以太网协议交互.docx

1、以太网协议交互竭诚为您提供优质文档/双击可除以太网协议交互篇一：以太网链路层协议分析实验报告姓名：学号：班级：实验一以太网链路层协议分析一实验目的1.学会正确安装和配置网络协议分析仪软件ethereal；2.掌握使用ethereal分析各种网络协议的技能，加深对协议格式，协议层次和协议交互过程的理解。二实验环境1.运行win2000/20xxserver/xp操作系统的pc一台；2.每台pc具有一块以太网卡，通过双绞线与局域网相连；3.ethereal程序（通过共享下载）。三实验内容1.网络协议分析软件介绍；2.实验组网；3.报文截获及结果上传；4.以太网链路层报文格式分析。四实验步骤1.分析

2、ethernet规定的报文封装格式，绘制报文结构；2.安装网络协议分析仪；3.安装ethereal；4.使用ethereal分析协议：启动系统、分组俘获、协议分析。五实验结果与分析（附图）分析：框一：侦号3，时间1.381124，源地址（ip）192.168.0.254,目的地址broadcast,高层协议aRp，包内信息概况whohas192.168.0.102tell192.168.0.254框二：3号帧，线路60字节，实际捕获60字节；以太网协议版本ii，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）；aRp地址解析协议（请求）。分析：框一：侦号24，时间7.176822，

3、源地址（ip）192.168.0.38，目的地址192.168.0.255,高层协议nbns，包内信息概况name.框二：24号帧，线路92字节，实际捕获92字节；以太网协议版本ii，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）；互联网协议，源ip地址，目的ip地址；用户数据报协议，源ip地址，目的ip地址；nbnsnetbios名称服务分析：框一：侦号31，时间10.275808，源地址（ip）192.168.0.54,目的地址192.168.0.44,高层协议smb，包内信息概况ReadandxResponse,Fid:0x0007,16384bytes.框二：31号帧，线

4、路1514字节，实际捕获1514字节；以太网协议版本ii，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）；互联网协议，源ip地址，目的ip地址；传输控制协议tcp的内容；netbios会话服务；smb服务器信息块协议。六实验结论与心得1.对于ethernet软件有了一个初步的了解;2.懂得用ethereal可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。篇二：网络协议问答一mac1.为什么有的主机会收到icmp数据包而有的主机收不到icmp数据包？因为拓扑结构中各个主机的连接方式不同，2.根据实验理解集线器（共享设备）和交换机（交换设备）的区别？共

5、享设备可以广播共享，而交换机则无此作用。3.说明共享设备的不安全性。因为共享设备的共享特性，导致连接在同一设备上的所有主机可以接收到这一条共享设备线上的信息传递，易泄露信息。llc定义了三种帧：信息帧（i-帧）、监控帧（s-帧）和无编号帧（u-帧）。帧的类型可从控制字段识别。对于信息帧和监控帧，控制字段为2字节长，而对于无编号帧，控制字段为1字节长。4.llc地址与mac地址在mac帧的帧首中，有目的mac地址和源mac地址，它们都是6字节长。在llc帧的帧首中，则设有dsap和ssap，该地址是逻辑地址，表示的是数据链路层的不同访问服务点。llc地址与mac地址是两个不同的概念，在局域网中，

6、一个主机上的多个服务访问点可以利用同一条数据链路。从这一点可以看出，llc子层带有osi网络层的某些功能。1.主机a、b、c、d、F是否可以收到主机e的广播帧？均可以。2.说明mac广播帧的范围？000000FFFFFF局域网中的所有主机。1.如何编辑llc无编号帧和llc数据帧。启动协议编辑器，编写一个llc帧，按实验要求编写目的mac地址和源mac地址，协议类型和协议长度设为001F，控制字段改为02然后回车，在用户定义数据/数据字段填上索要发送的数据，这就是llc数据帧。在llc数据帧的基础上将其改成llc无编号帧（前两个比特位1），在用户定义数据/数据字段填上索要发送的数据。2.在协议

7、分析端捕获到该帧，帧的长度是多少？由此理解以太网的最短帧长度。60最短长度为60，是网络的最大时延位。3.为什么ieee802标准将数据链路层分割为mac子层和llc子层？因为不同的厂商有自己的协议规定，都不愿意改变自己的协议。故在ieee规定两者同时存在，相互协调，共同服务。由于hdlc并不支持多点平衡配置，这使得在局域网中有引入媒体访问协议的必要性，ieee802参考模型将数据链路层划分为两个子层，媒体访问控制mac子层和逻辑链路控制llc子层。mac子层与物理层相关联，而llc子层则完全独立出来，为高层提供服务，这样就实现了物理层和数据链路层的完全独立，解决了lso制定的计算机网络7层参

8、考模型（即osi模型）中局域网物理层和数据链路层不能完全独立的问题。4.为什么以太网有最短帧长度的要求？答：因为网络传输存在时延，发送前监听网络线路上是否通畅，再决定是否发送。帧的长度需要大于网络的最大时延，两个帧才不会产生冲突。但帧的长度太长，则会浪费存储空间去缓冲。帧的格式决定了帧有一个最短长度，这个最小长度应该是即使里面没有上层数据，也就是第三层的数据包为空的长度，如果小于这个最小长度，则说明肯定是坏帧，（意味着除去上层数据的其他数据丢失了）没有必要再去读里面具体的数据了。二，1aRp高速缓存表由哪几项组成？ip地址，mac地址，type（类型）2结合协议分析器上采集到的aRp报文和aR

9、p高速缓存表中新增加的条目，简述aRp协议的报文交互过程以及aRp高速缓存表的更新过程。aRp协议的报文交互过程：发送端只知道目的端的ip地址，要求aRp创建一个aRp请求报文，将报文传递到数据链路层，并在该层中用发送方的物理地址作为源地址，用物理广播地址作为目的地址，将其封装在一个帧中。因为该帧中包含了一个广播目的地址，所以同一链路中的每个主机或路由器都接收到这个帧。所有接收到该帧的主机都将其传递到aRp层进行处理。除了目的端主机以外的所有主机都丢弃该报文。目的端主机用一个包含其物理地址的aRp应答报文做出响应，并对该报文进行单播。目的端主机用一个包含其物理地址的aRp应答报文做出响应，并对

10、该报文进行单播。发送方接收到这个应答报文，这样它就知道了目标主机的物理地址。高速缓存表更新过程：发送ip数据报前先对aRp缓存表进行查找，查看目的mac地址是否存在于缓存表中，如果存在，则不需要发送aRp请求报文而直接使用此地址进行ip数据包的发送。如果不存在，则发送aRp请求报文，在收到aRp应答报文之后，使用应答报文中的目的mac地址发送ip数据包，并将目的mac地址存于aRp缓存表中供以后使用。1.哪些主机收到了aRp请求包，哪台主机给出了aRp响应包？主机b、c、d、e、F都收到了aRp请求，主机e给出了aRp响应包。2.比较aRp协议在同网段内解析和跨网段的解析有何异同点？相同点：都

11、是广播发送aRp请求报文。不同点：主要在于网关的作用发挥。如果aRp请求是跨网段时,由路由器来回答该请求.3.aRp数据包的长度是固定的吗？试加以解释。aRp分组长度在不同网络上可能会改变。aRp分组中含有htype（硬件类型）字段，用来定义运行aRp的网络类型（例如以太网是类型1），aRp可以应用在任何网络上。aRp分组中包含hlen（硬件长度）字段，用来定义以字节为单位的物理地址长度（例如以太网为6）。aRp分组中包含sha（发送端硬件地址）和tha（目标硬件地址）用来定义物理地址，这两个字段都是可变长度字段。aRp分组中还包括spa（发送端协议地址）和tpa（目标协议地址）用来定义逻辑地

12、址，这两个字段也都是可变长度字段。所以说aRp分组在不同类型的网络中使用时，其长度可变。4.试解释为什么aRp高速缓存每存入一个项目就要设置10-20分钟的超时计时器。这个时间设置得太大或太小会出现什么问题？aRp高速缓存生存时间由超时计时器维护，这主要有以下两个原因：首先，高速缓存表的空间有限，若不定期删除旧纪录就无法使新纪录加入到高速缓存中来，这样一来高速缓存的作用就得不到体现。其次，再某一时刻，若高速缓存的mac-ip映射相对于实际主机mac与ip映射关系不一致时（这通常是由于在此时刻之前，两主机正常通信，它们的aRp高速缓存中都存在彼此的mac-ip映射，接下来其中一台主机更换了网卡，

13、从而导致另一台主机高速缓存的mac-ip映射相对于实际主机mac与ip映射关系不一致），网络通信必然受到影响，可以通过超时计时器机制更新生存时间到期的纪录，使网络通信在短时间内恢复正常。超时时间设置过大会使aRp高速缓存中的纪录长期得不到更新，降低高速缓存的利用率，增加高速缓存的记录与实际的地址映射不一致时恢复正常通信的时间。超时时间设置过小，会使高速缓存的记录被频繁删除，从而导致aRp广播数据包在网络上大量出现，增加网络流量。5.至少举出两种不需要发送aRp请求数据包的情况。当aRp缓存表中已经含有要解析的条目时不需要再次发送aRp报文；当目的地址是广播地址时不需要发送aRp。例如（1）主机

14、a的aRp中已经存有即将要给发送报文的主机的mac地址；（2）跨网发送时，发送方的aRp缓存表中存在相连路由器的mac地址，并且路由器的aRp中存在下一级的路由器或目的主机的mac地址。（3）说明ip地址与硬件地址的区别，为什么要使用这两种不同的地址？ip地址就是给每个连接在因特网上的主机（或路由器）分配一个在全世界范围是唯一的32位的标识符。从而把整个因特网看成为一个单一的、抽象的网络在实际网络的链路上传送数据帧时，最终还是必须使用硬件地址。mac地址在一定程度上与硬件一致，基于物理、能够标识具体的链路通信对象、ip地址给予逻辑域的划分、不受硬件限制。ip地址用于网络层的路由选择，使得将来自

15、源地址的数据通过路由而传送到目的地址变为可能；硬件地址又称为mac地址，用于在网络或子网内部寻找一个单独的主机，由网络设备制造商生产时写在硬件内部，mac地址与网络无关，也即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，它都有唯一不变的mac地址，mac地址一般不可改变，不能由用户自己设定。使用两种地址的原因：ip地址用于网络层的路由选择，使得将来自源地址的数据通过路由而传送到目的地址变为可能；（1）ip地址的分配是根据网络的拓朴结构，而不是根据谁制造了网络设置。若将高效的路由选择方案建立在设备制造商的基础上而不是网络所处的拓朴位置基础上，这种方案是不可行的。（2）当存

16、在一个附加层的地址寻址时，设备更易于移动和维修。例如，如果一个以太网卡坏了，可以被更换，而无须取得一个新的ip地址。如果一个ip主机从一个网络移到另一个网络，可以给它一个新的ip地址，而无须换一个新的网卡。（3）无论是局域网，还是广域网中的计算机之间的通信，最终都表现为将数据包从某种形式的链路上的初始节点出发，从一个节点传递到另一个节点，最终传送到目的节点。数据包在这些节点之间的移动都是由aRp负责将ip地址映射到mac地址上来完成的。1.受限广播地址的作用范围？32位全为1的广播地址，用于本地网络中，受限广播可以用在计算机不知道自己ip地址的时候，比如向dhcp服务器索要地址时、pppoe拨

17、号时等。2.受限广播地址和直接广播地址的区别？限广播地址就是255.255.255.255，此地址可以在本网络内广播，路由器不允许通过它，所以“受限”。而直接广播地址就是主机号全1的地址，如网络号192.168.1.0子网掩码255.255.255.0直接广播192.168.1.2553.路由器转发受限广播吗？受限广播路由器不允许通过它直接广播地址是允许通过路由器的，当然不是所有的路由器，傻瓜式路由器是默认阻止直接广播的。允许通过路由器就是，ip地址位192.168.2.1的主机也可以发送广播到192.168.1.0这个网络。捕获的报文对应的“类型”和“代码”字段分别是什么？类型：它定义了报文

18、类型，类型值为8表示回显请求报文，类型值为0表示回显应答报文。代码：8位字段，进一步描述某些icmp报文的具体说明，它指明了发送这个特定报文类型的原因。1.为什么要设置ttl字段？time-to-live,为了减少互联网上的包的数目，不然互联网上会有很多垃圾包。具体为每个报文被转发一次，ttl就减去1，直到ttl为0时，如果该包仍未到达目的地，则会被丢弃。2.为什么要限制由失效的icmp差错报文再产生一个icmp报文？限制失效报文为了减少网络流量，再产生一个报文一般也会是报告错误状态。3.什么样的icmp报文是由路由器发送出的？什么样的icmp报文是由目的主机发送出的？路由器：网络不可达，主机

19、不可达，对主机重定向等目的主机：回显应答，端口不可达等。4.主机a向主机b发送数据报，主机b从未收到该数据报，而主机a也从未收到出问题的通知。试给出可能发生情况的两种不同解释。可能是主机a和主机b位于两个不同网段通过路由器连接在一起，路由器协议栈出现故障。1.为什么udp协议的“校验和”要包含伪首部？若校验和不包括伪首部，用户数据报也可能是安全的和正确的。但是，若ip首部受到损伤，则它可能被交付到错误的主机。伪首部中包含高层协议类型字段是为了确保这个数据包是属于udp而不是属于tcp（参见实验七）的。使用udp的进程和使用tcp的进程可以使用同一个端口号。udp的高层协议类型字段是17。若在传

20、输过程中这个值改变了，在接收端计算校验和时就可检测出来，udp就可丢弃这个数据包。这样就不会交付给错误的协议。2.比较udp和ip的不可靠程度？udp是传输层协议，ip是网络层协议，两者都不可靠，因为数据接收方不会发送确认给数据接收方。udp是基于连接的协议吗？阐述此特性的优缺点。不是优点：面向无连接服务灵活方便且快速缺点：但它不能防止报文的丢失、重复和乱序。由于它的每个报文必须包括完整的源地址的目的地址，因此开销较大。udp报文交互中含有确认报文吗？阐述此特性的优缺点。没有优点：无需连接确认快速灵活缺点：发送端将报文发送出去以后就不知道报文的具体情况，不能防止报文的丢失、重复和乱序。1.思考

21、udp的差错处理能力。udp仅仅具有校验和而没有差错控制机制。当接收端接收到数据报以后使用校验和并检验是否出错时，若出错就将这个数据报丢掉，也就是说发送端再将数据报发送出去之后就不知道接收端究竟是接收到了没，接收的是否重复。1.如果将目的mac地址换成某一个主机的mac地址，是否所有主机还会收到这种报文？不会，只是对应的目的mac的地址的主机才会接收到。2.如果将目的mac地址设成广播地址，目的ip设成某一主机的ip地址，结果怎样？所有主机都收到报文。3.在可靠性不是最重要的情况下，udp可能是一个好的传输协议。试给出这种特定情况的一些示例。4.udp协议本身是否能确保数据报的发送和接收顺序？

22、不能。篇三：网络数据包协议分析网络数据包协议分析一、实验目的1.学习网络协议分析工具ethereal的使用方法；2.截获数据并对它们观察，分析其中2中协议（arp&tcp）数据包包头各数据位的含义，了解协议的运行机制。二、实验步骤1.安装并打开ethereal软件；2.利用”运行cmd”打开命令提示符，输入“ping”确认网络连接是否完成；3.点击capture-options选择网卡（默认有线）；4.点击capture开始抓包；5.打开浏览器，访问一个网站，这样才可以抓到tcp的数据包；6.点击stop停止抓包。三、实验结果分析1.arp-addressresolutionprotocol，

23、地址解析协议的缩写，就是主机在发送帧前将目标ip地址（32位）转换成目标mac地址（48位）的过程。它属于链路层的协议。aRp协议数据包包头数据位分析：1.第一栏显示帧信息。Frame280（60bytesonwire，60bytescapture）是指该数据包含有60个字节，ethereal软件截获了60个字节。点击打开，里面包括了到达时间、相对前一个包的时间延迟、传输时间、帧号280、包长度（60字节）和捕获到的长度（60字节）。2.第二栏显示以太网信息。源mac地址是f4：6d：04：3a：62：33，目的mac地址是ff：ff：ff：ff：ff：ff。3.第三栏显示因特网协议信息。它包

24、括了硬件类型：以太网；协议类型是ip协议和发送方的ip地址与mac地址，也包括了目的ip地址和地址。2.tcptransitioncontrolprotocol，传输控制协议的缩写。是一种面向连接（连接导向）的、可靠的、基于字节流的传输层通信协议。tcp协议数据包包头数据位分析：1.第一栏显示帧信息。它包括了到达时间、相对前一个包的时间延迟、传输时间、帧号为279、包长度和捕获到的长度（60字节）。2.第二栏显示以太网信息。主机mac地址是00：23：89：34：ad：75，目的mac地址是00:21:97:3f:f4:ad.协议类型属于ip协议。3.第三栏显示因特网协议信息。协议的版本号是4

25、，包头长20，包的源ip地址202.197.96.12，目的ip地址10.62.78.44。还包括了标志，头部检验、协议类型为tcp。4.第四栏显示传输控制协议信息。它包括了源端口号8080、目的端口号2967、序列号2372、头部长度20、标志（ack）、ack号149、窗口大小、校验核等。四、实验心得通过这次实验，我学会使用ethereal分析各种网络协议，加深了对协议格式、协议层次和协议交互过程的理解，回顾了各种协议的概念。问题回答：aRp：1.whatisthe48-bitethernetaddressofyourcomputerf4：6d：04：3a：62：332.whatisthe

26、48-bitdestinationaddressintheethernetframe目的mac地址是ff：ff：ff：ff：ff：fftcp：1.whatistheipaddressandtcpportnumberusedbyyourclientcomputer(source)totransferthefiletogaia.cs.umass.eduwhatistheipaddressandportnumberusedbygaia.cs.umass.edutoreceivethefile.答：如图可以看出我的ip和端口分别为122.207.49.15，3647；gaia.cs.umass.edu

27、的ip和端口为128.119.245.12，80。2.whatisthesequencenumberofthetcpsynsegmentthatisusedtoinitiatethetcpconnectionbetweentheclientcomputerandgaia.cs.umass.eduwhatisitinthesegmentthatidentifiesthesegmentasasynsegment答：如图syn=1。3.whatisthesequencenumberofthesynacksegmentsentbygaia.cs.umass.edutothec(以太网协议交互)lien

28、tcomputerinreplytothesynwhatisthevalueoftheacknowledgementfieldinthesynacksegmenthowdidgaia.cs.umass.edudeterminethatvaluewhatisitinthesegmentthatidentifiesthesegmentasasynacksegment答：如图syn=ack=1。acknowledgemen=1。4.whatisthesequencenumberofthetcpsegmentcontainingthehttppostcommandnotethatinordertofi

29、ndthepostcommand,youllneedtodigintothepacketcontentfieldatthebottomoftheetherealwindow,lookingforasegmentwitha“post”withinitsdatafield.答：如图可以看出sequencenumber=1，当为thehttppostcommand时。7.whatistheminimumamountofavailablebufferspaceadvertisedatthereceivedfortheentiretracedoesthelackofreceiverbufferspaceeverthrottlethesender答：最小如图：没有。