实验 3 分析 MAC 帧格式3.1 实验目的1.了解 MAC 帧首部的格式;2.理解 MAC 帧固定部分的各字段含义;3.根据 MAC 帧的内容确定是单播,广播。3.2 实验设备Winpcap 、Wireshark 等软件工具3.3 相关背景1.据包捕获的原理:为了进行数据包,网卡必须被设置为混杂模式。在现实的网络环境中 ,存在着许多共享式的以太网络。 这些以太网是通过Hub 连接起来的总线网络。在这种拓扑结构的网络中,任何两台计算机进行通信的时候,它们之间交换的报文全部会通过Hub 进行转发 ,而 Hub 以广播的方式进行转发 ,网络中所有的计算机都会收到这个报文,不过只有目的机器会进行后续处理,而其它机器简单的将报文丢弃。 目的机器是指自身MAC 地址与消息中指定的目的MAC 地址相匹配的计算机。网络监听的主要原理就是利用这些原本要被丢弃的报文,对它们进行全面的分析 ,这样就可以得到整个网络中信息的现状。2.Tcpdump 的简单介绍: Tcpdump 是 Unix 平台下的捕获数据包的一个架构。 Tcpdump 最初有美国加利福尼亚大学的伯克利分校洛仑兹实验室的Van Jcaobson 、Craig Leres 和 Steve McCanne共同开发完成,它可以收集网上的IP 数据包文,并用来分析网络可能存在的问题。现在,Tcpdump 已被移植到几乎所有的 UNIX 系统上,如: HP-UX 、SCO UNIX 、SGI Irix 、SunOS 、Mach 、Linux 和 FreeBSD 等等。更为重要的是 Tcpdump 是一个公开源代码和输出文件格式的软件,我们可以在Tcpdunp 的基础上进行改进,加入辅助分析的功能,增强其网络分析能力。 (详细信息可以参看相关的资料) 。3.Winpcap的简单介绍: WinPcap是由意大利Fulvio Risso 和 Loris Degioanni 等人提出并实现的应用于Win32 平台的数据包捕获与分析的一种软件包 ,包括内核级的数据包监听设备驱动程序、低级动态链接库(Packet.dll) 和高级系统无关库 (Winpcap.dll) ,其基本结构如图3-1 所示:图3-1 Winpcap 的体系结构WinPcap 由 3 个模块组成: 1)NPF (NetgroupPacket Filter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块; 2)Packet.dll为 Win32 平台提供了一个公共的接口。不同版本的Windows 系统都有自己的内核模块和用户层模块。Packet.dll 直接映射了内核的调用,运行在用户层 ,把应用程序和数据包监听设备驱动程序隔离开,使应用程序可以不加修改地在不...
