資源描述:
《實驗二 用協(xié)議分析器分析以太幀結(jié)構(gòu)》由會員上傳分享��,免費在線閱讀����,更多相關內(nèi)容在教育資源-天天文庫�。
1��、實驗二用協(xié)議分析器分析以太幀結(jié)構(gòu)【實驗目的】1.熟悉網(wǎng)絡協(xié)議分析的原理��。2.熟悉網(wǎng)絡協(xié)議分析軟件Ethereal的使用�����。3.掌握Ethernet幀的構(gòu)成【實驗內(nèi)容】1.學習使用網(wǎng)絡協(xié)議分析軟件Ethereal��。2.捕捉任何主機發(fā)出的DIXEthernetV2(即EthernetⅡ)格式的幀并進行分析�。3.捕捉并分析局域網(wǎng)上的所有Ethernetbroadcast幀進行分析。4.捕捉局域網(wǎng)上的所有Ethernetmulticast幀進行分析��?���!緦嶒炘怼?.網(wǎng)絡協(xié)議分析原理網(wǎng)絡協(xié)議分析是截獲網(wǎng)絡上正在傳輸?shù)臄?shù)據(jù)報文,
2���、并對數(shù)據(jù)報文的內(nèi)容進行分析�����。網(wǎng)絡協(xié)議分析需要截獲網(wǎng)絡上的所有報文����,根據(jù)上面對網(wǎng)卡接收模式的分析,只要將網(wǎng)卡的接收模式置于混雜模式即可實現(xiàn)�。在接收到網(wǎng)絡上所有的數(shù)據(jù)報文后,通過相應的網(wǎng)絡協(xié)議分析軟件進行處理��,可以實時分析這些數(shù)據(jù)的內(nèi)容�,進而分析網(wǎng)絡狀態(tài)和整體布局。網(wǎng)絡協(xié)議分析技術(shù)主要用來幫助網(wǎng)絡管理員對網(wǎng)絡進行管理���。通過網(wǎng)絡協(xié)議分析技術(shù)�����,網(wǎng)絡管理員可以了解目前網(wǎng)絡中正在應用的協(xié)議種類��,每種協(xié)議所占的比例��,及哪些設備應用哪些協(xié)議進行通訊;同時可以分析協(xié)議應用的合理性與有效性�,從而合理的選擇協(xié)議,節(jié)約有限的網(wǎng)絡寬帶���,提高
3�����、網(wǎng)絡傳輸效率�����;另外���,可以診斷出大量的不可見模糊問題��,為管理員管理網(wǎng)絡區(qū)域提供了非常寶貴的信息����。2.以太網(wǎng)數(shù)據(jù)幀的格式分析以太網(wǎng)這個術(shù)語一般是指數(shù)字設備公司(DigitalEquipment)�����、英特爾公司(Intel)和施樂公司(Xerox)在1982年聯(lián)合公布的一個標準(實際上它是第二版本)����。它是目前TCP/IP網(wǎng)絡采用的主要的局域網(wǎng)技術(shù)。1985年����,IEEE(電子電氣工程師協(xié)會)802委員會公布了一個稍有不同的標準集���,其中802.3針對整個CSMA/CD網(wǎng)絡,802.4針對令牌總線網(wǎng)絡����,802.5針對令牌環(huán)網(wǎng)絡。
4����、這三者的共同特性由802.2標準來定義,那就是802網(wǎng)絡共有的邏輯鏈路控制(LLC)�。不幸的是,802.2和802.3定義了一個與以太網(wǎng)不同的幀格式���,加上1983年Novell為其Netware開發(fā)的私有幀(Netware802.3“Raw”)����,這些給以太網(wǎng)造成了一定的混亂�����,也給我們學習以太網(wǎng)帶來了一定的影響�����。從Ethereal捕捉數(shù)據(jù)包中也可以看出��,Ethereal捕捉數(shù)據(jù)包的時候是掐頭去尾的�����,不要前面的前導碼�,也丟棄后面的CRC校驗(注意它只是不在Decode里顯示該區(qū)域,但并不代表它不去做數(shù)據(jù)包CRC校驗)�,
5、這就是很多人困惑為什么Ethereal捕捉到的數(shù)據(jù)包長度跟實際長度不相符的原因�。那么,Ethereal是如何來判斷這些不同類型的以太網(wǎng)格式呢�?Ethereal可以判斷出不同的以太網(wǎng)格式,這里需要注意的是��,Ethereal在數(shù)據(jù)包解碼時有自己的格式���,所以有Offset之說���,offset0EH是指在EtherealHex解碼窗口中從左向右第15位的數(shù)值。大家如果有點發(fā)懵的話�����,沒有關系,看完后面的格式分析后再來分析前面提到的�,相信一定能夠明白。lEthernetV2以太網(wǎng)版本2是先于IEEE標準的以太網(wǎng)版本����。從數(shù)據(jù)包中可
6、以看出����,EthernetV2通過在DLC頭中2個字節(jié)的類型(Type)字段來辨別接收處理。類型字段是用來指定上層協(xié)議的(如0800指示IP���、0806指示ARP等)�,它的值一定是大于05FF的�,它提供無連接服務的,本身不控制數(shù)據(jù)(DATA)的長度�,它要求網(wǎng)絡層來確保數(shù)據(jù)字段的最小包長度(46字節(jié))。Ethereal捕獲的EthernetV2幀的解碼�����,可以看到在DLC層,源DLC地址后緊跟著就是以太網(wǎng)類型(Etehertype)值0800��,代表上層封裝的是IP報文�,0800大于05FF�,因而我們可以斷定它是Ethern
7、etV2的幀�����。IEEE802.3和DIXEthernetV2的封裝格式lIEEE802.3IEEE802.3把DLC層分隔成明顯的兩個子層:MAC層和LLC層�����,其中MAC層主要是指示硬件目的地址和源地址��。LLC層用來提供一些服務:通過SAP地址來辨別接收和發(fā)送方法兼容無連接和面向連接服務提供子網(wǎng)訪問協(xié)議(Sub-networkAccessProtocol����,SNAP),類型字段即由它的首部給出�。MAC層要保證最小幀長度不小于64字節(jié),如果數(shù)據(jù)不滿足64字節(jié)長度就必須進行填充���。是Ethereal捕獲的IEEE802.3
8�、幀的解碼�,可以看到在DLC層源地址后緊跟著就是802.3的長度(Length)字段0026��,它小于05FF�,可以肯定它不是EthernetV2的幀���,而接下來的Offset0E處的值“4242”(代表DSAP和SSAP)���,既不是Novell802.3“Raw”的特征值“FFFF”,也不是IEEE802.3SNAP的特征值“AAAA”���,因此它肯定是一個IEEE8
