UDP+ARP

实验7：UDP

使用Wireshark分析UDP协议

一、实验目的

分析UDP协议

二、实验环境

与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。

三、实验步骤

UDP是User Datagram Protocol（用户数据协议）的简称，是一种无连接的协议，该协议工作在OSI模型中的第四层（传输层），处于IP协议的上一层。传输层的功能就是建立“端口到端口”的通信，UDP提供面向事务的简单的不可靠信息传送服务。

UDP协议是一种无连接的协议，该协议用来支撑那些需要在计算机之间传输数据的网络应用，包括网络视频会议系统在内的众多客户/服务器模式的网络应用。

UDP协议的主要工作就是将网络数据流量压缩成数据包的形式。一个经典的数据包就是一个二进制数据的传输单位。每一个数据包的前8字节用来包含包头信息，剩余字节则用来包含具体的传输数据。

1、俘获和分析UDP协议

（1）启动Wireshark 分组嗅探器

（2）运行清空DNS缓存(CMD--ipconfig/flushdns)，浏览器也清除

(3) 在浏览器地址栏中输入任意一个网址

（4）停止，输入筛选条件udp，获得udp报文，如图所示

源端口和目的端口：（端口是用来指明数据的来源（应用程序）以及数据发往的目的地（同样是应用程序））字段包含了16比特的UDP协议端口号，它使得多个应用程序可以多路复用同一个传输层协议及UDP协议，仅通过端口号来区分不同的应用程序。

长度（length）：字段记录了该UDP数据包的总长度（以字节为单位），包括8字节的UDP头和其后的数据部分。最小值是8（报文头的长度），最大值为65535字节。

UDP校验和（Checksum）：的内容超出了UDP数据报文本身的范围，实际上，它的值是通过计算UDP数据报及一个伪包头而得到的。校验和的计算方法与通用的一样，都是累加求和。UDP数据报中实际的有效成分。伪首部并非TCP&UDP数据报中实际的有效成分。伪首部是一个虚拟的数据结构，其中的信息是从数据报所在IP分组头的分组头中提取的，既不向下传送也不向上递交，而仅仅是为计算校验和。这样的校验和，既校验了TCP&UDP用户数据的源端口号和目的端口号以及TCP&UDP用户数据报的数据部分，又检验了IP数据报的源IP地址（数据源设备）和目的地址。伪报头保证TCP&UDP数据单元到达正确的目的地址。

四、问题与思考

UDP 的协议号是什么？以十六进制和十进制表示法给出答案。要回答这个问题，您

需要查看包含此 UDP 段的 IP 数据报的 Protocol 字段

UDP 的协议号是 17。以十六进制表示法，它是 0x11；以十进制表示法，它是 17。

实验8：使用Wireshark分析以太网帧与ARP协议

一、实验目的

分析以太网帧，MAC地址和ARP协议

二、实验环境

与因特网连接的计算机网络系统；主机操作系统为windows；使用Wireshark、IE等软件。

三、实验步骤：

1、俘获和分析以太网帧

（1）选择 工具->Internet 选项->删除文件

（2）启动Wireshark

（3）在浏览器地址栏中输入任意一个网址：（如www.163.com）

（4）停止分组俘获。在俘获分组列表中（listing of captured packets）中找到HTTP GET 信息和响应信息，如图1所示。

                                图1 HTTP GET信息和响应信息

        -HTTP GET信息被封装在TCP分组中

        -TCP分组又被封装在IP数据报中

        -IP数据报又被封装在以太网帧中

        -在分组明细窗口中展开Ethernet II信息（packet details window）

2、分析地址ARP协议

(1)ARP 缓存

ARP协议用于将目的IP转换为对应的MAC地址。Arp命令用来观察和操作缓存中的内容。虽然arp 命令和ARP有一样的名字，很容易混淆，但它们的作用是不同的。在命令提示符下输入arp-a可以看到在你所在电脑中ARP缓存中的内容。为了观察到你所在电脑发送和接收ARP信息，我们需要清除ARP缓存，否则你所在主机很容易找到已知IP和匹配的MAC地址。

步骤如下:

(3)启动Wireshark 分组嗅探器

(2) 清除ARP cache 具体做法:在MSDOS环境下（CMD），输入命令arp-d.

(4)停止分组俘获.输入筛选条件arp，获得arp报文，如图所示

目的MAC地址：28:39:26:02:23:d3

源MAC地址：04:d3:b5:2a:f7:c3

帧类型：ARP(0x0806)

硬件类型：1

协议类型：IPV4(0x0800)

硬件地址长度：6字节

协议地址长度：4字节

Opcode:表示ARP报文的种类；取值为1，表示请求报文；取值为2，表示ARP应答报文

发送端MAC地址：04:d3:b5:2a:f7:c3(信息体的发起端）

发送端IP地址： 192.168.8.1

目的端 MAC地址：00:00:00_00:00:00:00

目的端IP地址：192.168.8.104

四、问题与思考

1、你的主机48-bit 以太网地址（MAC）是多少？

00-0C-29-19-68-49

2、Ethernet 帧中目的地址是多少？这个目的地址是你刚才访问网站的以太网地址吗？如果不是，拥有这个以太网地址的设备可能是什么？

目的地址：00:50:56:f3:ba:b6

不是；可能是路由器

3、包含 ARP 请求消息的以太网帧中源和目标地址的十六进制值分别是什么？

源地址：00：0c：29：19：68：49

目标地址：00:50:56:f3:ba:b6