[计算机]实验6 ethereal的使用.docVIP

实验6 协议分析软件的使用 一、实验目的 学习协议分析软件Ethereal的使用 二、实验内容 学习使用Ethereal（Wireshark）抓取数据包，并能进行分析。 三、实验原理 1、什么是ARP？当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48bit的以太网地址来确定目的接口的.设备驱动程序从不检查IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射：32bit的IP地址和数据链路层使用的任何类型的地址。 ARP为IP地址到对应的硬件地址之间提供动态映射。我们之所以用动态这个词是因为这个过程是自动完成的，一般应用程序用户或系统管理员不必关心。 2、用于以太网的ARP请求或应答分组格式 地址解析协议：ARP和RARP 3、Ping过程中的ARP应用 假设我们的计算机IP地址是192.168.1.1，要执行这个命令：ping192.168.1.2。该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤： 1)应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序） 2)内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表 3)如果存在该IP-MAC对应关系，那么跳到步骤9；如果不存在该IP-MAC对应关系，那么接续下面的步骤 4)内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST,其中包含有自己的MAC地址 5)当192.168.1.2主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址 6)本地获得192.168.1.2主机的IP-MAC地址对应关系，并保存到ARP缓存中 7)内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去 四、实验步骤 每两个同学为一组： 1、在一台计算机A（假设ip地址为192.168.1.189）上安装网络协议分析软件Ethereal(可以先安装winpcap软件，也可以在安装过程中选择自动安装winpcap软件) 2、启动ethereal，对Capture Options各个选项设置（混杂模式下捕获分组，Name Resolution全部选择）,点击start开始捕获。 3、B机查看本机Ip地址（假设为192.168.1.102），并记录。 4、A机查看并清空本地ARP高速缓存。 1）使用命令：arp –a 查看本地ARP高速缓存 2）如果存在192.168.1.102对应的表项，则清空本地ARP高速缓存arp –d 192.168.1.102 3）再次查看本地ARP高速缓存 5、ping 192.168.1.102,然后查看本地ARP高速缓存 6、点击stop，停止捕获，进行arp请求报文和arp响应报文分析。 arp请求报文分析 由于192.168.1.102为局域网内IP并且本地主机ARP高速缓存无对应IP-MAC表项,故广播之. 对应于前面ARP请求分组格式,可以看到报文一为ARP请求报文, 以太网目的地址为广播地址(ff:ff:ff:ff:ff:ff), 帧类型为ARP(0x0806), 操作字段op为ARP请求(0x0001) 对照分组格式可以观察其他部分 arp响应报文分析 192.168.1.102主机接收到该ARP请求后，就发送一个ARP的REPLY命令，其中包含自己的MAC地址 对应于前面ARP请求分组格式,可以看到报文一为ARP应答报文, 以太网目的地址为192.168.1.188 发送端IP为192.168.1.102,MAC为00:00:b4:9e:41:5c 帧类型为ARP请求或应答(0x0806), 操作字段op为ARP应答(0x0002) 对照分组格式可以观察其他部分 五、实验总结（包括实验中遇到的问题）