【实验目的】:
1.掌握网络协议分析软件的常用过滤规则使用方法;
2.分析以太网数据帧的构成
3.掌握以太网报文格式,掌握MAC地址的作用;
4.掌握LLC帧报文格式;
【实验原理】:
1.Wireshark支持的协议包括 TCP、UDP、ARP、ICMP、HTTP、SMTP、FTP、DNS、MSN、IP、SSL、OICQ、BOOTP等;
2.如果要限制为目的IP为192.168.1.123,则输入ip.dst = =192.168.1.123
3.在有线局域网中,目前只有一种,即以太网。下图是以太网的帧格式。
【实验过程】:
1、观察某个单播Ethernet II 帧的数据内容
2、通过设置过滤器来抓包
图中设置为要捕捉大于1482个字节以上的数据帧,采用过滤规则“greater 1482”。
另外,可以通过设置抓包过滤规则“less 64”来抓一系列小于64字节的数据帧。
3、在局域网中捕捉组播数据包。
4、捕捉以太网上的广播包。
【数据分析】:
目前有四种类型的以太网数据帧,此实验分析是Ethernet II类型的分析。需要知道的是在该软件wireshark中,显示的帧长度是过滤掉前导同步码和帧校验fcs序列以后的长度。
Arp请求是本主机发出,目标IP接收,arp响应则反过来,发送方是选定ip,接受方为本主机。arp请求报文,目的mac地址为广播地址,因为此时不清楚目的ip地址的物理地址。
【实验总结】:
对MAC帧的首部格式有了进一步的了解,初步学习了如何使用抓包软件。了解到了网络协议分析软件的过滤方式和原则,学会使用网络协议分析软件可以捕获各种协议数据包,通过查看这些协议数据包中数据链路帧的各字段可以分析网络协议的内部机制。