实验3 分析MAC帧格式概要1.doc

实验3 分析MAC帧格式 3.1 实验目的 1．了解MAC帧首部的格式； 2．理解MAC帧固定部分的各字段含义； 3．根据MAC帧的内容确定是单播，广播。 3.2 实验设备 Winpcap、Wireshark等软件工具 3.3 相关背景 1．据包捕获的原理：为了进行数据包,网卡必须被设置为混杂模式。在现实的网络环境中,存在着许多共享式的以太网络。这些以太网是通过Hub 连接起来的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub进行转发,而Hub以广播的方式进行转发,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。目的机器是指自身MAC 地址与消息中指定的目的MAC 地址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析,这样就可以得到整个网络中信息的现状。 2．Tcpdump的简单介绍：Tcpdump是Unix平台下的捕获数据包的一个架构。Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的 Van Jcaobson、Craig Leres和 Steve McCanne共同开发完成，它可以收集网上的IP数据包文，并用来分析网络可能存在的问题。现在，Tcpdump已被移植到几乎所有的UNIX系统上，如：HP-UX、SCO UNIX、SGI Irix、SunOS、Mach、Linux和FreeBSD等等。更为重要的是Tcpdump是一个公开源代码和输出文件格式的软件，我们可以在Tcpdunp的基础上进行改进，加入辅助分析的功能，增强其网络分析能力。（详细信息可以参看相关的资料）。 3．Winpcap的简单介绍：WinPcap是由意大利Fulvio Risso和Loris Degioanni等人提出并实现的应用于Win32 平台的数据包捕获与分析的一种软件包,包括内核级的数据包监听设备驱动程序、低级动态链接库(Packet.dll)和高级系统无关库(Winpcap.dll)，其基本结构如图3-1所示： 图-1 Winpcap的体系结构 图3-2 MAC帧格式 以太网帧的最小长度为64字节（6＋6＋2＋46＋4），最大长度为1518字节（6＋6＋2＋1500＋4）。其中前12字节分别标识出发送数据帧的源节点MAC地址和接收数据帧的目标节点MAC地址。（注：ISL封装后可达1548字节，802.1Q封装后可达1522字节） 接下来的2个字节标识出以太网帧所携带的上层数据类型，如16进制数0x0800代表IP协议数据，16进制数0x809B代表AppleTalk协议数据，16进制数0x8138代表Novell类型协议数据等。在不定长的数据字段后是4个字节的帧校验序列（Frame. Check Sequence，FCS），采用32位CRC循环冗余校验对从目标MAC地址字段到数据字段的数据进行校验。 3.4 实验内容 1. 捕获数据包； 2. 解析出数据包的各个字段； 3. 分析各字段的含义； 4. 分析实验结果，加深对数据包首部各字段的理解； 5. 整理实验结果，书写实验报告。 3.5 实验步骤 1 安装 实验中提供两种安装软件“Wireshark 1.7.0 Development Release (32-bit).exe”和“wireshark-win32-1.4.9中文版.exe”。两者区别由名字已经可以看出，前者是英文版，后者是汉化后的中文版。 Wireshark软件安装包中，目前包含的网络数据采集软件是winpcap 4.0版本，保存捕获数据时可以用中文的文件名，文件名默认后缀为.pcap。winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。 2 界面功能 在此为了方便即时上手操作，以中文版界面进行讲解，英文版操作类同，可以自行使用。 安装后，双击桌面“Wireshark”图标，打开操作界面如图3-3所示。 图3-3 操作界面 以捕获数据包后的界面为例，将整个操作环境分为7个区域，如图3-4所示。 图3-4 捕获数据包后的界面 （1）菜单 其中常用【文件】打开或保存捕获的信息，【编辑】查找或标记包，【视图】设置Wireshark的视图，【定位】跳转到捕获的数据包，【抓包】设置捕捉过滤器并开始捕捉，【分析】设置分析选项，【统计】查看Wireshark的统计信息，【帮助】查看本地或者在线支持。 （2）快捷菜单 将鼠标移至到每个按钮上，可以获得按钮的功能提示信息。其中常用列出可以抓包的接口，显示抓包参数，开始抓包，停止抓包，重新开始