利用Ethereal分析ARP协议--上课实训一.pptVIP

利用Ethereal分析ARP协议 实验目的： 本实验利用Ethereal捕获发生在ping过程中的ARP报文，加强对ARP协议的理解，掌握ARP报文格式，掌握ARP请求报文和应答报文的区别。 利用Ethereal分析ARP协议 ARP回顾 利用Ethereal捕获分组示例 在捕获分组中分析ARP协议 What’s ARP? 当一台主机把以太网数据帧发送到位于同一局域网上的另一台主机时，是根据48bit的以太网地址来确定目的接口的.设备驱动程序从不检查IP数据报中的目的IP地址。地址解析为这两种不同的地址形式提供映射：32bit的IP地址和数据链路层使用的任何类型的地址。 ARP为IP地址到对应的硬件地址之间提供动态映射。我们之所以用动态这个词是因为这个过程是自动完成的，一般应用程序用户或系统管理员不必关心。 地址解析协议：ARP和RARP 假设我们的计算机IP地址是，要执行这个命令：ping。该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤： 1、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序） 2、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表 3、如果存在该IP-MAC对应关系，那么跳到步骤9；如果不存在该IP-MAC对应关系，那么接续下面的步骤4、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址5、当主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址 6、本地获得主机的IP-MAC地址对应关系，并保存到ARP缓存中 7、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去 从头到尾观察一个跟踪记录 步骤1 启动Ethereal 步骤2 对Capture Options各个选项设置 步骤3 点击Start按钮开始捕获,出现Capture from…对话框 步骤4 点击Capture from… 对话框中Stop按钮结束捕获 步骤5 得到捕获记录 步骤6 利用Analyze菜单分析记录 观察一个跟踪记录步骤1:启动Ethereal 观察一个跟踪记录步骤2:对Capture Options各个选项设置 观察一个跟踪记录步骤3:点击Start按钮开始捕获分组,出现Capture from…对话框 观察一个跟踪记录步骤4:点击Capture from… 对话框中Stop按钮结束捕获 观察一个跟踪记录步骤5:得到捕获记录 列表框 协议层框(协议框) 原始框 观察一个跟踪记录步骤6:利用Analyze菜单分析记录 观察一个跟踪记录步骤6:利用Analyze菜单分析记录 分析一次Ping过程中的ARP分组 我们准备ping统一局域网内IP为 02的主机 步骤: 查看并清空本地ARP高速缓存 执行Ping 02,并捕获分组 分析ARP分组 查看ARP高速缓存并清空 执行ping并捕获分组 分析ARP请求报文 分析ARP请求报文 由于02为局域网内IP并且本地主机ARP高速缓存无对应IP-MAC表项,故广播之. 对应于前面ARP请求分组格式,可以看到报文一为ARP请求报文, 以太网目的地址为广播地址(ff:ff:ff:ff:ff:ff), 帧类型为ARP(0x0806), 操作字段op为ARP请求(0x0001) 对照分组格式可以观察其他部分 分析ARP响应报文 分析ARP响应报文 02主机接收到该ARP请求后，就发送一个ARP的REPLY命令，其中包含自己的MAC地址 对应于前面ARP请求分组格式,可以看到报文一为ARP应答报文, 以太网目的地址为88 发送端IP为02,MAC为00:00:b4:9e:41:5c 帧类型为ARP请求或应答(0x0806), 操作字段op为ARP应答(0x0002) 对照分组格式可以观察其他部分 * * 返回 返回 用于以太网的ARP请求或应答分组格式 Ping过程中的ARP应用 返回 返回 桌面双击图标 ,启动Ethereal 返回 Interface:以太网接口 混杂模式下捕获分组 没有指定捕获规则 没有指定捕获文件 没有指定实时更新分组 Name Resolution全部选择 返回 返回 结束捕获 返回 从IP:88到(55)的捕获 返回 协议框显示所选分组的各层协议细节:物理层帧,以太网帧及其首部,IP协议数据报及其首部,UDP数据报及其首部,HTTP等协议细节 原始框显示了分组中包含的数据的每个字节.从中可以观察最