wireshark抓包分析以太网 MAC 帧分析

以太网 MAC 帧分析

1.实验目的

1. 理解以太网 MAC 地址

2. 学习并分析以太网 MAC 帧格式的结构、含义

3. 了解 ARP 地址解析协议

2.实验环境

1. Wireshark 网络分析软件

2. 实验文件 计算机网络实验.cap

3.相关知识

​ 在局域网中，每个网络设备具有唯一的硬件地址又称为物理地址，或 MAC 地址， 它是固化在网卡的 ROM 上的 48 位数字，如 1A-24-F6-54-1B-0E、00-00-A2-A4-2C-02。网卡从网络上每收到一个 MAC 帧就首先用硬件检查 MAC 帧中的 MAC 地址，如果是发往本站的帧则收下，然后再进行其他的处理。否则就将此帧丢弃，不再进行其他的处理。 “发往本站的帧”包括以下三种帧：单播(unicast)帧（一对一）、广播(broadcast)帧（一对全体）、多播(multicast)帧（一对多）。

当数据字段的长度小于 46 字节时，应在数据字段的后面加入整数字节的填充字段，以保证以太网的 MAC 帧长不小于 64 字节。FCS 字段 4 字节，用于帧的校验。

4.实验内容

4.1以太网 MAC 帧的解析

​ 文件“计算机网络实验”，是一个网络通信记录，详细记录了分组的序号、相对时间、源地址、目标地址、协议类型、内容，下图是对第 26 个分组的详细信息。在协议框内，分别显示了该分组的各层协议：接口层以太网协议(eth)、arp 地址解析协议。

​ 图中的 Frame 26 为例，可以发现该 MAC 帧是本机发出的一个广播帧 broadcast，目标 address 是 ff:ff:ff:ff:ff:ff，源地址是 00 25 11 4e 02 34 ，帧类型是地址解析协议 ARP（0806）， ff:ff:ff:ff:ff:ff 是广播地址。

​ 第 27 个分组数据字段的长度小于 46 字节，在数据字段的后面发送方加入了整数字节的填充字段 Trailer，以保证以太网的 MAC 帧长不小于 64 字节（含 FCS）。（注意：最下栏左面的序号为 16 进制，如 0010 是 16 十进制），填充内容一般常见是连续的 0。

4.2ARP地址解析协议数据

​ 第 26 个分组的协议框内，分别显示了该分组的各层协议：接口层以太网协议(eth)、arp地址解析协议。该 MAC 帧目标 address 是 ff:ff:ff:ff:ff:ff 是一个广播帧，源地址是 00 25 11 4e 02 34 ，帧类型是地址解析协议 ARP（0806），本机查询网关的物理地址，第 27 个分组是对

26 分组的应答。