帧”包括以下三种帧： 单播(unicast)帧（一对一） 广播(broadcast)帧（一对全体） 多播(multicast)帧（一对多） 如下的图1 是以太网 V2 MAC 帧格式 图1以太网 V2 的 MAC 帧格式 当数据字段的长度小于 46 字节时，应在数据字段的后面加入整数字节的填充字段，以保证以太网的 MAC 帧长不小于 64 字节。 FCS 字段 4 字节，用于帧的校验。 2．以太网MAC 帧格式的结构和含义的分析

打开文件“网络协议的层次观察.cap”，这是一个包括100个分组的网络通信记录，详细记录了分组的序号、相对时间、源地址、目标地址、协议类型、内容，如图1是对第1个分组的详细信息。在协议框内，分别显示了该分组的各层协议：接口层以太网协议(eth)、arp 地址解析协议。 图1 MAC帧格式的结构和含义 从图中的Frame 1为例，可以发现该MAC帧是一个广播帧broadcast，目标address是ff:ff:ff:ff:ff:ff，源地址是00 08 93 00 3b 4e ，帧类型是地址解析协议ARP（0806），地址的第一字段最低位是1，则表示组地址，若是0，则是普通地址。因数据字段的长度小于 46 字节时，应在数据字段的后面加入整数字节的填充字段Trailer，以保证以太网的 MAC 帧长不小于 64 字节（含FCS）。（注意：最下栏左面的序号为16进制，如0010是16十进制）。 4．实验问题 问题一：以太网 V2 MAC 帧格式是怎样的？什么是物理地址？ 问题二：根据“网络协议的层次观察.cap”回答以下问题： 1、分析第4个分组的MAC帧内目标地址、源地址、类型的内容，是否有填充字段？ 2、分析第54个分组的MAC帧内目标地址、源地址、类型的内容，是否有填充字段？ 3、分析第19个分组的MAC帧内目标地址、源地址、类型的内容，是否有填充字段？ 4、分析第74个分组的MAC帧内目标地址、源地址、类型的内容，是否有填充字段？

80211帧格式解析

802.11帧格式解析 2012-02-13 0个评论 收藏我要投稿 1 MAC802.11数据帧格式 首先要说明的是mac802.11的帧格式很特别，它与TCP/IP这一类协议不同，它的长度是可变的。不同功能的数据帧长度会不一样。这一特性说明mac802.11数据帧显得更加灵活，然而，也会更加复杂。mac 802.11的数据帧长度不定主要是由于以下几点决定的 1.1 mac地址数目不定，根据帧类型不同，mac 80 2.11的mac地址数会不一样。比如说 ACK帧仅有一个mac地址，而数据帧有3个mac地址，在WDS模式（下面要提到）下，帧头竟然有4个mac地址。 1.2 80 2.11的管理帧所携带的信息长度不定，在管理帧中，不仅仅只有一些类似于mac地址，分片标志之类的这些信息，而且另外还会包括一些其它的信息，这些信息有关于安全设置的，有关于物理通信的，比如说我们的SSID名称就是通过管理帧获得的。AP会根据不同的情况发送包含有不同信息的管理帧。管理帧的细节问题我们会在后面的文章中讨论，这里暂时跳过。 1.3 加密（wep,wpa等）信息，QOS（quality of service）信息，若有加密的数据帧格式和没有加密的数据帧格式还不一样，加密数据帧格式还多了个加密头，用于解密用。然则QOS也是同样道理。 竟然mac 802.11数据帧那么复杂，我们就先从通用的格式开始说吧

帧控制(2 bytes)： 用于指示数据帧的类型，是否分片等等信息，说白了，这个字段就是记录了mac 802.11的属性。 *Protocol version：表明版本类型，现在所有帧里面这个字段都是0x00 *Type：指明数据帧类型，是管理帧，数据帧还是控制帧 *Subtype：指明数据帧的子类型，因为就算是控制帧，控制帧还分RTS帧，CTS 帧，ACK帧等等，通过这个域判断出该数据帧的具体类型 *To DS/From DS：这两个数据帧表明数据包的发送方向，分四种可能情况讨论**若数据包To DS为0，From DS为0，表明该数据包在网络主机间传输 **若数据包To DS为0，From DS为1，表明该数据帧来自AP **若数据包To DS为1，From DS为0，表明该数据帧发送往AP **若数据包To DS为1，From DS为1，表明该数据帧是从AP发送自AP的，也就是说这个是个WDS(Wireless Distribution System)数据帧，至于什么是WDS，可以参考下这里的介绍 #传送门 *Moreflag：分片标志，若数据帧被分片了，那么这个标志为1，否则为0 *Retry：表明是否是重发的帧，若是为1，不是为0 *PowerManage：当网络主机处于省电模式时，该标志为1，否则为0. *Moredata：当AP缓存了处于省电模式下的网络主机的数据包时，AP给该省电模式下的网络主机的数据帧中该位为1，否则为0

实验二：以太网MAC帧的分析

《计算机网络》实验报告姓名： 专业班级：电子信息科学与技术(1)班 时间：2014-11-19 实验二：以太网MAC帧的分析 利用wireshark 抓包工具，结合课本和课件，对MAC帧进行分析，详细解释帧的格式和各字段的意义。 基本步骤： 一、利用惠州学院校园网内的任意一台主机，确定该主机能接入Internet网后，安装wireshark 抓包工具。 二、打开抓包工具，开始抓包。 三、打开IE浏览器，访问惠州学院的网络主页。 四、停止抓包。 五、找出两个“类型字段”值不同的MAC帧进行分析（如：类型字段为OX0800，上层协 议为IP数据报，类型字段为OX0806，上层协议为ARP数据报）。 相关知识：网卡从网络上每收到一个 MAC 帧就首先用硬件检查 MAC 帧中的 MAC 地址，如果是发往本站的帧则收下，然后再进行其他的处理。否则就将此帧丢弃，不再进行其他的处理。“发往本站的帧”包括以下三种帧： 单播(unicast)帧（一对一） ;广播(broadcast)帧（一对全体）；多播(multicast)帧（一对多）；

分析：从上图中frame3162为例，可以发现该MAC帧是一个广播帧broadcast，目标address是ff:ff:ff:ff:ff:ff,源地址是c8 3a 35 5e 46 d0 帧类型是地址解析协议ARP（ox0806）。上层使用IP协议可知，有效数据字段长度是frame3162 分析：上图帧类型是传输控制协议（TCP）,类型字段的值是Ox0800，上层使用的是IP数据报,，目的地址是60 02 b4 4f 93 cd,源地址是c8 3a 35 5e 46 d0 ,数据字段长度为frame127.

帧格式详解

Etherne II 报头8 目标地址6 源地址6 类型2 有效负载46－1500 帧检验序列4 报头：8个字节，前7个0，1交替的字节（10101010）用来同步接收站，一个1010101011字节指出帧的开始位置。报头提供接收器同步和帧定界服务。 目标地址：6个字节，指出接收节点的MAC地址，分为单播、组播或者广播MAC地址。单播MAC地址第一个字节中的第8个比特为0，组播MAC地址第一个字节中的第8个比特为1，广播地址全为1，0xFF FF FF FF。 源地址：6个字节。指出发送节点的MAC地址。 类型：2个字节，用来指出以太网帧内所含的上层协议。即帧格式的协议标识符，值>=1536。对于IP 报文来说，该字段值是0x0800。对于ARP信息来说，以太类型字段的值是0x0806。 有效负载：由一个上层协议的协议数据单元PDU构成。可以发送的最大有效负载是1500字节。由于以太网的冲突检测特性，有效负载至少是46个字节。如果上层协议数据单元长度少于46个字节，必须增补到46个字节。 帧检验序列：4个字节。验证比特完整性。 IEEE 802.3

报头7 帧起始定界符1 目标地址6 源地址6 长度2 LLC3 SNAP5 数据38-1492 帧检验序列4 LLC3: DSAP1 SSAP1 Control2 SNAP5: Org code3 Type2 长度：定义了数据字段包含的字节数 1.当DSAP和SSAP都取特定值0xff时，80 2.3帧就变成了Netware-Ethernet帧，用来承载Netware 类型数据 2.当DSAP和SSAP都取特定值0xaa时，802.3帧就变成了Ethernet-SNAP帧，可用于传输多种协议 3.当DSAP和SSAP取其他值时，均为纯IEEE802.3帧

以太网帧格式分析

历史上以太网帧格式有五种: 1.Ethernet V1：这是最原始的一种格式，是由Xerox PARC提出的3Mbps CSMA/CD以太网标准的封装格式，后来在1980年由DEC，Intel和Xerox标准化形成Ethernet V1标准. 2.Ethernet V2(ARPA)：由DEC，Intel和Xerox在1982年公布其标准，主要更改了Ethernet V1的电气特性和物理接口，在帧格式上并无变化；Ethernet V2出现后迅速取代Ethernet V1成为以太网事实标准；Ethernet V2帧头结构为6bytes的源地址+6bytes的目标地址+2Bytes的协议类型字段+数据。 3.RAW 802.3：这是1983年Novell发布其划时代的Netware/86网络套件时采用的私有以太网帧格式，该格式以当时尚未正式发布的802.3标准为基础；但是当两年以后IEEE正式发布802.3标准时情况发生了变化—IEEE在802.3帧头中又加入了802.2 LLC(Logical Link Control)头，这使得Novell的RAW 802.3格式跟正式的IEEE 802.3标准互不兼容. 4.802.3/802.2 LLC：这是IEEE 正式的802.3标准，它由Ethernet V2发展而来。它将Ethernet V2帧头的协议类型字段替换为帧长度字段(取值为0000-05dc;十进制的1500)；并加入802.2 LLC头用以标志上层协议，LLC头中包含DSAP，SSAP以及Crontrol字段. 5.802.3/802.2 SNAP：这是IEEE为保证在802.2 LLC上支持更多的上层协议同时更好的支持IP协议而发布的标准，与802.3/802.2 LLC一样802.3/802.2 SNAP也带有LLC头，但是扩展了LLC属性，新添加了一个2Bytes的协议类型域（同时将SAP的值置为AA），从而使其可以标识更多的上层协议类型；另外添加了一个3Bytes的OUI字段用于代表不同的组织，RFC 1042定义了IP报文在802.2网络中的封装方法和ARP协议在802.2 SANP中的实现. 目前，有四种不同格式的以太网帧在使用，它们分别是： ●Ethernet II即DIX 2.0：Xerox与DEC、Intel在1982年制定的以太网标准帧格式。Cisco名称为：ARPA。 ●Ethernet 802.3 raw：Novell在1983年公布的专用以太网标准帧格式。Cisco名称为：Novell-Ether。 ●Ethernet 802.3 SAP：IEEE在1985年公布的Ethernet 802.3的SAP版本以太网帧格式。Cisco 名称为：SAP。

以太网MAC帧和IP帧分析

以太网MAC帧的分析及IP数据报格式分析 一、实验原理：利用wireshark 抓包工具，结合课本和课件，对MAC帧进行分析，详细解释帧的格式和各字段的意义及分析IP数据报格式 1、MAC帧的格式 MAC帧的帧头包括三个字段。前两个字段分别为6字节长的目的地址字段和源地址字段，目的地址字段包含目的MAC地址信息，源地址字段包含源MAC 地址信息。第三个字段为2字节的类型字段，里面包含的信息用来标志上一层使用的是什么协议，以便接收端把收到的MAC帧的数据部分上交给上一层的这个协议。MAC帧的数据部分只有一个字段，其长度在46到1500字节之间，包含的信息是网络层传下来的数据。MAC帧的帧尾也只有一个字段，为4字节长，包含的信息是帧校验序列FCS（使用CRC校验）。 如图1所示： 图1 2、IP数据报格式： TCP/IP协议定义了一个在因特网上传输的包，称为IP数据报(IP Datagram)。这是一个与硬件无关的虚拟包, 由首部和数据两部分组成，其格式如下图2所示。首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的。在首部的固定部分的后面是一些可选字段，其长度是可变的。首部中的源地址和目的地址都是IP协议地址。

图2 二、基本步骤： 一、利用惠州学院校园网内的任意一台主机，确定该主机能接入Internet网后，安装wireshark 抓包工具。 二、打开抓包工具，开始抓包。 三、打开IE浏览器，访问惠州学院的网络主页。 四、停止抓包。 五、找出两个不同类型字段值的MAC帧进行分析（如：类型字段为OX0800，上层协议为 IP数据报，类型字段为OX0806，上层协议为ARP数据报） 三、实验分析： 抓包信息如下图： 1、MAC帧分析：

MAC帧格式 SNAP和DIXv2

EthernetⅡ/ETHERNET 802.3 IEEE802.2.SAP/SNAP的区别 1.Ethernet V1： 这是最原始的一种格式，是由Xerox PARC提出的3Mbps CSMA/CD以太网标准的封装格式，后来在1980年由DEC，Intel和Xerox标准化形成Ethernet V1标准； 2.Ethernet V2(ARPA)： 这是最常见的一种以太网帧格式，也是今天以太网的事实标准，由DEC，Intel 和Xerox在1982年公布其标准，主要更改了Ethernet V1的电气特性和物理接口，在帧格式上并无变化；Ethernet V2出现后迅速取代Ethernet V1成为以太网事实标准；Ethernet V2帧头结构为6bytes的源地址+6bytes的目标地址 +2Bytes的协议类型字段+数据。 常见协议类型如下： 0800 IP 0806 ARP 8137 Novell IPX 809b Apple Talk 如果协议类型字段取值为0000-05dc(十进制的0-1500)，则该帧就不是Ethernet V2(ARPA)类型了，而是下面讲到的三种802.3帧类型之一；Ethernet可以支持TCP/IP，Novell IPX/SPX，Apple Talk Phase I等协议；RFC 894定义了IP报文在Ethernet V2上的封装格式； Ethernet_II中所包含的字段：

在每种格式的以太网帧的开始处都有64比特（8字节）的前导字符，如图所示。其中，前7个字节称为前同步码（Preamble），内容是16进制数0xAA，最后1字节为帧起始标志符0xAB，它标识着以太网帧的开始。前导字符的作用是使接收节点进行同步并做好接收数据帧的准备。 ——PR：同步位，用于收发双方的时钟同步，同时也指明了传输的速率（10M和100M的时钟频率不一样，所以100M网卡可以兼容10M网卡），是56位的二进制数101010101010..... ——SD: 分隔位,表示下面跟着的是真正的数据,而不是同步时钟,为8位的10101011,跟同步位不同的是最后2位是11而不是10. ——DA:目的地址,以太网的地址为48位(6个字节)二进制地址,表明该帧传输给哪个网卡.如果为FFFFFFFFFFFF,则是广播地址,广播地址的数据可以被任何网 卡接收到. ——SA:源地址,48位,表明该帧的数据是哪个网卡发的,即发送端的网卡地址, 同样是6个字节. ----TYPE：类型字段，表明该帧的数据是什么类型的数据，不同的协议的类型字段不同。如：0800H 表示数据为IP包，0806H 表示数据为ARP包，814CH是SNMP 包,8137H为IPX/SPX包，（小于0600H的值是用于IEEE802的，表示数据包的长度。） ----DATA：数据段，该段数据不能超过1500字节。因为以太网规定整个传输包的最大长度不能超过1514字节。（14字节为DA，SA，TYPE） ----PAD：填充位。由于以太网帧传输的数据包最小不能小于60字节, 除去（DA，SA，TYPE 14字节），还必须传输46字节的数据，当数据段的数据不足46字节时，后面补000000.....(当然也可以补其它值) ----FCS:32位数据校验位.为32位的CRC校验,该校验由网卡自动计算,自动生成,自动校验,自动在数据段后面填入.对于数据的校验算法,我们无需了解. ----事实上,PR,SD,PAD,FCS这几个数据段我们不用理它 ,它是由网卡自动产生