[网络协议]计算机网络：利用分组嗅探器分析数据链路层协议、对数据链路层协议进行捕包分析、俘获并分析以太网帧、ARP分析

实验内容

1. 利用分组嗅探器分析数据链路层协议
2. 对数据链路层协议进行捕包分析
3. 俘获并分析以太网帧
4. ARP分析

实验目的

了解数据链路层协议构造

实验预备知识

各字段的含义：
1.以太网报头中的前两个字段是以太网的源地址和目的地址。

2.目的地址为全1的特殊地址是广播地址。电缆上的所有以太网接口都要接收广播的数据帧。

3.两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说，该字段的值为0x0806。

4.hardware (硬件)和protocol (协议)用来描述ARP分组中的各个字段。例如，一个ARP请求分组询问协议地址（这里是IP地址）对应的硬件地址（这里是以太网地址）。

5.硬件类型字段表示硬件地址的类型。它的值为1即表示以太网地址。协议类型字段表示要映射的协议地址类型。它的值为0x0800即表示IP地址。它的值与包含IP数据报的以太网数据帧中的类型字段的值相同，这是有意设计的。

6.接下来的两个1字节的字段，硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度，以字节为单位。对于以太网上IP地址的ARP请求或应答来说，它们的值分别为6和4。

7.操作字段指出四种操作类型，它们是ARP请求（值为1）、ARP应答（值为2）、R ARP请求（值为3）和R ARP应答（值为4）。这个字段必需的，因为ARP请求和ARP应答的帧类型字段值是相同的。

8.接下来的四个字段是发送端的硬件地址（在本例中是以太网地址）、发送端的协议地址（IP地址）、目的端的硬件地址和目的端的协议地址。

实验过程描述

实验一：俘获并分析以太网帧

(1)清空浏览器缓存

(2)启动Ethereal，开始分组俘获。

(3)在浏览器的地址栏中输入：http://gaia.cs.umass.edu/ethereal-labs/HTTP-ethereal-file3.html

(4)停止分组俘获。首先，找到主机向服务器gaia.cs.umass.edu发送的HTTP GET报文的分组序号，以及服务器发送到主机上的HTTP 响应报文的序号。
选择“Analyze->Enabled Protocols”，取消对IP复选框的选择，单击OK。

(5)选择包含HTTP GET报文的以太网帧，在分组详细信息窗口中，展开Ethernet II信息部分。

(6)选择包含HTTP 响应报文第一个字节的以太网帧。
实验结果如下:
包含HTTP GET的以太网帧是第1026 号包

实验二：ARP分析

(1) 利用MS-DOS命令：arp 或 c:\windows\system32\arp查看主机上ARP缓存的内容。

(2)利用MS-DOS命令：arp-d * 清除主机上ARP缓存的内容。

(3)清除浏览器缓存。

(4)启动Ethereal，开始分组俘获。

(5)在浏览器的地址栏中输入：
http://gaia.cs.umass.edu/ethereal-labs/HTTP-ethereal-file3.html

(6)停止分组俘获。选择“Analyze->Enabled Protocols”，取消对IP复选框的选择，单击OK。

实验结果如下：

实验结果

实验一：俘获并分析以太网帧 实验结果

包含HTTP GET的以太网帧是第1026 号包
选择包含HTTP GET报文的以太网帧，在分组详细信息窗口中，展开Ethernet II信息部分，如下：

（1）你的主机的48位以太网地址是多少？
Source:9c:b6:d0:e9:1d:3d
(2)是gaia.cs.umass.edu服务器的地址吗？如不是，该地址是什么设备的以太网地址？
不是，路由器的以太网地址。
（3）给出两种帧类型字段的十六进制值。标志字段的值是1的含义是什么？0x0800,标志字段值没有值是1 的，各个标志字段值的含义见上图。

（4）在包含“get”以太网帧中，从该帧的起始处开始一共有多少个ASCII字符“G”？
有两个

（5）在该以太网帧中CRC字段的十六进制值是多少？
没有CRC字段
选择包含HTTP 响应报文第一个字节的以太网帧，如下

6.以太网源地址是多少？该地址是你主机的地址吗？是gaia.cs.umass.edu服务器的地址吗？如果不是，该地址是什么设备的以太网地址？
source：58：69：6c:a6:8f:09
不是主机以太网地址也不是目的主机地址

7.以太网帧的48位目的地址是多少？该地址是你主机的地址吗？
9c:b6:d0:e9:1d:3d；是

8.给出两种帧类型字段的十六进制值。标志字段的值是1的含义是什么？
Type:0x0800；没有被置1的标志字段

9.在包含“OK”以太网帧中，从该帧的起始处开始一共有多少个ASCII字符“O”？没有ASCII字符“O”

10.在该以太网帧中CRC字段的十六进制值是多少？
没有CRC字段

实验二 ARP分析 实验结果

11.写下你主机ARP缓存中的内容。其中每一列的含义是什么？

接口后面的内容是本机IP 地址；internet 地址 是网关地址；还有网关对应的物理地址，对应的类型是静态的还是动态的。

12.包含ARP请求报文的以太网帧的源地址和目的地址的十六进制值各是多少？

源地址：cc:79:cf:0e:1f:2a目的地址:ff:ff:ff:ff:ff:ff
13.给出两种帧类型字段的十六进制值。标志字段的值是1的含义是什么？


Type:0x0001

从ftp://ftp.rfc-editor.org/innotes/std/std37.txt处下载ARP规范说明
1.形成ARP响应报文的以太网帧中ARP-payload部分opcode字段的值是多少？

2.在ARP报文中是否包含发送方的IP地址？
包含ARP回答报文的以太网帧中源地址和目的地址的十六进制值各是多少？