实验名称

实验一 利用数据包嗅探器Wireshark捕获数据包实验

班级

姓名

学号

组员

实验地点

日期

2021年10月28日

一、实验目的

1、掌握网络数据包嗅探器Wireshark的安装与使用；

2、理解ARP协议的工作原理和作用；

3、掌握以太网帧结构。

二、实验内容（主要包括实验设计、实验环境、实验步骤、测试数据和实验结果）

1.实验内容

1、网络数据包嗅探器Wireshark的安装，掌握其基本使用方法；

2、通过使用ping命令，截获报文，分析ARP协议的解析过程和报文结构。

2.实验环境

1、交换机1台，PC机2台；

2、Wireshark软件。

3.实验步骤

（一）Wireshark软件的安装与使用

见补充资料。

（二）理解ARP协议

步骤1：网络结构如图1所示。

图1 网络结构

步骤2：在PCA的命令行窗口中执行以下命令：

C:\>arp -a

结果是：接口: 192.168.20.13 --- 0x9

Internet 地址         物理地址             类型

192.168.20.254        38-22-d6-9b-81-c3     动态

224.0.0.22            01-00-5e-00-00-16     静态

239.255.255.250       01-00-5e-7f-ff-fa静态

如果ARP缓存非空，可以执行arp -d命令，清空ARP缓存。

步骤3：运行PCA上的Wireshark软件，开始截获数据报文；在PCA的命令行窗口中执行ping IPPCB命令。执行完之后，停止PCA上的Wireshark报文截获，将此次结果命名为ping1-学号。

步骤4：在PCA的命令行窗口中执行以下命令：

C:\>ARP –a

结果是：接口: 192.168.20.13 --- 0x9

Internet 地址         物理地址              类型

192.168.20.33         70-b5-e8-71-17-7e     动态

192.168.20.254        38-22-d6-9b-81-c3     动态

224.0.0.5             01-00-5e-00-00-05     静态

224.0.0.22            01-00-5e-00-00-16     静态

239.255.255.250       01-00-5e-7f-ff-fa静态

步骤5：重复步骤3。将此次结果命名为ping2-学号。

步骤6：分析文件ping1-学号，完成下列工作：

（1）统计protocol字段填空：共有2个ARP报文。

（2）在所有报文中，ARP报文中ARP协议树的opcode字段有两个取值1、2，两个取值分别表达什么信息？

请求request是1，返回reply是2

（3）分析ARP报文结构：选中第一条ARP请求报文和第一条ARP应答报文，将ARP请求报文和ARP应答报文中的字段信息填入表1。

表1  ARP请求报文和ARP应答报文的字段信息

步骤7：分析文件ping2-学号，回答下列问题：

1. 比较文件ping1-学号中截获的报文信息，文件ping2-学号少了什么报文？简述ARP Cache的作用。

ARP报文。ARP cache 是个用来储存(IP, MAC)地址的缓冲区。当ARP被询问一个已只IP地址节点的MAC地址时,先在ARP cache 查看,若存在,就直接返回MAC地址,若不存在,才发送ARP request向局域网查询。

（2）写出ARP协议在同一网段内的解析过程。

1、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表

2、如果存在该IP-MAC对应关系，那么就；如果不存在该IP-MAC对应关系，那么就接着按ping命令本来的步骤做下去，即用icmp协议。

3、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址

4、当192.168.20.33主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址

5、本地获得192.168.20.33主机的IP-MAC地址对应关系，并保存到ARP缓存中

6、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去。

三、实验小结（主要包括实验中出现的问题、结果分析、出错原因分析等）

实验成绩：

                            教师：                  年   月   日