實驗二 用協議分析器分析以太幀結構【實驗目的】1.熟悉網絡協議分析的原理。2.熟悉網絡協議分析軟件Ethereal的使用。3.掌握Ethernet幀的構成【實驗內容】1.學習使用網絡協議分析軟件Ethereal。2.捕捉任何主機發出的DIX Ethernet V2（即Ethernet ）格式的幀并進行分析。3.捕捉并分析局域網上的所有Ethernet broadcast幀進行分析。4.捕捉局域網上的所有Ethernet multicast幀進行分析。【實驗原理】1.網絡協議分析原理網絡協議分析是截獲網絡上正在傳輸的數據報文，并對數據報文的內容進行分析。網絡協議分析需要截獲網絡上的所有報文，根據上面對網卡接收模式的分析，只要將網卡的接收模式置于混雜模式即可實現。在接收到網絡上所有的數據報文后，通過相應的網絡協議分析軟件進行處理，可以實時分析這些數據的內容，進而分析網絡狀態和整體布局。網絡協議分析技術主要用來幫助網絡管理員對網絡進行管理。通過網絡協議分析技術，網絡管理員可以了解目前網絡中正在應用的協議種類，每種協議所占的比例，及哪些設備應用哪些協議進行通訊；同時可以分析協議應用的合理性與有效性，從而合理的選擇協議，節約有限的網絡寬帶，提高網絡傳輸效率；另外，可以診斷出大量的不可見模糊問題，為管理員管理網絡區域提供了非常寶貴的信息。2. 以太網數據幀的格式分析以太網這個術語一般是指數字設備公司（Digital Equipment）、英特爾公司（Intel）和施樂公司（Xerox）在1982年聯合公布的一個標準（實際上它是第二版本）。它是目前TCP/IP網絡采用的主要的局域網技術。1985年，IEEE（電子電氣工程師協會） 802委員會公布了一個稍有不同的標準集，其中802.3針對整個CSMA/CD網絡，802.4針對令牌總線網絡，802.5針對令牌環網絡。這三者的共同特性由802.2標準來定義，那就是802網絡共有的邏輯鏈路控制（LLC）。不幸的是，802.2和802.3定義了一個與以太網不同的幀格式，加上1983年Novell為其Netware開發的私有幀（Netware 802.3 “Raw”），這些給以太網造成了一定的混亂，也給我們學習以太網帶來了一定的影響。從Ethereal捕捉數據包中也可以看出，Ethereal捕捉數據包的時候是掐頭去尾的，不要前面的前導碼，也丟棄后面的CRC校驗（注意它只是不在Decode里顯示該區域，但并不代表它不去做數據包CRC校驗），這就是很多人困惑為什么Ethereal捕捉到的數據包長度跟實際長度不相符的原因。那么，Ethereal是如何來判斷這些不同類型的以太網格式呢？Ethereal可以判斷出不同的以太網格式，這里需要注意的是，Ethereal在數據包解碼時有自己的格式，所以有Offset之說，offset 0EH是指在Ethereal Hex解碼窗口中從左向右第15位的數值。大家如果有點發懵的話，沒有關系，看完后面的格式分析后再來分析前面提到的，相信一定能夠明白。l Ethernet V2以太網版本2是先于IEEE標準的以太網版本。從數據包中可以看出，Ethernet V2通過在DLC頭中2個字節的類型（Type）字段來辨別接收處理。類型字段是用來指定上層協議的（如0800指示IP、0806指示ARP等），它的值一定是大于05FF的，它提供無連接服務的，本身不控制數據（DATA）的長度，它要求網絡層來確保數據字段的最小包長度（46字節）。Ethereal捕獲的Ethernet V2幀的解碼，可以看到在DLC層，源DLC地址后緊跟著就是以太網類型（Etehertype）值0800，代表上層封裝的是IP報文，0800大于05FF，因而我們可以斷定它是Ethernet V2的幀。IEEE 802.3和DIX Ethernet V2的封裝格式l IEEE802.3IEEE802.3把DLC層分隔成明顯的兩個子層：MAC層和LLC層，其中MAC層主要是指示硬件目的地址和源地址。LLC層用來提供一些服務：通過SAP地址來辨別接收和發送方法兼容無連接和面向連接服務提供子網訪問協議（Sub-network Access Protocol，SNAP），類型字段即由它的首部給出。MAC層要保證最小幀長度不小于64字節，如果數據不滿足64字節長度就必須進行填充。是Ethereal捕獲的IEEE802.3幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長度（Length）字段0026，它小于05FF，可以肯定它不是Ethernet V2的幀，而接下來的Offset 0E處的值“4242”（代表DSAP和SSAP），既不是Novell 802.3 “Raw”的特征值“FFFF”，也不是IEEE 802.3 SNAP的特征值“AAAA”，因此它肯定是一個IEEE802.3的幀。l IEEE802.3 SNAPSNAP (Sub-Network Access Protocol)子網訪問協議，是邏輯鏈路控制（Logical Link Control）的一個子集，它允許協議不用通過服務訪問點（SAP）即可實現IEEE兼容的MAC層功能，因此它在DSAP和SSAP域里的值是固定的（AAAA）。也正源于此，它需要額外提供5個字節的頭來指定接收方法，3個字節標識廠商代碼，2個字節標識上層協議。其MAC層保證數據幀長度不小于64字節，不足的話需要進行數據填充。是Ethereal捕獲的IEEE802.3 SNAP幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長度（Length）字段0175，它小于05FF，可以肯定它不是Ethernet V2的幀，而接下來的Offset 0E處的值“AAAA”（代表DSAP和SSAP），這是IEEE 802.3 SNAP的特征值“AAAA”，因此可以斷定它是一個IEEE802.3 SNAP的幀。l Novell Netware 802.3 “Raw”雖然它的產生先于IEEE802.3規范，但已成為IEEE802.3規范的一部分。它僅使用DLC層的下半部，而不使用LLC。802.3 “Raw”幀通過在DLC頭中2個字節的長度（Length）字段來標記數據幀長度，而在長度字段后緊跟著就是兩個字節的十六進制值FFFF，它是用來標識IPX協議頭的開始。為了確保最小數據幀長度為64字節，MAC層會進行填充數據區域來確保最小長度。在所有工作站都使用同一種數據幀類型情況下不會有什么問題，但如果是在混合以太網幀類型環境中，Novell的這種以太網幀會造成負面影響：當Novell發出廣播幀時，其FF字段正好是IEEE802.3幀中的服務訪問點（SAP）域，它的“FF”值代表著廣播SAP，因此所有的工作站（不管是不是Netware工作站）都會拷貝，這會造成不必要的廣播影響。Ethereal捕獲的Netware 802.3 “RAW”幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長度（Length）字段0120，它小于05FF，可以肯定它不是Ethernet V2的幀，而接下來的Offset 0E處的值“FFFF”（代表IPX協議的開始），這是Netware 802.3 “Raw”的特征值“FFFF”，因此可以斷定它是一個Novell 802.3 “Raw”的幀。【實驗環境】局域網、Ethereal軟件。【實驗步驟】1.學習使用Ethereal軟件。2.捕捉任何主機發出的Ethernet 802.3格式的幀和DIX Ethernet V2（即Ethernet II）格式的幀并進行分析。捕捉任何主機發出的Ethernet 802.3格式的幀（幀的長度字段=1500）， Ethereal的capture filter 的filter string設置為：ether12:2 1500, 幀的長度字段實際上是類型字段）， Ethereal的capture filter 的filter string設置為：ether12:2 1500。觀察并分析幀結構，802.3格式的幀的上一層主要是哪些PDU(協議數據單元)？是IP、LLC還是其它哪種？（學校里可能沒有，如果沒有，注明沒有就可以了）觀察并分析幀結構，Ethernet II的幀的上一層主要是哪些PDU？是IP、LLC還是其它哪種？3.捕捉并分析局域網上的所有Ethernet broadcast幀，Ethereal的capture filter 的filter string設置為：ether broadcast。 觀察并分析哪些主機在發廣播幀，這些幀的高層協議是什么？你的LAN的共享網段上連接了多少臺計算機？1分鐘內有幾個廣播幀？有否發生廣播風暴？ 4.捕捉局域網上的所有Ethernet multicast幀，Ethereal的capture filte