© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 1 页,共 7 页
实验 – 使用 Wireshark 检查以太网帧
拓扑
目标 第 1 部分:检查以太网 II 帧中的报头字段
第 2 部分:使用 Wireshark 捕获和分析以太网帧
背景/场景 当上层协议互相通信时,数据会沿 OSI 模型流向下层,在第 2 层封装成帧。帧的成分取决于介质访问类型。例
如,如果上层协议是 TCP 和 IP 并且访问介质是以太网,则第 2 层帧的封装为以太网 II。LAN 环境通常如此。
在了解第 2 层的概念时,分析帧报头信息很有帮助。在本实验的第 1 部分,您将复习以太网 II 帧中包含的字段。
在第 2 部分,您将使用 Wireshark 为本地通信和远程通信捕获和分析以太网 II 帧头字段。
所需资源 • 1 台 PC(采用 Windows 7、Vista 或 XP 且可访问 Internet 并已安装 Wireshark)
第 1 部分: 检查以太网 II 帧中的报头字段 在第 1 部分中,您将检查以太网 II 帧中的报头字段和内容。Wireshark 捕获可用于检查这些字段的内容。
第 1 步: 检查以太网 II 报头字段的描述和长度。
前导码 目的 地址
源 地址
帧 类型 Data FCS
8 个字节 6 个字节 6 个字节 2 个字节 46 - 1500 个字节 4 个字节
第 2 步: 检查 PC 的网络配置。
该 PC 主机的 IP 地址为 10.20.164.22,默认网关 IP 地址为 10.20.164.17。
实验 – 使用 Wireshark 检查以太网帧
© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 2 页,共 7 页
第 3 步: 在 Wireshark 捕获中检查以太网帧。
下面的 Wireshark 捕获显示了从 PC 主机向其默认网关发出 ping 操作生成的数据包。Wireshark 应用了一个过
滤器,可以仅查看 ARP 和 ICMP 协议。该会话以网关路由器 MAC 地址的 ARP 查询开始,然后是四个 ping 请求和应答。
第 4 步: 检查 ARP 请求的以太网 II 报头内容。
下表显示了 Wireshark 捕获的第一个帧和以太网 II 报头字段中的数据。
实验 – 使用 Wireshark 检查以太网帧
© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 3 页,共 7 页
字段 值 说明
前导码 捕获中未显示 此字段包含同步比特,由网卡硬件处理。
目的地址 广播 (ff:ff:ff:ff:ff:ff) 帧的第 2 层地址。每个地址的长度为 48 位或 6 个二进制八位数,表
示为 12 个十六进制数、0-9、A-F。 常用格式为 12:34:56:78:9A:BC。 前 6 个十六进制数表示网卡 (NIC) 的制造商,后 6 个十六进制数是网
卡的序列号。 目的地址可能是全为 1 的广播地址,也可能是单播地址。源地址始终
是单播地址。
源地址 Dell_24:2a:60 (5c:26:0a:24:2a:60)
帧类型 0x0806 对于以太网 II 帧,该字段包含一个十六进制值,用来在数据字段中表
示上层协议的类型。以太网 II 支持多个上层协议。两种常用的帧类型
为: 值 说明 0x0800 IPv4 协议 0x0806 地址解析协议 (ARP)
Data ARP 包含封装的上层协议。数据字段介于 46 字节至 1500 字节之间。
FCS 捕获中未显示 帧校验序列 (FCS),供网卡用来查找传输过程中的错误。其值包含帧
地址、类型和数据字段,由发送方计算, 由接收方验证。
目的地址字段的内容为何重要?
_______________________________________________________________________________________
_______________________________________________________________________________________
为什么 PC 在发送第一个 ping 请求之前要先发出一个广播 ARP?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
在第一个帧中源主机的 MAC 地址是什么? _______________________
源主机网卡的供应商 ID (OUI) 是什么? __________________________
MAC 地址的哪个部分是 OUI?
_______________________________________________________________________________________
源主机网卡的序列号是什么? _________________________________
第 2 部分: 使用 Wireshark 捕获和分析以太网帧 在第 2 部分,您将使用 Wireshark 捕获本地和远程以太网帧。然后您将检查帧头字段中包含的信息。
第 1 步: 在 PC 上确定默认网关的 IP 地址。
打开命令提示符窗口,发出 ipconfig 命令。
PC 默认网关的 IP 地址是什么? ________________________
实验 – 使用 Wireshark 检查以太网帧
© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 4 页,共 7 页
第 2 步: 开始捕获 PC 网卡上的流量。
a. 打开 Wireshark。
b. 在“Wireshark 网络分析器”工具条上单击“接口列表”图标。
c. 在“Wireshark 捕获接口”窗口,通过单击相应的复选框选择要开始捕获流量的接口,然后单击“开始”。
如果您不确定检查哪个接口,请单击“详细信息”查看所列每个接口的详细信息。
d. 观察出现在“数据包列表”窗口中的流量。
第 3 步: 过滤 Wireshark,使其仅显示 ICMP 流量。
可以使用 Wireshark 中的过滤器屏蔽不需要的流量。过滤器并不会阻止捕获不需要的数据;只是在屏幕上过滤
要显示的数据。现在仅显示了 ICMP 流量。
在 Wireshark 的“过滤器”框中键入 icmp。如果键入的过滤器正确,该框应变为绿色。如果该框是绿色,单
击“应用”来应用此过滤器。
第 4 步: 从命令提示符窗口对 PC 的默认网关执行 ping 操作。
在命令窗口,使用您在步骤 1 中记录的 IP 地址对默认网关执行 ping 操作。
实验 – 使用 Wireshark 检查以太网帧
© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 5 页,共 7 页
第 5 步: 停止捕获网卡上的流量。
单击“停止捕获”图标会停止捕获流量。
第 6 步: 检查 Wireshark 中的第一条 Echo (ping) 请求。
Wireshark 主窗口分为三个部分:“数据包列表”窗格(顶部),“数据包详细信息”窗格(中间)和“数据
包字节”窗格(底部)。如果您在第 3 步中为数据包捕获选择了正确接口,则 Wireshark 应当在“数据包列表”
窗格显示 ICMP 信息,与以下示例类似。
a. 在“数据包列表”窗格中(顶部),单击列出的第一个帧。在“信息”标题下方,您应该看到 Echo(ping) 请求。这一行应该以蓝色突出显示。
b. 检查“数据包详细信息”窗格(中间部分)中的第一行。此行显示的是帧长度;本例中为 74 个字节。
c. “数据包详细信息”窗格第二行显示它是一个以太网 II 帧。还显示了源 MAC 地址和目的 MAC 地址。
PC 网卡的 MAC 地址是什么? ________________________
默认网关的 MAC 地址是什么? ______________________
d. 单击第二行开头的加号 (+) 以获取以太网 II 帧的更多信息。注意,此时加号将变为减号 (-)。
显示的帧类型是什么? ________________________________
e. 中间部分的最后两行显示的是帧数据字段的信息。注意,数据包含了源 IPv4 地址和目的 IPv4 地址信息。
源 IP 地址是什么? _________________________________
目的 IP 地址是什么? _________________________________
实验 – 使用 Wireshark 检查以太网帧
© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 6 页,共 7 页
f. 您可以单击中间部分的任一行,突出显示“数据包字节”窗格(底部)中帧的相应信息(十六进制和 ASCII)。单击中间部分的“Internet 控制消息协议”行,检查“数据包字节”窗格中突出显示的内容。
最后两个突出显示的二进制八位数如何拼写? ______
g. 单击顶部的下一个帧,并检查 Echo 应答帧。注意,源 MAC 地址和目的 MAC 地址颠倒了,因为此帧是作
为对第一个 ping 操作的应答,从默认网关路由器发出的。
哪些设备和 MAC 地址显示为目的地址?
___________________________________________
第 7 步: 在 Wireshark 中重新启动数据包捕获。
单击“开始捕获”图标开始新的 Wireshark 捕获。您将看到一个弹出窗口,询问您是否想在开始新捕获之前将
先前捕获的数据包保存到文件中。单击“不保存继续”。
第 8 步: 在命令提示符窗口键入 ping www.cisco.com。
第 9 步: 停止捕获数据包。
实验 – 使用 Wireshark 检查以太网帧
© 2014 思科和/或其附属公司。保留所有权利。本文档所含内容为思科公开发布的信息。 第 7 页,共 7 页
第 10 步: 检查 Wireshark 数据包列表窗格中的新数据。
在第一个 Echo (ping) 请求帧中,源 MAC 地址和目的 MAC 地址是什么?
源:_________________________________
目的:______________________________
帧的数据字段包含的源 IP 地址和目的 IP 地址是什么?
源:_________________________________
目的:______________________________
将这些地址与您在第 7 步中接收的地址相比较。唯一变化的地址是目的 IP 地址。为什么目的 IP 地址改变了,
而目的 MAC 地址仍保持不变?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
思考 Wireshark 不显示帧头的前导码字段。前导码包含什么?
_______________________________________________________________________________________
_______________________________________________________________________________________