抓包分析(以太网帧 ARP).pdfVIP

抓包分析(以太网帧ARP)--第1页

一：实验目的：

学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解

二：实验内容：

1：分析以太网帧格式。

2：分析ARP报文格式。

三：实验工具

Wireshark抓包软件

四：实验步骤

1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。或单击“Capture”，配置“option”

选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构

五：分析

1.以太网帧格式：以太网共有4种个格式

一：EthernetII

是DIX以太网联盟推出的，它由6个字节的目的MAC地址，6个字节的源MAC

地址，2个字节的类型域（用于表示装在这个Frame、里面数据的类型)，以上为

FrameHeader,接下来是46--1500字节的数据，和4字节的帧校验）

抓包分析(以太网帧ARP)--第1页

抓包分析(以太网帧ARP)--第2页

)：NovellEthernet

它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度

域，后面接着的两个字节为0xFFFF用于标示这个帧是NovellEther类型的Frame，

由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不

变。

三)：IEEE802.3/802.2

802.3的FrameHeader和EthernetII的帧头有所不同，它把EthernetII

类型域变成了长度域(与NovellEthernet相同)。其中又引入802.2协议(LLC)

在802.3帧头后面添加了一个LLC首部,由DSAP(DestinationServiceAccess

Point)1byte,SSAP(SourceSAP)1byte,一个控制域1byte!SAP用于表示

帧的上层协议。

抓包分析(以太网帧ARP)--第2页

抓包分析(以太网帧ARP)--第3页

)：EthernetSNAP

EthernetSNAPFrame与802.3/802.2Frame的最大区别是增加了一个5

Bytes的SNAPID，其中前面3个byte通常与源mac地址的前三个bytes相同，

为厂商代码！有时也可设为0。后2bytes与EthernetII的类型域相同。

本次实验抓包分析EthernetII的帧格式：截图：

有截图分析得：

目的端口的MAC地址：

源端口的MAC地址：f4:ec:38:37:53:3e

类型：IP(0x0800)

抓包分析(以太网帧ARP)--第3页

抓包分析(以太网帧ARP)--第4页

抓包截图：

硬件类型:Ethernet

协议类型:IP

硬件地址长度:６

协议地址长度:4

操作类型:reply（应答）