实验二：网络协议介绍.pptxVIP

实验二：网络协议分析;指导老师：曹浪财助教：徐朝庆 邱熠龙邮箱：975230721 ;实验环境windows XP 系统联网计算机网络监听软件Sniffer ;实验目的和要求;实验原理;数据包;以太网和IEEE 802封装; 常用的以太网MAC帧格式有两种标准，一种是Ethernet V2标准，另一种是802.3标准。这里只介绍常用的以太网V2的MAC帧格式。 以太网的MAC帧比较简单，有五个字段组成。前两个字段分别为6字节长的目的地址和源地址字段。第三个字段是2字节的类型字段，用来标志上一层使用的是什么协议，以便把收到的MAC帧数据上交给上一层的协议。例如，当类型字段的值是0X0800时，就表示上层使用的是IP数据报。第四个字段是数据字段，其长度在46-1500字节之间。最后一个字段是4字节的帧检验序列FCS（使用CRC检验）。;8.2 链路层数据帧分析;4、下图是Sniffer捕获的报文解??，在数据链路层（DLC）和源MAC地址后紧跟着0800,代表该帧数据部分封装的是IP报文，由于0800大于05FF，所以它是EthernetV2帧。提示：选中摘要（summary）框的“ICMP Echo”报文项查看。;8.3 ARP地址解析协议;用于以太网的ARP请求或者应答分组格式;ARP报文的格式：①硬件类型：指明硬件的类型，以太网是1。②协议类型：指明发送者映射到数据链路标识的网络层协议的类型；IP对应0x0800，ARP对应的是0x0806。③硬件地址长度：也就是MAC地址的长度，单位是字节，这里是6。④协议地址长度：网络层地址的长度，即IP地址长度，单位是字节，这里为4。⑤操作：指明是ARP请求还是ARP应答。;实验原理：使用网络的应用程序是采用逻辑地址（如IP地址）进行通讯的，而实际的物理网络必须使用物理地址（如MAC地址）进行数据传输。所以需要建立逻辑地址与物理地址的映射关系（地址解析），高层应用的报文才可以用底层物理网络传输出去。ARP协议就是将IP地址解析成物理地址的地址解析协议。 1、同网段的ARP解析过程 主机与处在同一网段的另一主机进行通信时，首先去缓存中查找目的主机的IP-MAC对应项；如果找到，就将报文用找到的物理地址直接发送出去；如果找不到，源主机就直接向网络发送ARP请求报文，在同一网段的目的主机会对此请求报文做出应答。;2、不同网段的ARP解析过程 主机与处在不同网段的主机进行通信时，数据要想发送给默认网关，然后由它转发出去。源主机首先去缓存中查找默认网关的IP-MAC对应项；如果找到，源主机就把报文发送给它的默认网关；如果找不到，源主机就会发送ARP请求报文，从默认网关的ARP应答报文中获得默认网关的IP-MAC对应项。 实验步骤： 1、运行Sniffer软件 2、选取“Monitor”Define Filter 弹出对话框在“Address”中选择“Hardware”在“Station1”处键入本机的MAC地址“Station2”处填入“Any” 3、同网段ARP的解析：“Capture””Start”在“DOS”窗口键入arp –darp –aping XXX.XXX.XXX.XXX;”Capture”“Stop and Display”分析报文 提示：在“summary”栏选中“ARP”报文 2、不同网段的解析：前面步骤同1，在DOS窗口输入： ping 3stop and display截获报文并显示。 同网段的请求和应答报文如下截图： ;不同网段的ARP请求和应答报文;分析不同网段的报文填入下表;8.4 IPv4协议分析;分析IPv4的报头结构，给出每个字段的值； 实验步骤：运行Sniffercapturestart在DOS窗口中输入ping 3stop and display 选择Decode选项分析截获的报文填入表格 ;8.5 ICMP协议分析和路由跟踪;ICMP报文的封装 ICMP有两种报文：差错报文和查询报文。差错报文用于当路由器或主机在处理数据过程出现问题时，向源主机进行报告；查询报文用于帮助网络管理员从一个网络设备上得到特定的信息，例如某个主机是否可达，中间经过哪些路由器等。ICMP报文都是封装在IP报文中传输的。ICMP报文还分为很多类，简明的报文类型如下表所示。;Tracert 工作原理 Tracert(跟踪路由)是路由跟踪实用程序，用于确定IP数据报文访问目标所采取的路径。Tracert命令用IP数据报文中的生存时间(TTL)字段和ICMP报告的错误消息来确定从源主机到网络其他主机的路由。 源主机的Tracert程序向目标端发送ICMP