实验3 分析MAC帧格式分析.pdfVIP

实验3 分析MAC帧格式 3.1 实验目的 1．了解MAC帧首部的格式； 2 ．理解MAC帧固定部分的各字段含义； 3 ．根据MAC帧的内容确定是单播，广播。 3.2 实验设备 Winpcap 、Wireshark 等软件工具 3.3 相关背景 1．据包捕获的原理：为了进行数据包,网卡必须被设置为混杂模式。在现实 的网络环境中,存在着许多共享式的以太网络。这些以太网是通过Hub 连接起来 的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之 间交换的报文全部会通过Hub 进行转发,而 Hub 以广播的方式进行转发,网络中 所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器 简单的将报文丢弃。目的机器是指自身MAC 地址与消息中指定的目的MAC 地 址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文 ,对 它们进行全面的分析,这样就可以得到整个网络中信息的现状。 2 ．Tcpdump 的简单介绍：Tcpdump 是Unix 平台下的捕获数据包的一个架 构。Tcpdump 最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的 Van Jcaobson 、Craig Leres 和 Steve McCanne 共同开发完成，它可以收集网上的 IP 数据包文，并用来分析网络可能存在的问题。现在，Tcpdump 已被移植到几 乎所有的UNI 系统上，如：HP-U 、SCO UNI 、SGI Irix、SunOS、Mach、 Linux 和FreeBSD 等等。更为重要的是Tcpdump 是一个公开源代码和输出文件 格式的软件，我们可以在 Tcpdunp 的基础上进行改进，加入辅助分析的功能， 增强其网络分析能力。（详细信息可以参看相关的资料）。 3 ．Winpcap 的简单介绍：WinPcap 是由意大利 Fulvio Risso 和 Loris Degioanni 等人提出并实现的应用于 Win32 平台的数据包捕获与分析的一种软 件包,包括内核级的数据包监听设备驱动程序、低级动态链接库(Packet.dll)和高 级系统无关库(Winpcap.dll)，其基本结构如图3-1 所示： 图3-1 Winpcap的体系结构 WinPcap 由3 个模块组成：1）NPF (NetgroupPacket Filter) ，是一个虚拟 设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用 户态模块；2 ）Packet.d 为 Win32 平台提供了一个公共的接口。不同版本的 Windows 系统都有自己的内核模块和用户层模块。Packet.d 直接映射了内核的 调用，运行在用户层,把应用程序和数据包监听设备驱动程序隔离开，使应用程 序可以不加修改地在不同的Windows 系统上运行。通过 Packet.d 提供的能用 来直接访问BPF 驱动程序的包驱动API 利用raw 模式发送和接收包。3 ）Wpcap. d 是不依赖于操作系统的。Wpcap.d 和应用程序链接在一起，使用低级动态链 接库提供的服务，向应用程序提供完善的监听接口和更加友好、功能更加强大的 函数调用（详细信息可以参看相关的资料）。 4. 数据链路层是OSI 参考模型中的第二层，介乎于物理层和网络层之间。 数据链路层在物理层提供的服务的基础上向网络层提供服务，其最基本的服务是 将源机网络层发来的数据可靠地传输到相邻节点的目标机网络层。为达到这一目 的，数据链路必须具备一系列相应的功能，主要有：如何将数据组合成数据块， 在数据链路层中称这种数据块为帧 （frame ），帧是数据链路层的传送单位；如何 控制帧在物理信道上的传输，包括如何处理传输差错，如何调节发送速率以使与 接收方相匹配；以及在两个网络实体之间提供数据链路通路的建立、维持和释放 的管理。 以太网帧的概述：以太网的帧是数据链路层的封装，网络层的数据包被加上 帧头和帧尾成为可以被数据链路层识别的数据帧（成帧）。虽然帧头和帧尾所用 的字节数是固定不变的，但依被封装的数据包大小的不同，以太网的长度也在变 化，其范围是64～1518 字节（不