实验3--分析Ethernet-II帧

《信息系统安全》实验实验 - 使用 Wireshark 检查以太网帧Mininet 拓扑目标第 1 部分：检查以太网 II 帧中的报头字段第 2 部分：使用 Wireshark 捕获和分析以太网帧背景/场景当上层协议互相通信时，数据会向下流到开放式系统互联 (OSI) 的各层中，并最终被封装进第 2 层帧。

帧的成分取决于介质访问类型。

例如，如果上层协议是 TCP 和 IP 并且访问介质是以太网，则第 2 层帧的封装为以太网 II。

这是 LAN 环境的典型情况。

在了解第 2 层的概念时，分析帧报头信息很有帮助。

在此实验的第 1 部分，同学们将复习以太网 II 帧包含的字段。

在第 2 部分，同学们将使用 Wireshark 为本地通信和远程通信捕获和分析以太网 II 帧头字段。

所需资源•CyberOps Workstation VM•互联网接入第 1 部分：检查以太网 II 帧中的报头字段在第 1 部分中，同学们需要检查提供给同学们的以太网 II 帧中的报头字段和内容。

Wireshark 捕获可用于检查这些字段中的内容。

第 1 步：检查以太网 II 帧头字段的描述和长度。

第 2 步：在 Wireshark 捕获中检查以太网帧。

以下 Wireshark 捕获显示了从 PC 主机向其默认网关发出 ping 操作生成的数据包。

Wireshark 应用了一个过滤器，以仅查看 ARP 和 ICMP 协议。

会话首先利用 ARP 查询网关路由器的 MAC 地址，然后是四次 ping 请求和应答。

第 3 步：检查 ARP 请求的以太网 II 报头内容。

下表使用 Wireshark 捕获中的第一个帧，并显示以太网 II 帧头字段中的数据。

关于目的地址字段的内容，需要注意什么？_______________________________________________________________________________________ _______________________________________________________________________________________ 为什么 PC 会在发送第一个 ping 请求之前发送广播 ARP？_______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 第一个帧的源设备的 MAC 地址是什么？_______________________________________________________ 源设备的网卡的供应商 ID (OUI) 是什么？ ______________________________________________________ MAC 地址的哪个部分是 OUI？______________________________________________________________ 源设备的网卡序列号是什么？_______________________________________________________________ 第 2 部分：使用 Wireshark 捕获和分析以太网帧在第 2 部分中，同学们将使用 Wireshark 捕获本地和远程以太网帧。

TCP/IP协议抓包分析实验学号:05姓名：张辛楠一、实验目的了解以太网的几种帧格式学会使用Ethereal抓取数据包并分析根据所获数据包分析EthernetⅡ标准规定的以太网帧结构二、实验环境联网的笔记本一台；主机操作系统为WIN7；Ethereal等软件。

三、实验类型实践性实验。

四、实验内容通过对抓到的包进行分析，分析和验证TCP/IP协议，初步了解TCP/IP的主要协议和协议的层次结构。

五、实验原理目前以太网帧格式主要有两个标准：EthernetⅡ和IEEE 。

Eth ernetⅡ是最常见的一种以太网格式，也是今天以太网的事实标准。

EthernetⅡ的帧头结构为6字节的源地址+6字节的目标地址+2字节的协议类型字段+数据+4字节的校验位。

EthernetⅡ标准的以太网帧格式如下：目标MAC地址源MAC地址类型数据FCS 6字节6字节2字节46—1500字节4字节常见的协议类型如下：080008068137809bIP ARP Novell IPX Apple Talk六、实验步骤1、运行Ethereal，安装Ethereal协议分析程序。

2、运行协议分析软件Ethereal，打开捕获窗口进行数据捕获。

3、抓包，进行帧格式分析。

七、实验结果与分析TCP包版本号：IPV4 头长度：20bytes服务类型：0x00（DSCP0x00:defult;ECN：0x00）总长度:48标识：0x6c32(27698) 标志：0x02 片偏移：0生存时间：49 上层协议标识：TCP（0x06）头部校验和：0x94f0[correct] 源IP地址：目标IP地址：版本号：IPV4 头长度：20bytes 服务类型：0x00（DSCP0x00:defult;ECN：0x00）总长度：64标识：0x6c3e(27710) 标志：0x00 片偏移：0生存时间：1 上层协议标识：UDP（0x11）头部校验和：0x0000[incorrect,should be 0x5eda(maybe caused by “IP checksumoffload”)]源IP地址：目标IP地址：。

计算机科学与技术系实验报告课程名称：计算机网络实验名称：用协议分析器分析以太帧结构班级：xxx学号：xx姓名：xxx2011年12 月30日实验二用协议分析器分析以太帧结构一实验目的1.熟悉网络协议分析的原理。

2.熟悉网络协议分析软件Ethereal的使用。

3.掌握Ethernet帧的构成二实验内容1.学习使用网络协议分析软件Ethereal。

2.捕捉任何主机发出的DIX Ethernet V2（即Ethernet Ⅱ）格式的帧并进行分析。

3.捕捉并分析局域网上的所有Ethernet broadcast帧进行分析。

4.捕捉局域网上的所有Ethernet multicast帧进行分析。

三实验步骤1.学习使用Ethereal软件。

2.捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2（即Ethernet II）格式的帧并进行分析。

捕捉任何主机发出的Ethernet 802.3格式的帧（帧的长度字段<=1500），Ethereal的capture filter 的filter string设置为：ether[12:2] <= 1500。

捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧（帧的长度字段>1500, 帧的长度字段实际上是类型字段），Ethereal的capture filter 的filter string设置为：ether[12:2] > 1500。

①观察并分析帧结构，802.3格式的帧的上一层主要是哪些PDU(协议数据单元)？是IP、LLC还是其它哪种？（学校里可能没有，如果没有，注明没有就可以了）捕获的数据包如下图：从图中可以看出802.3格式的帧的上一层主要是STP②观察并分析帧结构，Ethernet II的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？捕获的数据包如下图：从图中可以看出Ethernet II格式的帧的上一层主要是UDP3.捕捉并分析局域网上的所有Ethernet broadcast帧，Ethereal的capture filter 的filter string设置为：ether broadcast。

南昌航空大学实验报告2019年 5月 2日课程名称：计算机网络与通信实验名称：以太网链路层帧格式分析班级：学生姓名：学号：指导教师评定：签名：一．实验目的分析Ethernet V2标准规定的MAC层帧结构，了解IEEE802.3标准规定的MAC层帧结构和TCP/IP的主要协议和协议的层次结构。

二．实验内容1.在PC机上运行WireShark截获报文，在显示过滤器中输入ip.addr==(本机IP地址)。

2.使用cmd打开命令窗口，执行“ping 旁边机器的IP地址”。

3.对截获的报文进行分析：（1）列出截获报文的协议种类，各属于哪种网络？（2）找到发送消息的报文并进行分析，研究主窗口中的数据报文列表窗口和协议树窗口信息。

三．实验过程局域网按照网络拓扑结构可以分为星形网、环形网、总线网和树形网，相应代表性的网络主要有以太网、令牌环形网、令牌总线网等。

局域网经过近三十年的发展，尤其是近些年来快速以太网（100Mb/s）、吉比特以太网（1Gb/s）和10吉比特以太网（10Gb/s）的飞速发展，采用CSMA/CD（carrier sense，multiple access with collision detection）接入方法的以太网已经在局域网市场中占有绝对的优势，以太网几乎成为局域网的同义词。

因此，本章的局域网实验以以太网为主。

常用的以太网MAC帧格式有两种标准，一种是DIX Ethernet V2标准，另一种是IEEE802.3标准。

1. Ethernet V2标准的MAC帧格式DIX Ethernet V2标准是指数字设备公司（Digital Equipment Corp.）、英特尔公司（Intel corp.）和Xerox公司在1982年联合公布的一个标准。

它是目前最常用的MAC帧格式，它比较简单，由5个字段组成。

第一、二字段分别是目的地址和源地址字段，长度都是6字节；第三字段是类型字段，长度是2字节，标志上一层使用的协议类型；第四字段是数据字段，长度在46~1500字节之间；第五字段是帧检验序列FCS，长度是4字节。

运城学院实验报告
专业：计算机科学与技术系（班）：计算机科学与技术系1001班姓名：陈嘉斌（2010100137）课程名称：计算机网络基础
实验项目：实验二以太网帧格式分析实验类型：验证性指导老师：杜经纬实验地点：网络实验室（2）时间：2012年11月15日8:00-9:50
一、实验目的：
1、分析Ethernet V2标准规定的MAC层帧结构。

2、了解IEEE802.3标准规定的MAC层帧结构和TCP/IP的主要协议和协议的层次结构。

二、实验内容：
1、通过对截获帧进行分析，分析和验证Ethernet V2标准和IEEE802.3标准规定的MAC层帧结构。

2、初步了解TCP/IP的主要协议和协议的层次结构。

三、实验方案设计：
设备连接：
设置pc0为192.168.1.1，pc1为192.168.1.2，pc2为192.168.1.3，pc3为192.168.1.4
四、实验步骤：
1、按图所示连接好设备，正确配置PC0,PC1,PC2,和PC3的IP地址,将交换机的配置清空。

2、在PC0和PC1上运行Wireshark截获报文，然后进入PC0的Windows命令行窗口，执行如下命令：
ping 192.168.1.2
这是PC0向PC1发送消息的命令，等到PC1显示器上收到消息后，终止截获报文。

3、对截获的报文进行分析
五、实验结果：
六、实验总结：
通过本次实验我通过在截获帧的过程中了解MAC层结构。

同时还了解ICMP数据报文格式和TCP/IP的主要协议和协议的层次结构。

并且了解了mac帧的结构，对于mac帧的具体结构，有了更加深的了解。

实验三一、实验名称：分析Ethernet II帧二、实验目的：（1）掌握使用wireshark分析俘获的踪迹文件的基本技能）;（2）深刻理解Ethernet II帧结构三、实验内容和要求：（1）分析俘获的或踪迹文件的Ethernet II帧结构（2）分析以太网帧结构四、实验环境：win7下wireshark环境五、实验步骤：查看自己主机的ip地址和mac（物理）地址（一）、分析俘获的或踪迹文件的基本操作用wireshark俘获踪迹文件取2号帧进行分析，将Frame这个标志点击开，可以观察有关Frame 的信息，包括了接口id下图黄色标记部分，帧到达的时间，等信息点击Ethernet II可以观察Ethernet II的内容，同样的点开其他选项就可以观察他们的具体内容了，它显示了Ethernet II帧的源地址和目的地址，以及Ethernet II帧的类型它是包含了ip数据报的帧。

点击Protocol Version4可以观察Protocol Version4的内容，我们可以看到ip的源地址和目的地址，以及ip的版本是4，并且其头的长度为20个字节。

点击User Datagram Protocol 可以观察User Datagram Protocol 的内容，显示了源端口号，还有目的端口号，以及udp协议的长度，和包头检验和的结果（checksum）最后点开Data可以观察Data的内容，可以看出Data的长度为49以上操作完成俘获踪迹文件并且可以到各个目录下查看俘获的帧的具体信息，包括帧接受的时间，帧的源ip地址，目的ip地址，帧传输所使用的协议，帧的长度以及源端口和目的端口；也可以观察Frame、Ethernet II、Internet Protocol Version4等的具体信息，对wireshark的使用有了基本的能力。

（二）分析以太网Ethernet II帧结构进行ping操作用Wireshark抓包，获得了多组ping请求/回应数据包，其中的一组ping请求/回应帧如下图：其中的一组ping请求/回应帧如下图：点开Ethernet II观察他的内容观察到目的mac地址和源mac地址，观察它的Ethernet II结构，参照自己之前的截图可知，目的mac地址就是电脑本机的mac地址，并且以太类型字段中是0x0800,表示该帧封装了ip数据报六、实验数据记录和结果分析通过对Ethernet II进行分析可以看出目的mac地址和源mac地址都是6个字节，有2字节表示其类型Ethernet II 类型以太网的帧结构：6个字节 6个字节46~1500字节 4字节七、实验体会、质疑和建议本次实验我掌握了俘获踪迹文件的基本能力，也对Ethernet II 帧结构进行了简单的分析，对于以太类型字段我进行了百度，得知了它标示了封装该帧数据中较高层的协议，例如：我实验中Ethernet II Type 为0x0800表示包含了ipV4数据报，若Ethernet II Type 为0x0806表示包含了ARP 帧，若Ethernet II Type 为0x86DD 则表示包含了ipV6数据报。

网络抓包分析实验报告一：实验目的：1.学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析以太网帧格式。

2：分析ARP报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构五：分析1.以太网帧格式：以太网共有4种个格式一)：Ethernet II是DIX以太网联盟推出的，它由6个字节的目的MAC地址，6个字节的源MAC 地址，2个字节的类型域（用于表示装在这个Frame、里面数据的类型)，以上为Frame Header,接下来是46--1500 字节的数据，和4字节的帧校验）二)：Novell Ethernet它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame，由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。

三)：IEEE 802.3/802.2802.3的Frame Header和Ethernet II的帧头有所不同，它把EthernetII类型域变成了长度域(与Novell Ethernet相同)。

其中又引入802.2协议(LLC)在802.3帧头后面添加了一个LLC首部,由DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte,一个控制域 1 byte! SAP用于表示帧的上层协议。

四)：Ethernet SNAPEthernet SNAP Frame与802.3/802.2 Frame的最大区别是增加了一个5 Bytes的SNAP ID，其中前面3个byte通常与源mac地址的前三个bytes相同，为厂商代码！有时也可设为0。

南华大学计算机学院
实验报告
课程名称计算机网络原理
姓名
学号
专业软件工程
班级
日期 2019年4月11日
一、实验名称分析数据链路层帧结构
二、实验目的：
1. 掌握使用Wireshark分析俘获的踪迹文件的基本技能；
2. 深刻理解Ethernet帧结构。

3. 深刻理解IEEE 802.11帧结构。

（可选）
4. 掌握帧结构中每一字段的值和它的含义。

三、实验内容和要求
1. 分析俘获的踪迹文件的Ethernet帧结构；
2. 分析IEEE 802.11帧结构。

（可选）
四、实验环境
1.操作系统：Win10
2.网络平台：以太网
3.IP地址：IPv4：172.27.100.212
五、操作方法与实验步骤
1.抓包
2.选定某行帧进行分析
六、实验数据记录和结果分析
1.Ethernet帧结构
1)MAC 帧
由上图可知：
1)目的MAC地址：3c:95:09:19:2a:c6
2)源MAC地址：c8:8d:83:a7:ad:5f
3)以太网类型：0x0800，表示上层使用的是IP数据报2.IP数据报
版本首部长度服务类型总长度
七、实验体会、质疑和建议
通过实验，我对wireshark分析捕获的踪迹文件的基本技能有了基本了解，理解了以太网以及IEE 802.11帧的结构，Ethernet V2标准规定的MAC层报文结构进行了分析，了解TCP/IP的主要协议和协议的层次结构，对以后的学习有
很大帮助。

实验二用协议分析器分析以太帧结构【实验目的】1.熟悉网络协议分析的原理。

2.熟悉网络协议分析软件Ethereal的使用。

3.掌握Ethernet帧的构成【实验内容】1.学习使用网络协议分析软件Ethereal。

2.捕捉任何主机发出的DIX Ethernet V2（即Ethernet Ⅱ）格式的帧并进行分析。

3.捕捉并分析局域网上的所有Ethernet broadcast帧进行分析。

4.捕捉局域网上的所有Ethernet multicast帧进行分析。

【实验原理】1.网络协议分析原理网络协议分析是截获网络上正在传输的数据报文，并对数据报文的内容进行分析。

网络协议分析需要截获网络上的所有报文，根据上面对网卡接收模式的分析，只要将网卡的接收模式置于混杂模式即可实现。

在接收到网络上所有的数据报文后，通过相应的网络协议分析软件进行处理，可以实时分析这些数据的内容，进而分析网络状态和整体布局。

网络协议分析技术主要用来帮助网络管理员对网络进行管理。

通过网络协议分析技术，网络管理员可以了解目前网络中正在应用的协议种类，每种协议所占的比例，及哪些设备应用哪些协议进行通讯；同时可以分析协议应用的合理性与有效性，从而合理的选择协议，节约有限的网络宽带，提高网络传输效率；另外，可以诊断出大量的不可见模糊问题，为管理员管理网络区域提供了非常宝贵的信息。

2. 以太网数据帧的格式分析以太网这个术语一般是指数字设备公司（Digital Equipment）、英特尔公司（Intel）和施乐公司（Xerox）在1982年联合公布的一个标准（实际上它是第二版本）。

它是目前TCP/IP 网络采用的主要的局域网技术。

1985年，IEEE（电子电气工程师协会）802委员会公布了一个稍有不同的标准集，其中802.3针对整个CSMA/CD网络，802.4针对令牌总线网络，802.5针对令牌环网络。

这三者的共同特性由802.2标准来定义，那就是802网络共有的逻辑链路控制（LLC）。

实验过程及结果分析1.802.3、Ethernet II格式的帧捕捉任何主机发出的Ethernet 802.3格式的帧，捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧。

(1)观察并分析帧结构，802.3格式的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？(2)观察并分析帧结构，Ethernet II的帧的上一层主要是哪些PDU？是IP、LLC还是其它哪种？(1)802.3格式的帧捕捉任何主机发出的802.3格式的帧：(2)Ethernet II格式的帧捕捉任何主机发出的DIX Ethernet V2（即Ethernet II）格式的帧：在捕捉任何主机发出的802.3和Ethernet II格式的帧的实验中，根据中间的协议树窗口可以得知：802.3格式的帧的上一层协议是Logical-Link Control(LLC); 而Ethernet II格式的帧的上一层协议是Internet Protocol (IP)。

2. ARP包的捕获捕捉局域网上主机58.155.47.251发出或接受的所有ARP包。

(1)Ethereal的capture filter 的filter string设置为：arp.dst.proto_ipv4 == 58.155.47.251 || arp.src.proto_ipv4 == 58.155.47.251(2)主机58.155.47.251上执行” arp –d * ”清除arp cache。

(3)在主机58.155.47.251上ping 局域网上的另一主机58.155.47.99(4)观察并分析主机58.155.47.251发出或接受的所有ARP包，及ARP包结构。

捕获了2个ARP包，分别为请求分组包和应答分组包，如图5-1所示。

ARP请求分组包在主机58.155.47.251上ping 局域网上的另一主机58.155.47.99，主机58.155.47.251发出的ARP分组包为请求包，如下图所示。