以太网帧格式分析实验报告

实 验 报 告实验名称以太网帧格式分析队 别姓 名李王丁学 号实验日期实验报告要求： 1.实验目的 2.实验要求 3.实验环境 4.实验作业5.问题及解决 6.思考

实验报告 实验名称 以太网帧格式分析 队别 姓名 李王丁 学号 实验日期 1. 2. 3. 4. 实验报告要求：实验目的实验要求实验环境实验作业 5. 6. 7. 问题及解决思考问题实验体会 【实验目的】 1Wireshark ． 复习抓包工具的使用及数据包分析方法。 2 ．通过 分析以太网帧了解以太网数据包传输原理。 【实验要求】 Wireshark1.4.9 用截包，分析数据包。 观察以太网帧，Ping同学的IP地址，得到自己和同学的mac地址。 观察以太网广播地址，观察ARP请求的帧中目标mac地址的格式。 用ping-l指定数据包长度，观察最小帧长和最大帧长。 IPARP 观察封装和的帧中的类型字段。 【实验环境】 windows 7802.1xInternet 用以太网交换机连接起来的操作系统的计算机，通过方式接入。 【实验中出现问题及解决方法】 1“ping -l 0IP”4264 ．在使用命令行观察最小帧长时抓到了长度为字节的帧，与理论上最小帧长 字节相差甚远。通过询问教员和简单的分析，知道了缺少字节的原因是当Wireshark抓到这个ping请求 Trailer4 包时，物理层还没有将填充（）字符加到数据段后面，也没有算出最后字节的校验和序列，导致 42“” 出现最小字节的半成品帧。可以通过网卡的设置将这个过程提前。 pingpingIP 2 ．在做同学主机的实验中，发现抓到的所有请求帧中数据部分的头校验和都是错误的。 原本以为错误的原因与上一个问题有关，即校验和错误是因为物理层还没有将填充字符加到数据段后面。 但是这个想法很快被证明是错误的，因为在观察最大帧长时，不需要填充字符的帧也有同样的错误。一个 ICMPIP 有趣的现象是，封装在更里层的数据包的校验和都是正确的。这就表明层的头校验和错误并没 0x0000 有影响正常通信。进一步观察发现，这些出错的头校验和的值都是，这显然不是偶然的错误。虽 然目前还没有得到权威的答案，但是可以推测，可能是这一项校验实际上并没有被启用。作为中间层的 IPIMCPMAC 头的意义是承上启下，而校验的工作在更需要的上层的包和下层头中都有，因此没有必要 多此一举。 【思考问题】 1pingping ．为什么可以到同宿舍（连接在同一个交换机上）的主机而不到隔壁宿舍的主机 ？ 通常情况下，如果配置正确，设备都连接着同一个网络（互联网），而且没有防火墙等阻拦，就可以 pingpingbaidu.comIP 正常到同一网络中的任何主机。在第一次实验中，我们曾成功地到了的。 pingIPping 在其他宿舍的时需要通过宿舍的交换机将请求先转发给楼层交换机，再由楼层交换机转 IPping 发给目标所在的宿舍交换机。分析无法到隔壁宿舍主机的原因，很可能是楼层交换机设置了禁止 pingpingping 内部的防火墙，阻止了本楼层交换机地址段内的主机相互对方。而同宿舍之所以可以相互 pingIP 到，是因为请求没有经过楼层交换机，直接由宿舍交换机转发给了目标主机。 2ARP ．什么是攻击？ 4.1 ARPAARPBMAC 缓存 让我们继续分析原理，得到应答后，将的地址放入本机。但是本机 MAC 缓存 是有生存期的，生存期结束后，将再次重复上面的过程。（类似与我们所学的学习网桥）。 ARPARPARPARP 然而，协议并不只在发送了请求才接收应答。当计算机接收到应答数据包的时 ARPIPMACARP 缓存 候，就会对本地的进行更新，将应答中的和地址存储在缓存中。 CBAARPIPB 这时，我们假设局域网中的某台机器冒充向发送一个自己伪造的应答，即地址为