实验3分析mac帧格式.docVIP

实验3分析MAC帧格式 实验目的 了解MAC帧首部的格式； 2 ?理解MAC帧固定部分的各字段含义； 根据MAC帧的容确定是单播，广播。 实验设备 Winpcap、Wireshark 等软件工具 相关背景 据包捕获的原理：为了进行数据包，网卡必须被设置为混杂模式。在现实 的网络环境中,存在着许多共享式的以太网络。这些以太网是通过Hub连接起来 的总线网络。在这种拓扑结构的网络中，任何两台计算机进行通信的时候，它们之 间交换的报文全部会通过 Hub进行转发，而Hub以广播的方式进行转发，网络中 所有的计算机都会收到这个报文，不过只有目的机器会进行后续处理，而其它机器 简单的将报文丢弃。目的机器是指自身MAC地址与消息中指定的目的 MAC地 址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文 ，对 它们进行全面的分析，这样就可以得到整个网络息的现状。 Tcpdump的简单介绍：Tcpdump是Unix平台下的捕获数据包的一个架 构。Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的 Van Jcaobson、Craig Leres和Steve McCanne 共同开发完成，它可以收集网上的 IP数据包文，并用来分析网络可能存在的问题。现在， Tcpdump已被移植到几 乎所有的 UNIX 系统上，如：HP-UX、SCO UNIX、SGI Irix、SunOS、Mach、 Linux和FreeBSD等等。更为重要的是Tcpdump是一个公开源代码和输出文件 格式的软件，我们可以在 Tcpdunp的基础上进行改进，加入辅助分析的功能， 增强其网络分析能力。(详细信息可以参看相关的资料)。 Winpcap 的简单介绍：WinPcap 是由意大利 Fulvio Risso和Loris Degioanni等人提出并实现的应用于 Win32平台的数据包捕获与分析的一种软 件包，包括核级的数据包监听设备驱动程序、低级动态库 (Packet.dll)和高级系统 无关库(Winpcap.dll)，其基本结构如图3-1所示： dll 图3-1 Winpcap的体系结构 WinPcap 由 3 个模块组成：1） NPF （NetgroupPacket Filter），是一个虚拟 设备驱动程序文件。它的功能是过滤数据包 ，并把这些数据包原封不动地传给用 户态模块；2）Packet.dll为Win32平台提供了一个公共的接口。不同版本的 Windows系统都有自己的核模块和用户层模块。 Packet.dll直接映射了核的调 用，运行在用户层，把应用程序和数据包监听设备驱动程序隔离开，使应用程序 可以不加修改地在不同的 Windows系统上运行。通过Packet.dll提供的能用来 直接访问BPF驱动程序的包驱动API利用raw模式发送和接收包。3）Wpcap. dll是不依赖于操作系统的。Wpcap.dll和应用程序在一起，使用低级动态库提供 的服务，向应用程序提供完善的监听接口和更加友好、 功能更加强大的函数调用 （详细信息可以参看相关的资料）。 数据链路层是OSI参考模型中的第二层，介乎于物理层和网络层之间。 数据链路层在物理层提供的服务的基础上向网络层提供服务， 其最基本的服务是 将源机网络层发来的数据可靠地传输到相邻节点的目标机网络层。 为达到这一目 的，数据链路必须具备一系列相应的功能，主要有：如何将数据组合成数据块， 在数据链路层中称这种数据块为帧 （frame），帧是数据链路层的传送单位；如何 控制帧在物理信道上的传输，包括如何处理传输差错，如何调节发送速率以使与 接收方相匹配；以及在两个网络实体之间提供数据链路通路的建立、维持和释放 的管理。 以太网帧的概述：以太网的帧是数据链路层的封装，网络层的数据包被加上 帧头和帧尾成为可以被数据链路层识别的数据帧（成帧）。虽然帧头和帧尾所用 的字节数是固定不变的，但依被封装的数据包大小的不同，以太网的长度也在变 化，其围是64?1518字节（不算8字节的前导字）。 so 6 ? 2 7 |j M 15W T I1； 4 兰 f \ f i -zi i._\ SKiMAC地址］奘型| 乐山 图3-2 MAC帧格式 以太网帧的最小长度为64字节(6 + 6 + 2 + 46 + 4),最大长度为1518字 节(6+ 6+ 2+ 1500 + 4)。其中前12字节分别标识出发送数据帧的源节点 MAC 地址和接收数据帧的目标节点 MAC地址。(注：ISL封装后可达1548字节， 802.1Q封装后可达1522字节)接下来的2个字节标识出以太网帧所携带的上 层数据类型，如16进制数0x0800代表IP协议数据，16进制数0x809B代表 AppleTalk协议数据，16进制数0x