实验3 分析MAC帧格式
3.1 实验目的
1.了解MAC帧首部的格式;
2.理解MAC帧固定部分的各字段含义; 3.根据MAC帧的容确定是单播,广播。
3.2 实验设备
Winpcap、Wireshark等软件工具
3.3 相关背景
1.据包捕获的原理:为了进行数据包,网卡必须被设置为混杂模式。在现实的网络环境中,存在着许多共享式的以太网络。这些以太网是通过Hub 连接起来的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub进行转发,而Hub以广播的方式进行转发,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。目的机器是指自身MAC 地址与消息中指定的目的MAC 地址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析,这样就可以得到整个网络息的现状。
2.Tcpdump的简单介绍:Tcpdump是Unix平台下的捕获数据包的一个架构。Tcpdump最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的 Van Jcaobson、Craig Leres和 Steve McCanne共同开发完成,它可以收集网上的IP数据包文,并用来分析网络可能存在的问题。现在,Tcpdump已被移植到几乎所有的UNIX系统上,如:HP-UX、SCO UNIX、SGI Irix、SunOS、Mach、Linux和FreeBSD等等。更为重要的是Tcpdump是一个公开源代码和输出文件格式的软件,我们可以在Tcpdunp的基础上进行改进,加入辅助分析的功能,增强其网络分析能力。(详细信息可以参看相关的资料)。
3.Winpcap的简单介绍:WinPcap是由意大利Fulvio Risso和Loris Degioanni等人提出并实现的应用于Win32 平台的数据包捕获与分析的一种软件包,包括核级的数据包监听设备驱动程序、低级动态库(Packet.dll)和高级系统无关库(Winpcap.dll),其基本结构如图3-1所示:
Word文档
`
图3-1 Winpcap的体系结构
WinPcap由3个模块组成:1)NPF (NetgroupPacket Filter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块;2)Packet.dll为Win32 平台提供了一个公共的接口。不同版本的Windows系统都有自己的核模块和用户层模块。Packet.dll直接映射了核的调用,运行在用户层,把应用程序和数据包监听设备驱动程序隔离开,使应用程序可以不加修改地在不同的Windows系统上运行。通过Packet.dll提供的能用来直接访问BPF驱动程序的包驱动API利用raw模式发送和接收包。3)Wpcap. dll是不依赖于操作系统的。Wpcap.dll和应用程序在一起,使用低级动态库提供的服务,向应用程序提供完善的监听接口和更加友好、功能更加强大的函数调用(详细信息可以参看相关的资料)。
4. 数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服务,其最基本的服务是将源机网络层发来的数据可靠地传输到相邻节点的目标机网络层。为达到这一目的,数据链路必须具备一系列相应的功能,主要有:如何将数据组合成数据块,在数据链路层中称这种数据块为帧(frame),帧是数据链路层的传送单位;如何控制帧在物理信道上的传输,包括如何处理传输差错,如何调节发送速率以使与接收方相匹配;以及在两个网络实体之间提供数据链路通路的建立、维持和释放的管理。
以太网帧的概述:以太网的帧是数据链路层的封装,网络层的数据包被加上帧头和帧尾成为可以被数据链路层识别的数据帧(成帧)。虽然帧头和帧尾所用的字节数是固定不变的,但依被封装的数据包大小的不同,以太网的长度也在变化,其围是64~1518字节(不算8字节的前导字)。
Word文档
`
图3-2 MAC帧格式
以太网帧的最小长度为64字节(6+6+2+46+4),最大长度为1518字节(6+6+2+1500+4)。其中前12字节分别标识出发送数据帧的源节点MAC地址和接收数据帧的目标节点MAC地址。(注:ISL封装后可达1548字节,802.1Q封装后可达1522字节) 接下来的2个字节标识出以太网帧所携带的上层数据类型,如16进制数0x0800代表IP协议数据,16进制数0x809B代表AppleTalk协议数据,16进制数0x8138代表Novell类型协议数据等。在不定长的数据字段后是4个字节的帧校验序列(Frame. Check Sequence,FCS),采用32位CRC循环冗余校验对从\"目标MAC地址\"字段到\"数据\"字段的数据进行校验。
3.4 实验容
1. 捕获数据包;
2. 解析出数据包的各个字段; 3. 分析各字段的含义;
4. 分析实验结果,加深对数据包首部各字段的理解; 5. 整理实验结果,书写实验报告。
3.5 实验步骤
1 安装
实验中提供两种安装软件“Wireshark 1.7.0 Development Release (32-bit).exe”和“wireshark-win32-1.4.9中文版.exe”。两者区别由名字已经可以看出,前者是英文版,后者是汉化后的中文版。
Wireshark软件安装包中,目前包含的网络数据采集软件是winpcap 4.0版本,保存捕获数据时可以用中文的文件名,文件名默认后缀为.pcap。winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。 2 界面功能
在此为了方便即时上手操作,以中文版界面进行讲解,英文版操作类同,可以自行使用。
安装后,双击桌面“Wireshark”图标,打开操作界面如图3-3所示。
Word文档
`
图3-3 操作界面
以捕获数据包后的界面为例,将整个操作环境分为7个区域,如图3-4所示。
图3-4 捕获数据包后的界面
(1)菜单
其中常用【文件】打开或保存捕获的信息,【编辑】查找或标记包,【视图】设置Wireshark的视图,【定位】跳转到捕获的数据包,【抓包】设置捕捉过滤器并开始捕捉,【分析】设置分析选项,【统计】查看Wireshark的统计信息,【帮助】查看本地或者在线支持。
(2)快捷菜单
Word文档
`
将鼠标移至到每个按钮上,可以获得按钮的功能提示信息。其中常用
出可以抓包的接口,
显示抓包参数,
开始抓包,
停止抓包,
列
重新开始抓包。
(3)过滤器
过滤器主要用于查找捕捉记录中的容。从已经捕捉的数据包中,按照某种要求查找需要的数据包进行分析。比如,希望查找IP地址为192.168.0.1的IP数据报信息,可以在过滤器的文本框中输入表达式“ip.addr==192.168.0.1”,单击【应用】或回车进行筛选,则凡是目的地址、源地址为192.168.0.1的IP数据报均被筛选出来。
表达式可以自己写,也可以通过【表达式】按钮弹出界面帮助完成。【清除】用来清空过滤器文本框容。
(4)数据包列表
图 3-5 数据包列表
数据包列表显示所有已经捕获的数据包的基本信息,默认的包括捕获编号、时间、源地址、目的地址、协议、报文信息等。列信息可以根据分析需要自己添加。鼠标移至列信息空白处,单击右键,在快捷菜单中选择【列首选项设置】,在弹出的窗口中可以进行列的添加、删除和修改等操作。
(5)数据包详细信息
图3-6 数据包详细信息
显示被选中的数据包中的详细信息。信息按照网络体系结构中的不同层次进行了分组。可以展开每个项目进行展开查看。例如,图中红色部分即是IP数据报的首部信息。展开可以显示IP数据报首部中的每个字段信息。
Word文档
`
(6)解析器窗口
图 3-7 解析器窗口
“解析器”也可以称作“16进制数据查看面板”,以16进制的形式展示一个数据包。这里的容和“数据包详细信息”中的容相同,并且单击各首部、字段时,两个窗口的容对应反白显示。
(7)状态信息
在操作窗口的最下端,可以显示当前Wireshark的状态,以及一些信息统计。 3 捕获数据包
捕捉数据包之前可以通过设置参数,选择希望捕捉的网络数据。 简单操作方法:单击快捷菜单中的
按钮,弹出当前计算机上所有的网络
按钮,
接口列表,选择准备捕捉数据包的网络接口,单击【开始】按钮或者
开始抓捕数据包。此时,“数据包列表”窗口中会不断变化,显示当前抓捕的数据包。单击
按钮,停止抓捕。选择列表中的一个数据包进行分析。根据不同
的分析需求,可以在过滤器过不同的表达式来对已经捕获的数据包进行筛选,然后再选择适当报文进行分析。
注意,这里谈到了两种过滤:捕捉过滤、显示过滤。两者的区别在于捕捉过滤是在捕捉数据包之前,先设置过滤原则,然后再捕捉符合原则的数据包;而显示过滤是在已经捕捉的数据包中进行选择性的显示。 4 分析MAC帧结构
MAC帧结构是符合Ethernet V2标准的帧结构。
MAC帧结构中主要包含硬件地址,因此首先对“数据包列表”窗口的列信息进行添加。鼠标移至列信息空白处,单击右键,在弹出的快捷菜单中选择【列首选项设置】,弹出【列信息配置窗口】,单击【添加】按钮,添加两列,调整到适当位置。分别修改“标题”为“源MAC”和“目的MAC”,“字段类型”为“Hw
Word文档
`
src addr”和“Hw dest addr”。如图3-8所示。
图3-8 列信息配置窗口
图3-9所示为一次抓捕的“数据包列表”界面。
图3-9 数据包列表界面
在图3-9中,鼠标单击某个数据包反蓝显示。与此同时,在“数据包详细信息”窗口、 “解析器窗口”中会分别显示这个数据包的所有信息以及16进制数据信息,如图3-10所示。
图3-10 显示选中数据包信息
在“详细信息”窗口的“Ethernet II”项目,即是MAC帧的首部信息。双击改项展开,可见MAC帧首部的详细分析,对应“解析器”窗口中的16进制
Word文档
`
数据会反蓝显示。单击某个字段,对应的首部字段均会反蓝显示,如图3-11所示。
图3-11 单击首部字段显示
5. 解析出数据包的各个字段:
在本实验中我们解析出了数据包的时间戳、源地址、目标地址、帧、协议、源MAC、目标MAC、源端口、目标端口、大小等字段。 6. 分析各字段的含义:
时间戳:表示捕获到该数据包的时间,格式为“年—月—日,时:分:秒”; 源地址/目标地址:该数据包的源地址/目标地址;
帧:数据包捕获的是哪种协议的帧,在这里一般是IP协议; 协议:该数据包的协议类型;
远端口/目标端口:发送/接收该数据包的端口号; 大小:数据包的长度。 7. 分析实验的结果:
点击图3-9上的数据分析,将显示图3-10的界面。本实验我们解析出了数据包的源MAC、目标MAC、类型、以及给IP数据包首部的各个字段,并指出了各个字段的具体含义(点开对应的加号,将显示更加具体的容)。图3-10的下面窗口部分显示的是该IP数据包首部相应的十六进制的表示。
3.6 实验报告要求
在实验报告中应记录实验目的、实验环境,简要实验容和实验步骤,实验数
Word文档
`
据要包括以下容:
1. 记录所使用的协议分析软件信息(名称、版本号) 2. 记录本机的MAC地址
3. 至少采集三种类型的MAC帧:(1)从本机发出的数据帧;(2)本机收到的数据帧;(3)广播帧;(4)多播帧(选做)。
分别记录三种MAC帧的容,分析首部的格式,理解MAC帧固定部分的各字段含义;
4. 写出自己实验过程中出现的问题、解决方法,及实验的心得体会和认知。
Word文档
因篇幅问题不能全部显示,请点此查看更多更全内容