实验二ARP分组的格式及协议分析

实验二ARP分组的格式及协议分析

【实验目的】

1、 理解IP地址和MAC地址分别所起作用的范围及其对应关系； 2、 学握两种地址的转换原理和转换方式； 3、 熟悉ARP协议的工作原理、作用和报文格式。

【实验内容】

1、 分析ARP分组的结构，熟悉各个字段的内容、功能、格式和取值范围; 2、 编辑ARP分组各字段的内容；

3、 单个或批量发送巳经编辑好的ARP分组； 4、 分析ARP分组的矣话过程。

【实验原理】

IP地址与硬件地址

硬件地址就是在网络内部对一个计算机进行寻址时所使用的地址，局域网的硬件地址就 是

MAC地址。在IP层抽象的互朕网上只能看到IP数据报，在具体的物理网络内部的数据 链路层中只能看见MAC帧，IP数据报被封装在MAC帧中。IP地址放在IP数据报的首部, 而硬件地址则放在MAC帧的首部。在网络戻和网络戻以上使用的是IP地址，数据链路层 及以下便用的

首部 才部 应用层数据 -——TCP报文——- 帔件地址 - -------- IP数据报-------- » — 首'尾部 部 V

链路层及以下

使用硬件地址

硬件地址。因此，需要考虑主机或路由器怎样知道应当在MAC帧的首部填入 什么样的硬件地址。

地址解析协议ARP

IP地址并不能直接用来进行通信。因此当在某个特定网络中两主机要进行通信，就必 须将

网络层及以上

使用IP地址

A

IP地址转换成此网络的硬件地址，在局域网中就是要将IP地址转换为MAC地址，再 进行通信。

从IP地址到硬件地址的转换是由地址解析协议ARP来完成的。每个主机都有一 个ARP髙速缓存存放IP地址到硬件地址的映射表。主机A通过ARP获得主机B的硬件地 址的工作过程如下：

MAC帧

・

1、 ARP进程在本局域网上广播发送一个ARP请求分组，上面有主机B的IP地址。 2、 在本局域网上的所有主机上运行的ARP进程都收到此ARP请求分组。

3、 主机B在ARP请求分组中见到自己的IP地址后，就向主机A发送一个ARP响应分组, 上

面写入自己的硬件地址。

4、 主机A收到主机B的ARP响应分组后，就在ARP高速缓存中写入主机B的IP地址到 硬

件地址的映射。

5、 主机A给B的ARP请求分组中带有A的硬件地址。

ARP分组的格式如下所示，通常ARP报文在网络内是成对出现的，有请求就有响应。

硬件类型 硬件长度 协议类型 协议长度 操作（谙求1,回答2） 发送站硕件地址（以太网是6宇节） 发送站协议地址（IP是4字节） 目标磽件地址（以太网墨6字节，在回答中填入） 目标协议地址（IP是4字节） • 硬件类型：16bit字段，用来定义运行ARP的网络类型，例如，以太网硬件类型为1; • 协议类型：16b让字段，用力定义协议的类型，例如，对IPv4协议，这个字段的值为 0x0800,

ARP可以用于任何高层协议；

• 硬件长度：Sbit字段，用来定义以字节为单位的物理地址长度，例如，对以太网这个 值为

6;

• 协议长度：8bit字段，用来定义以字节为单位的逻辑地址长度，例如，对IPv4协议这 个值

为6;

• 操作：16bit字段，用来定义分组的类型，巳定义了四种类型，分别是ARP请求（1）、 ARP

回答（2）、RARP 请求（3）和 RARP 回答（4）;

• 发送站硬件地址：这是可变长度字段，用来宦义发送站的物理地址，例如，对以太网这 个

字段是6个字节；

• 发送站协议地址：这是可变长度字段，用来定义发送站的逻辑地址，例如，对IPv4协 议这

个字段长度是4个字节； • 目标硬件地址：这是可变长度字段，用来定义目标的物理地址，对以太网这个字段是6 个字

节，对于ARP回答报文，这个字段全0; • 目标协议地址，这是可变长度字段，用来定义目标的逻辑地址，例如，对IPv4协议这 个字

段长度是4个字节。

［实验步骤］

练习_：分析ARP分组格式

1、 运行报文仿直编辑器。

2、 选择“文件”菜单中的“打开”菜单项，选择安装目录下Data目录中的报文仿直编辑 器存

档文件arp.pef0或者选择“操作”菜单中的“新建报文”菜单项，选择ARP类型 添加一条

报文记录。模本文件中的报文或新增加的报文矣自动显示在报文列表框中。报 文列表框中显示的内容包括：报文序号、源硬件地址和目的硬件地址。

3、 从报文列表框中选中一条记录，报文仿直编辑器中间部分自动显示此条报文记录的协议 结构

树，同时16进制对照表中显示该条报文对应的16机制值。

4、 选中协议结构树中的“ARP”结点，报文仿直编辑器右侧部分的属性列表自动显示当前 ARP

各个字段的内容，协议结构树中的结点与16进制对照表的内容是联动的，选中一 个结点，16进制对照表中矣在相应的位直改变颜色。 5、 在属性列表中查看ARP分组中各个字段的结构和内容。

练习二：编辑MAC帧格式中的字段内容

1、 在运行计算机网络实验系统的机器上运行系统的“ipconfig/all”命令，査看本机的IP 地址和

MAC地址。 2、 运行报文仿直编辑器，选择“操作”菜单中的“増加主机”菜单项，或在界面左下方计 算机

列表框中右键弹出快捷菜单选择“增加主机”菜单项，在“主机信息编辑”对话框 中将第一条中査看到的IP地址和MAC地址添加到主机列表中，主机列表框中显示的信 息包括：网络中的主机序号、IP地址和MAC地址。

3、 在属性列表框中编辑ARP分组的各个字段，因为实验系统与目前的主流局域网都是以 太网，

因此ARP中的硬件类型只有一种可以选择，即“以太网”，同理，协议类型为IP, 硬件地址长度为6,协议地址长度为4,操作类型可以在四种中选择一种。 4、 修改源硬件地址、目的硬件地址、源协议地址和目的协议地址，选中一条地址的编辑区 域，

在下拉列表框中显示网络中存在主机的MAC或IP地址，选择其中一条即可，编辑 好后的

字段属性值需要点击“保存”按钮才能存放到对应分组中。

练习三：发送和接收MAC帧序列

1、 运行报文解析器，选择“开始捕获”快捷菜单，此时报文解析器处干捕获状态。

2、 在报文仿直编辑器的报文列表框中选择一条或多条报文记录，然后点击“发送报文”快 捷菜

单，当看到“发送成功”消息框时表示所选报文巳经发送到所在的局域网中。

3、 报文解析器中的报文列表框中矣自动显示巳经捕获到的报文，报文列表框中显示的内容 包

括：报文序号、源硬件地址和目的硬件地址。

4、 点击报文解析器的报文列表框中的一条记录，报文解析器中间部分自动显示此条报文记 录的

协议结构树，对照报文仿直编辑器中协议结构树中的内容，査看是否一致。

练习四、分析ARP分组的会话过程

1、 单击报文仿直编辑器工具栏上的“打开”按钮，选择安装目录下Data目录中报文仿真 编辑

器存档文件：arp.pec,报文仿克编辑器显示预存的TCP报文段； 2、 单击报文解析器工具栏上的“开始捕获”按钮，报文解析器开始捕获数据报； 3、 单击报文仿直编辑器工具栏上的“发送报文”按钮，报文仿直编辑器弹出“发送成功” 对话

框，发送出报文列表框中的报文；

4、 可以看到报文解析器接收到报文仿真编辑器发出的报文，单击报文解析器工具栏上的

“停止捕获”按钮，停止捕获报文；

5、 单击工具栏上的“协议分析”按钮，报文解析器弹出协议分析对话框。在“协议”下拉 列表

中选择“ARP”，对话框下部的列表框中显示存在的ARP连接。选择一个ARP连 接，单击

“确定”按钮；

6、 报文解析器左侧的报文列表中显示这一次ARP连接中所有的报文，右侧以图形的方式 显示

该ARP连接的交互过程。选中左侧报文列表中的一条记录，报文解析器中部显示 该报文的协议结构树，右侧的协议交互图中以蓝色突出显示该ARP报文段； 7、 在左侧的报文列表中选择不同的ARP报文段，观察协议交互的进行过程，以及ARP各 个

字段值的变化。 【实验报吿要求】

1. 记录实验数据 2. 分析实验结果

例：MAC帧首部

目白勺地址：FF-FF-FF-FF-FF-FF 源地址：00-01-6C-E9-0D-2C 类型：ARP

ARP

硬件类型：以太网 协议类型：IP 硬件地址长度：6 协议地址长度：6 操作：ARP请求

源硬件地址：00-01-6C-E9-0D-2C 源协议地址：192.168.1.6 目的硬件地址：00-00-00-00-00-00 目的协议地址:192.168.1.2

（16进制显示框）

00000000： FF FF FF FF FF FF 00 01 - 6C E9 0D 2C 08 06 00 01

00000010： 08 00 06 04 00 01 00 01 - 6C E9 0D 2C C0 08 01 06 00000020： 00 00 00 00 00 00 CO A8 - 01 02 其中“类型：ARP”对应值为08 06

3. 未知数据包的分析

本部分通过Sniffer软件捕获本机所在计算机网络中的未知数据包，要求对所捕获的数 据包进行分析。

数据包一如下（下图截取了该数据包16进制表中的前150行）：

00000000 00000010 00000020 00000030 00000040 00000050 00000060 00000070 ooooooeo 00000090 OOOOOOaO

OOOOOObO

OOOOOOcO

012031530003 co B1C04444000041 01001131000031 05004444000050 f o a 033630006 cf f 08 a44440000 foooll81000096 fooo4444000042 fb a a33530002110 fd8844440001400 f 4 o o11 Clooood8d fl0044440000404 f6f533530000 col fdfo44440000504 foooll315000052 fooo44442000044 f 5d2440D004□

62941O44OD

D5O

O8144244f 000O57ef 0044440O0O0420Odl 4444ff C1O0SC00b4444SC0004f C4884e 4400005000044444010250

・燧

.??.Q•矽？. ？人

• ??掠 1 ••殖:？ ...??. ECEBENC 盒匚ACACACA匚&匚

ACACACAAA. FHEPF CELEHFCEFFFFACAC ACACACACABO. 2 .................................. ................... ?.... .......... V .................... # .\\MAILSLOT\\BROUS E .・・・

未知数据包的16进制值

根据以下举例，分析上述捕获的数据包为一个什么协议的谙求报文。 例：未知数据包二如下:

00000000:

00000010: 00000020: 00000030; 00000040: 00000050 : 00000060:

ff 0000000

ff 00 00 00 00 00 00

f f 06 00 00 00 00 00

f f 04 00 00 00 00 00

f f 00 00 00 00 00 00

f f 01 00 00 00 00 00

00 13 d4 ae 44 26 08 06 00 13 d4 ae 44 26 3b 4f 3b 4f 12 00 00 00 00 Q00 00 00 00 00 00 00 00 00 00 00 BAM00 00 00 00 00 00 00 . 00 00 00 00 00

00 01 12 9b 00 00 00 00 00 00 00 00

未知数据包二的16进制值

分析如下：

第一行前12个字节为协议MAC帧首部中的目的硬件地址和源地址。

紧随其后的两个字节是MAC帧首部中的类型字段，标识从上层接收到什么类型的协 议，“08 06”表示从上戻收到的是 ______________________ 类型的数据报。 则接下来的数据就代表该数据报的内容。

“00 01”表示硬件类型为以太网， “08 00”表示采用的协议类型为IP类型，

“06 04”分别表示硬件地址长度为6字节及协议地址长度为4字节， “00 01”表示执行ARP请求操作， “00 13 d4 ae 44 26” (59.79.18.155) “00 00 00 00 00 00” (59.79.18.2)o

剩余的0均为填充数据。综上得出，该数据包为一个什么协议的请求报文。

“3b 4f 12 9b”表示了源硬件地址，源协议地址 “3b 4f 12 few 表示了目的硬件地址和目的协议地址