1电电气与信息工程学院气与信息工程学院计计算机系算机系计计算机网算机网络络基基础础 实验报实验报告告实验名称：实验名称：利用分组嗅探器利用分组嗅探器 Ethereal 捕获协议报文实验捕获协议报文实验班级：班级：姓名：姓名：学号：学号：组员：组员：实验地点：实验地点：实 3-209日期：日期：2012-4-11一、实验目的一、实验目的1、掌握网络协议分析仪Ethereal 的安装与使用； 2、深入理解ARP 协议的工作原理和重要作用；3、了解 IEEE802.3 标准规定的 MAC 层帧结构。二、实验内容二、实验内容实验内容实验内容 1、网络协议分析仪Ethereal 的安装，了解其基本使用方法； 2、通过使用ping 命令，截获报文，分析ARP 协议的解析过程和报文结构； 3、通过对截获的帧进行分析，了解 IEEE802.3 标准规定的 MAC 层帧结构。 实验环境实验环境 1、交换机1 台，PC 机2 台； 2、Ethereal 软件。 实验步骤实验步骤 （一）（一）Ethereal 软件的安装与使用软件的安装与使用 步骤1：Ethereal 软件的安装。 Ethereal 网址：http:/www.ethereal.com/。到Ethereal 的网站后，点击download，接着 选择要安装的系统平台，如Windows 或Linux，然后点击下载链接即可进行下载。Ethereal 的安装非常简单，只要执行 ethereal-setup-x.y.z.exe 即可。 步骤2：Ethereal 软件的使用。 欲截获网络上的数据包，只要指定网卡(Network Interface Card)，接着按 Start 即可。找到所用 IP 地址，按 Start 后，Ethereal 会开始统计目前所截获的数据包，如图2点击 Continue without Saving 开始进行抓包。 Ethereal 截取数据包的页面。由上而下分別是功能表栏、工具栏、截取数据包的列表以及数据包的 详细资料，最下面则是数据包的内容，这时是以16 进制及ASCII编码的方式来表示。 Stop停止后抓包结果如图（二）理解（二）理解ARP 协议协议 步骤 1：按照图进行组网，并配置计算机的 IP 地址。步骤 2：在 PCA、PCB 的命令行窗口中执行以下命令： C:arp a 结果是：如果 ARP 缓存非空，可以执行 arp d 命令，清空 ARP 缓存。 步骤 3：运行 PCA、PCB 上的 Ethereal，开始截获数据报文；在 PCA 的命令行窗口 中执行 ping 192.168.10.22 。执行完之后，停止 PCA、PCB 上的 Ethereal 报文截获3步骤 4：在 PCA、PCB 的命令行窗口中执行以下命令： C:ARP a 结果是：步骤 5：重复步骤 3。 步骤 6：分析文件，完成下列工作： （1）统计 “protocol ”字段填空：有 2 个 ARP 报文。 （2）分析 ARP 报文结构：选中第一个 ARP 请求报文，记录各字段值。（3）在所有报文中，ARP 报文中 ARP 协议树的 opcode 字段有两个取值 1、2， 两个取值分 别表达什么信息？ Opcode：request ：取值为 1 时，表示请求信息 Opcode：request ：取值为 2 时，表示响应信息（4）选中第一条 ARP 请求报文和第一条 ARP 应答报文，将 ARP 请求报文和 ARP 应 答报文中的字段信息填入表。ARP 请求报文和 ARP 应答报文的字段信息字段项ARP 请求数据报文ARP 应答数据报文链路层 Destination项Broadcast(ff:ff:ff:ff:ff)Elitegro_44:22:88(00:0d:87:44:22:88)链路层 Source 项Elitegro_44:22:88(00:0d:87:44:22:88)Elitegro_3e:fe:4c(00:0d:87:3e:fe:4c)网络层 Sender MAC AddressElitegro_44:22:88(00:0d:87:44:22:88)Elitegro_3e:fe:4c(00:0d:87:3e:fe:4c)网络层 Sender IP Address192.168.3.3(192.168.3.3)192.168.3.4(192.168.3.4)网络层 Target MAC Address00:00:00_00:00:00(00:00:00:00:00)Elitegro_44:22:88(00:0d:87:44:22:88) 网络层 Target IP 192.168.3.4(192.168.3.4)192.168.3.3(192.168.3.3)4Address步骤 7：分析文件 ping2-学号，完成下列工作： （1）比较文件 ping1-学号中截获的报文信息，少了什么报文？简述 ARP Cache 的作用。 答：比较第一次 少了 arp 报文。每一个 PC 机都有一个 ARP 高速缓存（ARP cache，里边有本局 域网上的各主机和路由器的 IP 地址到硬件地址的映射表，这些都是该主机目前知道的一些地址） 。 （2）写出 ARP 协议在同一网段内解析过程。 答：（1）ARP 进程在本局域网上广播发送一个 ARP 请求分组。例如主机 A 广播发送 ARP 请求分 组。 （2）在本局域网上的所有主机上运行的 ARP 进程都收在此 ARP 请求分组。 （3）主机 B 在 ARP 请求分组中见到自己的 IP 地址，就像主机 A 发送 ARP 响应分组，并写入自 己的硬件地址。其余的所有主机都不理睬这个 ARP 分组。 （4）主机 A 收到主机 B 的 ARP 响应分组后，就在其 ARP 高速缓存中写入主机 B 的 IP 地址到 硬件地址的映射。 （三）以太网链路层帧格式分析（三）以太网链路层帧格式分析 步骤 1：按照图 2-13 连接好设备，正确配置好 PCA 和 PCB 的 IP 地址。 步骤 2：在 PCA 和 PCB 上运行 Ethereal 截获报文，然后进入 PCA 的 Windows 命令 行窗 口，执行如下命令： net send 192.168.10.22 hello这是 PCA 向 PCB 发送消息的命令，等到 PCB 显示器上显示收到消息后，终止截获报文。5步骤 3：对截获的报文进行分析： （1）找到发送消息的报文并进行分析，研究主窗口中的数据报文列表和协议树窗口信息，填写表。报文分析此报文类型SMB此报文的基本信息（数据报文列表窗口中的 Information 项的内容）Send Single Block Message RequestSource 字段值Elitegro_3e:fe:4c(00:0d:87:3e:fe:4c) Ethernet 协议树中Destination 字段值Elitegro_44:22:88(00:0d:87:44:22:88)Source 字段值192.168.3.4(192.168.3.4) Internet Protocol 协议树中 Destination 字段值192.168.3.3(192.168.3.3)Source Port 字段值Olsv(1160)User Datagram Protocol 协议树中Destination Port 字段值Netbios-ssn(139)协议名称SMB 应用层协议树 包含 hello 的字段名Message（2）查找并分析一个基于 802.3 的报文，体会 802.3 MAC 帧的结构。 答：802.3MAC 帧的结构主要有：前导码:7 个字节(10101010),用于收发双方的时钟同步； 帧起始定界符:1 个字节(10101011),标志帧的开始；目的地址和源地址:可为 2 或 6 个字节,但 10Mbps 的基带系统只用 6 字节地址；目的地址可分为:单地址:最高比特位为“0“,用于单播 (unicast)；组地址:最高比特位为“1“,用于组播(multicast)；广播地址:全“1“,用于广播 (broadcast)； 通过次高位的不同来区分全局地址和局部地址:6局部地址:次高位为“1“,由网络管理员指定,只用于本网中； 全局地址:次高位为“0“,由 IEEE 统一分配,保证在世界上的唯一性.共有 248-27 1013 个； （3）在网络课程学习中，802.3 和 Ethernet 规定了以太网 MAC 层的报文格式分为 7 字节的 前导符、1 字节的起始符、6 字节的目的 MAC 地址、6 字节的源 MAC 地址、2 字节 的类型、数据 字段和 4 字节的数据校验字段。对于选中的报文，缺少哪些字段？ 答：缺少了 6 字节的目的 MAC 地址和 6 字节的源 MAC 地址。三、实验小结三、实验小结 1、这次实验在操作过程中基本上很通畅，没有太大的问题出现。只由于对老师的讲解不够深刻明白 一直出现以下三个小问题： 在进行抓包实验室，由于对老师讲解的抓包操作不透彻。所以在没打开 Ethernet 时就进行了 ping 命 令。再进行 Ethereal 截获报文时，结果并没有截获到 ARP 报文。后经老师细心的讲解后知道了应先 打开 Ethereal，但仍没有出现 ARP 报文。因为 cache 已经在第一次 ping 时保存了 IP 地址和 MAC 地 址的映射，所以应先用 arp d 命令先清空 ARP 缓存，然后再用 ping 命令。一会后关闭 Ethereal。截 获了两个 ARP 报文。 2、在进行发送消息的命令时，第一次发送不成功，经检查发现服务中 Messenger 服务并没有启动以 致消息没有发送成功，打开服务后消息发送成功。3、在对发送消息的报文进行分析时，发现报文多了一条，经检查是校园网的连接使消息发送了两次， 关闭本地连接 4 后报文的源地址 IP 和目的地址 IP 正确。实验成绩：实验成绩：教师：教师： 年年 月月 日日