文档介绍:以太帧和 ARP 包协议分析实验一、目的 1 、理解以太帧格式 2 、理解 ARP 协议格式和 ARP 协议的工作原理二、实验类型验证类实验三、实验步骤一:运行 wireshark 开始捕获数据包,如图所示点击第二行的 start 开始捕获数据包。启动界面: 抓包界面的启动是按 file 下的按钮(或 capture 下的 interfaces ) 之后会出现这个是网卡的显示, 因为我有虚拟机所以会显示虚拟网卡, 我们现在抓的是真实网卡上的包所以在以太网卡右边点击 start 开始抓包。( 捕捉本地连接对应的网卡, 可用 ipconfig/al l 查看) 二:几分钟后就捕获到许多的数据包了,主界面如图所示: 如上图所示,可看到很多捕获的数据。第一列是捕获数据的编号; 第二列是捕获数据的相对时间,从开始捕获算为 秒; 第三列是源地址,第四列是目的地址; 第五列是数据包的信息。选中第一个数据帧, 然后从整体上看看 Wireshark 的窗口, 主要被分成三部分。上面部分是所有数据帧的列表;中间部分是数据帧的描述信息;下面部分是帧里面的数据。三:开始分析数据 1. 打开“命令提示符”窗口,使用“ arp -a”命令查看本地计算机 ARP 高速缓存。 2. 使用“ arp -d”命令清除本地计算机 ARP 高速缓存,再使用“ arp -a”命令查看。此时,本地计算机 ARP 高速缓存为空。 3. 在下图中 Filter 后面的编辑框中输入: arp ( 注意是小写), 然后回车或者点击“ Apply ”按钮将计算机与数据设备相连( 3928 或路由器),参见静态路由配置。 3. 此时, 网络协议分析软件开始捕获数据,在“命令提示符”窗口中 PING 同一子网中的任意主机。(计算机 Aping 计算机 B) 因为 PING 命令的参数为 IP 地址, 因此使用 PING 命令前, 需要使用 ARP 机制将 IP 地址转换为 MAC 地址, 这个过程用户是无法感知的。因为我们在使用 PING 命令前已经开始网络数据包捕获,因此,此时网络协议分析软件将捕获到 ARP 解析数据包。 4. 单击“S top ”按钮,中断网络协议分析软件的捕获进程,主界面显示捕获到的 ARP 数据包。 5. 记录数据现在只有 ARP 协议了, 其他的协议数据包都被过滤掉了。注意到中间部分的三行前面都有一个“+”,点击它,这一行就会被展开。如下图所示: 现在展开第一行。看到的结果如下: 在上图中我们看到这个帧的一些基本信息: (根据自己的抓包结果记录) 帧的编号: 15 (捕获时的编号) 帧的大小: 60 字节。再加上四个字节的 CRC 计算在里面,就刚好满足最小 64 字节的要求。帧被捕获的日期和时间: Dec 2, 2008 ……帧距离前一个帧的捕获时间差: ……帧距离第一个帧的捕获时间差: ……帧装载的协议: ARP 现在展开第二行: 我们可以看到: 目的地址( Destination ): ff:ff:ff:ff:ff:ff (这是个 MAC 地址,这个 MAC 地址是一个广播地址,就是局域网中的所有计算机都会接收这个数据帧) 源地址( Source ): Elitegro_2d