实验 - 使用 Wireshark 检查以太网帧2010年安徽高考作文
Mininet 拓扑
目标
第 1 部分:检查以太网 II 帧中的报头字段
第 2 部分:使用 Wireshark 捕获和分析以太网帧 背景/场景
当上层协议互相通信时,数据会向下流到开放式系统互联 (OSI) 的各层中,并最终被封装进第 2 层帧。帧的成分取决于介质访问类型。例如,如果上层协议是 TCP 和 IP 并且访问介质是以太网,则第 2 层帧的封装为以太网 II。
这是 LAN 环境的典型情况。
在了解第 2 层的概念时,分析帧报头信息很有帮助。在此实验的第 1 部分,同学们将复习以太网 II 帧包含的字段。在第 2 部分,同学们将使用 Wireshark 为本地通信和远程通信捕获和分析以太网 II 帧头字段。 所需资源
•CyberOps Workstation VM
nessie
郴州日报电子版
•互联网接入
第 1 部分:检查以太网 II 帧中的报头字段
在第 1 部分中,同学们需要检查提供给同学们的以太网 II 帧中的报头字段和内容。Wireshark 捕获可用于检查这些字段中的内容。
第 1 步:检查以太网 II 帧头字段的描述和长度。
第 2 步:在 Wireshark 捕获中检查以太网帧。
以下 Wireshark 捕获显示了从 PC 主机向其默认网关发出 ping 操作生成的数据包。Wireshark 应用了一个过滤器,以仅查看 ARP 和 ICMP 协议。会话首先利用 ARP 查询网关路由器的 MAC 地址,然后是四次 ping 请求和应答。 第 3 步:检查 ARP 请求的以太网 II 报头内容。
下表使用 Wireshark 捕获中的第一个帧,并显示以太网 II 帧头字段中的数据。
关于目的地址字段的内容,需要注意什么?
_______________________________________________________________________________________
_______________________________________________________________________________________ 为什么 PC 会在发送第一个 ping 请求之前发送广播 ARP?
_______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ 第一个帧的源设备的 MAC 地址是什么?_______________________________________________________ 源设备的网卡的供应商 ID (OUI) 是什么? ______________________________________________________ MAC 地址的哪个部分是 OUI?______________________________________________________________ 源设备的网卡序列号是什么?_______________________________________________________________ 第 2 部分:使用 Wireshark 捕获和分析以太网帧
歼-12在第 2 部分中,同学们将使用 Wireshark 捕获本地和远程以太网帧。然后同学们将检查帧头字段中包含的信息。
第 1 步:检查 H3 的网络配置。
a. 使用以下凭证启动并登录同学们的 CyberOps Workstation:
用户名:analyst密码:cyberops
b. 打开终端仿真程序以启动 Mininet,并在提示符后输入以下命令。系统提示时,输入cyberops 作为密码。
[analyst@secOps ~]$ sudo
home/analyst/lab.support.files/scripts/cyberops_topo.py
[sudo] password for analyst:
c. 在 mininet 提示符后,启动主机 H3 上的终端窗口。
*** 启动 CLI:
mininet> xterm H3
d. 在 Node: h3 上的提示符后,输入ifconfig以验证 Ipv4 地址并记录 MAC 地址。
e. 在 Node: H3 上的提示符后,输入netstat -r以显示默认网关信息。
[root@secOps ~]# netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default 10.0.0.1 0.0.0.0 UG 0 0 0 H3-eth0可利霉素片
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 H3-eth0
f. 主机 H3 默认网关的 IP 地址是什么?__________________________________libnet
第 2 步:开始捕获 H3-eth0 上的流量。
a. 在 Node: H3 的终端窗口中,输入arp-n以显示 arp 缓存的内容。
[root@secOps analyst]# arp -n
b. 如果缓存中有任何现有的 arp 信息,请输入以下命令清除这些信息:arp -d IP-address。重复此操作,直到
清除了所有缓存信息。
[root@secOps analyst]# arp -n
Address HWtype HWaddress Flags Mask Iface
10.0.0.11 ether 5a:d0:1d:01:9f:be C H3-eth0
[root@secOps analyst]# arp -d 10.0.0.11
Address HWtype HWaddress Flags Mask Iface
10.0.0.11 (incomplete) C H3-eth0
c. 在 Node: H3 的终端窗口中,打开 Wireshark 并开始 H3-eth0 接口的数据包捕获。
[root@secOps analyst]# wireshark-gtk &
第 3 步:从 H3 对 H1 执行 pin 操作。
a. 从 H3 上的终端,对默认网关执行 ping 操作,并在发送 5 个回应请求数据包后停止。
[root@secOps analyst]# ping -c 5 10.0.0.1
b. 完成 ping 操作后,停止 Wireshark 捕获。
第 4 步:过滤 Wireshark,以仅显示 ICMP 流量。
向捕获的流量应用icmp过滤器,以便结果中只显示 ICMP 流量。
第 5 步:检查 Wireshark 中的第一个回应 (ping) 请求。
Wireshark 主窗口分为三个部分:数据包列表窗格(顶部)、数据包详细信息窗格(中间)和数据包字节窗格(底部)。如果同学们在第 3 步中选择了正确的接口来捕获数据包,Wireshark 应在数据包列表窗格中显示 ICMP 信息,类似于以下示例。
a. 在数据包列表窗格(顶部)中,单击列出的第一个帧。同学们应该会在信息标题下看到回应 (ping) 请求。
这一行应该以蓝突出显示。
b. 检查数据包详细信息窗格(中间部分)中的第一行。该行显示帧的长度;此示例中为 98 字节。
c. 数据包详细信息窗格中的第二行显示这是一个以太网 II 帧。还会显示源 MAC 地址和目的 MAC 地址。
PC 网卡的 MAC 地址是什么?___________________________________________________________ 默认网关的 MAC 地址是什么?___________________________________________________________
d. 同学们可以点击第二行开头处的箭头以获取关于以太网 II 帧的详细信息。
显示的是哪种帧? _____________________________________________________________________
e. 中间部分显示的最后两行显示关于帧的数据字段的信息。注意数据包含源和目的 IPv4 地址信息。
源 IP 地址是什么?____________________________________________________________________ 目的 IP 地址是什么?__________________________________________________________________
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议