实验3 分析MAC帧格式分析

《实验3 分析MAC帧格式分析》由会员分享，可在线阅读，更多相关《实验3 分析MAC帧格式分析（9页珍藏版）》请在金锄头文库上搜索。

1、实验3分析MAC帧格式3.1 实验目的1了解 MAC 帧首部的格式；2理解MAC帧固定部分的各字段含义；3根据 MAC 帧的内容确定是单播，广播。3.2 实验设备Winpcap、Wireshark 等软件工具3.3 相关背景1据包捕获的原理：为了进行数据包,网卡必须被设置为混杂模式。在现实 的网络环境中, 存在着许多共享式的以太网络。这些以太网是通过 Hub 连接起来 的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之 间交换的报文全部会通过 Hub 进行转发,而 Hub 以广播的方式进行转发,网络中 所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机

2、器 简单的将报文丢弃。目的机器是指自身 MAC 地址与消息中指定的目的 MAC 地 址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文 ,对 它们进行全面的分析,这样就可以得到整个网络中信息的现状。2. Tcpdump的简单介绍：Tcpdump是Unix平台下的捕获数据包的一个架 构。Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的 Van Jcaobson、Craig Leres和Steve McCanne共同开发完成，它可以收集网上的 IP数据包文，并用来分析网络可能存在的问题。现在，Tcpdump已被移植到几 乎所有的 UNIX 系统上，如：HP-UX、S

3、CO UNIX、SGI Irix、Sun OS、Mach、 Linux和FreeBSD等等。更为重要的是Tcpdump是一个公开源代码和输出文件 格式的软件，我们可以在Tcpdunp的基础上进行改进，加入辅助分析的功能， 增强其网络分析能力。(详细信息可以参看相关的资料)。3. Winpcap 的简单介绍： WinPcap 是由意大利 Fulvio Risso 和 Loris Degioanni 等人提出并实现的应用于 Win32 平台的数据包捕获与分析的一种软 件包，包括内核级的数据包监听设备驱动程序、低级动态链接库(Packet.dll)和高 级系统无关库(Winpcap.dll)，其基本

4、结构如图3-1所示：图3-1 Winpcap的体系结构WinPcap 由 3 个模块组成：1） NPF （NetgroupPacket Filter），是一个虚拟 设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用 户态模块；2）Packet.dll为Win32平台提供了一个公共的接口。不同版本的 Windows系统都有自己的内核模块和用户层模块。Packet.dll直接映射了内核的 调用，运行在用户层，把应用程序和数据包监听设备驱动程序隔离开，使应用程 序可以不加修改地在不同的Windows系统上运行。通过Packet.dll提供的能用 来直接访问BPF驱动程序的包驱动A

5、PI利用raw模式发送和接收包3）Wpcap. dll是不依赖于操作系统的。Wpcap.dll和应用程序链接在一起，使用低级动态链 接库提供的服务，向应用程序提供完善的监听接口和更加友好、功能更加强大的 函数调用（详细信息可以参看相关的资料）。4. 数据链路层是OSI参考模型中的第二层，介乎于物理层和网络层之间。 数据链路层在物理层提供的服务的基础上向网络层提供服务，其最基本的服务是 将源机网络层发来的数据可靠地传输到相邻节点的目标机网络层。为达到这一目 的，数据链路必须具备一系列相应的功能，主要有：如何将数据组合成数据块， 在数据链路层中称这种数据块为帧（frame）,帧是数据链路层的传送单

6、位；如何 控制帧在物理信道上的传输，包括如何处理传输差错，如何调节发送速率以使与 接收方相匹配；以及在两个网络实体之间提供数据链路通路的建立、维持和释放 的管理。以太网帧的概述：以太网的帧是数据链路层的封装，网络层的数据包被加上 帧头和帧尾成为可以被数据链路层识别的数据帧（成帧）。虽然帧头和帧尾所用 的字节数是固定不变的，但依被封装的数据包大小的不同，以太网的长度也在变 化，其范围是641518字节（不算8字节的前导字）。Lf yH标MAC比hL源胡島c地址图3-2 MAC帧格式以太网帧的最小长度为64字节(6+6 + 2+46+4),最大长度为1518字 节(6 + 6 + 2 + 1500

7、+4)。其中前12字节分别标识出发送数据帧的源节点MAC 地址和接收数据帧的目标节点MAC地址。(注：ISL封装后可达1548字节， 802.1Q封装后可达1522字节)接下来的2个字节标识出以太网帧所携带的上 层数据类型，如16进制数0x0800代表IP协议数据，16进制数0x809B代表 AppleTalk协议数据，16进制数0x8138代表Novell类型协议数据等。在不定长 的数据字段后是4个字节的帧校验序列(Frame. Check Sequenee，FCS)，采 用32位CRC循环冗余校验对从目标MAC地址字段到数据字段的数据进行 校验。3.4实验内容1. 捕获数据包；2. 解析出

8、数据包的各个字段；3. 分析各字段的含义；4. 分析实验结果，加深对数据包首部各字段的理解；5. 整理实验结果，书写实验报告。3.5实验步骤1安装实验中提供两种安装软件“ Wireshark 1.7.0 Development Release (32-bit).exe”和“wireshark-win32-1.4.9中文版.exe”。两者区别由名字已经可 以看出，前者是英文版，后者是汉化后的中文版。Wireshark软件安装包中，目前包含的网络数据采集软件是winpcap 4.0版 本，保存捕获数据时可以用中文的文件名，文件名默认后缀为.pcap。 winpcap(windows packet

9、capture)是 windows 平台下一个免费，公共的网络访 问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底 层的能力。2界面功能在此为了方便即时上手操作，以中文版界面进行讲解，英文版操作类同，可 以自行使用。安装后，双击桌面“Wireshark”图标，打开操作界面如图3-3所示。r iqfT- MMRMBiCJHIm1W|.* W ：-J” .na&ujipi! -图3-3操作界面以捕获数据包后的界面为例，将整个操作环境分为7个区域，如图3-4所示。1 3raadm FSriXlrm &专占t Etfxrr-rl Driwr - VirnhirkHrtif

10、i Mu f-ZBiyi SE-SI 式任或？ 分Fii即 Sttfil SBIliVi 工劭聯l曰吕*晞旨丨吒牛*74 叵回 Q Q. Q 80Tinwbu*ev virarulranOrsfissl gfis44C 2_ =-=：ll：-L2C2. L9E. ?L.曲：从 L :L 禰対乙 I3E. Wk 20； 从2 2-期4旳 却：!.旧乩町L2O?TIPT：FTTFna&jPlpeiM-ADl LAEKJ BbOSIS 粗口站 朗口匹I4 5!=L44D 肌册.： vTxz-话 L二6；二S旳=72Z73氏匚慣即口tiH垃卫“!；麻躬 咄牡“-迄L:罷K肌炸：!邛和牛】唸94L亡n=

11、L証U士$ 2 S9&2J5 SB. 2e5. 53 93TCP丫切址旷朋】i豹胡：占： 5e225 Ac.kM5il5i斤壬二：芮L亡n05 2-SS2&2559. 2-=5.3 93电出 2.9&3S3C112. SQ.vipern-ssl ：刘3E :P5H.占血 Se-225 占rk-6657L2-1720O Len-56 EtiurEiE port 三 2&自2 DfSMtloal Soo ppft; BTMcegreifairp订：L3CM）孔却工 旧氐 2L207UDF44E 2- S0T210 112. Efl. 1W- 90 ；胡 2- 9U252 35.粘二 53- 9SE

12、D?TCPScutce por: 2O4EZ Dexlic.oa pari: ficecerccs：匸匕h：阳兰:EE 二UK：沼：Ac 炉S23打 HYs=：T2S0 L亡n=Q52 2 S25&55 221.10. 205.22202.196 2】2TCP時沖 65詡:.WK： Seq-505 Ack-Kc：39 Kin-3276S lezr434 2- 937&4112. E0. LZ4-9OLD?5uiier亡 port m BOifiE 口亡mtlBM 5cn pom nracemejfcttpflx Fijoe -.-.0: L4E-. tones g Ki?e illK Er 計

13、，bj.-cs c-ipcjed ：119&Z比竟WTM1： IR 5肚-De】；酣；盯00-址-23订；叭応竹D弐-即；CEKdP；BAQ-QO応饲；孙吨：|-00*o n o o D o Q o n- n .H o L 2 3 V 5 E - 5 & tt -0 s Jt 2 6 - mJ -I1.-Vn & a I .J 1 o n d d hu f D o .H- - i X- o 13 fb3_B6 3 a ODdDb6 V B6-TA.- o Hu -c o 1 s HM 5 d b k 1 n % D Lb A- f -I b -_ H IF 2 o A- 2 1 9 d n:

14、!3saH2HT#-u25丹 g 么 曲H鈴迈皿松匪比434 1合总.6绘耳丄 o 0 C 6 - AW 6 C 2 U 4* _. - 3 5 f- E & E b 5a-y- r o .w a s 1 3 2 3 d .H- QeJll .-l;-*3zzl L aL Au -0 -0 a I o -0 占 soa心庄fa一亦06凸.-HO 3 o t 9 L 9 H 5 Ju .H nV f - 1- A- -r -o- -I- _._w - 45肚萌rlgzgfsw” nef矇舅篇苗4 K已吐 F- r若口 5 mB二 OEQ4D 47760: f 2 9 E 3 亡 2 2 L -+

15、 2C 3 d d 1 t 5 5 _ -I a 5 a6-9c- B .L f c 9 - - 3 dffilZntfTTrtt Frctccol. Src- 202. L96. Ln Cootroi rtocalj Sz-c 3wt” 5130 (B136：. Drt Port; vipera-ssl IJ2013)( S?- 08S5. Ack; 225. Leh L4-=0 B Dalai 1440 byte stl-c- : 3dl3G.3Cwi54：,iwfl5eSEddD4OTK：bthE3fc31Elaii5OrSi.-1-KiCTh: 14i0：-S -=： PhLhMEAWahlh LZTwjtsi:一 a: L3J7