Ethernet协议分析
2021-03-16 22:11:34 Author: www.freebuf.com(查看原文) 阅读量:86 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

IEEE802.2/802.3和以太网的封装格式

image.png

实验

实验步骤

1. 利用GNS3搭建实验拓扑

image.png

2. 为路由器的接口配置IP

R1:
image.png
R2:
image.png

3. 启动Wireshark抓包工具

image.png

4. 在R1上ping R2

image.pngimage.png

5. 在Wireshark软件中捕获以太网II帧格式的数据帧,利用ARP协议和ICMP协议,结合以太网的封装格式来分析以太网II帧的结构。

image.pngimage.png

6. 利用CDP协议,结合IEEE802.2/802.3的封装格式,来分析IEEE802.2/802.3的帧结构。

image.pngimage.png

MAC地址

在24位OUI中,
第一位(第一个字节的最低位,以太网传输中大端字节序小端比特序)是 Individual/Group(I/G)位,
当它的值为0时,就可以认为这个地址实际上是设备的MAC地址,它可能出现在MAC报头的源地址部分。
当它的值为1时,就可以认为这个地址表示以太网中的广播地址或组播地址,或者表示TR和FDDI中的广播地址或功能地址。
第二位(第一个字节倒数第二个比特位)是G/L位((Global/Local,也称U/L,这里的U表示Universal全局)。
当它的值为0时,就表示一个全局管理地址(全球唯一地址)(由IEEE分配)。
当它的值为1时,就表示一个在管理上通统治本地的地址(局部唯一地址)(就像在DECnet中一样)。
第一位也称Group位(组播位),第二位称Local位(本地位),但是OUI分配时这些是0,非0位IEEE并不负责分配,所以实际网卡的第一个数字基本都是4的倍数。

具体分析以下几个字段:(这里是分析实验中的)
(1) 查看源MAC地址第一个字节的最后一位取值,表明它属于什么类型的地址(单播、组播还是广播?)

答:源MAC地址第一个字节的最后一位取值为0,表明它属于单播类型的地址。

(2) 查看源MAC地址第一个字节的倒数第二位取值,表明它属于局部唯一还是全球唯一?

答:源MAC地址第一个字节的倒数第二位取值为1,表明它属于局部唯一的地址。

(3) 查看目的MAC地址第一个字节的最后一位取值,表明它属于什么类型的地址(单播、组播还是广播?)

答:源MAC地址第一个字节的最后一位取值为1,表明它属于单播类型的地址。

(4) 查看目的MAC地址第一个字节的倒数第二位取值,表明它属于局部唯一还是全球唯一?

答:目的MAC地址第一个字节的倒数第二位取值为0,表明它属于全球唯一的地址。


文章来源: https://www.freebuf.com/articles/others-articles/266388.html
如有侵权请联系:admin#unsafe.sh