计算机网络第三次实验-数据链路层.docVIP

实验三 数据链路层 实验目的 熟悉网络协议分析器Wireshark的使用 掌握以太网帧的结构 实验设备 集线器、交换机各1台 PC机2~3台 预备知识 Wireshark简介 Wireshark（原名Ethereal）是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持Unix、windows等多种平台。它主要是通过侦听网络中的数据来实现分析网络协议、网络故障、网络安全等功能。它使用的一般步骤是： 设置好捕捉NIC和过滤器后开始捕捉网络数据包； 捕捉结束后设置好显示过滤器开始分析数据。 附：Wireshark中捕捉过滤器和显示过滤器的设置比较 功能 捕捉过滤器表达式 显示过滤器表达式 提取MAC地址为00:11:25:e8:64:ea 的设备通信的所有流量 ether host 00:11:25:e8:64:ea eth.addr＝＝00:11:25:e8:64:ea 提取IP地址为0 的设备通信的所有流量 host 0 ip.addr＝＝0 提取所有设备WEB浏览的所有数据包 tcp port 80 tcp.port＝＝ 80 提取IP地址为0设备中除http以外的所有数据包 host 0 and not tcp port 80 ip.addr＝＝0 tcp.port!=80 Ethernet帧结构有IEEE802.3标准和Ethernet II规范两种，这里主要讨论Ethernet II标准。下图为帧结构： 注意： 第三个字段中，如果是EthernetII帧，该段表示封装的上层协议类型；而如果是IEEE802.3的帧，则表示LLC数据（LLC帧＋填充）的长度。区分方法：当值小于0600H时，代表数据字段的字节数； 否则代表协议类型，例如：0800H代表IP协议，0806H代表ARP协议。 由于CSMA/CD协议要求帧长度最小不能低于64字节，则当IP数据报过小时，发送站的MAC子层就会自动填0代码到PAD区域中。 CRC校验一般由网卡硬件自动完成，无需操作系统或应用程序处理。 实验内容 用Wireshark捕捉在本机中一次登录Web邮箱过程产生的流量，初步了解其使用方法： 同组计算机用交换机连接组网； 运行Wireshark，打开菜单命令Capture-Options，将Interfaces设为本机NIC，Capture filter不作设置（注：暂不要按Start按钮）； 用IE打开本人的一个Web邮箱，依次输入帐号和密码（注：暂不要按登录确定按钮）； 切换到Wireshark的窗口，按Start按钮开始捕捉数据，然后再切换至邮箱登录窗口按登录确定按钮； 切换到Wireshark的窗口，按Stop按钮； 在Filter编辑栏中输入http，按下Apply按钮； 在包内容窗口中观察过滤后的前几个http数据包里的内容，找出在邮箱登录窗口输入的帐号、密码对应的相关文本。(注：可以利用Edit-- Find Packet --Find By:String命令来帮助查找相关文本 ) 用Wireshark捕捉本小组中其它计算机产生的流量： 使用本组中两台计算机PCA和PCB，它们用集线器连接组网； 在PCA中运行Wireshark，打开菜单命令Capture-Options，将Interfaces设为本机NIC，Capture filter中输入ether host MACofPCB (PCB的MAC地址)； 用PCB登录一个网站，与此同时用PCA捕捉PCB产生的流量 捕捉200个左右的帧后，停止捕捉； 运行命令Statistics -Summary，观察统计的概要信息； 将捕捉到的数据保存到包文件pcb.cap中。 用Wireshark分析以太网帧结构。 打开实验内容2中保存的包文件pcb.cap； 分析其中任意两不同协议(protocol)的帧，将其相应字段值填入下表： 字段 帧1 帧2 协议 http tcp 目的MAC地址 00:1f:e2:09:ca:e6 00:d0:f8:f3:7f:4e 源MAC地址 00:d0:f8:f3:7f:4e 00:1f:e2:09:ca:e6 类型 08 00 08 00 帧的总长度 378 60 分别选中这两个帧，并标记（使用右键菜单中的Mark Packet命令），将它们保存到文件pcb2.cap中（在File-Save as窗口的packet range中指定要保存帧范围）。（注：文件pcb2.cap连同实验报告一同上交） 思考题： 帧的有效长度（不包括前同步码）为64～1518字节，那么用Wireshark捕捉的帧的长度是否也在64～1518字节范围内？为什么？ 不是，因为Wireshark不计算帧尾部的4位的CRC校验码