《信息系统安全》实验
实验 - 使用 Wireshark 检查以太网帧
Mininet 拓扑
目标
第 1 部分:检查以太网 II 帧中的报头字段 第 2 部分:使用 Wireshark 捕获和分析以太网帧
背景/场景
当上层协议互相通信时,数据会向下流到开放式系统互联 (OSI) 的各层中,并最终被封装进第 2 层帧。帧的成分取决于介质访问类型。例如,如果上层协议是 TCP 和 IP 并且访问介质是以太网,则第 2 层帧的封装为以太网 II。这是 LAN 环境的典型情况。
在了解第 2 层的概念时,分析帧报头信息很有帮助。在此实验的第 1 部分,同学们将复习以太网 II 帧包含的字段。在第 2 部分,同学们将使用 Wireshark 为本地通信和远程通信捕获和分析以太网 II 帧头字段。
所需资源
? ?
CyberOps Workstation VM 互联网接入
计算机科学与工程学院 马飞编著
实验 - 使用 Wireshark 检查以太网帧
第 1 部分: 检查以太网 II 帧中的报头字段
在第 1 部分中,同学们需要检查提供给同学们的以太网 II 帧中的报头字段和内容。Wireshark 捕获可用于检查这些字段中的内容。
第 1 步: 检查以太网 II 帧头字段的描述和长度。
前导码 8 字节 目的地址 6 字节 源地址 6 字节 帧类型 2 字节 数据 46 – 1500 字节 FCS 4 字节 第 2 步: 在 Wireshark 捕获中检查以太网帧。
以下 Wireshark 捕获显示了从 PC 主机向其默认网关发出 ping 操作生成的数据包。Wireshark 应用了一个过滤器,以仅查看 ARP 和 ICMP 协议。会话首先利用 ARP 查询网关路由器的 MAC 地址,然后是四次 ping 请求和应答。
计算机科学与工程学院 第 2 页,共 7 页 马飞编著
实验 - 使用 Wireshark 检查以太网帧
第 3 步: 检查 ARP 请求的以太网 II 报头内容。
下表使用 Wireshark 捕获中的第一个帧,并显示以太网 II 帧头字段中的数据。
字段 前导码 目的地址 源地址 值 捕获中未显示 广播 (ff:ff:ff:ff:ff:ff) IntelCor_62:62:6d (f4:8c:50:62:62:6d) 说明 此字段包含同步比特,由网卡硬件处理。 帧的第 2 层地址。每个地址的长度都是 48 位或 6 个二进制八位数,表示为 12 个十六进制数字:0-9、A-F。 常用格式为 12:34:56:78:9A:BC。 前六个十六进制数字表示网络接口卡 (NIC) 的制造商,后六个十六进制数字是网卡的序列号。 目的地址可能是全部为 1 的广播地址,也可能是单播地址。源地址始终是单播地址。 帧类型 0x0806 对于以太网 II 帧,此字段包含用来在数据字段中表示上层协议类型的十六进制值。以太网 II 支持多个上层协议。两种常用的帧类型为: 值 说明 0x0800 IPv4 协议 0x0806 地址解析协议 (ARP) 数据 FCS ARP 捕获中未显示 包含封装的上层协议。数据字段在 46 – 1,500 个字节之间。 帧校验序列 (FCS),供网卡用来查找传输过程中的错误。其值包含帧地址、类型和数据字段,由发送方计算,由接收方验证。 关于目的地址字段的内容,需要注意什么?
_______________________________________________________________________________________ _______________________________________________________________________________________ 为什么 PC 会在发送第一个 ping 请求之前发送广播 ARP?
_______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 第一个帧的源设备的 MAC 地址是什么? _______________________________________________________ 源设备的网卡的供应商 ID (OUI) 是什么? ______________________________________________________ MAC 地址的哪个部分是 OUI? ______________________________________________________________ 源设备的网卡序列号是什么? _______________________________________________________________
第 2 部分: 使用 Wireshark 捕获和分析以太网帧
在第 2 部分中,同学们将使用 Wireshark 捕获本地和远程以太网帧。然后同学们将检查帧头字段中包含的信息。
计算机科学与工程学院 第 3 页,共 7 页 马飞编著
协议分析实验(2)使用 Wireshark 检查以太网帧
