从 Wireshark的 抓 包 分 析 了解网络的 分 层结构 抓包分析,又叫网络嗅探,在计算机网络安全领域,属于被动攻击。即在不干扰正常信息流的前提下,监听整个局域网的通信内容。同时,监听者还可以观察和分析某个PDU( protocol date u nit)的协议信息控制部分,了解正在通信的协议实体的地址和身份,研究PDU 的长度和传输的频度,以便了解所交换数据的某种性质。 仅从学习的角度来讲,通过抓包分析,可以清楚地了解网络协议的性质及网络的分层结构。 网络模型主要有两种,即OSI 的七层模型和TCP/IP 协议簇的四层模型。由于TCP/IP 协议簇是互联网上的事实的标准协议,故本文按TCP/IP 的体系结构讲述。但为了把原理描述清楚,将网络接口层分为数据链路层和物理层来讲。 为讲解方便,先来了解笔者电脑的一些参数。 当开始抓包后,我们可以看到如下信息。 这是在网络接口层抓取到的信息,也就是数据链路层的数据帧,除去前面0000、 0010、 0020、 -------等为帧同步信息外,其他皆为数据中的内容,全部用十六进制表示,这便是数据在链路层的表示形式,当数据链路层把这些十六进制数据交给物理层来发送时,要把十六进制转化为二进制,即 c8 3a ………..化为11001000、00111010、 ……….等,在物理层1、 0 分别表示高、低电平,一般是一连串矩形脉冲波。 称为数字基带信号。在传输时,根据不同的介质选择不同的调制方式。在有线局域网中,一般用曼彻斯特和差分曼彻斯特编码。在光纤中传输时,用波分复用技术。而在无线局域网中,用 CCK(补码键控)、OFDM(正交频分复用技术)和多入多出(Mu ltiple-Inpu t Mu ltiple-Ou tpu t)技术 。由于信号的调制与解调涉及复制的数学运算和通信的专业知识,这里不做讨论。有兴趣的读者可以再任何一本《通信原理》书中找到相关内容。 在数据链路层,PDU 被称为数据帧,有帧首部、数据部分和帧尾部组成,其中数据部分为ip 数据包,帧头和帧尾为帧控制和校验信息。由于数据链路层有许多帧类型,如p p p 帧、以太网帧等,所以各种帧的控制信息并不相同,但无论那种帧格式,大致都要实现封装成帧、透明传输和差错控制等功能。因此下面以以太网帧为例。 以太网帧的首部有目的地址、源地址、协议类型组成,在抓取的数据包中分别为. 由图可知,以太网帧的地址为物理地址,有 48 为二进制数组成,化为十六进制恰为12 位, 协议类型有两个字节(16 个二进制)组成,其中0800 ...
