以太网MAC帧和IP帧分析

以太网MAC帧的分析及IP数据报格式分析

一、实验原理：利用wireshark 抓包工具，结合课本和课件，对MAC帧进行分析，详细解释帧的格式和各字段的意义及分析IP数据报格式

1、MAC帧的格式

MAC帧的帧头包括三个字段。前两个字段分别为6字节长的目的地址字段和源地址字段，目的地址字段包含目的MAC地址信息，源地址字段包含源MAC 地址信息。第三个字段为2字节的类型字段，里面包含的信息用来标志上一层使用的是什么协议，以便接收端把收到的MAC帧的数据部分上交给上一层的这个协议。MAC帧的数据部分只有一个字段，其长度在46到1500字节之间，包含的信息是网络层传下来的数据。MAC帧的帧尾也只有一个字段，为4字节长，包含的信息是帧校验序列FCS（使用CRC校验）。

如图1所示：

图1

2、IP数据报格式：

TCP/IP协议定义了一个在因特网上传输的包，称为IP数据报(IP Datagram)。这是一个与硬件无关的虚拟包, 由首部和数据两部分组成，其格式如下图2所示。首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的。在首部的固定部分的后面是一些可选字段，其长度是可变的。首部中的源地址和目的地址都是IP协议地址。

图2

二、基本步骤：

一、利用惠州学院校园网内的任意一台主机，确定该主机能接入Internet网后，安装wireshark

抓包工具。

二、打开抓包工具，开始抓包。

三、打开IE浏览器，访问惠州学院的网络主页。

四、停止抓包。

五、找出两个不同类型字段值的MAC帧进行分析（如：类型字段为OX0800，上层协议为

IP数据报，类型字段为OX0806，上层协议为ARP数据报）

三、实验分析：

抓包信息如下图：

1、MAC帧分析：

由抓包信息可以知道这是一个广播帧

接收方(目的地址)为：ff:ff:ff:ff:ff:ff

发送方(Sender MAC address)的MAC地址是：00:d0:95:98:c1:b5

类型(Type)为0X806表示上层是一个ARP数据报

发送方的IP地址(Sender IP address)是：222.17.96.254

接收方的IP地址是：222.17.96.212

由于本抓包没有抓到类型(Type)字段为0X800的上层协议的IP数据报的帧但其含意基本和上述的MAC帧相同。

2、IP数据报的分析：

由帧的内容得：

版本(Version)：占4位，指IP协议的版本，通信双方的版本必须一致。其值为4说明用的的是IPV4版本协议。

首部长度(Header Length)：占4位其值为：20B

区分服务(Differentiated Services Field)：占8位一般不用

总长度(Total Length)：占16位，表示首部和数据之和为52个字节

标识(Identification)：占16位，其值为0X3552(13650) 表示这是发送第13560个IP数据

标志(Flags)：占3位，其值为0x02 二进制表示为：010 MF=0 表示这已经是

若干数据报片中的最后一个。DF=1 表示不能分片。

片偏移(Fragment offset)：占13位其值是0 由于标志和片偏移得这是一个没有分片的IP数据报。

生存时间(Time to live)：占8位表示数据报在网络中的寿命(数据报每次在路由中转发一次其值减一) 其值为64表示可以在路由中转发64次。

协议(Protocol)：占8位其值为6 表示此数据携带的数据是使用TCP协议

首部检验和(Header checksum)：占16位这字段只检验数据报的首部，但不检验数据部分，为0xbc85[correct] 表明是正确的

源地址(Source)：占32位222.17.96.158

目的地址(Destination)：占32位119.147.146.169

可变部分：IP首部的可变部分就是选项字段，用来支持排错、测量以及安全等措施，此字段长度可变从1个字节到40个字节不等。

四、实验总结

通过这次实验对MAC帧和IP数据报有了初步的认识，开始的时候有很多的不懂，但经过上网查找资料跟同学讨论后，大概明白了我们上网过程中MAC和IP这些协议，和这些协议的具体内容，同时也掌握了wireshark 抓包工具的基本使用方法。虽然其中的很多参数还没有弄懂，但已经初步的了解了了计算机网络中的协议工作状态，更好的加深了对理论知识的理解