實(shí)驗(yàn)二 ARP分組的格式及協(xié)議分析

實(shí)驗(yàn)二ARP分組的格式及協(xié)議分析【實(shí)驗(yàn)?zāi)康摹?、理解IP地址和MAC地址分別所起作用的范圍及其對(duì)應(yīng)關(guān)系；2、掌握兩種地址的轉(zhuǎn)換原理和轉(zhuǎn)換方式；3、熟悉ARP協(xié)議的工作原理、作用和報(bào)文格式?！緦?shí)驗(yàn)內(nèi)容】1、分析ARP分組的結(jié)構(gòu)，熟悉各個(gè)字段的內(nèi)容、功能、格式和取值范圍;2、編輯ARP分組各字段的內(nèi)容；3、單個(gè)或批量發(fā)送已經(jīng)編輯好的ARP分組；4、分析ARP分組的會(huì)話過(guò)程?！緦?shí)驗(yàn)原理】IP地址與硬件地址硬件地址就是在網(wǎng)絡(luò)內(nèi)部對(duì)一個(gè)計(jì)算機(jī)進(jìn)行尋址時(shí)所使用的地址，局域網(wǎng)的硬件地址就是MAC地址。在IP層抽象的互聯(lián)網(wǎng)上只能看到IP數(shù)據(jù)報(bào)，在具體的物理網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)鏈路層中只能看見(jiàn)MAC幀，IP數(shù)據(jù)報(bào)被封裝在MAC幀中。IP地址放在IP數(shù)據(jù)報(bào)的首部,而硬件地址則放在MAC幀的首部。在網(wǎng)絡(luò)層和網(wǎng)絡(luò)層以上使用的是IP地址，數(shù)據(jù)鏈路層及以下使用的硬件地址。因此，需要考慮主機(jī)或路由器怎樣知道應(yīng)當(dāng)在MAC幀的首部填入什么樣的硬件地址。mac幀使用硬件地址地址解析協(xié)議ARPIP地址并不能直接用來(lái)進(jìn)行通信。因此當(dāng)在某個(gè)特定網(wǎng)絡(luò)中兩主機(jī)要進(jìn)行通信，就必須將IP地址轉(zhuǎn)換成此網(wǎng)絡(luò)的硬件地址，在局域網(wǎng)中就是要將IP地址轉(zhuǎn)換為MAC地址，再進(jìn)行通信。從IP地址到硬件地址的轉(zhuǎn)換是由地址解析協(xié)議ARP來(lái)完成的。每個(gè)主機(jī)都有一個(gè)ARP高速緩存存放IP地址到硬件地址的映射表。主機(jī)A通過(guò)ARP獲得主機(jī)B的硬件地址的工作過(guò)程如下：1、ARP進(jìn)程在本局域網(wǎng)上廣播發(fā)送一個(gè)ARP請(qǐng)求分組，上面有主機(jī)B的IP地址。2、在本局域網(wǎng)上的所有主機(jī)上運(yùn)行的ARP進(jìn)程都收到此ARP請(qǐng)求分組。3、主機(jī)B在ARP請(qǐng)求分組中見(jiàn)到自己的IP地址后，就向主機(jī)A發(fā)送一個(gè)ARP響應(yīng)分組,上面寫(xiě)入自己的硬件地址。4、主機(jī)A收到主機(jī)B的ARP響應(yīng)分組后，就在ARP高速緩存中寫(xiě)入主機(jī)B的IP地址到硬件地址的映射。5、主機(jī)A給B的ARP請(qǐng)求分組中帶有A的硬件地址。ARP分組的格式如下所示，通常ARP報(bào)文在網(wǎng)絡(luò)內(nèi)是成對(duì)出現(xiàn)的，有請(qǐng)求就有響應(yīng)。硬件類(lèi)型協(xié)議類(lèi)型硬件長(zhǎng)度協(xié)議長(zhǎng)度操作（請(qǐng)求1,回答2）發(fā)送站硬件地址（以太網(wǎng)是6字節(jié)）發(fā)送站協(xié)議地址（IP是4字節(jié)）目標(biāo)硬件地址（以太網(wǎng)是6字節(jié)，在回答中填入）目標(biāo)協(xié)議地址（IP是4字節(jié)）硬件類(lèi)型：16bit字段，用來(lái)定義運(yùn)行ARP的網(wǎng)絡(luò)類(lèi)型，例如，以太網(wǎng)硬件類(lèi)型為1；協(xié)議類(lèi)型:16bit字段,用力定義協(xié)議的類(lèi)型，例如，對(duì)IPv4協(xié)議，這個(gè)字段的值為0x0800,ARP可以用于任何高層協(xié)議；硬件長(zhǎng)度：8bit字段，用來(lái)定義以字節(jié)為單位的物理地址長(zhǎng)度，例如，對(duì)以太網(wǎng)這個(gè)值為6；協(xié)議長(zhǎng)度：8bit字段，用來(lái)定義以字節(jié)為單位的邏輯地址長(zhǎng)度，例如，對(duì)IPv4協(xié)議這個(gè)值為6；操作：16bit字段，用來(lái)定義分組的類(lèi)型，已定義了四種類(lèi)型，分別是ARP請(qǐng)求（1）、ARP回答（2）、RARP請(qǐng)求（3）和RARP回答（4）；發(fā)送站硬件地址：這是可變長(zhǎng)度字段，用來(lái)定義發(fā)送站的物理地址，例如，對(duì)以太網(wǎng)這個(gè)字段是6個(gè)字節(jié)；發(fā)送站協(xié)議地址：這是可變長(zhǎng)度字段，用來(lái)定義發(fā)送站的邏輯地址，例如，對(duì)IPv4協(xié)議這個(gè)字段長(zhǎng)度是4個(gè)字節(jié)；目標(biāo)硬件地址：這是可變長(zhǎng)度字段，用來(lái)定義目標(biāo)的物理地址，對(duì)以太網(wǎng)這個(gè)字段是6個(gè)字節(jié)，對(duì)于ARP回答報(bào)文，這個(gè)字段全0；目標(biāo)協(xié)議地址，這是可變長(zhǎng)度字段，用來(lái)定義目標(biāo)的邏輯地址，例如，對(duì)IPv4協(xié)議這個(gè)字段長(zhǎng)度是4個(gè)字節(jié)?！緦?shí)驗(yàn)步驟】練習(xí)一：分析ARP分組格式1、運(yùn)行報(bào)文仿真編輯器。2、選擇“文件”菜單中的“打開(kāi)”菜單項(xiàng)，選擇安裝目錄下Data目錄中的報(bào)文仿真編輯器存檔文件arp.pef?；蛘哌x擇“操作”菜單中的“新建報(bào)文”菜單項(xiàng)，選擇ARP類(lèi)型添加一條報(bào)文記錄。模本文件中的報(bào)文或新增加的報(bào)文會(huì)自動(dòng)顯示在報(bào)文列表框中。報(bào)文列表框中顯示的內(nèi)容包括：報(bào)文序號(hào)、源硬件地址和目的硬件地址。3、從報(bào)文列表框中選中一條記錄，報(bào)文仿真編輯器中間部分自動(dòng)顯示此條報(bào)文記錄的協(xié)議結(jié)構(gòu)樹(shù)，同時(shí)16進(jìn)制對(duì)照表中顯示該條報(bào)文對(duì)應(yīng)的16機(jī)制值。4、選中協(xié)議結(jié)構(gòu)樹(shù)中的“ARP”結(jié)點(diǎn)，報(bào)文仿真編輯器右側(cè)部分的屬性列表自動(dòng)顯示當(dāng)前ARP各個(gè)字段的內(nèi)容，協(xié)議結(jié)構(gòu)樹(shù)中的結(jié)點(diǎn)與16進(jìn)制對(duì)照表的內(nèi)容是聯(lián)動(dòng)的，選中一個(gè)結(jié)點(diǎn)，16進(jìn)制對(duì)照表中會(huì)在相應(yīng)的位置改變顏色。5、在屬性列表中查看ARP分組中各個(gè)字段的結(jié)構(gòu)和內(nèi)容。練習(xí)二：編輯MAC幀格式中的字段內(nèi)容1、在運(yùn)行計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)系統(tǒng)的機(jī)器上運(yùn)行系統(tǒng)的“ipconfig/all”命令，查看本機(jī)的IP地址和MAC地址。2、運(yùn)行報(bào)文仿真編輯器，選擇“操作”菜單中的“增加主機(jī)”菜單項(xiàng)，或在界面左下方計(jì)算機(jī)列表框中右鍵彈出快捷菜單選擇“增加主機(jī)”菜單項(xiàng)，在“主機(jī)信息編輯”對(duì)話框中將第一條中查看到的IP地址和MAC地址添加到主機(jī)列表中，主機(jī)列表框中顯示的信息包括：網(wǎng)絡(luò)中的主機(jī)序號(hào)、IP地址和MAC地址。3、在屬性列表框中編輯ARP分組的各個(gè)字段，因?yàn)閷?shí)驗(yàn)系統(tǒng)與目前的主流局域網(wǎng)都是以太網(wǎng)，因此ARP中的硬件類(lèi)型只有一種可以選擇，即“以太網(wǎng)”，同理，協(xié)議類(lèi)型為IP，硬件地址長(zhǎng)度為6，協(xié)議地址長(zhǎng)度為4，操作類(lèi)型可以在四種中選擇一種。4、修改源硬件地址、目的硬件地址、源協(xié)議地址和目的協(xié)議地址，選中一條地址的編輯區(qū)域，在下拉列表框中顯示網(wǎng)絡(luò)中存在主機(jī)的MAC或IP地址，選擇其中一條即可，編輯好后的字段屬性值需要點(diǎn)擊“保存”按鈕才能存放到對(duì)應(yīng)分組中。練習(xí)三：發(fā)送和接收MAC幀序列1、運(yùn)行報(bào)文解析器，選擇“開(kāi)始捕獲”快捷菜單，此時(shí)報(bào)文解析器處于捕獲狀態(tài)。2、在報(bào)文仿真編輯器的報(bào)文列表框中選擇一條或多條報(bào)文記錄，然后點(diǎn)擊“發(fā)送報(bào)文”快捷菜單，當(dāng)看到“發(fā)送成功”消息框時(shí)表示所選報(bào)文已經(jīng)發(fā)送到所在的局域網(wǎng)中。3、報(bào)文解析器中的報(bào)文列表框中會(huì)自動(dòng)顯示已經(jīng)捕獲到的報(bào)文，報(bào)文列表框中顯示的內(nèi)容包括：報(bào)文序號(hào)、源硬件地址和目的硬件地址。4、點(diǎn)擊報(bào)文解析器的報(bào)文列表框中的一條記錄，報(bào)文解析器中間部分自動(dòng)顯示此條報(bào)文記錄的協(xié)議結(jié)構(gòu)樹(shù)，對(duì)照?qǐng)?bào)文仿真編輯器中協(xié)議結(jié)構(gòu)樹(shù)中的內(nèi)容，查看是否一致。練習(xí)四、分析ARP分組的會(huì)話過(guò)程1、單擊報(bào)文仿真編輯器工具欄上的“打開(kāi)”按鈕，選擇安裝目錄下Data目錄中報(bào)文仿真編輯器存檔文件：arp.pec，報(bào)文仿真編輯器顯示預(yù)存的TCP報(bào)文段；2、單擊報(bào)文解析器工具欄上的“開(kāi)始捕獲”按鈕，報(bào)文解析器開(kāi)始捕獲數(shù)據(jù)報(bào)；3、單擊報(bào)文仿真編輯器工具欄上的“發(fā)送報(bào)文”按鈕，報(bào)文仿真編輯器彈出“發(fā)送成功”對(duì)話框，發(fā)送出報(bào)文列表框中的報(bào)文；4、可以看到報(bào)文解析器接收到報(bào)文仿真編輯器發(fā)出的報(bào)文，單擊報(bào)文解析器工具欄上的“停止捕獲”按鈕，停止捕獲報(bào)文；5、單擊工具欄上的“協(xié)議分析”按鈕，報(bào)文解析器彈出協(xié)議分析對(duì)話框。在“協(xié)議”下拉列表中選擇“ARP”,對(duì)話框下部的列表框中顯示存在的ARP連接。選擇一個(gè)ARP連接，單擊“確定”按鈕；6、報(bào)文解析器左側(cè)的報(bào)文列表中顯示這一次ARP連接中所有的報(bào)文，右側(cè)以圖形的方式顯示該ARP連接的交互過(guò)程。選中左側(cè)報(bào)文列表中的一條記錄，報(bào)文解析器中部顯示該報(bào)文的協(xié)議結(jié)構(gòu)樹(shù)，右側(cè)的協(xié)議交互圖中以藍(lán)色突出顯示該ARP報(bào)文段；7、在左側(cè)的報(bào)文列表中選擇不同的ARP報(bào)文段，觀察協(xié)議交互的進(jìn)行過(guò)程，以及ARP各個(gè)字段值的變化?！緦?shí)驗(yàn)報(bào)告要求】1．記錄實(shí)驗(yàn)數(shù)據(jù)2．分析實(shí)驗(yàn)結(jié)果例：MAC幀首部目的地址：FF-FF-FF-FF-FF-FF源地址：00-01-6C-E9-0D-2C類(lèi)型：ARPARP硬件類(lèi)型：以太網(wǎng)協(xié)議類(lèi)型：IP硬件地址長(zhǎng)度：6協(xié)議地址長(zhǎng)度：6操作：ARP請(qǐng)求源硬件地址：00-01-6C-E9-0D-2C源協(xié)議地址：192.168.1.6目的硬件地址：00-00-00-00-00-00目的協(xié)議地址：192.168.1.2（16進(jìn)制顯示框）00000000：FFFFFFFFFFFF0001—6CE90D2C0806000100000010：0800060400010001-6CE90D2CC008010600000020：000000000000C0A8-0102其中“類(lèi)型：ARP”對(duì)應(yīng)值為08063．未知數(shù)據(jù)包的分析本部分通過(guò)Sniffer軟件捕獲本機(jī)所在計(jì)算機(jī)網(wǎng)絡(luò)中的未知數(shù)據(jù)包，要求對(duì)所捕獲的數(shù)據(jù)包進(jìn)行分析。數(shù)據(jù)包一如下（下圖截取了該數(shù)據(jù)包16進(jìn)制表中的前150行）：00000000ftftftftftft00e0be0aef08004500.啦.?.0000001000d614db00005111268109000581090000002000ft000a008a00c21102dlb38109.??掠I.他？0000003000050000ac0000434542454b43...??.ECEBENC0000004041434141434143414341434143ACACACACACACACAC0000005041434141434141204648455046ACACACAAA.FHEF'F0000006043454c48464345464641434143CELEHFCEPFFFACAC00000070414341414341434f00ft534d42ACACACACABOSMB0000008025000000000000000000000000K0000009000000000000000000011000012OOOOOOaO00000000000000eS030000000000000000L00000000056000301000100020023VOOOOOOcO005c4d494c534c545c42524f5753.\MAILSLOTVBROUSOOOOOOdO45000826Of0110baUe772500000000OOOOOOeO42414dBAM.未知數(shù)據(jù)包的16進(jìn)制值根據(jù)以下舉例，分析上述捕獲的數(shù)據(jù)包為一個(gè)什么協(xié)議的請(qǐng)求報(bào)文。例：未知數(shù)據(jù)包二如下：00000000ftftftftftft0013d4ae4426OS060001000000100800060400010013d4ae44263b4f129b000000200000000000003b4f12fe0000000000000000003000000000000000000000000000000000000000400000000000000000000000000000000000000050000000000000000000000000000000000000006000000000000000000000未知數(shù)據(jù)包二的16進(jìn)制值分析如下：第一行前12個(gè)字節(jié)為協(xié)議MAC幀首部中的目的硬件地址和源地址。緊隨其后的兩個(gè)字節(jié)是MAC幀首部中的類(lèi)型字段，標(biāo)識(shí)從上層接收到什么類(lèi)型的協(xié)議,“0806”表示從上層收到的是類(lèi)型的數(shù)據(jù)報(bào)。則接下來(lái)的數(shù)據(jù)就代表該