以太网MAC帧及IP帧分析.docVIP

以太网MAC帧的分析及IP数据报格式分析 实验原理：利用wireshark 抓包工具，结合课本和课件，对MAC帧进行分析，详细解释帧的格式和各字段的意义及分析IP数据报格式 MAC帧的格式 MAC帧的帧头包括三个字段。前两个字段分别为6字节长的目的地址字段和源地址字段，目的地址字段包含目的MAC地址信息，源地址字段包含源MAC地址信息。第三个字段为2字节的类型字段，里面包含的信息用来标志上一层使用的是什么协议，以便接收端把收到的MAC帧的数据部分上交给上一层的这个协议。MAC帧的数据部分只有一个字段，其长度在46到1500字节之间，包含的信息是网络层传下来的数据。MAC帧的帧尾也只有一个字段，为4字节长，包含的信息是帧校验序列FCS（使用CRC校验）。 如图1所示： 图1 IP数据报格式： TCP/IP协议定义了一个在因特网上传输的包，称为IP数据报(IP Datagram)。这是一个与硬件无关的虚拟包, 由首部和数据两部分组成，其格式如下图2所示。首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的。在首部的固定部分的后面是一些可选字段，其长度是可变的。首部中的源地址和目的地址都是IP协议地址。 图2 二、基本步骤： 利用惠州学院校园网内的任意一台主机，确定该主机能接入Internet网后，安装wireshark抓包工具。 打开抓包工具，开始抓包。 打开IE浏览器，访问惠州学院的网络主页。 停止抓包。 找出两个不同类型字段值的MAC帧进行分析（如：类型字段为OX0800，上层协议为IP数据报，类型字段为OX0806，上层协议为ARP数据报） 实验分析： 抓包信息如下图： MAC帧分析： 由抓包信息可以知道这是一个广播帧 接收方(目的地址)为：ff:ff:ff:ff:ff:ff 发送方(Sender MAC address)的MAC地址是：00:d0:95:98:c1:b5 类型(Type)为0X806表示上层是一个ARP数据报 发送方的IP地址(Sender IP address)是：222.17.96.254 接收方的IP地址是：222.17.96.212 由于本抓包没有抓到类型(Type)字段为0X800的上层协议的IP数据报的帧 但其含意基本和上述的MAC帧相同。 IP数据报的分析： 由帧的内容得： 版本(Version)： 占4位，指IP协议的版本，通信双方的版本必须一致。其值为4说明用的的是IPV4版本协议。 首部长度(Header Length)： 占4位 其值为：20B 区分服务(Differentiated Services Field)： 占8位 一般不用 总长度(Total Length)： 占16位，表示首部和数据之和为52个字节 标识(Identification)： 占16位，其值为0X3552(13650) 表示这是发送第13560个IP数据 标志(Flags)： 占3位，其值为0x02 二进制表示为：010 MF=0 表示这已经是若干数据报片中的最后一个。DF=1 表示不能分片。 片偏移(Fragment offset)：占13位 其值是 0 由于标志和片偏移得这是一个没有分片的IP数据报。 生存时间(Time to live)：占8位 表示数据报在网络中的寿命(数据报每次在路由中转发一次其值减一) 其值为 64表示可以在路由中转发64次。 协议(Protocol)：占8位 其值为6 表示此数据携带的数据是使用TCP协议 首部检验和(Header checksum)：占16位 这字段只检验数据报的首部，但不检验数据部分，为0xbc85[correct] 表明是正确的 源地址(Source)：占32位 222.17.96.158 目的地址(Destination)：占32位 119.147.146.169 可变部分：IP首部的可变部分就是选项字段，用来支持排错、测量以及安全等措施，此字段长度可变从1个字节到40个字节不等。 实验总结 通过这次实验对MAC帧和IP数据报有了初步的认识，开始的时候有很多的不懂，但经过上网查找资料 跟同学讨论后 ，大概明白了我们上网过程中MAC和IP这些协议，和这些协议的具体内容，同时也掌握了wireshark 抓包工具的基本使用方法。虽然其中的很多参数还没有弄懂，但已经初步的了解了了计算机网络中的协议工作状态，更好的加深了对理论知识的理解