實(shí)驗(yàn)二 用協(xié)議分析器分析以太幀結(jié)構(gòu).doc

實(shí)驗(yàn)二 用協(xié)議分析器分析以太幀結(jié)構(gòu)【實(shí)驗(yàn)?zāi)康摹?.熟悉網(wǎng)絡(luò)協(xié)議分析的原理。2.熟悉網(wǎng)絡(luò)協(xié)議分析軟件Ethereal的使用。3.掌握Ethernet幀的構(gòu)成【實(shí)驗(yàn)內(nèi)容】1.學(xué)習(xí)使用網(wǎng)絡(luò)協(xié)議分析軟件Ethereal。2.捕捉任何主機(jī)發(fā)出的DIX Ethernet V2（即Ethernet ）格式的幀并進(jìn)行分析。3.捕捉并分析局域網(wǎng)上的所有Ethernet broadcast幀進(jìn)行分析。4.捕捉局域網(wǎng)上的所有Ethernet multicast幀進(jìn)行分析?！緦?shí)驗(yàn)原理】1.網(wǎng)絡(luò)協(xié)議分析原理網(wǎng)絡(luò)協(xié)議分析是截獲網(wǎng)絡(luò)上正在傳輸?shù)臄?shù)據(jù)報(bào)文，并對(duì)數(shù)據(jù)報(bào)文的內(nèi)容進(jìn)行分析。網(wǎng)絡(luò)協(xié)議分析需要截獲網(wǎng)絡(luò)上的所有報(bào)文，根據(jù)上面對(duì)網(wǎng)卡接收模式的分析，只要將網(wǎng)卡的接收模式置于混雜模式即可實(shí)現(xiàn)。在接收到網(wǎng)絡(luò)上所有的數(shù)據(jù)報(bào)文后，通過(guò)相應(yīng)的網(wǎng)絡(luò)協(xié)議分析軟件進(jìn)行處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析網(wǎng)絡(luò)狀態(tài)和整體布局。網(wǎng)絡(luò)協(xié)議分析技術(shù)主要用來(lái)幫助網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)進(jìn)行管理。通過(guò)網(wǎng)絡(luò)協(xié)議分析技術(shù)，網(wǎng)絡(luò)管理員可以了解目前網(wǎng)絡(luò)中正在應(yīng)用的協(xié)議種類，每種協(xié)議所占的比例，及哪些設(shè)備應(yīng)用哪些協(xié)議進(jìn)行通訊；同時(shí)可以分析協(xié)議應(yīng)用的合理性與有效性，從而合理的選擇協(xié)議，節(jié)約有限的網(wǎng)絡(luò)寬帶，提高網(wǎng)絡(luò)傳輸效率；另外，可以診斷出大量的不可見(jiàn)模糊問(wèn)題，為管理員管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。2. 以太網(wǎng)數(shù)據(jù)幀的格式分析以太網(wǎng)這個(gè)術(shù)語(yǔ)一般是指數(shù)字設(shè)備公司（Digital Equipment）、英特爾公司（Intel）和施樂(lè)公司（Xerox）在1982年聯(lián)合公布的一個(gè)標(biāo)準(zhǔn)（實(shí)際上它是第二版本）。它是目前TCP/IP網(wǎng)絡(luò)采用的主要的局域網(wǎng)技術(shù)。1985年，IEEE（電子電氣工程師協(xié)會(huì)） 802委員會(huì)公布了一個(gè)稍有不同的標(biāo)準(zhǔn)集，其中802.3針對(duì)整個(gè)CSMA/CD網(wǎng)絡(luò)，802.4針對(duì)令牌總線網(wǎng)絡(luò)，802.5針對(duì)令牌環(huán)網(wǎng)絡(luò)。這三者的共同特性由802.2標(biāo)準(zhǔn)來(lái)定義，那就是802網(wǎng)絡(luò)共有的邏輯鏈路控制（LLC）。不幸的是，802.2和802.3定義了一個(gè)與以太網(wǎng)不同的幀格式，加上1983年Novell為其Netware開(kāi)發(fā)的私有幀（Netware 802.3 “Raw”），這些給以太網(wǎng)造成了一定的混亂，也給我們學(xué)習(xí)以太網(wǎng)帶來(lái)了一定的影響。從Ethereal捕捉數(shù)據(jù)包中也可以看出，Ethereal捕捉數(shù)據(jù)包的時(shí)候是掐頭去尾的，不要前面的前導(dǎo)碼，也丟棄后面的CRC校驗(yàn)（注意它只是不在Decode里顯示該區(qū)域，但并不代表它不去做數(shù)據(jù)包CRC校驗(yàn)），這就是很多人困惑為什么Ethereal捕捉到的數(shù)據(jù)包長(zhǎng)度跟實(shí)際長(zhǎng)度不相符的原因。那么，Ethereal是如何來(lái)判斷這些不同類型的以太網(wǎng)格式呢？Ethereal可以判斷出不同的以太網(wǎng)格式，這里需要注意的是，Ethereal在數(shù)據(jù)包解碼時(shí)有自己的格式，所以有Offset之說(shuō)，offset 0EH是指在Ethereal Hex解碼窗口中從左向右第15位的數(shù)值。大家如果有點(diǎn)發(fā)懵的話，沒(méi)有關(guān)系，看完后面的格式分析后再來(lái)分析前面提到的，相信一定能夠明白。l Ethernet V2以太網(wǎng)版本2是先于IEEE標(biāo)準(zhǔn)的以太網(wǎng)版本。從數(shù)據(jù)包中可以看出，Ethernet V2通過(guò)在DLC頭中2個(gè)字節(jié)的類型（Type）字段來(lái)辨別接收處理。類型字段是用來(lái)指定上層協(xié)議的（如0800指示IP、0806指示ARP等），它的值一定是大于05FF的，它提供無(wú)連接服務(wù)的，本身不控制數(shù)據(jù)（DATA）的長(zhǎng)度，它要求網(wǎng)絡(luò)層來(lái)確保數(shù)據(jù)字段的最小包長(zhǎng)度（46字節(jié)）。Ethereal捕獲的Ethernet V2幀的解碼，可以看到在DLC層，源DLC地址后緊跟著就是以太網(wǎng)類型（Etehertype）值0800，代表上層封裝的是IP報(bào)文，0800大于05FF，因而我們可以斷定它是Ethernet V2的幀。IEEE 802.3和DIX Ethernet V2的封裝格式l IEEE802.3IEEE802.3把DLC層分隔成明顯的兩個(gè)子層：MAC層和LLC層，其中MAC層主要是指示硬件目的地址和源地址。LLC層用來(lái)提供一些服務(wù)：通過(guò)SAP地址來(lái)辨別接收和發(fā)送方法兼容無(wú)連接和面向連接服務(wù)提供子網(wǎng)訪問(wèn)協(xié)議（Sub-network Access Protocol，SNAP），類型字段即由它的首部給出。MAC層要保證最小幀長(zhǎng)度不小于64字節(jié)，如果數(shù)據(jù)不滿足64字節(jié)長(zhǎng)度就必須進(jìn)行填充。是Ethereal捕獲的IEEE802.3幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長(zhǎng)度（Length）字段0026，它小于05FF，可以肯定它不是Ethernet V2的幀，而接下來(lái)的Offset 0E處的值“4242”（代表DSAP和SSAP），既不是Novell 802.3 “Raw”的特征值“FFFF”，也不是IEEE 802.3 SNAP的特征值“AAAA”，因此它肯定是一個(gè)IEEE802.3的幀。l IEEE802.3 SNAPSNAP (Sub-Network Access Protocol)子網(wǎng)訪問(wèn)協(xié)議，是邏輯鏈路控制（Logical Link Control）的一個(gè)子集，它允許協(xié)議不用通過(guò)服務(wù)訪問(wèn)點(diǎn)（SAP）即可實(shí)現(xiàn)IEEE兼容的MAC層功能，因此它在DSAP和SSAP域里的值是固定的（AAAA）。也正源于此，它需要額外提供5個(gè)字節(jié)的頭來(lái)指定接收方法，3個(gè)字節(jié)標(biāo)識(shí)廠商代碼，2個(gè)字節(jié)標(biāo)識(shí)上層協(xié)議。其MAC層保證數(shù)據(jù)幀長(zhǎng)度不小于64字節(jié)，不足的話需要進(jìn)行數(shù)據(jù)填充。是Ethereal捕獲的IEEE802.3 SNAP幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長(zhǎng)度（Length）字段0175，它小于05FF，可以肯定它不是Ethernet V2的幀，而接下來(lái)的Offset 0E處的值“AAAA”（代表DSAP和SSAP），這是IEEE 802.3 SNAP的特征值“AAAA”，因此可以斷定它是一個(gè)IEEE802.3 SNAP的幀。l Novell Netware 802.3 “Raw”雖然它的產(chǎn)生先于IEEE802.3規(guī)范，但已成為IEEE802.3規(guī)范的一部分。它僅使用DLC層的下半部，而不使用LLC。802.3 “Raw”幀通過(guò)在DLC頭中2個(gè)字節(jié)的長(zhǎng)度（Length）字段來(lái)標(biāo)記數(shù)據(jù)幀長(zhǎng)度，而在長(zhǎng)度字段后緊跟著就是兩個(gè)字節(jié)的十六進(jìn)制值FFFF，它是用來(lái)標(biāo)識(shí)IPX協(xié)議頭的開(kāi)始。為了確保最小數(shù)據(jù)幀長(zhǎng)度為64字節(jié)，MAC層會(huì)進(jìn)行填充數(shù)據(jù)區(qū)域來(lái)確保最小長(zhǎng)度。在所有工作站都使用同一種數(shù)據(jù)幀類型情況下不會(huì)有什么問(wèn)題，但如果是在混合以太網(wǎng)幀類型環(huán)境中，Novell的這種以太網(wǎng)幀會(huì)造成負(fù)面影響：當(dāng)Novell發(fā)出廣播幀時(shí)，其FF字段正好是IEEE802.3幀中的服務(wù)訪問(wèn)點(diǎn)（SAP）域，它的“FF”值代表著廣播SAP，因此所有的工作站（不管是不是Netware工作站）都會(huì)拷貝，這會(huì)造成不必要的廣播影響。Ethereal捕獲的Netware 802.3 “RAW”幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長(zhǎng)度（Length）字段0120，它小于05FF，可以肯定它不是Ethernet V2的幀，而接下來(lái)的Offset 0E處的值“FFFF”（代表IPX協(xié)議的開(kāi)始），這是Netware 802.3 “Raw”的特征值“FFFF”，因此可以斷定它是一個(gè)Novell 802.3 “Raw”的幀?！緦?shí)驗(yàn)環(huán)境】局域網(wǎng)、Ethereal軟件?！緦?shí)驗(yàn)步驟】1.學(xué)習(xí)使用Ethereal軟件。2.捕捉任何主機(jī)發(fā)出的Ethernet 802.3格式的幀和DIX Ethernet V2（即Ethernet II）格式的幀并進(jìn)行分析。捕捉任何主機(jī)發(fā)出的Ethernet 802.3格式的幀（幀的長(zhǎng)度字段=1500）， Ethereal的capture filter 的filter string設(shè)置為：ether12:2 1500, 幀的長(zhǎng)度字段實(shí)際上是類型字段）， Ethereal的capture filter 的filter string設(shè)置為：ether12:2 1500。觀察并分析幀結(jié)構(gòu)，802.3格式的幀的上一層主要是哪些PDU(協(xié)議數(shù)據(jù)單元)？是IP、LLC還是其它哪種？（學(xué)校里可能沒(méi)有，如果沒(méi)有，注明沒(méi)有就可以了）觀察并分析幀結(jié)構(gòu)，Ethernet II的幀的上一層主要是哪些PDU？是IP、LLC還是其它哪種？3.捕捉并分析局域網(wǎng)上的所有Ethernet broadcast幀，Ethereal的capture filter 的filter string設(shè)置為：ether broadcast。 觀察并分析哪些主機(jī)在發(fā)廣播幀，這些幀的高層協(xié)議是什么？你的LAN的共享網(wǎng)段上連接了多少臺(tái)計(jì)算機(jī)？1分鐘內(nèi)有幾個(gè)廣播幀？有否發(fā)生廣播風(fēng)暴？ 4.捕捉局域網(wǎng)上的所有Ethernet multicast幀，Ethereal的capture filte